Kernel.org padł ofiarą ataku
- Dodano: 1 września 2011
- Wprowadził: Marcin Karpezo
- Komentarze: 52
Na stronie repozytorium kodu Linuksa pojawiła się notka informująca o wykryciu ataku hackerów na serwery należące do infrastruktury kernel.org. Najprawdopodobniej, dzięki rozproszonemu systemowi kontroli wersji Git kod źródłowy jądra systemu nie został naruszony.
Według informacji które opublikowali administratorzy, hakerom udało się uzyskać dostęp do kont z uprawnieniami superużytkownika, droga którą to osiągnęli wciąż jest jeszcze nieznana. Zmodyfikowano pliki związane z ssh, wprowadzono trojana do plików startowych systemów. Logowano poczynania użytkowników korzystających z serwerów do 28 sierpnia kiedy wykryto włamanie.
Trojan został wykryty poprzez komunikat o błędzie Xnest związanego z /dev/mem na maszynach bez zainstalowanego Xnesta. Okazuje się również, że wydanie kernela w wersji 3.1-rc2 mogło zablokować kod wprowadzający zmiany w repozytorium. Póki co nie wiadomo czy było to działanie zamierzone, efekt uboczny, czy kolejna łatka (bugfix).
Wszystkie serwery na których wykryto ślady włamania zostały wyłączone z infrastruktury w celu stworzenia backupów oraz wykonania kompletnej reinstalacji systemu. Podobny proces przejdą wszystkie komputery działające w ramach kernel.org. Trwa proces odnawiania danych dostępowych dla wszystkich 448 użytkowników kernel.org. Odpowiednie służby w USA i Europie zostały poinformowane o włamaniu i wezwane do pomocy w prowadzeniu dochodzenia.
Trwają analizy kodu w repozytorium oraz paczek, mające potwierdzić brak niebezpiecznych modyfikacji. Najprawdopodobniej jednak dzięki systemowi kontroli wersji Git w repozytoriach, w których każdy z ponad 40 tys plików jest zabezpieczony za pomocą kryptograficznej funkcji skrótu SHA-1 i znajduje się na maszynach tysięcy deweloperów jądra nie doszło do żadnych szkód.
Więcej informacji: http://kernel.org
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze (RSS) | Trackback (URI)
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
52 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Pewnie chcieli wykraść źródła kernela
good point
Właśnie przyszedłem do pracy i oplułem sobie klawiaturę kawą
"Wszystkie serwery na których wykryto ślady włamania zostały wyłączone z infrastruktury w celu stworzenia backupów oraz wykonania kompletnej reinstalacji systemu."
Kiepska kolejność działań – backupy robi się przed włamem, po włamie robi się reinstalację i odtworzenie danych z kopii zapasowych. W pierwszej chwili myślałem, że autor notki się pomylił, ale nie – w oryginale też napisali "we have currently taken boxes off line to do a backup and are in the process of doing complete reinstalls".
Jak nie będziesz miał backupu po włamaniu i przeinstalujesz wszystko to jak się dowiesz w jaki sposób się włamali ?
Ja bym nie polemizował z Torvaldsem na temat administracji systemem który "napisał"
LOL? Poważnie uważasz, że LT ma jakiekolwiek pojęcie o administracji systemami? I na czym opierasz swą wiarę, że jest osobą technicznie odpowiedzialną za kernel.org? Inna sprawa, że jeśli jest uberadminem to widać nie aż takim super skoro dał się zrobić jak dziecko:<
Backup "po włamie" robi się po to, aby przeanalizować działania włamywaczy i w czasie trwania tej analizy nie blokować normalnego działania serwera
a moglo byc tak fajnie jedno wspolne haslo dla wszystkich na ssh
ssh nie jest częścią kernela.
Chyba nie zrozumiałeś dowcipu. Chodzi o hasło do podmienionego SSH.
Włamali się na "super-bezpieczny" system ołpen sorsowy? Być nie może
Co na to mr OandO ?
"super-bezpieczny" nie oznacza "nie do przełamania"
Złamali system? Czy użytkownika?
