Pagina 1 van 2

Gehackte ISO's

Geplaatst: Zo 21 Feb 2016, 03:06
door Leon
Als je op 20 februari Mint 17.3 Cinnamon gedownload hebt kan je hem beter weg gooien
http://blog.linuxmint.com/?p=2994

Re: Gehackte ISO's

Geplaatst: Zo 21 Feb 2016, 09:26
door Maik
Om het wat duidelijker te formuleren voor de mensen die niet goed Engels kunnen lezen:
Hackers zijn erin geslaagd een gemodificeerde iso te maken met een backdoor erin en hebben de website gehacked om ernaar te verwijzen. Tot nu zou het alleen gaan om Linux Mint 17.3 Cinnamon. Dit alvolgens het bericht van Clem in de blogpost.

Re: Gehackte ISO's

Geplaatst: Zo 21 Feb 2016, 11:14
door Maik
Hierbij de vertaling van Clem's blogpost met grote dank aan Topgear van het Ubuntu-NL forum:

Het spijt me dat ik slecht nieuws moet brengen.

Vandaag is er iemand bij ons binnengedrongen. Het was maar kort en het zou geen invloed mogen hebben op veel mensen, maar als het invloed heeft op jou, is het heel belangrijk dat je de informatie hieronder leest.

Wat is er gebeurd
Hackers hebben een gemodificeerde Linux Mint ISO gemaakt, met een backdoor erin, en het is ze gelukt onze website ernaar te laten verwijzen.

Heeft dit invloed op jou?
Zover als wij weten is de enige gecompromitteerde versie Linux Mint 17.3 Cinnamon edition.

Als je een andere versie of een andere editie hebt gedownload, heeft dit geen invloed op jou. Als je de ISO via torrents of via een HTTP link hebt gedownload, heeft dit ook geen invloed op jou.

De situatie deed zich alleen vandaag voor, dus het zal alleen invloed hebben op mensen die deze editie op 20 februari 2016 gedownload hebben.

Hoe check ik of mijn ISO gecompromitteerd is?
Als je de ISO nog hebt, check dan de MD5 sum met het commando "mk5sum jouwbestand.iso" (waar jouwbestand.iso de naam van de ISO is).

De correcte sums staan hieronder:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
Als je de gebrande DVD of USB stick nog in bezit hebt, start er dan een computer of een virtuele machine mee op zonder internet (zet je router uit als je het niet vertrouwt) en laat hem doorstarten naar de live-sessie.

Eenmaal in de live-sessie moet je kijken of er een bestand "/var/lib/man.cy/" is. Zo ja, dan is die ISO geïnfecteerd.

Wat moet je doen als je geïnfecteerd bent?
Verwijder de ISO. Als je de ISO gebrand hebt op een DVD, gooi de DVD dan direct weg. Als je de ISO op een USB stick gezet heb, formatteer de USB stick dan.

Als je de ISO op een PC hebt geïnstalleerd:
- Koppel de computer los van het internet.
- Als er persoonlijke data op de PC staat, maar hier dan een backup van.
- Herinstalleer het OS of formatteer de partitie.
- Verander het wachtwoord voor gevoelige websites (met name email!),

Is alles al terug bij het normale?
Nee. We hebben de server offline gehaald en we zijn nu het probleem aan het repareren.

Wie heeft dit gedaan?
De gehackte ISO's zijn gehost op IP-adres 5.104.175.212 en de backdoor verbindt met absentvodka.com.
Beiden leiden naar Sofia in Bulgarije, en de namen van drie personen aldaar. We weten hun rol hierin niet, maar als we vragen om een onderzoek, dan is dit waar het zal beginnen.

We weten niet wat de motivatie is voor deze aanval. Als er meer moeite gedaan wordt om ons project aan te vallen en als het doel is om ons te schaden, dan zullen we contact opnemen met de autoriteiten en beveiligingsbedrijven om de mensen hierachter te confronteren.

Als je hierdoor beïnvloed bent, laat het ons alsjeblieft weten!

Re: Gehackte ISO's

Geplaatst: Zo 21 Feb 2016, 16:01
door Maik
Het laatste nieuws laat weten dat hun forum ook eraan heeft moeten geloven. Alle gebruikers daar worden geadviseerd hun paswoord te wijzigen eenmaal het forum daar terug online is:

http://blog.linuxmint.com/?p=3001

Re: Gehackte ISO's

Geplaatst: Zo 21 Feb 2016, 19:51
door Robmint
Ik heb gisteren een update van 17.2 naar 17.3 gedaan (xfce) via updatebeheer. Het lijkt erop dat dat gevaarloos kon.
Evenwel voelt dit niet lekker. Het zou om een TSUMANI trojan gaan. Hoe kun je ontdekken of die op je systeem staat?

Re: Gehackte ISO's

Geplaatst: Zo 21 Feb 2016, 22:08
door Pjotr
Robmint schreef:Ik heb gisteren een update van 17.2 naar 17.3 gedaan (xfce) via updatebeheer. Het lijkt erop dat dat gevaarloos kon.
Evenwel voelt dit niet lekker. Het zou om een TSUMANI trojan gaan. Hoe kun je ontdekken of die op je systeem staat?

