Вопрос

Кстати в Gentoo там порывались тоже рассказать "The method used to gain access to the box remotely is still under investigation. We will release more details once we have ascertained the cause of the remote exploit." © http://www.gentoo.org/security.....a/glsa-200312-01.xml но не видно где они рассказали.

A Trojaned version of OpenSSH package has been found to reside on ftp.openbsd.org's server. The Trojaned version allows remote attackers to completely compromise the security of the server running the Trojaned copy.

http://www.mavetju.org/unix/openssh-trojan.php
http://www.derkeiler.com/Maili.....am/2002-08/0003.html
http://seclists.org/incidents/2002/Aug/0009.html

Actually, it's possible, that also other machines at openbsd.org were
compromised (dns servers? Cvs.openbsd.org?). Recently we had complains
about some malicious IRC activity originating from cvs.openbsd.org,
which was possibly cracked or DNS spoofed.

А где можно официальный отчёт о взломе почитать?

Пошла жара! Конкурс: кто найдёт больше сообщений о взломах серверов чужого дистрибутива. :-))

Типа вот оно:
http://article.gmane.org/gmane.os.openbsd.announce/32

Пошла жара! Конкурс: кто найдёт больше сообщений о взломах серверов чужого дистрибутива. :-))

Да, вытащим на свет все скелеты из шкафов! У Debian'а хоть пакеты не пострадали в двух взломах и кажется малоиспользуемые пакеты в третьем. А тут такой важный пакет затроянили.

OpenSSH Trojan Attributed to "People Problem"

Secrecy in the wake of the recent discovery of Trojan-tainted OpenSSH code has caused security mailing lists to hum with speculation as to how the compromise occurred. Users believe that the nature of open source holds it to a high level of accountability and want answers. Though not confirming any theories, OpenSSH founder Theo de Raadt alludes to a "people problem" at the root of the compromised code. "Our group tries really hard to make our code secure, but we're dealing with a lot of developers," says de Raadt. "Every developer we add is a potential security problem for us and increases the risk to our infrastructure."

http://infosecuritymag.techtar.....igest12.shtml#brief1

De Raadt отказался давать отчёт о подробностях взлома. И заметили его со стороны, а не изнутри, когда троян уже стал расползаться по зеркалам.

Я же сказал – мигрирую, чайник – я.
Звиняйте что вмешиваюсь, но как проверить MD5 суммы если у меня на руках ( как я уже сказал ) не ISO образ а прожённые DVD?
На дисках есть неподписаный md5sum.txt, и собственно нет особых оснований ему доверять.
Возможно-ли самостоятельно закатать DVD в ISO и сравнить контрольную сумму?
Где-же взять этот md5sum.txt на пакеты ( меня ссылка конктетная интересует)?

$ dd if=/dev/cdrom | \ > head -c `stat --format=%s debian-40r0-i386-DVD-1.iso ` | \ > md5sum

Это надо сравнивать с тем, что на странице http://cdimage.debian.org/debi.....4.0_r0/i386/iso-dvd/

gpg --verify MD5SUMS.sign MD5SUMS

См.: http://www.debian.org/releases.....i386/ch05s03.html.ru

Но нужна чистая система и доверенные ключи.

Гну тоже сломали:
http://www.securitylab.ru/news/213393.php
Кстати, кто не знает: openbsd.org хостица на соляре, и потому не совсем ясно: ломали ли вообще что-то OpenBSDшное когда-либо или нет. Я когда-то давно, не помню от кого, слышал байку о том, что в доисторические времена "... NetBSD-team ломало Раддата, причём используя ту узявимость, котороая была как в NetBSD, так и в OpenBSD; после же успешного взлома OpenBSD у самих NetBSDшников эта уязвимость ещё некоторое время оставалась открытой... "

Возможно-ли самостоятельно закатать DVD в ISO и сравнить контрольную сумму?

Ужас, дайте ему кто-нибудь алгоритм как проверить чексуммы под виндой (и какими программами), а то слова "из под чистой доверяемой системы" слишком страшно звучат.
ЗЫ: личное имхо, что вероятность получить троянский дистр слишком мала: linux – это не тот софт который сейчас интересно троянить, хакеры массово ориентированы покамест на винду. Более того, я ни разу в жизни не слышал о массовых инфекциях каких-либо репозитариев _открытого_ софта, если не считать инцидент про openbsd в этой ветке.

Здесь про взлом Debian-2003 хорошо написано, со вкусом (как происходил взлом в реальном времени):
http://www.debian.org/News/2003/20031202
– читал как захватывающий детектив ;-)
Кто-нибудь даст ссылку на взлом сервеов NetBSD и FreeBSD? ;-) А то я что-то не вижу. Неужели NetBSD в стороне от всего этого?

linux – это не тот софт который сейчас интересно троянить, хакеры массово ориентированы покамест на винду.

Целенаправленно могут. Мало ли чем господин berkyt4 в жизни занят.

Есть два принципиальных момента: проверить суммы всех пакетов на диске легко, но недостаточно. Есть ещё загрузчик диска (isolinux) и собственно инсталлятор.

Второе: Надо считать сумму всей исошки, но не все приводы корректно дают считать сумму записанного диска. У некоторых одна несовпадает, причём непонятно почему (скажем в одном случае из 10). Хотя если на тот же диск (cd-dvd-rw) записать другой образ и считать в этом-же приводе, то всё совпадёт. Под Win думаю ситуация ещё хуже. Некоторые программы отказываются писать "нестандартные" исошки или вписывают в них свои заголовки.

Целенаправленно могут. Мало ли чем господин berkyt4 в жизни занят.

Читал историю о том, как узнав о редких музыкальных предпочтениях "клиента" был создан специальный сайт, торгующей музыкой именно этого направления, на котором этот человек и сподобился заказать диск...

Читал историю о том, как узнав о редких музыкальных предпочтениях "клиента" был создан специальный сайт, торгующей музыкой именно этого направления, на котором этот человек и сподобился заказать диск...

Вот именно поэтому мы всегда качаем музыку бесплатно и с бесплатных сайтов ;-)

возможно ли "встроить" в дистриб. троян ?

Естественно, но не имеет смысла. Ведь он там уже есть.

безопасно ли выходить в сеть с такой системой ?

Не думаю. Я бы не стал.