Jeśli oceniasz to już w tej chwili, gdy szczegóły ataku nie są znane, to świadczy to tylko o twojej niewiedzy w temacie i chęci siania FUDu.
Zlamali Linuksiarza? Nieslychane. A ja myslalem, ze tylko Windziarze to looserzy.
Złamali windziarza. W końcu pracownik MS też dodaje łatki do kernela (nawet news o tym był tutaj). Tak więc drogą dedukcji, bez dostępu do żadnych danych, bez ujawnienia żadnych szczegółów już wiem kto powinien za to beknąć. Bo to zawsze wina Microsoftu
nawet jeśli złamali 'użytkownika', to jak potem uzyskali sobie wyższe uprawnienia ?
Trzeba bacznie obserwować secunię i podobne. Niedługo powinno się coś pojawić merytorycznego na ten temat. Teraz zagadka: poszło coś w samym jajku czy w otoczeniu (jeśli tak – to jak bliskim)?
Osobiście uważam, że w końcu włamią się wszędzie.
NIKT nie jest w stanie się obronić.
WINTER IS COMING
Nie łapię.
Mogę tylko dodać tyle, że skoro chińczycy włamują się do amerykańskich firm zbrojeniowych i RSA to chyba faktycznie nie ma czegoś takiego jak "forteca nie do zdobycia" ─ wszystko może paść, niezależnie od tego jak bardzo paranoiczne zasady się stosuje. Te systemy są po prostu zbyt skomplikowane by nie mieć słabych punktów.
Bo nie jesteś Starkiem, ani nawet Snowem.
Dziękuję; już myślałem, że dowcip zbyt hermetyczny, i nie przejdzie.
Pewnie jak zwykle najsłabszym użytkownikiem jest człowiek.
Noo, silniejszym użytkownikiem jest słoń
Oczywiscie, jak wlamuja sie do windy to wina nedznego systemu.
A jak do linucha to oczywiscie wina nie linucha tylko czlowieka,
krowa wszak musi pozostac swieta.
Troche bełkotliwy ten news.
W zasadzie ogólne tłumaczenie notki oficjalnej z kernel.org…
Woda na młyn dla łindołsowych troli.
Raczej bat na nich.
Każdy kto wypowie się negatywnie o zabezpieczeniach Linuksa na podstawie tego włamania zanim poznamy szczegóły ataku, automatycznie zrobi z siebie idiotę.
Bo winny mógł być (jak zwykle) użytkownik.
No ale poczekamy, zobaczymy.
Jak się czyta Twoje komentarze to można boki zrywać. Skąd Ty się urwałeś z jakieś innej bajki?.
Jak włam na Windows to winny system – za każdym razem to piszesz bez zastanowienia co i jak – jak włam na Linux to winny człowiek.
Włam na windows najczęściej jest przez system, albo dostarczone oprogramowanie: pendrive w windowsie z pełnym prawem zapisu do urządzenia blokowego dla usera, błedy w obsłudze FAT, dokumenty w msoffice rojące się od robaków, dziury w IE otwierające furtkę wirusom, błedy w windows media player pozwalające na wykonanie kodu z filmu lub strumienia, itd.
Takich błedów nie ma w Linuksie, a jak czasem zdarzy się w przeglądarce, to rzadko i jest szybko łatany.
Zapomniałem jeszcze o błędnie zaprojektowanym UAC, który jest bardziej zagrożeniem niż zabezpieczeniem: http://www.pretentiousname.com/misc/win7_uac_whit…
Procesach użytkownika, np. explorer.exe, mogących (a z powodów błędów projektowych windowsa – muszących) samoistnie uzyskiwać uprawnienia praktycznie do wszystkiego.
No i oczywiście ukrywaniu rozszerzeń plików, dzięki któremu plik.jpg.exe z ikoną jpg jest w stanie oszukać każdego użytkownika.
news o linuksie a ty znowu cos tam bełkoczesz o windowsie, czyzby jakies natręctwo?
