Kernel.org, il sito di distribuzione ufficiale dei sorgenti del kernel Linux, è stato l’obiettivo di un attacco informatico tra il 12 e il 28 di agosto scorso, giorno in cui sono state trovate le prime tracce dell’attacco stesso. I sorgenti del kernel – a quanto sembra da una prima indagine – non sarebbero stati compromessi.
Sul sito stesso è stato pubblicato un messaggio che riassume la situazione e che traduciamo per intero:
All’inizio di questo mese (Agosto), un certo numero di server nell’infrastruttura di kernel.org è stato compromesso. L’abbiamo scoperto il 28 Agosto. Sebbene al momento pensiamo che i repository del codice sorgente non siano stati coinvolti, stiamo verificando che ciò corrisponda a verità e stiamo migliorando la sicurezza dell’infrastruttura.
Che cosa è successo?
Degli intrusi hanno avuto accesso con privilegi di root al server Hera. Crediamo che possano avere ottenuto accesso al server mediante delle credenziali utente compromesse; il modo in cui siano riusciti a diventare root al momento non è noto ed è oggetto d’indagine.
Sono stati modficati e mandati in esecuzione file appartenenti a ssh (openssh, openssh-server e openssh-clients).
È stato aggiunto un “cavallo di Troia” agli script di avvio del sistema.
Sono stati salvati dei log sulle interazioni utente, così come del codice usato per l’exploit. Lo abbiamo mantenuto per il momento.
Il trojan è stato scoperto inizialmente a causa di un messaggio di errore di Xnest riguardo /dev/mem, in un sistema in cui Xnest non era installato; il comportamento è stato osservato anche in altri sistemi, ma non è chiaro se ci sia un legame reale con la compromissione in sé del sistema. Sviluppatori, se vedete questo messaggio e Xnest non è installato, indagate.
*Sembra* che la release 3.1-rc2 possa aver bloccato il software utilizzato per iniettare l’exploit, non sappiamo se ciò sia voluto o solo un effetto collaterale di un altro bugfix o cambiamento.
Cosa è stato fatto fin’ora
Abbiamo messo offline dei sistemi per fare dei backup e stiamo per effettuare delle reinstallazioni complete.
Abbiamo allertato le autorità statunitensi ed europee per ricevere assistenza.
Reinstalleremo da zero tutti i sistemi su kernel.org
Stiamo analizzando il codice all’interno del repository git e negli archivi tar per vedere se c’è stata o meno qualche modifca.La comunità Linux e kernel.org prendono molto sul serio la sicurezza del dominio kernel.org, e stanno effettuando quanto necessario per indagare a proposito dell’attacco e impedirne di altri in futuro. Tuttavia risulta utile sottolineare il fatto che il danno potenziale di un attacco cracker a kernel.org sia molto inferiore rispetto ai tipici repositori software, dal momento che lo sviluppo del kernel ha luogo usando il sistema di controllo versione distribuito git, progettato da Linus Torvalds. Per ciascuno dei quasi 40.000 file del kernel Linux, un hash SHA-1 viene calcolato per definire in maniera univoca il contenuto esatto del file. Git è progettato in maniera tale che il nome di ciascuna versione del kernel dipenda dalla history completa dello sviluppo fino a quel momento. Dopo la pubblicazione, non è possibile modificare le vecchie versioni senza che ciò venga notato.
Questi file e gli hash corrispondenti esistono non soltanto su kernel.org e sui suoi mirror, ma sui dischi rigidi di diverse migliaia di sviluppatori del kernel, mantainer delle distribuzioni e altri utenti di kernel.org. Un qualunque sabotaggio a un file nel repository kernel.org verrebbe immediatamente notato da ciascuno sviluppatore che aggiornasse il proprio repository personale, attività che la maggior parte di essi svolge giornalmente.
Stiamo lavorando con i 448 utenti di kernel.org affinché cambino le proprie credenziali e le chiavi SSH.
Stiamo sottoponendo a verifica tutte le policy di sicurezza adottate in modo da rendere kernel.org più sicuro, ma confidiamo nel fatto che i nostri sistemi, e specificatamente git, siano progettati in maniera tale da impedire danni derivanti da questi tipi di attacchi.
È possibile trovare qualche piccolo dettaglio aggiuntivo nel messaggio inviato da John Hawley, amministratore capo di kernel.org, alla mailing list degli utenti di kernel.org.
Che storiaccia ragazzi… addirittura Kernel.org
Qual’è l’interesse di attaccare un sito del genere? Quando già puoi scaricare tutti i Kernel che vuoi?