De pakketbronnen zijn niet aangetast, alleen de webkoppelingen naar de iso's op linuxmint.com waren gekaapt (verwezen naar een Bulgaars besmet iso). Het is beslist niet rationeel om in jouw geval een besmetting te vermoeden. :)

Re: Gehackte ISO's

Geplaatst: Ma 22 Feb 2016, 11:25
door Maik
Hier een artikel wat uitgebracht is door Zdnet waar ze schijnbaar contact hebben gehad met de hacker, is wel in het Engels:

http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/


Met al die toestanden voel je je toch heel wat minder veilig op een op Linux gebaseerde distributie, niet alleen bij Mint maar ook alle andere distributies.... Het vertrouwen in een iets veiliger besturing systeem is wat weg daar je als gewone gebruiker niet weet wat anderen zouden kunnen doen of misschien al doen zonder een hacker te hoeven zijn.

Re: Gehackte ISO's

Geplaatst: Ma 22 Feb 2016, 12:12
door Pjotr
Mr. B schreef:Hier een artikel wat uitgebracht is door Zdnet waar ze schijnbaar contact hebben gehad met de hacker, is wel in het Engels:

http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/


Met al die toestanden voel je je toch heel wat minder veilig op een op Linux gebaseerde distributie, niet alleen bij Mint maar ook alle andere distributies.... Het vertrouwen in een iets veiliger besturing systeem is wat weg daar je als gewone gebruiker niet weet wat anderen zouden kunnen doen of misschien al doen zonder een hacker te hoeven zijn.

Ik hoop dat ze die rotzak grijpen.... Al is het de vraag of de (Bulgaarse?) justitie daartoe in staat is.

Mijn vertrouwen is overigens niet beschadigd. Het werd op dezelfde dag dat 't ontdekt was, effectief ingedamd door de webstek uit de lucht te halen. Zoiets kan gebeuren; alles is te kraken en niets is geheel veilig. Zie mijn handtekening. :)

Wat ik wel belangrijk vind, zijn de reactietijd van de ontwikkelaars en de mate van openheid die ze geven. En daar hebben we in dit geval niet over te klagen.

Overigens had ik sowieso al de gewoonte, om m'n iso's rechtstreeks binnen te halen bij de NLUUG of de TU Delft. Op mijn webstekken verwijzen de webkoppelingen naar de iso's van Mint, sinds jaar en dag ook naar die betrouwbare spiegelservers en niet naar de webpagina van Linux Mint.

Re: Gehackte ISO's

Geplaatst: Wo 24 Feb 2016, 22:10
door Leon
Forum en website zijn weer online

Re: Gehackte ISO's

Geplaatst: Wo 24 Feb 2016, 23:31
door Pjotr
Leon schreef:Forum en website zijn weer online

Gelukkig. 8)

Re: Gehackte ISO's

Geplaatst: Do 25 Feb 2016, 03:17
door Joan
Het wordt enorm opgeblazen. Het is ook beslist niet gevaarlijk als de MD5 controle was uitgevoerd. Mensen hebben daar meestal geen zin in, maar wel zeuren over veiligheid van de site. Wel de smartfoons breken, maar wel mekkeren als de garantie vervalt. Wel op Whatsapp iedereen contacten, maar zeuren over privacy. Wel op Facebook, maar met een adblocker.
Alles in Linux Mint is op een normalen manier beschermt. Als men externe prog's of app's gaat installeren kunnen er makkelijk systeem problemen ontstaan.
Ik gebruik nu enkele jaren Linux Min met de meeste instellingen standaard, update via Updatebeheer en installeer normaal via Softwarebeheer en daarbij nog nooit nooit een probleem gehad.
Gewoon gebruiken wat door Linux Mint wordt aangeboden en controleren als daar mogelijkheden voor worden aangeboden "MD5".
Ga niet vertellen dat er programma's zijn die niet worden aangeboden, het kan wel zo zijn dat programma's niet het nieuwste versienummer hebben of iets anders werken. Maar wat merkt men van het verschil, de werking of de kleurtjes?

Ik moest dit even kwijt.

Re: Gehackte ISO's

Geplaatst: Do 25 Feb 2016, 09:58
door Leon
De beste manier om ISO's te downloaden is via torrents, de meeste torrent clients hebben ingebouwde foutcontrole.

Re: Gehackte ISO's

Geplaatst: Do 25 Feb 2016, 10:45
door Pjotr
Zelf haal ik m'n iso's altijd op bij een betrouwbare spiegelserver als die van de Technische Universiteit Delft. Rechtstreeks, dus niet via de webpagina van linuxmint.com.

Om die Delftse spiegelserver te vinden hoef je alleen maar de volgende zoektermen in de zoekboer te gooien:

Code: Selecteer alles

tu delft linux mint

Re: Gehackte ISO's

Geplaatst: Do 25 Feb 2016, 17:20
door Joan
Torent is niet veiliger dan de officiële sites of mirrors. Tor is wel anoniem wordt beweerd hoewel dat ook ter discussie staat.
Wat is de reden dat Leon tor de beste manier vindt?

Re: Gehackte ISO's

Geplaatst: Do 25 Feb 2016, 17:54
door Maik