Met de rechten van het account waar de IRC server op draaide. Wat niet weg neemt dat je daar een prima zombie of C&C op kan laten draaien.

Dat durf ik te betwijfelen.

Acht maanden is nog niks. Soms kan het ook wel eens 25 jaar duren:
http://www.osnews.com/story/19731
Of 8:
http://www.theregister.co.uk/2009/08/14/critical_linux_bug/
Maar ook MS kan er wat van:
http://www.theregister.co.uk/2010/01/19/microsoft_escalation_bug/

Je kan je natuurlijk ook afvragen of het allemaal wel zo heftig was.... die 50 downloads.

Wow een backdoor in een IRC-server gevonden, ja en ?
Wat heeft dat te maken met de veiligheid van Linux in 't algemeen zoals hierboven door de *kuch* experts als talking heads wordt beweerd ?

Is dat een willekeurige server ?
Waarom zijn er in de afgelopen 8 maanden dan niet miljoenen Linux server van deze backdoor voorzien door dit lek ?
Welk lek was dat overigens ?
Of is het een incident bij een server die typisch niet goed beheert werd ?
Het werd ook door 50 mensen gedownload ! http://www.securelist.com/en/blog/2205/Unreal_Backdoored_IRC_Server

Ook het selectieve gebruik van de info is bizar:

Linux geeft niet een vals gevoel, het zijn de Linux religieuzen die maar blijven beweren dat het veilig is. En dat terwijl ze kennelijk niet weten dat rootkits zijn begonnen op de unix/linux systemen.

Feit is dat er nu enorme hoeveelheden servers die Linux draaien worden gehackt. Die servers worden op grote schaal gebruikt voor het hosten van spam en phishing web sites. Dit neemt elk jaar verder toe.

@Eerde

Niet om het een of het ander hoor, maar als OSS in het algemeen en in het bijzonder Linux zo onovertroffen veilig is en bestand tegen virussen, waarom krijg ik dan op mijn Ubuntu (10.04) installatie regelmatig (als in: vrijwel wekelijks) de vraag of ik "important security updates" wil installeren?

In jouw filosofie zou dat toch niet mogelijk zijn?

Omdat "experts" zoals jij beweren dat het allemaal zoveel veiliger wordt als iedereen alleen maar download vanaf een repository server. Lachen als die code vanaf de bron al backdoored is. Nog harder lachen omdat al die repositories nu een backdoored applicatie verspreiden.

Omdat die er simpelweg niet zijn. Niet in die hoeveelheden in ieder geval. En zoals je zelf ook al bedacht had heeft niet elke linux bak deze software draaien.

En daarna kwam het op 50 verschillende repository servers terecht? Hoe vaak zou het daar vandaan gedownload zijn?

misschien is het wel handig,om ook langzamerhand een goede virusscanner voor Linux achter de hand te hebben.
Je kan kwaadwillende maar beter voor zijn dan er als nog de dupe van worden.

Wat heeft een software lek/backdoor met de veiligheid van het OS opzich temaken?

De veiligheids discussie GNU/Linux vs Windows gaat niet om de bugs in de software die erop draaien maar op kwetsbaarheden binnen het besturingssysteem zelf of onderdelen ervan en hoe deze hiermee omgaan (rechten etc)

Elk systeem geeft een vals gevoel van veiligheid als je geen idee hebt wat je aan het doen bent en je niet bewust bent van de risico?.

Linux "besmetting":

#1 pak een Windows idioot
#2 laat hem een unsigned en unhashed bestand downloaden van internet (doen alle Windows gebruikers standaard immers)
#3 laat deze MSCE-er het useraccount CBCA gebruiken voor installatie van de IRC daemon

voila.. je hebt een besmette linux machine. wat kan er gebeuren? wat kan een simpele CBCA gebruiker doen op een machine? is maar 1 bestand waar schrijfrechten op zijn en executable maken kan de gebruiker ook niet. Aan een trojan heb je vrij weinig in een beperkte userspace.
Misschien is dat de reden waarom het een storm in een waterdruppel in een glas is?

