| |
В рамках инициативы по усилению безопасности инфраструктуры разработки ядра Linux осуществлён перевод первичных Git-репозиториев kernel.org на использование двухфакторной аутентификации. В настоящее время возможность находится в тестовом режиме и применяется для репозиториев mainline и stable. Для остальных репозиториев возможность предлагается в качестве необязательной опции, включаемой по желанию разработчика. В будущем ожидается расширение числа репозиториев, перешедших к обязательному применению двухфакторной аутентификации.
До сих пор при совершении коммитов в Git-репозитории kernel.org разработчики использовали для аутентификации индивидуальные SSH-ключи, что потенциально могло быть использовано для компрометации в случае попадания ключа в руки злоумышленника (например, из-за незащищенной организации резервного копирования). Отныне кроме аутентификации по SSH-ключу, разработчик должен подтвердить, что операция выполняется с его IP-адреса, предварительно верифицировав свой IP токеном, сгенерированным с использованием устройств или программ, поддерживающих определённые в стандартах OATH (Initiative For Open Authentication) механизмы генерации одноразовых паролей HOTP (RFC 4226, HMAC-Based One-Time Password) или TOTP (RFC 6238, Time-Based One-Time Password).
Например, можно использовать TOTP-приложения для смартфонов FreeOTP, Google Authenticator или Authy, а также аппаратные брелоки с поддежкой HOTP, такие как Yubikey. Компания Yubico уже приняла решение безвозмездно снабдить брелоками Yubikey всех разработчиков, имеющих аккаунты на kernel.org.
Все запросы с неподтверждённых IP при применении двухфакторной аутентификации блокируются, что требует от атакующего не только кражи закрытого ключа разработчика, но и получение доступа к рабочей станции, с которой производятся коммиты. По умолчанию подтверждение адреса действует 24 часа, но разработчик может продлить данное время до 30 дней.
|
|
- Главная ссылка к новости (http://www.linux.com/news/featured-blogs...)
- OpenNews: Инфраструктура Linux Foundation и Linux.com подверглась взлому
- OpenNews: Оценка причин и последствий взлома kernel.org
- OpenNews: Разработчикам ядра Linux рекомендовано проверить рабочие машины на наличие вредоносного ПО
- OpenNews: Из-за недоступности kernel.org в ядре linux-next не хватает 89 веток
- OpenNews: Статус возрождения kernel.org: доступ к Git будет организован без shell доступа
| Тип: К сведению | Ключевые слова: git, kernel, linux, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
1.3, Аноним, 04:48, 19/08/2014 [ответить] [смотреть все] | +/– | Интересно, а девайсы с открытой фирмварой, считающие по этим RFC уже сделали А ... весь текст скрыт [ показать] | | |
1.4, Владимир, 06:20, 19/08/2014 [ ответить] [ смотреть все] +2 +/–
Я вот одного не могу понять. Что это концептуально меняет в безопасности?
Допустим, злоумышленник завладел SSH ключом разработчика, установив на его машине троян. Но разве после этого у него уже нет "доступа к рабочей станции?" Разве для получения закрытого ключа не нужен уже этот доступ? Ведь если машина находится под контролем злоумышленника, то и коммит с машины разработчика он сможет сделать?
2.14, Кевин, 11:16, 19/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/–
утащить ссш ключ через определёееую уязвимость не всегда означает что через ту же уязвимость можно получить полный доступ к системе. ну и утечь то может ссш ключ лежавший на флешке с бэкапом ключа..
2.15, Anonplus, 11:30, 19/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
Ключ можно утянуть без трояна. Например, если разработчик случайно положит его в общедоступное место. Бывали такие случаи. А вот вдобавок установить трояна на линукс-машину - куда сложнее. В итоге 0 199% защищенности никто не обещает (ее не может быть), но вероятность факапа снижается.
1.6, odity, 08:43, 19/08/2014 [ ответить] [ смотреть все] +1 +/–
GSM взломана. какие нафиг смс. хотя представьте, что для всех пользователей,напимер opennet.ru введется двухфакторная..))))