Non riesco a capirne lo scopo sinceramente
di Dedo - 1 settembre 2011 - 10:11
Beh, guarda, c’è pure chi si prende la briga di caricare su php.net roba protetta da copyright:
http://www.zdnet.com/blog/btl/unsecure-directory-on-phpnet-contains-blu-ray-movies-usernames-and-passwords-and-more/56642
Quanto al caso in questione, sinceramente mi lascia un po’ perplesso, ma d’altro canto cracker e black hat hacker non hanno certo etica da vendere
di Emanuele Cipolla - 1 settembre 2011 - 10:18
Credo che il motivo sia questo: attaccare un sistema iperprotetto è una vera sfida, riuscirci deve essere una grande soddisfazione per il gruppo di black hacker all’opera… (già, credo che sia difficile farlo da un singolo). In ogni caso il problema andrà a risolversi presto… La sicurezza non è mai perfetta, e questo se lo devono mettere in testa tutti.
di Alex Pailloni - 1 settembre 2011 - 10:20
Lo scopo è la pubblicità negativa per Linux.
Il messaggio che arriva ai più è: se non sono sicuri i server linux di Kernel.org allora linux non è sicuro.
Chissà chi ha da guadagnarci da questa faccenda… mah… chissà?
di Holodoc - 1 settembre 2011 - 10:22
Hanni fa hanno attaccato con successo anche i server di debian.org
Più che publicità negativa verso linux, penso sia ‘pubblicità positiva’ per loro.
di michele - 1 settembre 2011 - 10:50
Se il loro scopo è pubblicità negativa per linux, direi che si tratta di un big fail perché gli utenti con un minimo di buon senso non nasce il minimo dubbio su cosa usare sulle sue macchine. Inoltre il sistema di sicurezza adottato contro le modifiche da maggior sicurezza…
Penso anche io sia più per orgoglio personale, riuscire a violare un sito protetto solo per il gusto di averlo fatto è sicuramente una sensazione inebriante…
Ma allora perché non creare per questa gente un server ipersicuro con al suo interno solo un file di testo in cui i cracker che riescono ad accederci possono mettere la loro firma tipo: “Sanzo è stato qui!”?
Avrebbero la loro area di gioco e forse li calmerebbe oltre a divertirli
di Sanzo - 1 settembre 2011 - 11:10
Sono quelli che hanno i portatili che scaldano e le batterie che durano poco che si sono vendicati.
di telperion - 1 settembre 2011 - 12:22
@Sanzo
Sì, ma mancherebbe un pò il brivido del successo. Compro una cassaforte ritenuta impenetrabile, la faccio chiudere con una combinazione a me sconosciuta e poi mi metto a scassinarla, con successo. E’ bello ok, ma vuoi mettere l’emozione di fare la stessa cosa con il caveau d’una banca, anche se non mi interessa rubare soldi?
@telperion
Lo spero tanto sai!!!!!!!
Forse non hanno trafugato nessun dato proprio perchè nel mentre gli è finita la carica al pc XD
di abba - 1 settembre 2011 - 13:19
Anch’io penserei che è solo per orgoglio personale, se non fosse che è stato installato un malware e compromessi componenti di ssh. Non so cosa pensare, se l’avessero fatto per la gloria non avrebbero fatto alcun danno ma anzi avrebbero solo reso nota la cosa per vantarsi, dall’altra parte non mi sembra un attacco pensato per ottenere qualcosa o far danni ingenti… boh valli a capire i cracker!
di MasterPJ - 1 settembre 2011 - 13:25
Ok gli haker sono quasi sempre commissionati… detto questo non c’e interesse per qualcuno nel mettere un troian all’interno del Kernel? e se lo prende un’utente di pc desktop, laptop netbook smartphone ecc… chi glielo toglie? babbo natale? ma no, suramente no più probabile venga tolto da qualche Antivirus di qualche blasonata marca e poi comunque si demolirebbe la vecchia sicurezza Di LINUX e quindi meglio comprare cose marchiate apple tanto LINUX ha i troian…. Ecco il ragionamento che vogliono a portarci a fare Con questo attacco
di Valentino - 1 settembre 2011 - 14:14
Mah secondo me hanno tentato di iniettare codice non sicuro nei sorgenti del kernel, cosi da creare delle backdoor direttamente in tutti i kernel linux. Sai che bello controllare i server sparsi nel mondo indipendentemente dalla distribuzione installata?
di golem - 1 settembre 2011 - 14:43
evoluzione del pensiero telperion:
secondo me volevano sistemare il problema della batteria modificando i sorgenti.
di michele - 1 settembre 2011 - 15:30
Io volevo dire che questo attacco avrebbe intaccato la reputazione di linux come SO server, settore dove sta dominando. Inoltre come ha giustamente scritto golem, chi ha bucato il server ha provato ad inserire delle backdoor nel sorgente del kernel. E questo può servire a rendere linux vulnerabile a malware e quindi insicuro, a prescindere dalla distro e dalla piattafora HW!! Un hacker che usa linux non avrebbe alcun interesse a fare ciò… Non vi pare?
di Holodoc - 1 settembre 2011 - 16:27
@ golem e holodoc
Inserire delle backdor o modificare il codice avrebbe fatto scattare tutti gli allarmi visto che le varie parti del kernel sono riconosciute come non modificate grazie all’algoritmo sha-1
Modificare il kernel senza che nessuno se ne accorga non si può fare, l’intento non era sicurmente questo.
di Sanzo - 1 settembre 2011 - 16:51
@ abba
Vuoi mettere il brivido di finire in prigione o passare dei brutti quarti d’ora con le autorità con la possibilità di fare una cosa nel pieno rispetto della legalità?