Waarom de Windows monopolie niet voorbij is? Omdat gebruikers op Windows simpelweg niet opgevoed kunnen worden (die mensen die wel opgevoed konden worden gebruiken al Linux of Apple) en de programmeurs administrator rechten vereisen voor de meeste sappele software.

Anyway, wie haalt het in zijn hoofd op iets te downloaden van INTERNET zonder dat zulks stukje software gesigned is?
Bovendien, IRC ??? Als er iets vergeleken kan worden met een dierentuin zonder kooien is het IRC wel.

ASL

Die 50 downloads zijn het probleem niet. Het feit dat al die tijd dit niet werd gezien, en dat dit best in veel andere apps kan zitten zonder dat het gezien wordt... dat is het probleem.


Zoals gezegd: het probleem is dat schijnbaar backdoors lang ongezien kunnen draaien omdat beheerders en developers hun code ongezien vertrouwen (WANT het is Linux DUS het is veilig).

Het probleem toespitsen op een app die op 50 systemen draait is flauw, want de discussie is nu juist dat het iedereen kan overkomen.

Of het op Windows eerder gevonden zou zijn? Ik denk het wel, aangezien de meeste beheerders toch wel zo snugger (of wantrouwend) zijn om een virusscanner te draaien, die dit eigenaardige gedrag opgemerkt zou kunnen hebben...

Ze "weten" het niet? Je bedoelt: Ze "geloven" het niet, want dat doen reli's :-)

Geen idee maar dezelfde opmerking wordt ook gebruikt bij de zoveelste Acrobat Reader bug op Windows.

Daar heb je opzich gelijk in. Probleem is echter dat "men" nogal eens afgeeft op Windows omdat daar alles op SYSTEM zou draaien (wat al jaren niet meer het geval is). Een ander probleem is dat het met het scheiden van rechten/accounts/applicaties best tegenvalt. Je wilt eigenlijk niet weten wat een "nobody" account op linux eigenlijk kan doen. Veel *nix beheerders vergeten dat nogal eens.

Nee, want dan heet het gewoon onwetendheid (of onkunde). Een vals gevoel van veiligheid krijg je als je luistert naar papegaaien die roepen dat het allemaal zo veilig is dat je geen bescherming nodig hebt.

Het gaat niet om IRC, het gaat om een daemon die op het systeem draait.

En die opmerkingen over signed = goed zijn waarschijnlijk niet de beste die je ooit gemaakt hebt, me dunkt. Maar het is maandag, en dan mag je wel eens wat vergeten :-)

http://xforce.iss.net/xforce/xfdb/44747

The OpenSSH package installed on Red Hat Enterprise Linux (RHEL), signed in August 2008 using a legitimate Red Hat GPG key and available from unofficial distribution points, could contain an externally introduced backdoor. Once installed, these modifications could be used to launch further attacks against the affected system

Of bij de bron:

https://rhn.redhat.com/errata/RHSA-2008-0855.html

Ook leuk inderdaad. Maar ik denk dat er in het geval van unrealircd zelfs signed versies op officiele repository servers staan. Zoals je al zei, het feit dat zo'n stukje software signed is zegt helemaal niets. Voor zover mij bekend worden er namelijk geen audits gedaan op software voordat ze opgenomen worden in een repository. De software wordt gedownload (met backdoor), gecompileert, gepackaged, signed en beschikbaar gesteld. Zolang er niets mis gaat met die stappen zal er geen haan naar kraaien.

Yep. Bijna iedereen die een package maakt van binaries, al dan niet zelf van source gecompileerd, zal het package signen.
Voorpogesteld dat je de key van de signer kent en vertrouwt kun je maar 1 met 99.9% zekerheid zeggen:

"Het package is niet veranderd sinds ik de download heb gestart."

en dat alleen als je de key kent en vertrouwt! Dat is het grote nadeel van PGP: het gaat om wederzijds vertrouwen, terwijl je PKI/X.509 nog een centrale autoriteit hebt die door bijna iedereen wordt vertrouwd (grotere zekerheid).