Ależ to anty zaczął pisać o windowsie i porównywać do Linuksa. To sprostowałem to porównanie.
ale on nic nie porównywał, stwierdził tylko tak oczywisty fakt jaki jest twoja herezja i oszołomstwo któremu dajesz ciągle wyraz. za każdym razem jak błąd w linuksie to winny człowiek, a jak w windowsie to zawsze winny system.. gdzie tu porównanie jednego do drugiego?
Ok, powiedzmy, że to porównanie było w domyśle, bo wg niego do obu systemów należy podchodzić tak samo, czyli nie winić systemu albo nie winić człowieka (nie wiem, nie doprecyzował, tylko po prostu chce wrzucić wszystko do jednego worka).
Patrząc od drugiej strony:
Po prostu udowodniłem mu, że "jak włam na Windows to winny system", natomiast Linux nie ma takich błędów, więc najczęściej błąd popełni człowiek.
Ale kicha ten linuks.. błąd na błędzie tylko włamywać się, niemniej dobrze, że serwer, a nie prywatny komputer Kowalskiego z jego ścisłe tajnymi dokumentami.
http://twitter.com/#!/SecureTips
Włamali się na kernel.org, ale kernel jest na GIT-cie. Kurde, niby każdy ma dostęp, ale naprawdę ciężko jest wprowadzić tam kod tak, żeby nikt się nie zorientował.
"Każdy" to i tak nic tam nie wprowadzi bez zostawiania tony logów.
Ale tu nawet jako root nie da się tego zrobić dzięki rozproszonej architekturze gita.
To dobitnie potwierdza mit bezpieczeństwa linuksa.
To włamanie przypomina nieco "włamanie" do publicznego parku w niedzielny poranek. A włamywacze nie mogą się nadziwić, że jest taka "konkurencja"
.
, ktoś śmiał zbeszcześcić! Żeby nie powiedzieć sprofanować"…!!! A potem usiądą i nie spoczną…
Było wiele dyskusji jak powinien być zarządzany projekt jądra, kto i na jakich prawach może dodawać kod, etc. Jak widać projekt przez to, że jest otwarty jest dobrze nadzorowany. Wyobraźmy sobie, że to nie jest otwarty kod. Ciekawe ile czasu zajęłoby przejrzenie kodu pod kątem ingerencji?! A tak teraz "na wyścigi" będzie się ten proces toczył w niepoliczalnej ilości miejsc. Wszak wielu poczuje się tą sytuacją poważnie dotkniętych i to osobiście! Zapytają w umyśle samych siebie… " Jak to! Mój super kodzik, który tak dopieściłem, a Torvalds i inni tyle czasu krytykowali
Podejrzewam, że takie włamania przydałyby się częściej. Po tym wszystkim pojawi się zapewne sporo poprawek i modyfikacji wynikłych z analizy kodu pod kątem ingerencji.
Dzięki gitowi nie będzie potrzebna żadna analiza kodu.
W przypadku wykrycia zmian ja byłbym ciekawy dlaczego tak a nie inaczej to i owo zostało zmienione. Myślę, że nie jestem odosobnionym "przypadkiem". W kodzie jądra jest kilka miejsc gdzie zmieniając kod można byłoby sobie wiele ingerencji "ułatwić". Spora część tego kodu nie jest modyfikowana systematycznie. Wszak przecież nie dzieje się tak, że co nowe wydanie jądra to każdy moduł jest ruszony.
Tu nie chodzi o odtworzenie zawartości kernel.org a o cel działania, którego efektem jest całe zamieszanie. A poza tym od chwili włamania do jego wykrycia zraczej nie upłynęła jedynie 1ms. Jeśli ktoś pobrał zmienioną paczkę źródeł jądra to ją pobrał i już.
Dystrybucje nie tylko, że nie używają najnowszych jąder to jeszcze nie zawsze jądra zawarte w dystrybucjach są "waniliowe" a mniej lub bardziej modyfikowane. Dodatkowo wydane pewien czas temu jądra są wersjami "zamrożonymi", których nikt nie rusza. Dlatego jeśli ktoś by się chciał pokusić o ingerencję w kod to powinien właśnie te wybrać a nie nowe jądra gdzie różni ludzie grzebią różne rzeczy.
