Linux Mint Greece | Επίσημη Κοινότητα

ΕΛΛΗΝΙΚΗ ΚΟΙΝΟΤΗΤΑ LinuxMintGR => Νέα - Ειδήσεις - Ανακοινώσεις => Μήνυμα ξεκίνησε από: versys650gr στις Φεβρουάριος 21, 2016, 05:43:22 πμ

Τίτλος: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: versys650gr στις Φεβρουάριος 21, 2016, 05:43:22 πμ
Προσοχη οσοι κατεβασατε το Iso του Mint Cinnamon 17.3 στις 20 του μηνος,(χθες).
Ενδεχεται να ειναι μολυσμενο με κακοβουλο λογισμικο.
Σβηστε το και ξανακατεβαστε το ή καντε τον ελεγχο με το MD5 να δειτε αν σας βγαλει τις σωστες υπογραφες.
Αν το εχετε περασει σε δισκο ή φλασακι μπειτε σε live session και καντε ελεγχο αν υπαρχει ενα αρχειο στην διαδρομη /var/lib/man.cy που σημαινει οτι ειναι μολυσμενο.
Αν εχει γινει εγκατασταση με μολυσμενο Iso,καντε ξανα φορματ κατεβαζοντας αλλο καθαρο Iso μιας και το προβλημα αποκατασταθηκε στην κεντρικη σελιδα του Mint.
Και αν προλαβατε να περιηγειθειτε στο διαδικτυο αλλαξτε για σιγουρια κωδικους σε ευαισθητους λογαριασμους σας.
(πχ email κτλ)
Για παραπανω πληροφοριες στην παρακατω ανακοινωση απο το επισημο blog του Linux Mint.

http://blog.linuxmint.com/?p=2994
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: oiniades.gr στις Φεβρουάριος 21, 2016, 11:36:53 πμ
τι ακριβωσ ψαχνω στην διαδρομη αυτη;;στην διαδρομη που λετε το μονο man που βλεπω ειναι το man -db το οπιο εχει αρχειο auto-urdate μεσα το οπιο ειναι αδειο
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: NikTh στις Φεβρουάριος 21, 2016, 12:10:08 μμ
Έκανα το ίδιο ποστ και στο FB και το διέγραψα, εδώ μέσα ταιριάζει καλύτερα νομίζω ως τόπος συζήτησης (δεν το πολυ-συμπαθώ το FB ούτως ή άλλως).

Σε συνέχεια του ποστ περί hacking στη σελίδα του LinuxMint και των ISO. Δεν είναι αυτό το τραγικό της υπόθεσης κατά τη γνώμη μου, το τραγικό είναι αυτό (http://news.ycombinator.com/item?id=11143162)
Κώδικας: [Επιλογή]
$dbuser = 'lms14';
$dbpasswd = 'upMint';
Έλεος! Πως περιμένει κάποιος μετά να βάλει ο απλός ο χρήστης ισχυρό κωδικό ;

Δείτε επίσης ένα ωραίο στο Twitter (http://twitter.com/0xUID/status/701301535842684928/photo/1), αν και ακριβό μου φαίνεται, αλλά αυτοί που το πουλάνε κάτι θα ξέρουν (εκτός και αν τρολλάρουν).

Επίσης να πούμε ότι τα torrent ISOs δεν επηρεάστηκαν από αυτή την επίθεση. Άλλος ένας λόγος να επιστευόμαστε το p2p.

Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: talos στις Φεβρουάριος 21, 2016, 12:30:56 μμ
Στην πραγματικότητα όχι. Η προσβολή έγινε μέσα από το wordpress. Αν έχεις πρόσβαση στο wordpress ο κωδικός που έχει η βάση είναι αδιάφορος. Πολλές από τις καινούργιες βάσεις NoSQL δεν έχουν καν κωδικούς πρόσβασης.

Πρόβλημα υπάρχει αν μπορείς να αποκτήσεις πρόσβαση στην βάση από απομακρυσμένο υπολογιστή. Αλλά αυτό το κόβει το firewall και ένα port scan είναι το πρώτο πράγμα που τσεκάρεις πάντα.
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: talos στις Φεβρουάριος 21, 2016, 02:21:23 μμ
Πρόβλημα υπάρχει μόνον για όσους κατέβασαν την έκδοση Cinnamon στις 20 του Φλεβάρη και έχουν το συγκεκριμένο αρχείο.
Οι χρήστες αυτοί θα πρέπει να κάνουν επανεγκατάσταση άμεσα και να αλλάξουν τους κωδικούς πρόσβασης σε email κοινωνικά δίκτυα κλπ
Σε κάθε άλλη περίπτωση δεν υπάρχει κανένα πρόβλημα.