Maar al dat signen zegt dus niks over bijvoorbeeld:
- de source code
- het systeem waarop de code is compiled
- het systeem waarop de package is signed

Er is al eens een backdoor geslopen in de Linux kernel, die al ontdekt werd *voordat* die naar de mainstream gedistribueerd werd: http://www.securityfocus.com/news/7388

Feit is dat een IRC daemon in feite niets te maken heeft met Linux op zich. Gezien dat Linux enkel de kernel is. En een IRC daemon is niet iets wat je standaard op je server draait. Dat dit soort dingen kunnen gebeuren is logisch. Ik denk dat je dit niet zo snel bij Apache webserver of Postfix SMTP server zal gebeuren.

Linux draait al heel veel jaren op servers. Op servers is Linux gewoon zeer populair, al jaren..

In dit geval moet je kijken naar wie het zegt. Kasperski labs, een antivirus bedrijf, die er belang bij heeft dat mensen antivirus als een cruciaal onderdeel van security zien... Het ligt er nogal duidelijk bovenop, zo beweerd hij in feite dat dit niet opgemerkt is omdat hun Kasperski software niet aanwezig was.

Kijk, dat hij een discussie wil beginnen over closed source vs. open source software qua security, met dit soort argumenten... a la... ga je gang. Maar het is wel jammer dat hij dit probeerd aan te grijpen om aan te tonen dat extra beveilgingssoftware de oplossing is. Ik kan veel betere redenen verzinnen dat Kasperski's producten een vals gevoel van veiligheid geven, dan dat Open Source dat doet.

Het is lariekoek dat mensen denken dat Linux niet meer wordt aangevallen omdat het minder populair zou zijn. Linux runt onder ontzettend veel Websites. Het zou *enorm* lucratief zijn als je al die websites kunt infecteren met je WIndows malware!

"Omdat "experts" zoals jij beweren dat het allemaal zoveel veiliger wordt als iedereen alleen maar download vanaf een repository server. Lachen als die code vanaf de bron al backdoored is. Nog harder lachen omdat al die repositories nu een backdoored applicatie verspreiden."

Op het moment dat blijkt dat de bestaande repositories en dergelijke onafdoende security kunnen garanderen, zal de Open Source community als eerste met een oplossing komen. Nogmaals: http://www.securityfocus.com/news/7388

Waar beweer ik dat ?
Ik beweer helemaal niet dat alle ~40.000.000 regels code binnen Linux veilig zijn, geen vouten bevatten of lekken kunnen veroorzaken. Ik beweer ook al niet dat je voor Linux geen patches hoeft te downloaden en installeren. Onzinnig geneuzel.

Verder heb je nix aan anti-virus software omdat die nauwelijks preventief werken. En waartegen en welke virussen jij je Ubuntu wilt beschermen is mij een raadsel. Zelf heb dat niet nodig met openSuSE + SELinux + ApArmor een firewall in mijn router en natuurlijk het OS.

Maarja, ik hoor nu al 10 jaar dat Linux aan de beurt is met malware... het gebeurt alleen niet of uiterst zelden. Zelf en alle andere Linuxgebruikers die ik ken hebben nog nooit iets van malware gezien op hun systeem

Het is geen linux server maar een opensource server die o.a. ook op windows draait.
Dat er een gehackte versie kon worden geinstalleerd is het resultaat van een
security hole in het onderliggende o.s. en dat was in dit geval weer een windows machine.

Onzin. Het is niet de open source zelf, en zelden zijn het de ontwikkelaars, die een vals gevoel van veiligheid geven. Nee, dat zijn de simpele, vaak Microsoft-bashende gebruikers van het slag "de mijne is langer", die, nauwelijks gehinderd door enige kennis ter zake maar wel "het licht hebben gezien" en masse roepen dat men (met name nog simpeler zielen) naar Linux en/of open source apps moet overstappen omdat deze inherent zo veilig zouden zijn. Please STFU.

