Приватная рассылка Vendor-Sec, которая используется поставщиками дистрибутивов Linux и BSD для обсуждения и оперативного исправления уязвимостей в системе безопасности до того, как информация об этих уязвимостях будет обнародована, был взломан злоумышленниками. Согласно сообщениям модератора рассылки Маркуса Мейсснера (Marcus Meissner), 20 января он обнаружил, что сервер, с которого ведется рассылк материалов, был взломан, а весь почтовый трафик просматривался злоумышленниками. Сколько времени взломщики имели доступ к списку рассылки до обнаружения вторжения, неизвестно. Заблокировав использованный взломщиками бэкдор, Маркус Мейсснер опубликовал информацию об этом в рассылке oss-security, порекомендовав разработчикам временно воздержаться от публикации критической информации в списке рассылки. По имеющимся сведениям, сервер lst.de, который использовался для рассылки, имел ряд общеизвестных уязвимостей, которые администраторы сервера не устраняли регулярными обновлениями, поскольку у владельцев «не было для этого времени». Сразу после публикации письма Маркуса Мейсснера о взломе в рассылке oss-security, скомпрометированный сервер был повторно взломан, а установленное на нем ПО было уничтожено, что позволило злоумышленникам удалить все следы своего пребывания. В результате сервер был закрыт, а список рассылки прекратил свое существование. Вопрос о дальнейшей судьбе Vendor-Sec в настоящее время еще не решен. Список рассылки Vendor-Sec существовал более 10 лет, число его активных подписчиков, среди которых были представители всех ведущих дистрибутивов Linux и BSD, составляло около 100 человек. Но в последние годы его эффективность и сама необходимость его существования многими ставилась под сомнение. В частности, с критикой идеи закрытого обсуждения обнаруженных в системе уязвимостей до их обнародования выступал сам Линус Торвальдс (Linus Torvalds). По мнению Линуса Торвальдса, полная открытость и прозрачность - это ключевая особенность свободного ПО. Открытость в любом случае более эффективна, чем закрытость, и обеспечение безопасности – не исключение. Согласно статистике уязвимостей, обнаруженных благодаря Vendor-Sec за последние несколько лет, которую опубликовали разработчики Red Hat, прослеживалась явная тенденция к снижению эффективности этого инструмента.
Источник