форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Опубликован полный отчет о взломе Sourceforge.net"	+/–
Сообщение от opennews (??) on 30-Янв-11, 11:13
Администраторы  Sourceforge.net представили (http://sourceforge.net/blog/sourceforge-attack-full-report/) полный отчет о взломе сервиса (https://www.opennet.ru/opennews/art.shtml?num=29410). Содержимое отчета обобщает список действий, которые были предприняты для блокирования атаки и для обеспечения целостности пользовательских данных. Проведение целенаправленной атаки по взлому Sourceforge.net было обнаружено в среду, в четверг было выявлено, что злоумышленники получили доступ к нескольким серверам, которые сразу были отключены от сети, чтобы блокировать атаку на начальной стадии. Решение о блокировании было принято для CVS-репозитория, web-интерфейса для просмотра кода (ViewVC), системы загрузки релизов и сервиса интерактивного shell в системе ProjectWeb. В связи с возникновением неподтвержденного опасения утечки пользовательской базы, дополнительно был произведен (https://www.opennet.ru/opennews/art.shtml?num=29420) сброс всех паролей для всех аккаунтов sourceforge.net. В на... URL: http://sourceforge.net/blog/sourceforge-attack-full-report/ Новость: https://www.opennet.ru/opennews/art.shtml?num=29426
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Опубликован полный отчет о взломе Sourceforge.net"	–4 +/–
Сообщение от Аноним (??) on 30-Янв-11, 11:13
Неуловимый Джо в лице открытого для всех SSH и Shell дал о себе знать.  Предоставлять всем shell, да еще разделяя права только стандартными привилегиями - это нонсенс. Взлом был делом времени. Интересно, какой незаткнутой дырой воспользовались для получения root-а. В отчете об этом умалчивается, хотя явно определили в чем дело.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Опубликован полный отчет о взломе Sourceforge.net"	+16 +/–
	Сообщение от Другой аноним on 30-Янв-11, 12:50
	> Взлом был делом времени. Делом одинадцати лет, если быть точным.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Опубликован полный отчет о взломе Sourceforge.net"	–1 +/–
Сообщение от Аноним (??) on 30-Янв-11, 11:23
Отвлекающий маневр по защите одея, обнаруженного в одном из популярных на СФ проектов? Я так понимаю, ни внести изменения в цвс/свн, ни опубликовать новый релиз в данный момент нельзя?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Опубликован полный отчет о взломе Sourceforge.net"	+2 +/–
Сообщение от yantux (??) on 30-Янв-11, 11:58
Зачем надо было ломать? Неужели ради только ради троянов? Самое главно, кому это выгодно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Опубликован полный отчет о взломе Sourceforge.net"	+3 +/–
	Сообщение от тоже Аноним (ok) on 30-Янв-11, 12:56
	Лабораторная работа по теме "Бизнес. Конкуренция". Вводная: фирме, предоставляющей услуги, попытались испортить репутацию. Задача: определение предполагаемого заказчика акции. Методика решения: составляем список конкурентов фирмы, предлагающих аналогичные (конкурирующие) услуги. Особенно выделяем два подмножества: фирм, чьи услуги объективно уступают данной и фирм, уже известных приверженностью к неэтичным формам конкуренции. Если пересечение этих множеств слишком велико, выделяем фирмы, проявляющие наибольшую активность в этой области и предположительных аутсайдеров отрасли, способных изменить свое положение за счет сильного конкурента.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	9. "Опубликован полный отчет о взломе Sourceforge.net"	+4 +/–
	Сообщение от pavlinux (ok) on 30-Янв-11, 14:58
	Google Code чтоля?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	25. "Опубликован полный отчет о взломе Sourceforge.net"	+3 +/–
	Сообщение от Аноним123321 (ok) on 31-Янв-11, 10:12
	>>>попытались испортить репутацию. <<< однако -- грамотный инженер понимает что данный инцедент -- только усиливает безопасность (а следовательно репутацию) относительно SF вот например взять для сравнения: SF и какойнить GitHub: * в SF уже (всмысле я про _этот_ инцедент) были факты взлома и поэтому сотрудники SF уже имеют соотстветсющий опыт связанный с подобными инцедентами * в GitHub небыло фактов взлома, и следовательно GitHub вполне возможно что имеет "детские" проблемы безопасности, подкрепляемые "иллюзией неуезвимости"
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	26. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от anonymous (??) on 31-Янв-11, 10:54
	обалденная логика.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	27. "Опубликован полный отчет о взломе Sourceforge.net"	+3 +/–
	Сообщение от тоже Аноним (ok) on 31-Янв-11, 11:12
	А главное - из нее следует, что SF поторопились все заблокировать. Нужно было еще дать товарищам порезвиться и выяснить, как можно скатать весь сервис в трубочку. С таким-то опытом их на рынке так зауважают!
