Παραβιάστηκαν οι servers του kernel.org

dsyrmalis | Πέμ, 09/01/2011 - 09:21 | 3' | 10

Κατα τη διάρκεια του Αυγούστου ένας αριθμός απο servers του kernel.org παραβιάστηκαν. Η παραβίαση έγινε αντιληπτή στις 28 του Αυγούστου και ξεκίνησε απο το server Ήρα (HERA). Λόγω της φύσης του git, το πιθανότερο είναι να μην έχουν αλλοιωθεί τα αποθετήρια που περιέχουν πηγαίο κώδικα, αλλά το θέμα είναι υπο διερεύνηση και παίρνονται όλα τα μέτρα ώστε να μην ξανασυμβεί. Τουλάχιστον όμως 448 "διαπιστευτήρια" (credentials) χρηστών έχουν παραβιαστεί. Το λογισμικό που χρησιμοποιήθηκε για την παραβίαση ήταν το Rootkit Phalanx (self-injecting) το οποίο έχει ξαναχρησιμοποιηθεί και στο παρελθόν σε τέτοιου είδους επιθέσεις. Πάντως δεν έγινε αντιληπτό για τουλάχιστον 17 ημέρες. Οι παραβιασμένοι servers έχουν βγει off-line και όλο το λογισμικό θα εγκατασταθεί απο την αρχή.
Έτσι περιγράφει το kernel.org την επίθεση:

  • Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.
  • Files belonging to ssh (openssh, openssh-server and openssh-clients) were modified and running live.
  • A trojan startup file was added to the system start up scripts
  • User interactions were logged, as well as some exploit code. We have retained this for now.
  • Trojan initially discovered due to the Xnest /dev/mem error message w/o Xnest installed; have been seen on other systems. It is unclear if systems that exhibit this message are susceptible, compromised or not. If developers see this, and you don't have Xnest installed, please investigate.
  • It *appears* that 3.1-rc2 might have blocked the exploit injector, we don't know if this is intentional or a side affect of another bugfix or change.

 

 

Δώσε αστέρια!

MO: 4 (ψήφοι: 1)

Σχόλια

Ε άμα ο Linus έχει ώς κωδικό 'i<3penguin' Tongue out
Linus admitted it was his fault.  His personal laptop password was too  easy to crack -- 'i<3penguin'

Να τονίσω ότι δεν υπάρχει πρόβλημα με τον κώδικα του πυρήνα Linux. Αυτό οφείλεται στο Git, το κατανεμημένο σύστημα διαχείρισης εκδόσεων λογισμικού που ανέπτυξε ο Linus Torvalds.

Ο κώδικας του Linux δεν φιλοξενείται σε έναν κεντρικό server (οπότε θα υπήρχε λόγος ανησυχίας, αν κάποιος έμπαινε εκεί και τα έκανε γης μαδιάμ) αλλά βρίσκεται κατανεμημένος σε όλους τους kernel developers που τον διαχειρίζονται μέσω του git. Ο Linus έχει ένα τοπικό αποθετήριο με τον κώδικα του πυρήνα σε κάθε υπολογιστή του και όλοι οι υπόλοιποι developers έχουν τα δικά τους αποθετήρια, τα οποία είναι ισότιμα με του Torvalds. Ακόμα κι αν παραβιάσει κανείς τον υπολογιστή του Linus, δεν τρέχει μία.

Το βασικό ερώτημα (και γι' αυτό η τόσο λεπτομερής παρουσίαση των γεγονότων από τους sysadmins του kernel.org) είναι τι έχει γίνει με τον κώδικα των παλιότερων εκδόσεων του πυρήνα Linux που υπάρχει στο kernel.org. Μήπως, δηλαδή, κάποιοι αλλοίωσαν σκόπιμα κάποια tarballs των προηγούμενων εκδόσεων του πυρήνα.

Ακόμα κι αν συνέβη αυτό όμως, δεν υπάρχει πρόβλημα. Για κάθε ένα από τα 40.000 αρχεία από τα οποία αποτελείται ο πυρήνας Linux, υπολογίζεται ένα «κλειδί» SHA-1, το οποίο χαρακτηρίζει με μοναδικό τρόπο το κάθε αρχείο. Οπότε από τη στιγμή που οι παλιότερες εκδόσεις έχουν δημοσιευτεί, και έχουμε τα sha-1 hashes για κάθε αρχείο, είναι εύκολο να διαπιστώσει κανείς αν έχει αλλοιώσει κάποιος τον κώδικα.

Κοιτώντας τα διάφορα σχόλια στο internet, μου φαίνεται πιο πιθανό να μπήκαν στους servers για να εκμεταλλευτούν την ισχύ τους παρά οτιδήποτε άλλο. Μην ξεχνάμε ότι κάποια από τα «μηχανάκια» που φιλοξενούν το kernel.org και τα Archives του Linux, είναι σωστά θηριάκια:

"Quad Core E5550 Xeon,144GB RAM και 66 x 300GB HDD"

Ναι καλά διαβάσατε: 66 x 300 GB ήτοι 19,8 Terrabytes. :)

dimitris] Μήπως, δηλαδή, κάποιοι αλλοίωσαν σκόπιμα κάποια tarballs των προηγούμενων εκδόσεων του πυρήνα.

Κάτι τέτοιο θα είναι πολύ εύκολο να διαπιστωθεί. Εδώ και πολύ καιρό όλα tarballs των εκδόσεων συνοδεύονται με pgp sigs.

Η παραβίαση έγινε από την κατοχή (άραγε με ποιον τρόπο;) των διαπιστευτηρίων ενός χρήστη.

Αυτό είναι πολύ ύποπτο. Αλλά ας μην κάνουμε φανταστικά σενάρια προς στιγμήν.
Στην συνέχεια είναι άξιο λόγου πώς από το επίπεδο user πέρασαν κάνόντας exploit σε λογαρισμό root.
Και αυτό είναι ένα ερώτημα εύλογο.

Αναμένουμε την συνέχεια εντός των ημερών.

Ίσως να έτρεξαν κάποιο local exploit. Απο τη στιγμή που απέκτησαν shell ήταν σίγουρα πολύ πιο εύκολο μετά. Δεν ξέρω αν το ίδιο το Phalanx λειτουργεί και σαν local exploit, εκτός απο Rootkit. Υπάρχει πάντως τουλάχιστον απο το 2008 και έχουν κυκλοφορήσει αναθμισμένες εκδόσεις του. Σαν ιδιότητες-λειτουργίες έχει τα εξής: file hiding, process hiding, socket hiding, a tty sniffer,  tty connectback-backdoor και auto injection on boot. Απο ότι βλέπω είναι γραμμένο σε Python.

To ενδεχόμενο να είχαν τους κωδικούς δεν περνάει από το μυαλό μας?

Εκτός αν υπάρχει κάποιο zero day, είναι δύσκολο να είχαν κάποιο remote root exploit και να απέκτησαν κατευθείαν πρόσβαση. Ή είχαν κωδικούς ή με κάποιο τρόπο τους απέκτησαν. Τώρα για το πως, μόνο σενάρια μπορούμε να κάνουμε προς το παρόν.

Ψάξτε ποιος μπορεί να βγει ωφελημένος από αυτήν την κατάσταση κι έχετε τον ύποπτο.