Una sfida è una sfida, se i livelli di sicurezza del server per i cracker non avessero nulla da invidiare a quelle di sistemi tipo il pentagono, beh… la sfida ci sarebbe ancora e sarebbe anche un’ottima pubblicità se uno volesse anche cercare lavoro nel campo sicurezza
di Sanzo - 1 settembre 2011 - 17:30
Certo, ma purtroppo c’è a chi piace far danno solo per causare qualche casino
di abba - 1 settembre 2011 - 17:47
@Holodoc: cracker, non hacker, in quanto hacker in italiano significa programmatore (per info vedete revolution OS 1 e 2).
Personalmente ritengo che esprimere anche una sola parola su questi presunti geni sia un complimento.
di winebar - 1 settembre 2011 - 18:57
Fine di un mito! ma GNU/linux non era immune da attacchi? eco cosa significa sprecare tempo e menti per stare dietro a cose futili mangia risorse e ram e che appesantiscono le distro: KDE; GNOME 3; e cubi
di ciromix - 1 settembre 2011 - 19:09
Mi pare che tutto sia finito bene, quindi complimenti a git allo sha-1 e agli hacker di kernel.org. Manca solo che capiscano la falla usata di cracker.
di Sandro kensan - 1 settembre 2011 - 21:33
Beh se volevano davvero causare un attacco per far vedere che anche linux è vulnerabile non è che non ci siano riusciti.
di Ricky - 1 settembre 2011 - 22:55
@Ricky: si ma hanno anche inconsciamente dimostrato che il bugfixing del kernel ha eliminato la minaccia.
di winebar - 2 settembre 2011 - 00:11
Così si perderà tempo per sistemare questa burla sottraendone al vero lavoro… come se non ci fosse nulla da fare.
Spero vengano presi e condannati!
Una persona in gamba oltre al problema dovrebbe offrire la soluzione.
di Paul - 2 settembre 2011 - 13:38
Ma guardate che sono riusciti solo ad accedere al server; altro non hanno potuto fare visto che i sorgenti del kernel sono protetti con tecniche militari.
Qualunque server è bucabile; ne sanno qualcosa quelli del Pentagono e della NSA. Bisogna vedere però quanti danni si riescono a fare.
di Ponzio - 2 settembre 2011 - 14:32
@Ponzio la maggior parte di ció che è pubblico usa sistemi microfrost, un cracker di cui non ricordo il nome è riuscito a prendere dati molto sensibili dai server della NASA e ha dichiarato apertamente che ci ha messo pochissimo solo perché i server erano basati su Windows. so che Obama voleva portare tutti i PC delle amministrazioni pubbliche su GNU/Linux, ma non ho idea se poi l’abia fatto realmente e in quali amministrazioni.
@Ciromix: è solo un luogo comune che i sistemi Linux based non siano bucabili, è solo molto difficile per via del modo in cui è fatto il sistema e inoltre è difficile che un eventuale trojan riesca a colpire distro differenti per il semplice motivo che ogni distribuito potrebbe usare versioni diverse dei software. Ad esempio Fedora esce circa un mese dopo di Ubuntu e quindi il freeze dei software e delle versioni da usare avviene in tempi differenti , quindi i bug potrebbero essere diversi.
Ricorda sempre che il maggior problema di un PC sta tra tastiera e sedia, e ció vale sia per l’user medio che per il programmatore. Rimane sempre la differenza tra vhi mantiene bug aperti appositamente (vedi Microsoft) e chi lo fa involontariamente
di winebar - 3 settembre 2011 - 17:54
Pingback: Linus Torvalds sposta Linux su GitHub | Edit - Il blog di HTML.it
Un successo per Linux! Malgrado che quelli di Linux non nuotino nell’oro e non abbiano difese scintillanti i cracker sono solo riusciti ad intaccare lo scudo esterno.
Erano Cracker esperti visto che hanno cercato ogni modo possibile e forse quello che li tradisce ma di fronte ad un sistema pieno d’incognite (Linux non è mai uguale) come altro puoi fare senza un basista?
Riuscire sarebbe stato un successo per il suo concorrente OS (io sospetto!) ma adesso è il contrario!
Ciao
di ziomaul - 8 settembre 2011 - 22:32
Notate che è stato Compromesso e non Violato! Come se per un furto d’auto siano riusciti forse ad entrare ma non di accendere l’auto per rubarla.
Ciao
di ziomaul - 8 settembre 2011 - 22:34