Wel is het zo dat, hoewel open source in potentie veel eenvoudiger op kwetsbaarheden kan worden onderzocht, dat in de praktijk niet gebeurt. Er bestaat geen "globaal plan" voor waarbij dat structureel door vrijwilligers of betaalde beveiligingsonderzoekers wordt gedaan. Maar zo'n plan bestaat ook zelden bij commercieele softwareontwikkelaars zelf (alleen zij beschikken over de sourcecode, zie bijv. mijn reactie op Adobe hier: http://www.security.nl/artikel/33590/1/Adobe%3A_Wij_zijn_veiliger_dan_concurrentie.html waarin Adobe presteert te zeggen dat zij veel harder naar securityproblemen zoeken dan hun concurrenten). Microsoft vormt ondertussen een uitzondering op dit punt, maar heeft nog een enorme achterstand door de grote hoeveelheid hergebruikte oude meuk nog lang niet is ingelopen. Bovendien presteren ze het om, ondanks alle genomen maatregelen, ook in nieuwe code (IPv6 bijv) kwetsbaarheden te introduceren.

Ja, net zoals deze zeker (not): http://www.security.nl/artikel/33595/1/SoftPerfect_Netscan%3A_Trojan_of_false_positive%3F.html. Onzin dus. De kans dat malversaties in niche-software (zoals network-scanners en ICR servers), die weinig of geen "lawaai" maken, door AV-boeren worden ontdekt is minimaal tot nul. Destijds duurde het ook lange tijd voordat het "Delphi Virus" (Win32.Induc) werd ontdekt - doodeenvoudig omdat het, buiten verspreiden, niks kwaadaardigs deed. Dat het onder zoveel softwareontwikkelaars kon verspreiden geeft wel aan hoe de gemiddelde Delphi developer (geldt ongetwijfeld ook voor andere programmeertalen) werkt, nl. als Administrator, en zonder "tripwire"-achtige checks op z'n ontwikkelomgeving, terwijl dat heel simpel kan, bijv. met een gratis tooltje als FCIV.exe, bij voorkeur te draaien geboot vanaf een ander OS om rootkit "bemiddeling" uit te sluiten). Maar ik vrees dat de meeste open source ontwikkelaars net zo "veilig" werken. Een pot nat dus.

Als Kaspersky en conculega's hun IDS systemen goed voor elkaar hebben, en gebruikers installeren deze, dan zal gemanipuleerde software door de mand vallen zodra deze iets anders doen dan waar ze voor gemaakt is. Daarnaast zouden ze de handschoen kunnen oppakken, en telkens als er een nieuwe versie verschijnt, deze diffen met de oude, en dat analyseren (daarbij gaat het zelden om duizenden regels), en vervolgens dergelijke apps whitelisten - waarschijnlijk een betere business case dan met het huidige en ruim versleten blacklistmodel blijven tobben (gratis tip van Bitwiper ;)

Nee, en veel belangrijker, "Het package is niet veranderd sinds de ondertekenaar het heeft ondertekend."

Virus malware backdoor hackers aanvallen etc.
Het duizelt mij een beetje.
Omdat er een programma is die een backdoor gebruikt om zijn klanten te misbruiken is linux in eens onveilig? Dat snap ik niet. Er is een bedrijfje die bewust een kwaad aardig programma heeft geschreven. Mensen hadden vertrouwen in dit bedrijfje en gebruikten dit programma. Maar dit vertrouwen bleek onterecht. En dat komt door ......... het bedrijfje? Nee fout LINUX en OSS. En pas maar op want er zitten nu ook bakken met virussen in LINUX
n dit gval gaat het volgens mij helemaal niet of het OSS of CSS is. Maar eerder over de betrouwbaarheid van de aanbieder.

Alsof een virusscanner een backdoor in een server vind...pfffff.

Hear, hear !

Ik kende de securitypolicy bij enkele grote bedrijven in dezen; ook de ontwikkelingen gaan snel.
Misschien interessant?

