Comments 55
Статья расписана как "Крах империи OpenSource", а повествует об обычной халатности.
+6
Сейчас будут еще полгода обсуждать, какая убунта плохая и дырявая.. как когда-то это было с дебианом :)
+8
Так взломали и взломали, сайт Microsoft ломают почаще.
+2
Просто теперь это будут использовать во вред ubuntu и линуксе в целом. Microsoft тот же в каких-нибудь Get The Facts может написать, что ваши линуксы чаще ломают.. И большей части людей, которые это прочитают не будет донесено того, что взлом произошел из того, что у кого-то увели пароли..
0
Ненависть ведёт на тёмную сторону
+3
>сайт Microsoft ломают почаще.
Кстати, когда и сколько раз его ломали? Что-то не нашёл на хабре публикаций...
Кстати, когда и сколько раз его ломали? Что-то не нашёл на хабре публикаций...
0
А когда он на пинги перестал отвечать не помните? ;)
0
Не помню. Когда?
0
Ну его же не взломали. Он даже не упал вроде.
0
Вопервых, Microsoft.com пингуется, если этого очень захотеть.
Поробуйте nslookup microsoft.com, после этого попингуйте ip адреса серверов которые выдаст. Думаю один из них будет пинговатся.
Во-вторых не пингуется не только Microsoft. Попробуйте пропинговать redhat.com. Думаю результат будет такой же. :)))
Перестали пинговатся web сервера крупных компаний еще в незапямятные времена после очередной маштабной DoS атаки связанной с уязвимостью в ICMP, и это связано не с конкретной ОС, а с самим протоколом ICMP.
Поробуйте nslookup microsoft.com, после этого попингуйте ip адреса серверов которые выдаст. Думаю один из них будет пинговатся.
Во-вторых не пингуется не только Microsoft. Попробуйте пропинговать redhat.com. Думаю результат будет такой же. :)))
Перестали пинговатся web сервера крупных компаний еще в незапямятные времена после очередной маштабной DoS атаки связанной с уязвимостью в ICMP, и это связано не с конкретной ОС, а с самим протоколом ICMP.
0
достоверно известно что ломали французское представительство, а так же что поломали несколько их серверов удаленных терминалов(RDP)(информации об этом вы не найдете - это вывод из их отчета об фвухфакторной системы аутентификации)
0
Если хорошо повспоминать, то можно вспомнить, что изначально Ububntu позиционировался как ветка Debian'а не отличающаяся безопасностью, но зато со свежим софтом.
0
Дело не в дырявости. Дело в том, что самые-самые активисты Ubuntu за почти 2 года не смогли обновить свою любимую систему на своих же серверах. Не забыли, как это зачастую бывает, а именно не смогли.
+2
кстати при чем тут веб-технологии?
уместнее бы в блог "информационная безопасность"
уместнее бы в блог "информационная безопасность"
0
Извините конечно, но при чем сдесь SSL? С каких это пор "чистый FTP (без SSL)" является причиной взлома сервера? Единственная причина взлома при отсутствии SSL на FTP, которая приходит в голову - это прослушивание трафика на предмет передачи паролей в открытом виде. Но как по мне, в данном случае это маловероятно, поскольку уже давно везде используются свичи, а получается подслушать эти пароли можно только на маршрутизаторах и на конечных точках (сервер, клиент).
0
Ну получить пароль можно поставив обычный снифер к тому, кто его использует (например заразив пк вирусом)
0
Можно заразить комп каким-то клавиатурным шпионом и тогда SSL не поможет :) Или например если пользователь сохраняет пароли в WinCMD, то файл с паролями ftp легко взламывается.
При всех этих случаях, извините, сервер не причем (ИМХО). :-)
При всех этих случаях, извините, сервер не причем (ИМХО). :-)
+2
При всех этих случаях, извините, сервер не причем (ИМХО). :-)
Согласен
Согласен
0
То есть, надо полагать, что у многих администраторов ubuntulinux.org стоит wincmd?
0
А кто входит на сервера Ubuntu через FTP не анонимно?
0
В общем, как я понимаю, нет почти ничего общего между взломом 5 серверов Ubuntu и её текущей защищенностью.
0
против растыздяйства никакой даже самый умный софт не поможет.
0
Ничего страшного.
Взломали, починят и будут сервера еще более защищенней.
У Gentoo тоже взломали сервера и ничего, Gentoo от этого дырявей не стала.
Взломали, починят и будут сервера еще более защищенней.
У Gentoo тоже взломали сервера и ничего, Gentoo от этого дырявей не стала.
0
Можно ли эксплуатировать ядреную уязвимость через FTP ?
Думаю, что очень трудно, к такому нужно готовиться !
Вопросов больше, чем ответов.
Все равно обидно за админов.
Думаю, что очень трудно, к такому нужно готовиться !
Вопросов больше, чем ответов.
Все равно обидно за админов.
0
Название громкое, статья по сути ниочем. "На серверах не были установлены последние патчи безопасности" это причина наверное 90% всех проникновений в систему и фтп тут может быть только косвенно стать причиной, имхо
0
Интересно: кому выгодны такие плевки в сторону некоторых дистрибутивов и опенсорса в целом? Из всех известных мне громких взломов ни в одном не было вины разработчиков.