Το λογισμικό του linuxmint.com παραβιάστηκε και το download έδειχνε σε ένα server στην Βουλγαρία. Το πρόβλημα ευτυχώς εντοπίστηκε άμεσα και πριν προλάβουν να πειράξουν άλλες εκδόσεις της διανομής. 
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: NikTh στις Φεβρουάριος 22, 2016, 09:45:57 μμ
Και πάλι τέτοιου είδους κωδικούς τους θεωρώ το λιγότερο χαζούς. Καλύτερα άστο κενό. Κάτι τέτοιο είχε πάθει (αν θυμάμαι καλά) και ο Linus στο Git, όπου είχε βάλει για κωδικό το ... tux ; ή κάτι τέτοιο γελοίο.

Για να κάνουμε και μια κουβέντα, η οποία έχει ήδη ξεκινήσει βέβαια από διάφορους στο Web, ποιο νομίζετε ότι είναι το κίνητρο; προσωπικές γνώμες βέβαια λέμε χωρίς αποδείξεις, και καλό θα είναι και χωρίς ονόματα (ανθρώπων).

Διαβάζω για Microsoft, Google, μέχρι και Canonical, λόγω της δημοφιλίας που έχει αποκτήσει το Mint.

Μήπως άλλο ένα χτύπημα στον ανοιχτό κώδικα γενικότερα; και καλά, "μπάζει από παντού" , οπότε γυρίστε πίσω σε αυτό που ξέρουμε;

ή έτσι για να το παίξουμε hackerαδες, αφού βρήκαμε την αδυναμία, ας του δώσουμε να καταλάβει.

Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: talos στις Φεβρουάριος 22, 2016, 10:01:20 μμ
Παράθεση
ή έτσι για να το παίξουμε hackerαδες, αφού βρήκαμε την αδυναμία, ας του δώσουμε να καταλάβει.

Το πανηγύρι ξεκίνησε ήδη πάντως. Για παράδειγμα εδώ https://lwn.net/Articles/676664/ έχει ένα άρθρο με τίτλο "Linux Mint downloads (briefly) compromised" και το κείμενο μέσα λέει για οτιδήποτε άλλο παρά για το το συνέβη.  Σε μερικά ξέρω πως ο NikTh θα συμφωνήσει με τον συγραφέα, τα έχουμε άλλωστε ξανασυζητήσει αυτά εδώ μέσα άλλωστε.

Αλλά είναι άστοχο και άκομψο να θέτεις τις διαφωνίες σου αυτή την στιγμή και με αυτό τον τίτλο. Παραβιάστηκε ένα website. Αυτό δεν έχει να κάνει με το αν το mint είναι ασφαλές ή όχι. Ούτε αν συμφωνείς με τον Clem ή όχι. Για κάποιο λόγο πάντως το mint είναι στην πρώτη θέση (για κάποιο ορισμό της πρώτης θέσης).

Προφανώς δεν είναι κανένας υπεράνω κριτικής, απλά αυτή θα πρέπει να γίνετε στο κατάλληλο χρόνο. Για παράδειγμα έχει πρόβλημα ο αρθρογράφος που στο επόμενο mint o κειμενογράφος θα ονομάζεται παντού xedit, μιας και δεν θα μπορεί κανείς να τρέξει το πρόγραμμα με το όνομα xedit. Σοβαρά; Δεν μπορείς να τρέξεις το xedit ρε φιλέ; Δουλεύεις το xedit και έχεις θέμα να το εγκαταστήσεις. Αυτό είναι μια τρολιά ανώτερου επιπέδου  :)

Για όσους δεν ξέρουν το xedit είναι ένα πρόγραμμα του 1989 και ένα απο τα πρώτα "γραφικά" προγράμματα για UNIX. Και επειδή μια εικόνα αξίζει όσο χίλιες λέξεις
(http://i63.tinypic.com/2myaeqw.png)
Να δω με το wayland πως θα το τρέξεις ...

Δεν έχει νόημα να ψάχνει κανείς ιστορίες συνωμοσίας. Το όρος Έβερεστ είναι εκεί και αυτό είναι αρκετό για να θέλουν κάποιο να τραβήξουν selfie στην κορυφή του. Ελπίζω πάντως να βγει κάτι καλό από αυτό.  Ο έλεγχος με το md5  και θα πρέπει να ελέγχουμε και τον ψηφιακά υπογεγραμμένο και κρυπτογραφημένο md5. Και αυτό δεν το κάνει κανένας και καμία διανομή εκτός από την tails (https://tails.boum.org/download/index.en.html#verify).  Το κρυπτογραφημένο md5 πάντως υπάρχει.