Zie WIKIpedia: Linux malware
The Linux operating system, Unix and other Unix-like computer operating systems are generally regarded as well-protected, though not immune from computer viruses. Linux does provide better protection compared to Microsoft Windows.
There has not yet been a widespread Linux malware threat of the type that Microsoft Windows software faces; this is commonly attributed to the malware's lack of root access and fast updates to most Linux vulnerabilities.
The number of malicious programs—including viruses, Trojans, and other threats—specifically written for Linux has been on the increase in recent years and more than doubled during 2005 from 422 to 863

Anti-virus applications
HeronThere are a number of anti-virus applications available for Linux, most of which are designed for servers, including:
Avast! (freeware and commercial versions)
AVG (freeware and commercial versions)(freeware does not remove nor clean, just detects)
Avira (freeware and commercial)
Bitdefender (freeware and commercial versions)
ClamAV (free open source software)
Dr.Web (commercial versions) [9]
Eset (commercial versions)[10][11][12]
F-Secure Linux (commercial)
Kaspersky Linux Security (commercial)[13]
Linux Malware Detect (free open source software)
McAfee VirusScan Enterprise for Linux (commercial)[14]
Panda Security for Linux (commercial version)[15]
Sophos (commercial)
Symantec AntiVirus for Linux (commercial)[16]
Trend Micro ServerProtect for Linux (commercial)

Tuxradar: http://www.tuxradar.com/content/get-best-virus-scanner-linux
Pretty much every Linux user thinks they're immune to viruses, but they're wrong.
Just recently, malware was found hidden inside an innocuous-looking Gnome theme from a reputable site.
Users who installed the theme also got several scripts installed as root that were designed to attack internet targets, but it could easily have been much worse.
Get the best virus scanner for Linux: AVG, Avira,BitDefender,ClamAV, Sophos, ClamTK, AVAST

Zie verder:
Category: System / Anti-Virus http://www.linux.org/apps/all/System/Anti-Virus.html
AVG lanceert gratis virusscanner voor Linux http://free.avg.com/gb-en/download.prd-afl
F-PROT Antivirus for Linux x86 / BSD x86 http://www.f-prot.com/products/corporate_users/unix/

@SirDice: Daar gaan we weer.
Lachen jôh, dat UnrealIRCd niet in de repositories van Ubuntu, openSUSE, Fedora en Mandriva zit. Dan heb je de grootste 4 wel gehad, dus zo erg is het probleem dan ook weer niet.
Sowieso, als je iets beter je huiswerk had gedaan, had je kunnen weten dat er in de repositories alleen maar signed programma's zitten. Tuurlijk, als UnrealIRCd signed was geweest en bijv. Ubuntu had hem opgenomen in de repo's, dan hadden we inderdaad een probleem gehad. Daar heb je gelijk in. Maar in dit geval was dat dus niet het geval.

Windows geeft oprecht gevoel van onveiligheid.

Het was ooit echte bagger.
Nu is het iets betere bagger.
Overmorgen.............

Heeft iemand uberhaupt eens verder gekeken naar hoe het probleem ontstaat? Aan de reacties te zien niet. Daarom:

"This backdoor allows a person to execute any command with the privileges of THE USER RUNNING the ircd."

m.a.w. als die user running icrd geen privileges heeft, dan heeft de person die allerlei dingen wilt uitvoeren dus ook niet. Als je de server deamon installeert op de normale manier en controleerd is er niets aan de hand. Men draait apached toch ook niet als root?

Dan nog het hele verhaal over unsigned packages.

Dus twee dingen die moeten omvallen wil deze crack lukken.

Daarnaast heeft het verhaal natuurlijk geen bal met linux te maken. Aangezien linux nog steeds een kernel is en dit verhaal gaat over een of ander irrelevant userland servertje. Dat is dus niet iets wat met de kernel te maken heeft en dus ook niet met linux.

Wat een storm in een glas water.

"De combinatie van het valse gevoel van veiligheid met de security by obscurity factor dat Linux slechts twee procent van de markt bezit"

2% van de markt?
*bek valt open*

ongeveer 60-70% van servers draait linux of een unix variant, en dat is al sinds internet bestaat.
waar haalt deze jodokus kwak dit getal vandaan?

ik weet het wel, deze joker verwisselt maar even voor het gemak de cijfers van de desktop en server markt om een punt te kunnen maken.