0
Плевков? Мне не кажется что это плевок. Напротив, это может самое лучшее, что могло случиться с Линукс сообществом. Читай комментарий Fduch'а сверху. Убунту-админы открыли истину Линукс не поддерживает половину железа на рынке. Может теперь что-то и придпримут.
-3
Не поддерживают потому что создатели железа не дают спецификаций (о дровах я вообще молчу — Linux Fondation даже сказал, что напишет бесплатно дрова сама).
+1
Да какая разница почему. Не поддерживает и всё тут.
-3
Вот только не надо говорить, что зато Windows все их поддерживает. Не дальше, чем сегодня знакомые мне пожаловались, что не могут подключить новый mp3-плеер к своему компьютеру с Windows XP SP2 (компьютер тоже почти новый). Ну я пришёл, посмотрел. Выяснилось, что диск, идущий в комплекте с плеером, драйверов не содержит, только всякие бесполезные конвертаторы музыки, изображений и видео. Windows плеер как USB Mass Storage не опознаёт (хотя это заявлено в документации). Порылся на сайте производителя гордая надпись "драйвер не нужен!". Взял я плеер к себе домой, подключил к своему Linux не опознаёт. После гугления и чтения форумов, с какого-то левого сайта скачал непонятно какие драйверы, которые позволили увидеть плеер хотя бы в Windows Media Player. В результате, я посоветовал им сдать этот плеер и купить другой, другого производителя.
+2
А никто не думал, почему производители железа не дают спецификаций?
+1
Во-первых, иногда дорогая и дешёвая линейка устройств отличаются только драйверами. Например, был случай, когда профессиональные и обычные карты Nvidia выполнялись на одной и той же микросхеме и проф. функции отключались программно (микросхемы стоят дешёво и выгодно производить всё сразу).
Во-вторых, имея спецификацию конкурентам проще будет создавать аналоги (кстати, разработчик от Linux Fondation может подписать и договор о неразглашении, правда дрова всё равно будут open source).
Во-вторых, имея спецификацию конкурентам проще будет создавать аналоги (кстати, разработчик от Linux Fondation может подписать и договор о неразглашении, правда дрова всё равно будут open source).
0
Вот именно. Т.е. в конце-концов получается, что во всем виноват GPL под которым лицензированно ядро. :(
0
GPL тут не причём :). Мы же обсуждаем, почему они не дают спецификаций, а не почему они не пишут проприетарные драйвера.
Да и на проприетарные драйвера в GPL'ом ядре Linux сейчас закрывают глаза.
Да и на проприетарные драйвера в GPL'ом ядре Linux сейчас закрывают глаза.
0
Почему спецификации не дают это понятно. Bad for business. А причина тому необходимость публикации исходников дров под GPL.
0
Кстати, продолжая тему GPL'ных дров (которые по спецификация пишет Linux Fondation) — раз они GPL'ные, то часто используют общие компоненты, что должно положительно сказаться на качестве (80% сбоев Windows идёт от кривых драйверов).
0
В этом я с Вами полностью соглашусь. Хотя того же результата можно добиться и при изменении лицензии ядра на LGPL или даже на BSD (дикий хохот за кулисами).
0
Ядро Linux "из коробки" поддерживает больше железа чем винда "из коробки".
0
Ну и на что мне здалось "Ядро Linux из коробки"?
0
Это значит, что на Linux в большинстве случаев надо просто воткнуть устройство и начать работать — не надо ставить драйвера и так далее.
Правда, если устройство не заработало сразу, то проблемы начинаются жёсткие :).
Правда, если устройство не заработало сразу, то проблемы начинаются жёсткие :).
+1
Ну про "воткнуть и начать работать" это от дистрибутива зависит, всё-таки. :)
Про жёсткие проблемы соглашусь сам ощутил.
Про жёсткие проблемы соглашусь сам ощутил.
0
Ну после того, как поставил Linux на компьютер не надо же лезть за коробкой дисков из магазина, чтобы драйвера поставились. Если проблем (типа ATI или WiFi-карты ;) ) нет, то обычно всё сразу работает.
0
Не думаю что в каком-либо дистрибутиве специально так криво соберут ядро, что оно будет поддерживать меньше девайсов чем ванильное. Скорей добавят патчей для поддержки дополнительных железок.
0
> а также был разрешён чистый FTP (без SSL).
> Именно через FTP злоумышленники проникли в систему.
короче все ясно - запустили где-то по дороге на роутере ettercap и отсниффили фтп пароли которые шли открыто, или еще банальней - кто-то из разработчиков заходил из винды на эти фтп - а в винде пароли троянами вмиг расходятся по инету..
> Именно через FTP злоумышленники проникли в систему.
короче все ясно - запустили где-то по дороге на роутере ettercap и отсниффили фтп пароли которые шли открыто, или еще банальней - кто-то из разработчиков заходил из винды на эти фтп - а в винде пароли троянами вмиг расходятся по инету..
0
Sign up to leave a comment.
Серверы Ubuntu взломаны