How Hackers Could Brute-Force SSH Credentials to Gain Access to Servers
Ang mga Hacker ay naka-kompromiso sa dalawang server na ginamit ng Proyekto ng FreeBSD upang bumuo ng mga pakete ng software ng third-party. Ang sinumang naka-install ng naturang mga pakete mula noong Setyembre 19 ay dapat na muling i-install muli ang kanilang mga makina, ang grupo ng seguridad ng proyekto ay binigyan ng babala.
Intrusions sa dalawang machine sa loob ng cluster ng FreeBSD.org ay nakita noong Nobyembre 11, sinabi ng security team ng FreeBSD sa Sabado. Bukod dito, ang isang malaking bahagi ng natitirang mga imprastraktura machine ay dinala offline bilang pag-iingat, "iniulat ng isang mensahe na nai-post sa listahan ng mga pampublikong anunsyo ng mailing list.
Ang dalawang naka-kompromiso na server ay kumilos bilang nodes para sa imprastraktura ng gusali ng gusali ng third-party na proyekto ng proyekto, sinabi ng Proyekto ng FreeBSD sa isang payo na na-post sa website nito.
[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]Ang insidente ay apektado lang ang koleksyon ng mga pakete ng software ng third-party na ipinamamahagi ng proyekto at hindi ang mga "base" na bahagi ng operating system, tulad ng kernel, system library, compiler, o core command-line tool. ang mga server na gumagamit ng isang lehitimong SSH authentication key na ninakaw mula sa isang developer, at hindi sa pamamagitan ng paggamit ng isang kahinaan sa operating system.
Kahit na ang koponan ay hindi mahanap ang anumang katibayan ng thi
"Sa kasamaang palad namin ay hindi magagarantiyahan ang integridad ng anumang mga pakete na magagamit para sa pag-install sa pagitan ng Setyembre 19, 2012 at ika-11 ng Nobyembre 2012, o ng anumang mga port na pinagsama-sama mula sa mga puno na nakuha sa pamamagitan ng anumang paraan maliban sa pamamagitan ng svn.freebsd.org o isa sa mga salamin nito, "sinabi ng koponan. "Kahit na wala kaming katibayan na iminumungkahi ang anumang pagkakasala ay naganap at naniniwala na ang ganoong pagkagambala ay malamang na hindi, kailangan naming irekomenda mong isaalang-alang ang muling pag-install ng anumang makina mula sa simula, gamit ang pinagkakatiwalaang mga mapagkukunan."
Ang mga package set na kasalukuyang magagamit para sa lahat ng mga bersyon ng FreeBSD ay napatunayan at walang isa sa kanila ang nabago sa anumang paraan, sinabi ng koponan.
Bilang isang resulta ng insidente, ang Proyekto ng FreeBSD ay nagnanais na mapabilis ang proseso nito ng mga deprecating na mga serbisyo ng pamamahagi ng legacy, tulad ng mga batay sa CVSup, pabor sa ang mas matatag na sistema ng pagbabagsak. Kasama sa advisory ang ilang mga rekomendasyon tungkol sa mga gumagamit ng tool at dapat na gamitin ng mga developer para sa mga update, pagkopya ng source code at naka-sign binary distribution.
Hindi ito ang unang pagkakataon na ang proyekto ng open-source software ay kailangang harapin ang panghihimasok dahil sa kompromiso sa SSH authentication mga susi. Sa Agosto 2009, ang Apache Project ay pinilit na i-shut down ang pangunahing Web at salamin ng server pagkatapos matuklasan na ginagamit ng mga hacker ang isang SSH key na nauugnay sa isang awtomatikong backup na account upang mag-upload at magsagawa ng malisyosong code sa ilan sa mga server.
"Ito ay isang nakabubuting paalala na ang kadena ay kasing lakas lamang ng pinakamahina nito, "sabi ni Paul Ducklin, ang pinuno ng teknolohiya para sa Asia Pacific sa antivirus vendor na Sophos, sa isang blog post na Linggo. "Sa partikular, huwag kalimutan na ang seguridad ng iyong mga panloob na sistema ay maaaring maging mahusay na hindi mas mahusay kaysa sa seguridad ng anuman at lahat ng mga panlabas na sistema na kung saan ay tinanggap mo ang malayuang pag-access-maging ang mga server, laptops o kahit mobile device."
Ngunit kahit na ang mga modernong screen reader ay hindi perpekto. Partikular, wala silang tulong kapag wala nang nabasa. Kadalasan, ang mga graphical rich Web site ay dinisenyo nang walang sapat na mga pahiwatig ng teksto na magpapahintulot sa mga may kapansanan sa paningin na mag-navigate sa mga ito. Ngayon ang tulong ay sa daan, salamat sa isang bagong proyekto mula sa IBM's AlphaWorks na naglalayong mapabuti ang pagiging naa-access sa Web sa pamamagitan ng mga diskarte sa pakikipagtulungan n
Ang ideya ay simple ngunit napakatalino. Ang mga web developer ay may maraming sa kanilang mga plato, at kadalasan ang pagkarating ay mababa sa kanilang listahan ng mga prayoridad. Solusyon ng IBM?
Pinapayagan ng Tsina ang popular na online na laro World of Warcraft upang ma-relaunched para sa ilang mga manlalaro sa bansa pagkatapos ng mga linggo offline, ngunit nangangailangan pa rin ito ng mga pagbabago sa hindi kanais-nais na nilalaman ng laro. pinapayagan na i-restart ang mga operasyon sa Hulyo 30, halos dalawang buwan matapos ang downtime nito ay nagsimula, ngunit ang mga nakarehistrong manlalaro lamang ang pinahihintulutan na maglaro, sinabi ng state media late Martes.
World of Warcraft sa una ay naka-offline habang Blizzard Entertainment, ang tagalikha ng laro, inilipat ang mga lokal na operator sa Chinese Internet company NetEase. Ngunit nangangailangan ang China ng mga bagong operator ng mga dayuhang online game na mag-aplay para sa isang lisensya at isumite ang mga laro para sa screening ng nilalaman. Ang World of Warcraft ay hindi pinahihintulutan ng isang ganap na muling paglunsad hanggang ang prosesong ito ay nakumpleto.
Ang FTC noong Miyerkules ay inihayag na pinalawig nito ang pansamantalang pag-withdraw ng kaso laban sa antitrust laban sa Intel sa loob ng dalawang linggo habang ang dalawang panig ay nagpapatuloy sa mga talakayan sa pag-aayos. Ang unang FTC ay nagsuspinde sa mga legal na aksyon sa Hunyo 21, at ang bagong extension ay magbibigay ng mga pag-uusap sa pag-uusap hanggang Agosto 6. Ang isang ipinanukalang kasunduan ay nasa talahanayan, sinabi ng FTC sa isang pahayag.
Ang FTC noong Disyembre ay nagsampa ng isang kaso ng antitrust laban sa Intel, na nagcha-charge sa pinakamalaking tagagawa ng computer chip sa iligal na paggamit ng kanyang nangingibabaw na posisyon sa merkado upang pigilin ang kumpetisyon at palakasin ang kanyang monopolyo sa loob ng isang dekada. Sinasabi ng FTC na ang Intel ay nagsagawa ng isang "sistematikong kampanya" upang ihiwalay ang access ng mga rivals sa marketplace. Ang depinisyon ng FTC na sumulong sa isang kaso laban sa Intel ay du