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	29. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от 0lpa on 31-Янв-11, 12:47
	+1! :-D
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	10. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от gegMOPO4 (ok) on 30-Янв-11, 15:10
	Нет, самое главное -- восстановить работоспособность SourceForge и уберечь от подобного в будущем.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Опубликован полный отчет о взломе Sourceforge.net"	–8 +/–
Сообщение от Аноним (??) on 30-Янв-11, 13:19
В рамках проведения атаки, злоумышленники смогли получить root-доступ на одной из платформ, имеющей полномочия генерации SSH-ключей... Не злоумышленники, а энтузиасты. >энтузиастам удалось подобрать закрытые ключи для формирования корректных цифровых подписей, позволяющих обеспечить запуск на игровой приставке любых приложений и прошивок, без необходимости сертификации данных программ у Sony https://www.opennet.ru/opennews/art.shtml?num=29224 Не надо такого откровенного лицемерия.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от Аноним (??) on 30-Янв-11, 14:34
	Энтузиасты не могут быть злоумышленниками?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Опубликован полный отчет о взломе Sourceforge.net"	+1 +/–
	Сообщение от Аноним (??) on 30-Янв-11, 14:40
	Если энтузиаст вражеский, то он злоумышленник. Ну как разведчик. Если он наш то он разведчик, а если вражеский, то лазутчик, шпион и злоумышленник.)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	13. "Опубликован полный отчет о взломе Sourceforge.net"	+7 +/–
	Сообщение от User294 (ok) on 30-Янв-11, 16:08
	> Если энтузиаст вражеский, то он злоумышленник. Ну как разведчик. Если он наш > то он разведчик, а если вражеский, то лазутчик, шпион и злоумышленник.) ИМХО все несколько иначе. Если некто придет к вам домой и без спроса взломает вашу приставку - он, очевидно, злоумышленник. Равно как и если он проделает то же самое удаленно, по сети. Потому что вы его не просили об этом и не уполномочивали что-то изменять в вашей собственности, а оно было сделано без вашего на то согласия. Что является неправомерной операцией над *чужой* собственностью. Если кто-то взломал СВОЮ приставку и даже опубликовал способ взлома в сети - он, очевидно, энтузиаст. Ну, как те кто изучает устройство замков и публикует описание их достоинств и недостатков, рекомендуя или ругая ту или иную модель. Реальная разница - в том что злоумышленники ломают *чужую* собственность, к которой они отношения не имеют. Даже если копирасам из сони и не нравится, вы имеете право забивать вашей приставкой гвозди, загрузать на ней все что загрузится, использовать ее как подставку для кофе или что там еще. Потому что вы ее купили и она - ваша, а сони может втирать все что захочет, кого их проблемы волнуют то? В случае с ключами они в принципе могут попробовать втереть что это "торговый секрет" или что-то типа того. Но учтя что оно уже лежит на 23100 сайтах - грош цена блеянию про секреты, будет как с DeCSS. И не ...т.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	32. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от Admincheg (ok) on 02-Фев-11, 11:03
	По сути взламывая "свою" приставку "энтузиаст" взламывает чужую прошивку (всякие там PS3, только взломали, столько говна полилось). Так что неувязка как бэ. "Энтузиаст" или "Злоумышленник"?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	33. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от anonymous (??) on 02-Фев-11, 11:07
	по сути, перешивая «свою» одежду, «энтузиаст» плюёт на чужой труд. так что неувязка как бэ. «энтузиаст» или «неблагодарная свинья»?