netcraft doet graag surveys en hier een overzichtje waar je ziet dat 1 jan 2009 er twee keer zoveel unix/linux servers in datacenters stonden dan windows servers en dit is nog afgezien van alle dikke routers en switches die bij een datacenter horen:
http://news.netcraft.com/wp-content/uploads/2010/05/cc-hostway-trend.png

pas sinds de laatste jaren is het juist microsoft die een inhaal slag aan het maken is op security gebied, unix/linux loopt hier al lichtjaren op vooruit, unix is praktisch geboren met een netwerkkaart en bij windows hebben ze alles er achteraf nog eens in moeten bouwen waardoor ze zelfs nog anno 2010 met een rotte codebase zitten.
ook niet zo vreemd dat MS hun code angstvallig geheim houdt want als ze dat ooit open zouden gooien zouden er in 1 dag meer 0-day exploits worden gevonden dan ik nog haar op mijn hoofd heb.

worden dit soort mensen betaald door microsoft om met dit soort mis-informatie naar buiten te komen of wat?

Ik heb het hier al vaker geroepen, en er zelfs een weddenschap aan verbonden.

Ik web dat namelijk hier niemand een PCLinuxOS kan binnendringen van bijv. 2005 of 2006
ZONDER deze te updaten. Daartegen zet ik ook een XP of Home op ( ook 2006 ), en eens kijken welke het
eerst remote kan worden binnen gedrongen, of word besmet. Iedereen weet dat een Home of XP
machine MOET worden ge-update, om niet besmet te worden met Blaster, Sasser of andere.
Of dat er beveiligingssoftware moet draaien om het O.S. secure te houden.

Dus hou eindelijk eens op dat Linux niet veilig is.

BLIJF JE VAN MENING VAN WEL, DAN GA MET MIJ DE TEST AAN !!!!!!!!!!!!!!!!!!!!
meten = weten

De echte security experts hier weten het antwoord toch al :-)

Root is niet nodig. Vergeet niet dat ook dat "nobody" account een poort kan openen. Vergeet ook niet dat dat "nobody" account connecties kan maken naar poort 25, 80, 443, 6667 (en alles wat je verder nog kan bedenken). Bedenk ook dat je processen op dat account kan draaien. Je hebt niet veel fantasie nodig om te bedenken dat je met de mogelijkheden die er wel zijn een prima bot kunt draaien.


?

Gedeeltelijk mee eens. Diezelfde code draait ook op FreeBSD of Solaris en de backdoor zou ook daarop kunnen werken (afhankelijk hoe men de backdoor heeft gemaakt). Wat mij echter opvalt is dat zo goed als alle FOSS software tegenwoordig wordt aangeduidt als "linux software". Veel open source wordt in eerste instantie gemaakt om op Linux te draaien. Dat het ook op andere unici draait lijkt het label "linux software" niet te deren. Waarschijnlijk gaat dat label dezelfde kant uit als "hacker", het wordt te pas en te onpas voor zaken gebruikt die er eigenlijk niets mee te maken hebben.

Neemt niet weg dat je ook op linux op je tellen moet passen.

Knap, SELinux en AppArmor. Misschien kun je een keer uitleggen hoe je ze beiden tegelijk kunt gebruiken?

Ik heb inderdaad niet gekeken of unrealircd in een repository staat. Gezien het feit dat er honderden distro's zijn weerhoudt mij om ze 'even' allemaal te controleren. Maar nogmaals, het feit dat iets signed is zegt helemaal niets. Applicaties worden NIET geaudit alvorens er een package van gebakken wordt en het in een repository terecht komt.

lol.. zie hier veel gevallen van Stockholm syndroom.
dacht dat dat alleen bij apple fans voorkwam.

Echte security experts doen niet aan religie, maar een wedje op z'n tijd... :-)

@SirDice: Ik heb ook niet in alle distro's gekeken, maar in de 4 door mij genoemde. En dat zijn toch wel de grootste spelers op de Linux-markt. Dus in ieder geval zal het maar een heeeeel klein percentage zijn dat erdoor besmet is als het al in een repo van een kleinere speler terecht is gekomen.
En over die signed packages: ik zei al, als het gesigned was, dan was het misschien wel in de repo's opgenomen van de grote spelers. Die nemen alleen maar signed packages op. En die worden inderdaad niet uitgeplozen, dus daar heb je wel gelijk in, dan zou er inderdaad een probleem zijn geweest.
Maar voor nu is het geen probleem, behalve dan die 0,1% die wél de besmette versie heeft. Maar 0,1% mensen op 2% marktaandeel is niks.

