Kernel.org padł ofiarą ataku

Na stronie repozytorium kodu Linuksa pojawiła się notka informująca o wykryciu ataku hackerów na serwery należące do infrastruktury kernel.org. Najprawdopodobniej, dzięki rozproszonemu systemowi kontroli wersji Git kod źródłowy jądra systemu nie został naruszony.

Tux Według informacji które opublikowali administratorzy, hakerom udało się uzyskać dostęp do kont z uprawnieniami superużytkownika, droga którą to osiągnęli wciąż jest jeszcze nieznana. Zmodyfikowano pliki związane z ssh, wprowadzono trojana do plików startowych systemów. Logowano poczynania użytkowników korzystających z serwerów do 28 sierpnia kiedy wykryto włamanie.

Trojan został wykryty poprzez komunikat o błędzie Xnest związanego z /dev/mem na maszynach bez zainstalowanego Xnesta. Okazuje się również, że wydanie kernela w wersji 3.1-rc2 mogło zablokować kod wprowadzający zmiany w repozytorium. Póki co nie wiadomo czy było to działanie zamierzone, efekt uboczny, czy kolejna łatka (bugfix).

Wszystkie serwery na których wykryto ślady włamania zostały wyłączone z infrastruktury w celu stworzenia backupów oraz wykonania kompletnej reinstalacji systemu. Podobny proces przejdą wszystkie komputery działające w ramach kernel.org. Trwa proces odnawiania danych dostępowych dla wszystkich 448 użytkowników kernel.org. Odpowiednie służby w USA i Europie zostały poinformowane o włamaniu i wezwane do pomocy w prowadzeniu dochodzenia.

Trwają analizy kodu w repozytorium oraz paczek, mające potwierdzić brak niebezpiecznych modyfikacji. Najprawdopodobniej jednak dzięki systemowi kontroli wersji Git w repozytoriach, w których każdy z ponad 40 tys plików jest zabezpieczony za pomocą kryptograficznej funkcji skrótu SHA-1 i znajduje się na maszynach tysięcy deweloperów jądra nie doszło do żadnych szkód.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

52 odpowiedzi na „Kernel.org padł ofiarą ataku”
  1. Awatar spdro
    spdro

    Pewnie chcieli wykraść źródła kernela

    1. Awatar Stefan
      Stefan

      good point 🙂

    2. Awatar Dominik Golba
      Dominik Golba

      Właśnie przyszedłem do pracy i oplułem sobie klawiaturę kawą 😉

  2. Awatar troll
    troll

    "Wszystkie serwery na których wykryto ślady włamania zostały wyłączone z infrastruktury w celu stworzenia backupów oraz wykonania kompletnej reinstalacji systemu."

    Kiepska kolejność działań – backupy robi się przed włamem, po włamie robi się reinstalację i odtworzenie danych z kopii zapasowych. W pierwszej chwili myślałem, że autor notki się pomylił, ale nie – w oryginale też napisali "we have currently taken boxes off line to do a backup and are in the process of doing complete reinstalls".

    1. Awatar spdro
      spdro

      Jak nie będziesz miał backupu po włamaniu i przeinstalujesz wszystko to jak się dowiesz w jaki sposób się włamali ?
      Ja bym nie polemizował z Torvaldsem na temat administracji systemem który "napisał"

      1. Awatar kutasik
        kutasik

        LOL? Poważnie uważasz, że LT ma jakiekolwiek pojęcie o administracji systemami? I na czym opierasz swą wiarę, że jest osobą technicznie odpowiedzialną za kernel.org? Inna sprawa, że jeśli jest uberadminem to widać nie aż takim super skoro dał się zrobić jak dziecko:<

    2. Awatar Konrad
      Konrad

      Backup "po włamie" robi się po to, aby przeanalizować działania włamywaczy i w czasie trwania tej analizy nie blokować normalnego działania serwera 🙂

  3. Awatar Vilk
    Vilk

    a moglo byc tak fajnie jedno wspolne haslo dla wszystkich na ssh 😉

    1. Awatar o_O
      o_O

      ssh nie jest częścią kernela.

      1. Awatar kutasik
        kutasik

        Chyba nie zrozumiałeś dowcipu. Chodzi o hasło do podmienionego SSH.