Υπάρχει από την διανομή tails μια επέκταση για τον Firefox  https://tails.boum.org/blueprint/bootstrapping/extension/ και μια πρόταση για ασφαλές κατέβασμα ενός αρχείου iso. Ίσως ήρθε η ώρα να υιοθετηθεί κάτι τέτοιο από όλες τις διανομές και να αρχίσουν και τα διάφορα προγράμματα τύπου unetbootin να κάνουν τέτοιους ελέγχους.

Όποιος είναι παλιός ξέρει ότι η συλλογική ευφυία των χρηστών επιλέγει μια διανομή σαν πρώτη και αυτή κρατάει αυτή την θέση για κάποια χρόνια. Το mint  κράτησε αυτή την θέση για πολύ καιρό. Άρχισα να αναρωτιέμαι, μιας και δεν βρίσκετε κάποιος νέος παίχτης, ότι θα κρατήσει αυτή την θέση για πολύ καιρό ακόμα. Για έναν απλό λόγο. Γιατί κανένας πλέον δεν νοιάζεται.   Το παιγνίδι έχει φύγει από το desktop και έχει πάει από την μια στα tablets και απο την άλλη στα containers. Οπότε δεν έχει καμία σημασία το ποια διανομή θα είναι πρώτη στο χώρο του Desktop. Τι λέτε;
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: Constantine στις Φεβρουάριος 22, 2016, 10:06:41 μμ
Aνοιγεις ενδιαφερουσα κουβεντα ΝikTh :)
Aν πχ ηταν απο πλευρας microsoft η google δν θ ηταν καλυτερο ν χτυπουσαν την Canonical αυτη ειναι ας πουμε ο κυριος ανταγωνιστης απο πλευρας Linux γτ εχει απο πισω μια εταιρια.
Μηπως ηταν κανα ubuntu fanboy απο πισω..γτ ετσι επειδη ειναι fanboy :P
H μηπως ακομα χειροτερα ειναι η Canonical που παει ν της φαει την "πελατεια" το Mint?
Νταξει τωρα απο εικασιες μπορουμε ν μιλαμε για μερες, αλλα κουβεντα ν γινετε :P
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: Salih στις Φεβρουάριος 23, 2016, 12:21:31 μμ
Όλα αυτά περί χτυπημάτων από διάφορες εταιρείες που κυκλοφορούν ... τα θεωρώ το λιγότερο ανόητα. Από τα λίγα που έχουν αναφερθεί αντιλαμβάνομαι ότι έγινε πατάτα στις ρυθμίσεις του Wordpress (παλιά έκδοση?) όπως έγινε και στο ubuntuforums (παλιά έκδοση)
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: versys650gr στις Φεβρουάριος 23, 2016, 12:39:42 μμ
Να ρωτησω ρε παιδια,
δεν ξερω αν ειναι χαζη ερωτηση αλλα την ειδα στο fb και την θεωρησα ευλογη απορια.
Εφ'οσον καταφερε να γινει "εισβολη" με παραποιημενο Iso,με οποιον τροπο κι αν εγινε,
μπορει να γινει και παραποιηση στο MD5?
Ετσι ωστε κανοντας ελεγχο να μας βγαζει σωστες υπογραφες χωρις να ειναι?
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: Salih στις Φεβρουάριος 23, 2016, 12:49:37 μμ
Θα είχαν δει ότι έχει γίνει αλλαγή και στο αρχείο MD5. Οπότε δεν το πείραξαν, μιας και δεν ήθελαν να τραβήξουν την προσοχή. Θεώρησαν οτι "κανένας" δεν κάνει MD5checksum στο ISO που κατεβάζει
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: talos στις Φεβρουάριος 23, 2016, 12:51:35 μμ
Αυτό που έγινε, για να το πούμε απλά, είναι ότι κάποιοι μπόρεσαν να αλλάξουν τα κείμενα του site αποκτώντας δικαιώματα διαχειριστή στο wordpress. Έτσι απέκτησαν και ένα αντίγραφό ασφαλείας της βάσης.

Σαν διαχειριστές λοιπόν άλλαξαν ένα Link ώστε να δείχνει σε ένα παραβιασμένο υπολογιστή στην Βουλγαρία. Αν μπορείς να το κάνεις αυτό μπορείς να αλλάξεις και το md5 μιας και είναι απλό κείμενο. Δεν ξέρω αν το έκαναν.

Η λύση είναι να έχεις το md5 σε μια κρυπτογραφημένη μορφή, ώστε να μην μπορεί κάποιος να το αλλάξει χωρίς το προσωπικό κλειδί σου. Και κρυπτογραφημένα md5 υπήρχαν, αν και σχεδόν κανένας δεν έμπαινε στον κόπο να τα ψάξει, και δεν ήταν σε κάποιο εμφανές μέρος, και να τα τσεκάρει.
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: versys650gr στις Φεβρουάριος 23, 2016, 12:55:46 μμ
Οκ,
ευχαριστω για τις απαντησεις  ;)
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: Asterion στις Φεβρουάριος 23, 2016, 01:14:23 μμ
Σαν διαχειριστές λοιπόν άλλαξαν ένα Link ώστε να δείχνει σε ένα παραβιασμένο υπολογιστή στην Βουλγαρία. Αν μπορείς να το κάνεις αυτό μπορείς να αλλάξεις και το md5 μιας και είναι απλό κείμενο. Δεν ξέρω αν το έκαναν.

Δεν πρόλαβαν να το κάνουν ή δεν είχαν τέτοια πρόθεση.

Τα παρακάτω σχόλια του Clem δίνουν μια σαφέστερη εικόνα της επίθεσης από τα έως τώρα δεδομένα.

Κώδικας: [Επιλογή]
The fake ISO in Sofia, the OS backdoor in Sofia also, the guy accessing our server via the second backdoor from Russia,
but when you look at a hole and see somebody looking at you, you need to figure out who knows more than the other,
and if we’re reacting to their actions it was pretty clear we had to take everything down.
The hacker from Russia (could be a VPN of course) even DDOSed my personal IP to prevent me from taking the site down.
He also took down part of his set up since

Κώδικας: [Επιλογή]
We found an uploaded php backdoor in the theme directory of a wordpress installation, which was 1 day old and had no plugins running.
The theme was new but most importantly I think we had lax file permissions on this.
This was only set up hours before the attack but we were probably scanned for something like this for a while.
Anyhow, we don’t know yet how it was uploaded but we know it happened there, and I’m certainly not pointing the finger at anybody.
People just asked if we were running wordpress or if wordpress was used in the attack and I answered yes.

Κώδικας: [Επιλογή]
We’ve a bit more information about it now and we think it’s a single individual with no funding behind the attack.
We’ll pass the relay to a security firm now.]

Κώδικας: [Επιλογή]
We’re still looking into that backdoor. We’ve got the code for it, we know what it does, we think it portrays itself as being apt-cache and we don’t know everything about it just yet. It’s important we do before messing with it remotely.
Κι άλλο ένα σχόλιο το οποίο αφορά στα χακάρισμα του φόρουμ και δεν ξέρω πόσο σημαντικό μπορεί να είναι :

Κώδικας: [Επιλογή]
The dump which was left behind was of the forums user table.
That said, they had access to our server so it’s possible they looked at donation data.
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: talos στις Φεβρουάριος 23, 2016, 01:16:41 μμ
Από επικοινωνία με την ομάδα ανάπτυξης
Παράθεση
I did check the snapshots on wayback.org (web archive) of the downloads page and didn't find earlier modifications of the download links on that either the attacker only had access to the server on which the wordpress website and phpbb forum were hosted; repositories and ISOs are stored on other servers, in other data centers.
Τα αρχεία iso και τα torrents είναι σε άλλο υπολογιστή, και δεν πειράχτηκαν. Ούτε το αρχείο με τα md5 που υπάρχει στο ftp από όπου τραβάν τα mirrors. Επηρεάστηκε μόνο το κείμενο μιας σελίδας html και έδειχνε σε ένα άλλο, μάλλον παραβιασμένο, υπολογιστή.

Αν κάποιος θέλει να κατεβάσει το mint σήμερα μπορεί να το κατεβάσει από εδώ
http://ftp.heanet.ie/mirrors/linuxmint.com/stable/17.3/
Εκεί θα βρει και τα md5, τα sha256 και τα κρυπτογραφημένα sha256 για την επαλήθευση.
 
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: lucinos στις Φεβρουάριος 23, 2016, 01:51:39 μμ
προσωπικά με εκνευρίζει που εξακολουθεί να χρησιμοποιεί κόσμος md5. Το md5 δεν είναι κρυπτογραφικά ασφαλές και επιτέλους ας το αφήσουμε στον προηγούμενο αιώνα που κανονικά ανήκει. Κρυπτογραφικά ασφαλές είναι το sha2.
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: babis19 στις Φεβρουάριος 23, 2016, 08:58:24 μμ
Να ενημερώσω εδώ τα αξιότιμα μέλη ότι είστε γνώστες του θέματος και δεν αντιμετωπίζετε προβλήματα με md5 ή με sha2 κλπ. Ο μέσος χρήστης ποτέ δεν θα μπει στον κόπο να τα χρησιμοποιήσει όλα αυτά. Ο μονος τρόπος, κατα την άποψη μου να χρησιμοποιήσει κάποια μέθοδο επαλήθευσης είναι όταν "καίει" το DVD ή φτιάχνει το USB να υπάρχει ένα τσεκαρισμένο κουτάκι στο προγραμμα που θα το χρησιμοποιήσει ώστε να το κανει αυτοματα γιαυτόν. Νομίζω πως το Unetbootin το έχει. Απο μονος του ο χρήστης, ποτέ!
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: lucinos στις Φεβρουάριος 23, 2016, 09:12:07 μμ
Να ενημερώσω εδώ τα αξιότιμα μέλη ότι είστε γνώστες του θέματος και δεν αντιμετωπίζετε προβλήματα με md5 ή με sha2 κλπ. Ο μέσος χρήστης ποτέ δεν θα μπει στον κόπο να τα χρησιμοποιήσει όλα αυτά. Ο μονος τρόπος, κατα την άποψη μου να χρησιμοποιήσει κάποια μέθοδο επαλήθευσης είναι όταν "καίει" το DVD ή φτιάχνει το USB να υπάρχει ένα τσεκαρισμένο κουτάκι στο προγραμμα που θα το χρησιμοποιήσει ώστε να το κανει αυτοματα γιαυτόν. Νομίζω πως το Unetbootin το έχει. Απο μονος του ο χρήστης, ποτέ!

Αυτό που λες ούτε γίνεται έτσι, ούτε καν έχει μεγάλο νόημα όπως το λες. Η πικρή αλήθεια είναι ότι αν δεν υπάρξει ένα δίκτυο διανομής με το λίνουξ ως προεγκατεστημένο λειτουργικό γνώριμο στον κόσμο απλά δεν θα πάει μακρυά στην προσβασιμότητα για τον πολύ κόσμο.
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: talos στις Φεβρουάριος 23, 2016, 09:27:36 μμ
Λύση για αυτό υπάρχει και έχει αρχίσει κάποια δουλειά η διανομή Tails
Περισσότερα εδώ: https://tails.boum.org/blueprint/bootstrapping/extension/
Και αν αυτό ακολουθηθεί από τις κύριες διανομές θα μπορεί να λυθεί το πρόβλημα του κατεβάσματος του iso με αυτόματο τρόπο.

<paranoia mode="On">
Τώρα βέβαια κανένας δεν θα μπορεί να  βεβαιώσει πως το πρόγραμμα που που θα περάσει το iso στο usb δεν είναι πειραγμένο, ούτε για το λειτουργικό που θα τρέξει για να κάνει την εγράφη, ούτε μπορείς να ελέγξεις το λειτουργικό του USB, ούτε το BIOS του μηχανήματος σου. Αυτά ακόμα και αν έχεις εμπιστοσύνη στους προγραμματιστές των δεκάδων χιλιάδων πακέτων μιας διανομής, εμπιστοσύνη στους δεκάδες pacκageρs του mint, του debian, του ubuntu, και στους κατασκευαστές της διανόμης, μεταξύ άλλων.
<paranoia mode="off">

Ένας αυτόματος έλεγχος θα ήταν ένα καλό βήμα πάντως  :)
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: NikTh στις Φεβρουάριος 23, 2016, 09:38:35 μμ
Παράθεση
ή έτσι για να το παίξουμε hackerαδες, αφού βρήκαμε την αδυναμία, ας του δώσουμε να καταλάβει.

Το πανηγύρι ξεκίνησε ήδη πάντως. Για παράδειγμα εδώ https://lwn.net/Articles/676664/ έχει ένα άρθρο με τίτλο "Linux Mint downloads (briefly) compromised" και το κείμενο μέσα λέει για οτιδήποτε άλλο παρά για το το συνέβη.  Σε μερικά ξέρω πως ο NikTh θα συμφωνήσει με τον συγραφέα, τα έχουμε άλλωστε ξανασυζητήσει αυτά εδώ μέσα άλλωστε.


Ναι, μιλάγαμε συγκεκριμένα για τον πυρήνα αν θυμάμαι καλά. Εκεί ήταν η διαφωνία μου. Σε γενικότερο βαθμό δεν ξέρω.

Εντάξει, το άρθρο πιάνετε από την πρόσφατη επίθεση με το ISO και γράφει άλλα αντί άλλων, βγάζει τις ανησυχίες του (ο συγγραφέας) ή ...κάτι άλλο, σε σχέση με το πόσο ασφαλής είναι.

Δεν θέλω να μιλήσω περί ασφάλειας, πιστεύω ότι το έχω εξαντλήσει το θέμα (όχι εδώ μέσα, γενικότερα) και το αποτέλεσμα είναι πάντα το ίδιο, το μεγαλύτερο ποσοστό ευθύνης το έχει πάντα ο χρήστης. Ο απρόσεκτος χρήστης. Ο "πέρα βρέχει" χρήστης...κλπ.

Τα πάντα έχουν bugs, αλλά και τρύπες ασφαλείας οι οποίες ανοίγουν και κλείνουν συνεχώς.

Οι αδαής σχετικά με το Linux χρήστες, ναι θα ακούσουν για hacking του Linux Mint (έχει αυτή τη λέξη Linux βλέπεις στο όνομά του) και θα αρχίσουν .... τα δικά τους.

Όποιος πάντως θέλει να διαβάσει σοβαρές αναλύσεις της αδυναμίας που εκμεταλλεύτηκαν  οι επιτιθέμενοι, μπορεί να βρει έγκυρες πηγές και άρθρα (όχι στυλ LWN).
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: babis19 στις Φεβρουάριος 23, 2016, 09:50:45 μμ
@lucinos
Δεν γνωρίζω αν γίνεται, παντως σαν επιλογή στο tuxboot το βλέπω. Για να το λες ίσως δεν δουλευει.

Οσο για το να γίνει δημοφιλές το λινουξ, έχει υπολογιστές που δίνονται με προεγκατεστημένο Λινουξ. Ειμαι σίγουρος πως το πρωτο πραγμα που κανει ο αγοραστής ειναι να κανει φορματ και να βαλει Windows. Εαν θελει το Linux να γίνει δημοφιλές είναι πολύ απλά τα πραγματα για μένα.
α. Να είναι όμορφα. Σχεδιαστικά τo OSX αλλα και τα Win ειναι πολύ πιο όμορφα
β. Να ειναι εύκολα. Πολύς κόσμος δεν θέλει τερματικό. Κακα τα ψεματα. Ενώ είναι πανίσχυρο εργαλείο και ίσως για μενα και για σένα ειναι όμορφο, για τον πολύ τον κόσμο που απλά θελει να εγκαταστήσει το Skype είναι εκνευριστικό να χρησιμοποιήσει τερματικό ενώ στο OSX το κανει με ενα απλό drag n drop
γ. Να είναι λειτουργικά. Εγώ που δεν ξερω πολλά αλλά ένα φορματ ξερω να το κανω, εχω βάλει λίνουξ σε 4 Mac. Σε κανενα δεν δουλευε σωστα η καρτα γραφικών. Θα μου πεις, φταει η nVidia. Δεν με νοιάζει. θελω να δουλευει. Σε 4 υπολογιστες έβαλα Ubuntu πριν απο 3 χρόνια και όταν ήθελα να βαλω εκτυπωτή δεν τους αναγνώριζε. Τους δύο τους αναγνωριζε αλλα επρεπε να γινει build ο driver. Πες τώρα σε μέσο χρήστη να κανει build τον driver και θα σε κοιταει σαν αλιεν.
δ. Ενημερωση. Δυστυχώς οι εταιρείες που προωθούν το λινουξ δεν έχουν τα χρήματα της Microsoft ή της Apple για διαφήμιση. Eυελπιστώ πως αυτο θα αλλαξει με την είσοδο στην αγορα των ubuntu Phones και περισσοτερος κοσμος θα δει το λινουξ και τα θετικά του

Τα θετικά που έχει (ασφάλεια, ελαφρύ, γρήγορο) δεν είναι αρκετά, προς το παρον, για να εκθρονίσουν τα Windows.

Αγαπαω το λινουξ και θα ήθελα να το δω σε οσο και περισσοτερους υπολογιστες. Αυτό θα μου έκανε πιο εύκολη την ζωή γιατι θα λύνονταν πολλά απο τα προβλήματα μου αλλα και της κοινωνίας που ζω. Αλλα είναι αποτρεπτικά για τον μεσο χρήστη. Αυτον που δεν ξερει τι ειναι το md5.
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: lucinos στις Φεβρουάριος 23, 2016, 10:50:40 μμ
α. Να είναι όμορφα. Σχεδιαστικά τo OSX αλλα και τα Win ειναι πολύ πιο όμορφα
Αυτό είναι και κάπως υποκειμενικό. Προσωπικά θεωρώ το KDE πιο όμορφο από το OSX και τα Win.

Παράθεση
β. Να ειναι εύκολα. Πολύς κόσμος δεν θέλει τερματικό. Κακα τα ψεματα. Ενώ είναι πανίσχυρο εργαλείο και ίσως για μενα και για σένα ειναι όμορφο, για τον πολύ τον κόσμο που απλά θελει να εγκαταστήσει το Skype είναι εκνευριστικό να χρησιμοποιήσει τερματικό ενώ στο OSX το κανει με ενα απλό drag n drop
Τελευταία φορά που εγκατέστησα στο skype το είχα κάνει μια χαρά από το κέντρο λογισμικού. Δεν ξέρω για τι πράγμα μιλάς, αν και το skype δεν είναι ελεύθερο λογισμικό και ανήκει στην microsoft το οποίο σημαίνει ότι είναι στα χέρια μιας τρίτης εταιρείας (τής microsoft) πώς διανέμεται στο λίνουξ και δεν έχει σχέση με τα χαρακτηριστικά τού λίνουξ. Πιο σημαντικό όμως είναι να τονίσω ότι από την προσωπική μου εμπειρία στο να βλέπω εντελώς άσχετους από υπολογιστές να δοκιμάζουν λίνουξ είναι ότι το λίνουξ είναι ΕΥΚΟΛΟΤΕΡΟ για έναν άσχετο. Την ευκολία κανείς πρέπει να την βάλει στα πολύ θετικά σε σχέση με τα windows που εμπειρικά είναι πολύ δυσκολότερα στην χρήση. Το ότι υπάρχει κάπου και ένα τερματικό το οποίο επειδή είμαστε ψυχάκιδες μάς αρέσει να χρησιμοποιούμε ή δυστυχώς (για άλλους όμως λόγους) αναγκαζόμαστε να χρησιμοποιήσουμε δεν λέει κάτι αφού και τα windows έχουν γραμμή εντολών και το osx έχει γραμμή εντολών. Για τούς αντίστοιχους λόγους και για το osx θα ήθελες ή θα αναγκαζόσουν αντιστοίχως να μπεις σε γραμμή εντολών, αυτό δεν λέει κάτι.

Παράθεση
γ. Να είναι λειτουργικά. Εγώ που δεν ξερω πολλά αλλά ένα φορματ ξερω να το κανω, εχω βάλει λίνουξ σε 4 Mac. Σε κανενα δεν δουλευε σωστα η καρτα γραφικών. Θα μου πεις, φταει η nVidia. Δεν με νοιάζει. θελω να δουλευει. Σε 4 υπολογιστες έβαλα Ubuntu πριν απο 3 χρόνια και όταν ήθελα να βαλω εκτυπωτή δεν τους αναγνώριζε. Τους δύο τους αναγνωριζε αλλα επρεπε να γινει build ο driver. Πες τώρα σε μέσο χρήστη να κανει build τον driver και θα σε κοιταει σαν αλιεν.
Πόσες φορές έχεις εγκαταστήσει Mac σε άλλο μηχάνημα; Μάλλον καμμία, άρα το mac είναι πολύ χειρότερο από το λίνουξ σε αυτό το θέμα.

Παράθεση
Τα θετικά που έχει (ασφάλεια, ελαφρύ, γρήγορο) δεν είναι αρκετά, προς το παρον, για να εκθρονίσουν τα Windows.
Η δική μου λίστα θετικών είναι πολύ μακρύτερα, για παράδειγμα πιστεύω ότι είναι και πιο εύκολο και το λέω ξέροντας τρία άτομα που έχουν στον υπολογιστή τους λίνουξ το χρησιμοποιούν καθημερινά χωρίς πρόβλημα και είναι παντελώς άσχετοι από υπολογιστές. (κανένας από τούς τρεις δεν το εγκατέστησε, ο ένας από τούς τρεις δεν ήξερε καν ότι αυτό στον υπολογιστή του ήταν λίνουξ). Ακόμα πιο σημαντικό για μένα είναι η στήριξη τού ελεύθερου λογισμικού.

