हैकर्स दो फ्रीबीएसडी प्रोजेक्ट ऐप देव सर्वर को क्रैक करते हैं

हैकर्स ने तीसरे पक्ष के सॉफ्टवेयर पैकेज बनाने के लिए फ्रीबीएसडी परियोजना द्वारा उपयोग किए गए दो सर्वरों से समझौता किया है। फ्रीबैड सुरक्षा टीम ने शनिवार को कहा कि कोई भी जिसने 1 9 सितंबर से ऐसे पैकेज स्थापित किए हैं, पूरी तरह से अपनी मशीनों को पुनर्स्थापित करना चाहिए, परियोजना की सुरक्षा टीम ने चेतावनी दी थी।

फ्रीबीएसडी.ऑर्ग क्लस्टर के भीतर दो मशीनों पर घुसपैठ का पता लगाया गया था। प्रोजेक्ट की सार्वजनिक घोषणा मेलिंग सूची पर पोस्ट किए गए एक संदेश में बताया गया है, "प्रभावित मशीनों को विश्लेषण के लिए ऑफलाइन ले जाया गया था। इसके अतिरिक्त, शेष बुनियादी ढांचे मशीनों का एक बड़ा हिस्सा सावधानी के रूप में ऑफ़लाइन भी लिया गया था।" 99

दो समझौता सर्वरों ने कार्य किया प्रोजेक्ट की विरासत तीसरे पक्ष के पैकेज-बिल्डिंग इंफ्रास्ट्रक्चर के लिए नोड्स, फ्रीबीएसडी प्रोजेक्ट ने अपनी वेबसाइट पर पोस्ट की गई एक सलाहकार में कहा।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

घटना ने केवल संग्रह को प्रभावित किया प्रोजेक्ट द्वारा वितरित तीसरे पक्ष के सॉफ़्टवेयर पैकेजों और ऑपरेटिंग सिस्टम के "बेस" घटक, जैसे कि कर्नेल, सिस्टम लाइब्रेरीज़, कंपाइलर, या कोर कमांड लाइन टूल्स नहीं।

फ्रीबीएसडी सुरक्षा टीम का मानना ​​है कि घुसपैठियों ने पहुंच प्राप्त की एक डेवलपर से चोरी की गई वैध एसएसएच प्रमाणीकरण कुंजी का उपयोग करने वाले सर्वर, और ऑपरेटिंग सिस्टम में भेद्यता का शोषण नहीं करते हैं।

भले ही टीम को थाई का कोई सबूत नहीं मिला हैकर्स द्वारा संशोधित किए जा रहे तृतीय पक्ष सॉफ़्टवेयर पैकेज, वे इस संभावना को बाहर नहीं कर सकते हैं।

"दुर्भाग्य से हम 1 9 सितंबर 2012 और 11 नवंबर 2012 के बीच स्थापना के लिए उपलब्ध किसी भी पैकेज की अखंडता की गारंटी नहीं दे सकते हैं, या किसी भी बंदरगाह से संकलित किसी भी बंदरगाह से टीम ने कहा, svn.freebsd.org या इसके दर्पणों के अलावा किसी भी माध्यम से। "हालांकि हमारे पास कोई छेड़छाड़ करने का सुझाव देने के लिए कोई सबूत नहीं है और मानना ​​है कि इस तरह के हस्तक्षेप की संभावना नहीं है, हमें आपको विश्वसनीय स्रोतों का उपयोग करके किसी भी मशीन को स्क्रैच से पुनर्स्थापित करने पर विचार करने की सलाह देना है।"

वर्तमान में फ्रीबीएसडी के सभी संस्करणों के लिए उपलब्ध पैकेज सेट टीम को कहा गया है और उनमें से कोई भी किसी भी तरह से बदला नहीं गया है।

घटना के परिणामस्वरूप, फ्रीबीएसडी परियोजना विरासत वितरण सेवाओं को छोड़ने की अपनी प्रक्रिया को गति देने की योजना बना रही है, जैसे कि सीवीएसयूपी पर आधारित अधिक मजबूत सबवर्जन प्रणाली। सलाहकार में उपयोगकर्ताओं और डेवलपर्स को अद्यतनों, स्रोत कोड प्रतिलिपि और हस्ताक्षरित बाइनरी वितरण के लिए उपयोग करना चाहिए।

यह पहली बार नहीं है जब ओपन-सोर्स सॉफ़्टवेयर प्रोजेक्ट को घुसपैठ से निपटना पड़ा क्योंकि एसएसएच प्रमाणीकरण समझौता किया गया था चांबियाँ। अगस्त 200 9 में, अपाचे प्रोजेक्ट को अपने प्राथमिक वेब और मिरर सर्वर को बंद करने के लिए मजबूर होना पड़ा था, यह पता लगाने के बाद कि हैकर्स ने कुछ सर्वरों पर दुर्भावनापूर्ण कोड अपलोड और निष्पादित करने के लिए स्वचालित बैकअप खाते से जुड़े एक एसएसएच कुंजी का उपयोग किया था।

"यह है रविवार को एक ब्लॉग पोस्ट में एंटीवायरस विक्रेता सोफोस में एशिया प्रशांत के लिए प्रौद्योगिकी के प्रमुख पॉल डकलिन ने कहा, "एक हार्दिक अनुस्मारक कि एक श्रृंखला केवल अपने सबसे कमजोर लिंक के रूप में मजबूत है।" "विशेष रूप से, कभी भी न भूलें कि आपके आंतरिक सिस्टम की सुरक्षा किसी भी और सभी बाहरी प्रणालियों की सुरक्षा से बेहतर नहीं हो सकती है, जिससे आप दूरस्थ पहुंच स्वीकार करते हैं-चाहे वे सर्वर, लैपटॉप या यहां तक ​​कि मोबाइल डिवाइस हों।"