  4. Awatar Normalny
    Normalny

    Włamali się na "super-bezpieczny" system ołpen sorsowy? Być nie może 😉 Co na to mr OandO ?

    1. Awatar iron_irony
      iron_irony

      "super-bezpieczny" nie oznacza "nie do przełamania" 😉

    2. Awatar o_O
      o_O

      Złamali system? Czy użytkownika?
      Jeśli oceniasz to już w tej chwili, gdy szczegóły ataku nie są znane, to świadczy to tylko o twojej niewiedzy w temacie i chęci siania FUDu.

      1. Awatar Coward Anonim
        Coward Anonim

        Zlamali Linuksiarza? Nieslychane. A ja myslalem, ze tylko Windziarze to looserzy.

        1. Awatar Otaq
          Otaq

          Złamali windziarza. W końcu pracownik MS też dodaje łatki do kernela (nawet news o tym był tutaj). Tak więc drogą dedukcji, bez dostępu do żadnych danych, bez ujawnienia żadnych szczegółów już wiem kto powinien za to beknąć. Bo to zawsze wina Microsoftu 😉

      2. Awatar _asd
        _asd

        nawet jeśli złamali 'użytkownika', to jak potem uzyskali sobie wyższe uprawnienia ?

        1. Awatar _kj_
          _kj_

          Trzeba bacznie obserwować secunię i podobne. Niedługo powinno się coś pojawić merytorycznego na ten temat. Teraz zagadka: poszło coś w samym jajku czy w otoczeniu (jeśli tak – to jak bliskim)?

    3. Awatar herr
      herr

      Osobiście uważam, że w końcu włamią się wszędzie.

      NIKT nie jest w stanie się obronić.

      1. Awatar ttjjss
        ttjjss

        WINTER IS COMING

        1. Awatar herr
          herr

          Nie łapię.

          Mogę tylko dodać tyle, że skoro chińczycy włamują się do amerykańskich firm zbrojeniowych i RSA to chyba faktycznie nie ma czegoś takiego jak "forteca nie do zdobycia" ─ wszystko może paść, niezależnie od tego jak bardzo paranoiczne zasady się stosuje. Te systemy są po prostu zbyt skomplikowane by nie mieć słabych punktów.

          1. Awatar Gall
            Gall

            Bo nie jesteś Starkiem, ani nawet Snowem.

          2. Awatar ttjjss
            ttjjss

            Dziękuję; już myślałem, że dowcip zbyt hermetyczny, i nie przejdzie.

  5. Awatar mastier
    mastier

    Pewnie jak zwykle najsłabszym użytkownikiem jest człowiek.

    1. Awatar Darkhog
      Darkhog

      Noo, silniejszym użytkownikiem jest słoń 😉

    2. Awatar jarek
      jarek

      Oczywiscie, jak wlamuja sie do windy to wina nedznego systemu.
      A jak do linucha to oczywiscie wina nie linucha tylko czlowieka,
      krowa wszak musi pozostac swieta.

  6. Awatar Michal
    Michal

    Troche bełkotliwy ten news.

    1. Awatar morsik
      morsik

      W zasadzie ogólne tłumaczenie notki oficjalnej z kernel.org…

  7. Awatar QkiZ
    QkiZ

    Woda na młyn dla łindołsowych troli.

    1. Awatar o_O
      o_O

      Raczej bat na nich.

      Każdy kto wypowie się negatywnie o zabezpieczeniach Linuksa na podstawie tego włamania zanim poznamy szczegóły ataku, automatycznie zrobi z siebie idiotę.

      Bo winny mógł być (jak zwykle) użytkownik.

      No ale poczekamy, zobaczymy.

      1. Awatar anty
        anty

        Jak się czyta Twoje komentarze to można boki zrywać. Skąd Ty się urwałeś z jakieś innej bajki?.
        Jak włam na Windows to winny system – za każdym razem to piszesz bez zastanowienia co i jak – jak włam na Linux to winny człowiek.

        1. Awatar o_O
          o_O

          Włam na windows najczęściej jest przez system, albo dostarczone oprogramowanie: pendrive w windowsie z pełnym prawem zapisu do urządzenia blokowego dla usera, błedy w obsłudze FAT, dokumenty w msoffice rojące się od robaków, dziury w IE otwierające furtkę wirusom, błedy w windows media player pozwalające na wykonanie kodu z filmu lub strumienia, itd.

          Takich błedów nie ma w Linuksie, a jak czasem zdarzy się w przeglądarce, to rzadko i jest szybko łatany.

          1. Awatar o_O
            o_O

            Zapomniałem jeszcze o błędnie zaprojektowanym UAC, który jest bardziej zagrożeniem niż zabezpieczeniem: http://www.pretentiousname.com/misc/win7_uac_whit…

            Procesach użytkownika, np. explorer.exe, mogących (a z powodów błędów projektowych windowsa – muszących) samoistnie uzyskiwać uprawnienia praktycznie do wszystkiego.

            No i oczywiście ukrywaniu rozszerzeń plików, dzięki któremu plik.jpg.exe z ikoną jpg jest w stanie oszukać każdego użytkownika.

          2. Awatar konski_pytong
            konski_pytong

            news o linuksie a ty znowu cos tam bełkoczesz o windowsie, czyzby jakies natręctwo?

          3. Awatar o_O
            o_O

            Ależ to anty zaczął pisać o windowsie i porównywać do Linuksa. To sprostowałem to porównanie.

          4. Awatar konski_pytong
            konski_pytong

            ale on nic nie porównywał, stwierdził tylko tak oczywisty fakt jaki jest twoja herezja i oszołomstwo któremu dajesz ciągle wyraz. za każdym razem jak błąd w linuksie to winny człowiek, a jak w windowsie to zawsze winny system.. gdzie tu porównanie jednego do drugiego?

          5. Awatar o_O
            o_O

            Ok, powiedzmy, że to porównanie było w domyśle, bo wg niego do obu systemów należy podchodzić tak samo, czyli nie winić systemu albo nie winić człowieka (nie wiem, nie doprecyzował, tylko po prostu chce wrzucić wszystko do jednego worka).

            Patrząc od drugiej strony:

            Po prostu udowodniłem mu, że "jak włam na Windows to winny system", natomiast Linux nie ma takich błędów, więc najczęściej błąd popełni człowiek.

  8. Awatar konski_pytong
    konski_pytong

    Ale kicha ten linuks.. błąd na błędzie tylko włamywać się, niemniej dobrze, że serwer, a nie prywatny komputer Kowalskiego z jego ścisłe tajnymi dokumentami.

    1. Awatar konski_pytong
      konski_pytong

      http://twitter.com/#!/SecureTips

  9. Awatar SeeM
    SeeM

    Włamali się na kernel.org, ale kernel jest na GIT-cie. Kurde, niby każdy ma dostęp, ale naprawdę ciężko jest wprowadzić tam kod tak, żeby nikt się nie zorientował.

    1. Awatar o_O
      o_O

      "Każdy" to i tak nic tam nie wprowadzi bez zostawiania tony logów.
      Ale tu nawet jako root nie da się tego zrobić dzięki rozproszonej architekturze gita.

  10. Awatar ssk
    ssk

    To dobitnie potwierdza mit bezpieczeństwa linuksa.

  11. Awatar M..
    M..

    To włamanie przypomina nieco "włamanie" do publicznego parku w niedzielny poranek. A włamywacze nie mogą się nadziwić, że jest taka "konkurencja" 😀 .
    Było wiele dyskusji jak powinien być zarządzany projekt jądra, kto i na jakich prawach może dodawać kod, etc. Jak widać projekt przez to, że jest otwarty jest dobrze nadzorowany. Wyobraźmy sobie, że to nie jest otwarty kod. Ciekawe ile czasu zajęłoby przejrzenie kodu pod kątem ingerencji?! A tak teraz "na wyścigi" będzie się ten proces toczył w niepoliczalnej ilości miejsc. Wszak wielu poczuje się tą sytuacją poważnie dotkniętych i to osobiście! Zapytają w umyśle samych siebie… " Jak to! Mój super kodzik, który tak dopieściłem, a Torvalds i inni tyle czasu krytykowali 😉 , ktoś śmiał zbeszcześcić! Żeby nie powiedzieć sprofanować"…!!! A potem usiądą i nie spoczną…
    Podejrzewam, że takie włamania przydałyby się częściej. Po tym wszystkim pojawi się zapewne sporo poprawek i modyfikacji wynikłych z analizy kodu pod kątem ingerencji.