1.7, анонимный, 09:00, 19/08/2014 [ ответить] [ смотреть все] –1 +/–
В распоряжении CNews оказалось письмо, разосланное из российского представительства компании Red Hat ее отечественным партнерам. В этом письме за подписью Фила Эндрюса (Phil Andrews), вице-президента Red Hat в Северной и Восточной Европе, компания предписывает своим партнерам приостановить проекты со своими российскими заказчиками в связи с вводом санкций.
2.11, Аноним, 09:17, 19/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Это фейк Red Hat наличие такого письма не подтвердил, а CNews не снизошел до пу... весь текст скрыт [ показать] [ показать ветку] |
3.16, Anonym2, 11:46, 19/08/2014 [^] [ответить] [смотреть все] | +/– |
> Это фейк. Red Hat наличие такого письма не подтвердил, а CNews не
> снизошел до публикации опровержения. Тот документ был изначально опубликован каким-то
> левым пользователем во Вконтакте и очень похож на подделку. Cnews ссылки
> на источники не ставит, тем более на такие недостоверные как заметки
> в социальных сетях. Раньше они подобным образом нападали на ALT Linux,
> используя любую недостоверную информацию, а теперь переключились на Red Hat.
Так Red Hat не снизошёл. До опровержения... Насколько известно >:-)
| | |
|
4.20, анонимный, 13:31, 19/08/2014 [^] [ответить] [смотреть все] | +/– |
А что опровергать? заявление гос. депа что все американские фирмы должны ограничить контакты с фирмами из списка? Так любая фирма из США обязана выполнять это распоряжение. Вне зависимости от того СПО это или не СПО.
| | | 3.17, Xasd, 12:36, 19/08/2014 [ ^] [ ответить] [ смотреть все] +/–
> Это фейк.
то что это фейк -- это и так всем понятно.
не понятно другое --- кто заказчик этого фейка? кто заплатил людям (или роботам) чтобы они писали это говноцо на форумах?
|
4.19, анонимный, 13:27, 19/08/2014 [^] [ответить] [смотреть все] | +/– |
Мисье наверно знает что в США - экспортная деятельность - это привелегия. И что бы ее разрешили нужно отдельно запрашивать на это разрешение. И если гос. деп США вводит ограничения на деловые контакты с определенными фирмами и странами - то все компании обязаны это выполнять. За невыполнение можно очень серьезно ответить деньгами.
Надеюсь вы в курсе - что все крупные компании из США (SF, Oracle, Sun и тп) - ограничивали возможность скачивания своих свободных продуктов из стран которые попали под санкции? Для вас это надеюсь не новость?
Вам напомнить историю 3-4х летней давности?
Так почему вы считаете что компания из США по имени RedHat будет поступать иначе и нарушать законы ради какой-то там справедливости и потому что Linux открыт ?
Или у вас срабатывает инстинкт - "а нас то за что".. ?
| | |
|
5.21, vi, 13:43, 19/08/2014 [^] [ответить] [смотреть все] | +/– |
>[оверквотинг удален]
> За невыполнение можно очень серьезно ответить деньгами.
> Надеюсь вы в курсе - что все крупные компании из США (SF,
> Oracle, Sun и тп) - ограничивали возможность скачивания своих свободных продуктов
> из стран которые попали под санкции? Для вас это надеюсь не
> новость?
> Вам напомнить историю 3-4х летней давности?
> Так почему вы считаете что компания из США по имени RedHat будет
> поступать иначе и нарушать законы ради какой-то там справедливости и потому
> что Linux открыт ?
> Или у вас срабатывает инстинкт - "а нас то за что".. ?
Инстинкт всегда срабатывает при наступлении соответствующих условий (за исключением небольшого процента на недетерминируемость).
А вот какой у Вас "выработался" (наработали Вам) инстинкт, вот это уже каждый сам за собой должен присматривать (со стороны ;)
| | | 5.23, Аноним, 15:32, 19/08/2014 [ ^] [ ответить] [ смотреть все] –1 +/–привилегия чтобы здесь пишется слитно Запятые не ставим Трояк по родному язы... весь текст скрыт [ показать] 7.28, анонимный, 17:44, 19/08/2014 [ ^] [ ответить] [ смотреть все] +/–
> Если не придраться к грамматике и запятым.
> Про какую историю случившуюся три года назад пишет этот человек?
спустя 2 недели.