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	12. "Опубликован полный отчет о взломе Sourceforge.net"	+2 +/–
	Сообщение от User294 (ok) on 30-Янв-11, 16:00
	> Не надо такого откровенного лицемерия. Да, не надо пожалуйста лицемерия. Разница между *энтузиастами* и *злоумышленниками* совсем не в том чем вы пытаетесь втереть. Все гораздо проще. Если я взломал *свой* сервер, приставку, дверной замок или там что еще - я энтузиаст. Я в моем праве делать с моей собственностью все что сочту нужным покуда это не нарушает никаких законов. Если я взломал *чужой* сервер/замок/приставку/чтотамблинеще и это не было согласовано с владельцем - я уже злоумышленник, который незаконно воспользовался чужой собственностью. Особенно если использовал результат для поимения бонусов для себя или нанесения вреда кому-то, вместо того чтобы сообщить о проблеме обладателю сервера/приставки/замка/чеготамблинеще и "пройти мимо" вместо вламывания на чужую территорию для поимения бонусов для себя любимого. Да, вы только представьте себе! Производство отмычек само по себе - не есть нелегальное занятие. Не является нелегальным изучение устройства замков. Равно как вполне легально вскрыть замок в собственной двери. Или можно вполне легально пригласить того кто вскроет мне замок в моей двери, и вскрывающий не совершит никакого преступления. Преступление будет только когда кто-то без ведома и согласия владельца двери вскроет в ней замок и чего-то сопрет, например.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	17. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от Пр0х0жий (ok) on 30-Янв-11, 19:59
	>> Не надо такого откровенного лицемерия. > Да, не надо пожалуйста лицемерия. Разница между *энтузиастами* и *злоумышленниками* ... > <skip> [вздыхает...] Конечно очевидно же. "Преступление и наказание" и Кижи. Инструмент один и тот же. Цели разные.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от filosofem (ok) on 30-Янв-11, 19:57
	>энтузиастам удалось подобрать закрытые ключи для формирования корректных цифровых подписей, позволяющих обеспечить запуск на игровой приставке любых приложений и прошивок, без необходимости сертификации данных программ у Sony И где злой умысел здесь?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	20. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от anonymous (??) on 30-Янв-11, 23:11
	> И где злой умысел здесь? манагеры сони голодают, их дети попрошайничают на улицах.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	21. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от filosofem (ok) on 31-Янв-11, 00:46
	Это благодаря конкуренции с XBox 360. Баллмер — вот настоящий злоумышленник. Выпустил понимаешь аналогичную консоль, но без аннальных ключей как в PS2 и разрушает честный бизнес добропорядочной Сосони.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
Сообщение от gogo on 31-Янв-11, 04:52
Ибо нефиг пароль с ssh использовать. Есть ключи которые перехватить и украсть на порядок труднее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Опубликован полный отчет о взломе Sourceforge.net"	+1 +/–
Сообщение от Аноним (??) on 31-Янв-11, 08:46
Интересно, а что будет, когда взломают какой-нибудь сервис облачных вычислений, на котором лежит куча инфы различных компаний и частных пользователей? Там легко будет проверить неизменность клиентской информации? Количество взломов социальных сетей и хостингов проектов угрожающе растет. Я все больше утверждаюсь во мнении, что любой внешний сервис для компании является достаточно уязвимым, а потому крайне опасным в использовании. Уж лучше свой собственный сервер. Возможно эре различных хостингов приходит конец?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	24. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от anonymous (??) on 31-Янв-11, 09:15
	> Я все больше утверждаюсь во мнении, что любой внешний сервис для компании > является достаточно уязвимым, а потому крайне опасным в использовании. Уж лучше > свой собственный сервер. например, такой, как у касперского. надёжно, защищённо.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	30. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от анонимус (??) on 31-Янв-11, 22:26
	ну да ваш сервер будет надежней чем облаком мелкософта....ппц кругом одни хакеры....
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	31. "Опубликован полный отчет о взломе Sourceforge.net"	+/–
	Сообщение от anonymous (??) on 01-Фев-11, 03:14
	> ну да ваш сервер будет надежней чем облаком мелкософта….ппц кругом одни хакеры…. видимо, сарказм не дошёл, бывает. но да: внутренняя сеть фирмы ВСЕГДА будет надёжней, чем неизвестно чьё «облако».
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема