17 days before anyone noticed. Ouch.

From pastebin:

———- Forwarded message ———-
From: J.H.
Date: 2011/8/29
Subject: [kernel.org users] [KORG] Master back-end break-in
To: users@kernel.org

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Afternoon Everyone,

As you can guess from the subject line, I’ve not had what many would
consider a “good” day. Earlier today discovered a trojan existing on
HPA’s personal colo machine, as well as hera. Upon some investigation
there are a couple of kernel.org boxes, specifically hera and odin1,
with potential pre-cursors on demeter2, zeus1 and zeus2, that have been
hit by this.

As it stands right now, HPA is working on cleaning his box, and
I’m working on hera (odin1 and zeus1 are out of rotation still for other
reasons), mainly so that if one of us finds something of interest, we
can deal with it and compare notes on the other box.

Points of interest:

- – Break-in seems to have initially occurred no later than August 12th

- – Files belonging to ssh (openssh, openssh-server and openssh-clients)
were modified and running live. These have been uninstalled and
removed, all processes were killed and known good copies were
reinstalled. That said all users may wish to consider taking this
opportunity to change their passwords and update ssh keys (particularly
if you had an ssh private key on hera). This seems to have occurred on
or around August 19th.

- – A trojan startup file was added to rc3.d

- – User interactions were logged, as well as some exploit code. We have
retained this for now.

- – Trojan initially discovered due to the Xnest /dev/mem error message
w/o Xnest installed; have been seen on other systems. It is unclear if
systems that exhibit this message are susceptible, compromised or not.
If you see this, and you don’t have Xnest installed, please investigate.

- – It *appears* that 3.1-rc2 might have blocked the exploit injector, we
don’t know if this is intentional or a side affect of another bugfix or
change.

- – System is being verified from backups, signatures, etc. As of right
now things look correct, however we may take the system down soon to do
a full reinstall and for more invasive checking.

- – As a precaution a number of packages have been removed from the
system, if something was removed that you were using please let us know
so we can put it back.

- – At this time we do not know the vector that was used to get into the
systems, but the attackers had gained root access level privileges.

That’s what we know right now, some of the recent instabilities may have
been caused by these intrusions, and we are looking into everything.

If you are on the box, keep an eye out, and if you see something please
let us know immediately.

Beyond that, verify your git trees and make sure things are correct.

- – John ‘Warthog9′ Hawley
Chief Kernel.org Administrator
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Fedora – http://enigmail.mozdev.org/

iEYEARECAAYFAk5a5U0ACgkQ/E3kyWU9dif+1ACfYPlgq/keFrFO77AmQVduKGwx
TAcAnRAu6nHt74+5aC+fPeb8aT0hcy2K
=Semd
—–END PGP SIGNATURE—–

Source: Article Link

Anonymous punta al “pezzo grosso”.  Con un comunicato pubblicato dal sito “Village Voice”, il noto gruppo di hacker ha annunciato di voler mandare in down Facebook – il social network più famoso del mondo con 750 milioni di utenti all’attivo – il prossimo 5 novembre.
A spingere il gruppo di “attivisti” più agguerrito della Rete verso questa ambiziosissima impresa, la presunta vendita dei dati personali degli utenti attuata da Zuckerberg. Per Anonymous (così come per Julian Assange), Facebook vende i dati di tutte le persone registrate al sito alle agenzie governative.
(...)Continua a leggere Anonymous vuole buttare giù Facebook il 5 novembre [aggiornato], su Geekissimo
Anonymous vuole buttare giù Facebook il 5 novembre [aggiornato], pubblicato su Geekissimo il 10/08/2011
© naqern per Geekissimo, 2011. | Permalink | 17 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Facebook. Post tags: Anonymous, attacco DoS, hacker

Il famigerato gruppo di hacker (o cracker) Lulz Security, balzato già agli onori della cronaca per aver rubato i dati di un milione di utenti del PlayStation Network e aver hackerato la home page di PBS.org, ha spiattellato in Rete 26.000 indirizzi e-mail e password di altrettanti ignari utenti provenienti da ogni parte del mondo. Fra questi, pare, ci siano anche molti indirizzi militari (.mil) e governativi (.gov).
La lista è ormai di pubblico dominio ed è stata realizzata rubando i dati di accesso di diversi siti a carattere pornografico. Se non visitate “sitacci” simili, dunque, non dovreste avere problemi. Ma molti altri sì. Al punto che conoscendo la cattiva abitudine di molti utenti che usano la stessa password per tutti i siti Internet a cui sono iscritti, il sito ZDNet ha invitato tutti i suoi lettori a dare un’occhiata al documento pubblicato da Lulz Security e ad accertarsi che i loro indirizzi non fossero finiti su piazza.
(...)Continua a leggere 26.000 indirizzi e-mail e password spiattellati in Rete: ecco cosa significa usare gli stessi dati di accesso ovunque, su Geekissimo
26.000 indirizzi e-mail e password spiattellati in Rete: ecco cosa significa usare gli stessi dati di accesso ovunque, pubblicato su Geekissimo il 14/06/2011
© naqern per Geekissimo, 2011. | Permalink | 11 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Email, Sicurezza. Post tags: hacker, Lulz Security, password

Google Chrome è il browser più difficile da “bucare”, ecco il responso della prima giornata di Pwn2Own 2010. L’ormai notissima sfida tra hacker in fase di svolgimento a Vancouver ha visto crollare uno dopo l’altro tutti i principali browser che usiamo quotidianamente per navigare sul web, meno uno, quello di “big G”, che non è stato ancora messo alla prova. Ma andiamo con ordine.

Il primo navigatore a cadere sotto i colpi degli hacker (senza accesso fisico alla macchina) è stato Safari 4 su Mac OS X Snow Leopard. A far breccia nel software cupertiniano ancora una volta l’immarcescibile Charlie Miller, che già aveva colto in fallo Safari l’anno scorso e che con il risultato di ieri si porta a casa un bel premio di 10.000 dollari.

Diecimila bigliettoni vanno anche all’olandese Peter Vreugdenhil, il quale ha strutturato un attacco su quattro livelli per bypassare le protezioni dei sistemi DEP ed ASLR e “bucare” così Internet Explorer 8 su Windows 7. Secondo quanto dichiarato da Vreugdenhil, ci è voluto meno di una settimana per dar vita all’exploit.
(...)Continua a leggere Pwn2Own 2010: già bucati tutti i browser, tranne Chrome…, su Geekissimo

© naqern per Geekissimo, 2010. |
Permalink |
24 commenti |
Aggiungi su del.icio.us

Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Browser, Sicurezza.

Post tags: browser war, falla, hacker, Pwn2Own