Tyle, że w zamrożonym jądrze (branchu) wszelkie zmiany są od razu podejrzane
W kodzie produkcyjnym wszystko zależy od podziału zadań, ale raczej każdy sprawdzi kto dodał jakiś kawałek kodu do tego nad czym pracuje. Problemem mogą być kawałki nad którymi nikt nie pracuje, jak nie było konfliktu przy łączeniu kodu (merge) to pewnie niewielu zajrzało co tam jest. Ale sądzę, że ktoś sprawdza każdy nowy kod (i jego autora) dodany do wersji finalnej.
Mnie zastanawia tylko jedno: na co komu tam się włamywać. Chyba tylko sława crackera który wbił się na niezawodny, sławny serwer, bo w kodzie namieszać nie ma szans. No chyba, ze Stellmanowi zamarzyło się wrócić do czasów, kiedy nie potrzebowano zabezpieczać systemów, bo żyli sami kochający się altruiści
Stallman nie tęskni za kochającymi się altruistami, on tęskni za czasami gdy bezpieczeństwo było zapewnione przez fakt, że wszyscy byli uzbrojeni. Niestety działa to tylko wtedy, gdy wszyscy użytkownicy się znają (bądź mogą się szybko znaleźć) i do tego mają odpowiednią wiedzę i umiejętności…
ironia? (to co ja napisałem, żeby była pewność)
Wam też już kernel.org nie działa drugą dobę z powodu: "Down for maintenance"?
Jestem pracownikiem polskiego oddziału pewnej firmy a ten (i każdy następny) mój wpis jest sponsorowany. Moje doświadczenie z systemami linuksowymi wynosi 6 lat. W firmie stykamy się z nimi nieustannie, bo konkurencję trzeba mieć na oku. Nawet udało nam się wykraść kod źródłowy Linuksa emacsem przez sendmail!
W Polsce udział Linuksa wynosi około 0,69% (wg różnych serwisów waha się od 0,5% – 1%), w skali globalnej natomiast jest to 1,02% (niektóre serwisy podają 2%). Czytając jakikolwiek polski portal o tematyce okołokomputerowej można odnieść wrażenie, że udział systemu spod znaku pingwina sięga co najmniej 30%.
Tego systemu nie można skrytykować na żadnym portalu, forach, ani gdziekolwiek w internecie. Wpisy są na bieżąco kasowane, użytkownicy banowani (robi tak np. portal DP, notabene sponsorowany przez Microsoft, więc ich działania są co najmniej dziwne) lub zaraz pojawiają się fanatycy pingwina i człowiek jest wyzywany i ośmieszany. Ponad to, krytykując ten najlepszy system operacyjny narażamy się na zarzuty o sponsoring, niedouczenie, zaściankową mentalność, ograniczony umysł itp. mniej lub bardziej wyszukane sformułowania.
Miażdżąca większość użytkowników tego systemu to osoby w przedziale wiekowym 15-19 lat, więc nie ma co oczekiwać zbyt dużego poziomu merytorycznego ani kulturalnego. Nikomu tak skutecznie nie udało się zniechęcić ludzi do Linuksa jak właśnie tej grupie. Czasami Linux jest używany przez studentów informatyki. Jednak oni nigdy nie wdają się w internetowe pyskówki, więc są praktycznie niewidzialni.
Korzystanie z Linuksa może powodować stopniową utratę poczucia rzeczywistości. Z czasem nabieramy przekonania, że jest jedynym słusznym rozwiązaniem. Kolejnym etapem jest przekonywanie innych na siłę, wbrew ich woli. A jak ktoś nie chce mieć Linuksa to znaczy, że coś z nim jest nie tak. W najbliższej przyszłości porozmawiamy z nim i postaramy się zmienić te jego skostniałe poglądy.
Szkoda gadać Panie Iżynierze Socjalny. Napisał Pan że zajmował się LINUKSEM prze 6 lat. Myślę, że o 60 lat za mało.
Biorac pod uwage ze kernel.org dziala od nastu lat i DOPIERO teraz udalo sie na niego wlamac mowi sam za siebie. Windowsowe serwery padaja jak muchy po kilku dniach.