Τώρα σχετικά με τα παραδείγματα που δίνεις με προεγκατεστημένο Linux, μετράνε από ελάχιστα ως καθόλου. Οι περισσότεροι υπολογιστές που υπάρχουν διαθέσιμοι με Linux είναι διαθέσιμοι με Linpus Linux και φυσικά καθόλου δεν είναι εκεί για να χρησιμεύσει ως λειτουργικό ούτε παρέχεται κανενός είδους υποστήριξη. Δεν έχει καμμία σχέση λοιπόν και δεν βοηθάει καθόλου παρά μόνο από την άποψη ότι αυτός που δεν θέλει windows δεν θα πάρει windows. Ελαφριές εξαιρέσεις υπάρχουν, κυρίως η Dell η οποία έχει και υπολογιστές με ubuntu, αλλά αυτό που κάνει είναι εντελώς στοιχειώδες και δεν έχει καμμία σχέση με την υποστήριξη που η ίδια παρέχει στα windows. Η ίδια η Dell εξάλλου εκεί ακριβώς που πουλάει υπολογιστές με λίνουξ λέει «η Dell συνιστά Windows». Συνεπώς η αλήθεια είναι ότι το λίνουξ δεν έχει καμμία απολύτως υποστήριξη στην διανομή και ως λειτουργικό χωρίς κανενός τέτοιου είδους υποστήριξη είναι ένα μικρό θαύμα που εμφανίζει πάνω από 3% στην Ελλάδα (http://gs.statcounter.com/#desktop-os-GR-monthly-201501-201601-bar) (εγώ αυτό το ονομάζω «επενδυτική ευκαιρία»)
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: babis19 στις Φεβρουάριος 23, 2016, 11:02:05 μμ
Σευχαριστω για το κατατοπιστικό σχολιο  :)
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: lucinos στις Φεβρουάριος 23, 2016, 11:20:03 μμ
<paranoia mode="On">
Υπάρχει κάτι που νομίζω λέγεται δίκτυο εμπιστοσύνης (το αναφέρει ο Λίνους στην ομιλία του για το git). Ανεξαρτήτως αν χρησιμοποιούμε Linux, Windows ή OSX ή οττιδήποτε άλλο ανοικτό ή κλειστό εκεί βασίζεται πάντα η ασφάλειά μας.

Παράθεση
Ένας αυτόματος έλεγχος θα ήταν ένα καλό βήμα πάντως  :)
Κατ' αρχήν το καλύτερο είναι πάντα να κατεβάζουμε με torrent. Τα torrent αφενός δεν επιβαρύνουν κεντρικούς σέρβερ αλλά επιπλέον ταυτοποιούν αυτό που κατεβαίνει ούτως ή άλλως. Πέραν όμως από τέτοιου είδους ελέγχου απλά δεν βλέπω πως ένας «αυτόματος έλεγχος» μπορεί να βοηθήσει κάποιον χρήστη που απλά πέφτει θύμα απάτης. Όπως και να το κάνουμε είναι θεμελιωδώς διαφορετικό να κατεβάζουμε ενημερώσεις/αναβαθμίσεις τις οποίες τις αναλαμβάνει το ήδη εγκατεστημένο λειτουργικό (και ελέγχει και υπογραφές και τα κάνει όλα όμορφα και με ασφάλεια) και διαφορετικό να κατεβάζεις το ίδιο το λειτουργικό γιατί στην δεύτερη περίπτωση «μπουτάρεις» την διαδικασία απόκτησης και υπάρχει ένα αρχικό σημείο που απλά πρέπει να μην πέσεις θύμα απάτης. (αν και υπάρχει μια γενικότερη καλή συμβουλή, να χρησιμοποιεί κανείς πάντα torrent)
Τίτλος: Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
Αποστολή από: talos στις Φεβρουάριος 24, 2016, 04:29:26 μμ
Προς αποκατάσταση της αληθείας το άρθρο στο lwm.net είναι το παρακάτω. Αλλά όλοι μας το είδαμε μέσα από το hacker news και την πατήσαμε.  :)

Όποτε οι αιτιάσεις περί αναντιστοιχίας τίτλου και περιεχομένου είναι εσφαλμένες από την πλευρά μου. Mea Culpa.

https://lwn.net/Articles/676613/