Uit dit artikel blijkt maar weer eens dat Linux onveiliger is dan Windows.

Ja, en het antwoord zal je niet bevallen. Blaster en Sasser zijn pre-2006, dus gepatcht. 10 jaar geleden draaide ik nog Windows NT 4 zonder open poorten, zonder firewall!. Haha, probeer die maar eens te besmetten met een netwerkworm.

+1, puur omdat ie zo droog is :-)

Nee, da's niet waar. Alle grote distro-boeren signen hun packages, maar de ingepakte binaries hebben ze of ergens opgehaald of zelf gecompileerd. De kans dat de originele code of de binary gesigned is, is ontzaglijk klein.

Kijk maar eens naar de signatures van de RH packages, signed by.. RedHat. Of SuSE: signed by SuSE.

Jazeker! Een beetje scanner vangt op dat een proces een daemon danwel service start, en daar een poort bij opent. Als dat proces matcht met een bekende signature, bepaalde heuristcs of bepaalde poorten dan grijpt de scanner in.

da's waar. Nou maar hopen dat je de ondertekenaar kunt vertrouwen. En niet dat iemand een key heeft gegenereerd met een mailadres en ID van, zeg bijvoorbeeld, Red Hat.

EDIT: Ik heb hierboven de url https://rhn.redhat.com/errata/RHSA-2008-0855.html gepost om aan te geven dat signing niets anders bewijst dan dat het package niet is veranderd in transit. Het backdoored OpenSSH (!) package van RH was signed met de echte RH key. Dat betekent

- ofwel dat het een inside job was (waarmee je vertrouwen in RH meteen om zeep is)
- ofwel dat iemand de passphrase van RH had geraden (onwaarschijnlijk)
-ofwel dat iemand een mazzel met een collision attack had

Security is denk ik voor 90 procent vertrouwen, voor 10 procent techneutische problematiek zoals deze backdoor. Signing zou dat moeten verbeteren, maar helaas.

Dan begrijp je toch duidelijk het proces niet. Het ondertekenen gebeurd pas nadat de code gedownload en gecompileerd is door de desbetreffende distro beheerders. Ergo, de code wordt met backdoor en al ondertekend. Waarna mensen zoals jij er dus abusievelijk vanuit gaan dat het veilig is omdat het ondertekend en wel vanaf de centrale repo te downloaden is.

Het ondertekenen heeft alleen maar als doel om de integriteit van het package te garanderen vanaf het moment dat het gemaakt wordt tot het moment dat je het installeert. Het garandeert helemaal niets wat daarvoor gebeurd en of de code zelf wel veilig is.

Duidelijk een poging tot het misbruiken van een gebeurtenis om linux in een onterecht slecht dag licht te zetten.
Over het algemeen blijft open source een degenlijk terecht gevoel van "veiligerheid" geven. Zo een lek zou tenslotte wel 4 jaar in een closed source omgeving kunnen zitten en no one would ever ever know.

Desondanks is er nog steeds een wat vast geroeste schadelijke mentaliteit onder sommige linux mensen.

zoals er te vaak onterecht van uit gaan dat men bepaalde dingen aan het verstand van de gebruiker over kan laten. zeker in een wereld met ubuntu beginners is dat een achterhaalde rtfm egotripper houding .

Zoals mensen vertellen dat je geen antivirus nodig hebt . terwijl het altijd wel zo aardig is met clamav ofzo wat bestanden te kunnen scannen al is het maar voor als je ooit eens iets aan een windows gebruiker geeft.

Zoals het ontbreken van een firewall die ook outbound de gebruiker vervelende vraagjes stelt . ook mensen die niet helemaal weten wat ze doen gaan toch soms dingen downloaden en zelf installeren en met het toenemende aantal gebruikers zullen ook risico's mee komen.

plek voor verbetering maar open source geeft wel degelijk een redelijk terecht gevoel van "clean" en "goed"
maar men moet niets for granted gaan nemen .

groet

Nee nee nee en nog eens nee.


En dat is nou de spijker op z'n kop en de strekking van het verhaal van Ed Bott.