Venerável baseado em BSD do sistema operacional FreeBSD distro anunciou um comprometimento do sistema deveras pequeno.
Os administradores do FreeBSD levou um grupo de servidores offline para investigar, e publicou uma conta tintim por tintim o que eles sabem sobre a violação até agora.
FreeBSD não é o primeiro sistema operacional de fonte aberta a sofrer uma invasão em seus servidores centrais.
Os desenvolvedores do Linux famosa sofreu tanto um ataque de malware e um comprometimento do servidor no ano passado que viu kernel.org desaparecer desligada por mais de um mês.
Neste caso, no entanto, a tripulação FreeBSD e seus usuários não parecem ter sofrido muito mal.
Nenhum dos repositórios chamados de base foram tocadas - que é onde os componentes essenciais, tais como o kernel, bibliotecas do sistema, compilador de linha de comando principais ferramentas e daemons (software servidor) residem. Somente os servidores que hospedam código fonte para pacotes de terceiros foram afetados.
Felizmente, a investigação até agora não apareceu nenhum pacote de software que foram infectado com trojans pelos invasores. Assim, o efeito de arrastamento do no-break provavelmente vir a ser mínima.
A razão oficial é dada como um compromisso provável de chave SSH de um desenvolvedor.
SSH ou Secure Shell, é o protocolo de acesso remoto predominante para sistemas não-Windows.
Ele suporta uma variedade de esquemas de autenticação; em muitos sistemas, administradores de acabar com todo-o-wire nomes de usuários e senhas, e optar por autenticação com base em público / privadas pares de chaves.
A idéia é que eu gerar um par de chaves e lhe enviar minha chave pública.
Após verificar com cuidado que ela realmente é a minha chave, por exemplo, com um telefonema, você carregar a minha chave pública para o servidor. Meu cliente SSH pode então usar a minha chave privada para registrar-me, o seu servidor usa a chave pública correspondente para verificar minha identidade.
Desde a minha chave privada é em si mesmo protegido por uma senha (ou deveria ser), nós continuamos a desfrutar dos benefícios de senha baseada em segurança - com a vantagem de que conhecer a minha senha não é suficiente para um atacante. Ele precisa de uma cópia física do meu arquivo de chave privada, também.
Neste caso, soa como se o atacante conseguiu roubar dois fatores de autenticação - arquivo de chave e senha - do desenvolvedor.
Este é um lembrete saudável que uma corrente é tão forte quanto seu elo mais fraco.
Em particular, nunca se esqueça de que a segurança de seus sistemas internos podem muito bem ser melhor do que a segurança de todos e quaisquer sistemas externos - se os servidores, laptops ou até mesmo dispositivos móveis - a partir do qual você aceitar acesso remoto.
![Have your say - LulzSec: helpful, harmless or hideous? [VOTE NOW]](http://sophosnews.files.wordpress.com/2013/05/lulzsec-poll-thumb.jpg?w=75&h=75&crop=1)
![Password security infomerical leaves Ellen DeGeneres in disbelief.. and it will you too [VIDEO]](http://sophosnews.files.wordpress.com/2013/04/ellen-thumb.jpg?w=75&h=75&crop=1)
![Can multiple moving cursors really hide your password from spyware and peepers? [VIDEO]](http://sophosnews.files.wordpress.com/2013/03/cursors-thumb.jpg?w=75&h=75&crop=1)
![Hacked TV channels broadcast zombie apocalypse emergency alert [VIDEO]](http://sophosnews.files.wordpress.com/2013/02/zombie-thumb.jpg?w=75&h=75&crop=1)