SourceForge снова допускает врагов США к репозиториям исходных кодов
Дата публикации: 09.02.2010
Сайт SourceForge.net, являющийся одним из крупнейших в Сети хранилищ
открытого программного кода, объявил об отмене скандального решения, после
принятия которого доступ к ресурсу был заблокирован для целого ряда стран. Если
быть более точными, в список “изгоев” попали государства, на которые
правительство США наложило экономические санкции.
В своем обращении к пользователям администрация ресурса заявила о том, что
теперь ответственность за соблюдение международного торгового права возложена на
администраторов проектов, выкладывающих свой код на SourceForge.
интересно - чем в этом ключе отличается redhat от sf - что теперь RH не надо соблюдать законы США ?
7.29, анонимный, 18:16, 19/08/2014 [ ^] [ ответить] [ смотреть все] +/–Или вы думаете что RedHat отличается от google http www joshualandis com blo... весь текст скрыт [ показать] 5.26, anonymous, 16:44, 19/08/2014 [ ^] [ ответить] [ смотреть все] +/–
> Или у вас срабатывает инстинкт - "а нас то за что".. ?
За что - вполне понятно. За защиту своих интересов.
Теперь к делу.
а) Linux открыт обозначает ровно одну и только одну вещь - специфический способ лицензирования
б) Лицензирование ПО, как всё авторское право не имеет естественных оснований и поддерживается государственным принуждением.
в) Как следствие если государство в юрисдикции которого находится разработчик запретит рецензировать ПО определённой группе лиц или организаций - запрет будет действовать вне зависимости от особенностей самой лицензии. Без различий Microsoft EULA или GPL
д) Преимуществом СПО в данном случае является только возможность сделать fork. При наличии финансовых средств и человеческих ресурсов на собственную разработку.
Впрочем в России указанные ресурсы вполне в наличии. Было бы желание пользоваться.
|
6.30, анонимный, 18:30, 19/08/2014 [^] [ответить] [смотреть все] | +/– |
>> Или у вас срабатывает инстинкт - "а нас то за что".. ?
> За что - вполне понятно. За защиту своих интересов.
я собственно о том же. Что люди не понимают что их ровно так же могут "наказать", и что компании из США все должны выполнять законы.
> Теперь к делу.
> а) Linux открыт обозначает ровно одну и только одну вещь - специфический
> способ лицензирования
> в) Как следствие если государство в юрисдикции которого находится разработчик запретит
> рецензировать ПО определённой группе лиц или организаций - запрет будет действовать
> вне зависимости от особенностей самой лицензии. Без различий Microsoft EULA или
> GPL
> д) Преимуществом СПО в данном случае является только возможность сделать fork. При
> наличии финансовых средств и человеческих ресурсов на собственную разработку.
угу. только могут запретить и скачивать - из-за чего возникнут колизии типа как распространение BSD было.
Для США одна криптуха, для остального мира - другая, по проще..
| | |
1.9, Аноним рус, 09:13, 19/08/2014 [ ответить] [ смотреть все] +/–
а если динамический йп у человека?
2.18, Xasd, 12:39, 19/08/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] –1 +/–
> а если динамический йп у человека?
то относительно subject -- нет ни какой разницы.
больше чем 1 раз в день (или 1 раз в неделю) твой ip меняться не будет ,при условии что конечно если ты сам умышленно не станешь судорожно переподключаться к интернету по 20 раз в день.
1.10, Аноним, 09:17, 19/08/2014 [ ответить] [ смотреть все] +1 +/–К слову, за безопасность kernel org отвечает Константин Рябицев, рождённый в Рос... весь текст скрыт [ показать]
|
3.24, anonymous, 16:37, 19/08/2014 [^] [ответить] [смотреть все] | +5 +/– |
> И что, "рождённый в россии" его какими-то свойствами особыми наделяет что вы
> это упомянули? Кстати, не он ли отвечал за безопасность во время
> эпичного взлома 2011 года?
Делает его соотечественником. Не знаю как у вас, но у нормальных людей принято радоваться успехам соотечественников.
| | |
1.35, Аноним, 00:19, 20/08/2014 [ ответить] [ смотреть все] [ к модератору] +/–Что-то я не понимаю видимо про ssh-ключи Даже если мой комп скомпрометирован, н... весь текст скрыт [ показать] Ваш комментарий
Read more |