    1. Awatar o_O
      o_O

      Dzięki gitowi nie będzie potrzebna żadna analiza kodu.

      1. Awatar M..
        M..

        W przypadku wykrycia zmian ja byłbym ciekawy dlaczego tak a nie inaczej to i owo zostało zmienione. Myślę, że nie jestem odosobnionym "przypadkiem". W kodzie jądra jest kilka miejsc gdzie zmieniając kod można byłoby sobie wiele ingerencji "ułatwić". Spora część tego kodu nie jest modyfikowana systematycznie. Wszak przecież nie dzieje się tak, że co nowe wydanie jądra to każdy moduł jest ruszony.
        Tu nie chodzi o odtworzenie zawartości kernel.org a o cel działania, którego efektem jest całe zamieszanie. A poza tym od chwili włamania do jego wykrycia zraczej nie upłynęła jedynie 1ms. Jeśli ktoś pobrał zmienioną paczkę źródeł jądra to ją pobrał i już.
        Dystrybucje nie tylko, że nie używają najnowszych jąder to jeszcze nie zawsze jądra zawarte w dystrybucjach są "waniliowe" a mniej lub bardziej modyfikowane. Dodatkowo wydane pewien czas temu jądra są wersjami "zamrożonymi", których nikt nie rusza. Dlatego jeśli ktoś by się chciał pokusić o ingerencję w kod to powinien właśnie te wybrać a nie nowe jądra gdzie różni ludzie grzebią różne rzeczy.

        1. Awatar mikolajs
          mikolajs

          Tyle, że w zamrożonym jądrze (branchu) wszelkie zmiany są od razu podejrzane 🙂
          W kodzie produkcyjnym wszystko zależy od podziału zadań, ale raczej każdy sprawdzi kto dodał jakiś kawałek kodu do tego nad czym pracuje. Problemem mogą być kawałki nad którymi nikt nie pracuje, jak nie było konfliktu przy łączeniu kodu (merge) to pewnie niewielu zajrzało co tam jest. Ale sądzę, że ktoś sprawdza każdy nowy kod (i jego autora) dodany do wersji finalnej.

  12. Awatar n0rvid
    n0rvid

    Mnie zastanawia tylko jedno: na co komu tam się włamywać. Chyba tylko sława crackera który wbił się na niezawodny, sławny serwer, bo w kodzie namieszać nie ma szans. No chyba, ze Stellmanowi zamarzyło się wrócić do czasów, kiedy nie potrzebowano zabezpieczać systemów, bo żyli sami kochający się altruiści 😉

    1. Awatar @pawel_lasek
      @pawel_lasek

      Stallman nie tęskni za kochającymi się altruistami, on tęskni za czasami gdy bezpieczeństwo było zapewnione przez fakt, że wszyscy byli uzbrojeni. Niestety działa to tylko wtedy, gdy wszyscy użytkownicy się znają (bądź mogą się szybko znaleźć) i do tego mają odpowiednią wiedzę i umiejętności…

      1. Awatar n0rvid
        n0rvid

        ironia? (to co ja napisałem, żeby była pewność)

  13. Awatar __kj__
    __kj__

    Wam też już kernel.org nie działa drugą dobę z powodu: "Down for maintenance"?

  14. Awatar Inżynier Socjalny
    Inżynier Socjalny

    Jestem pracownikiem polskiego oddziału pewnej firmy a ten (i każdy następny) mój wpis jest sponsorowany. Moje doświadczenie z systemami linuksowymi wynosi 6 lat. W firmie stykamy się z nimi nieustannie, bo konkurencję trzeba mieć na oku. Nawet udało nam się wykraść kod źródłowy Linuksa emacsem przez sendmail!

    W Polsce udział Linuksa wynosi około 0,69% (wg różnych serwisów waha się od 0,5% – 1%), w skali globalnej natomiast jest to 1,02% (niektóre serwisy podają 2%). Czytając jakikolwiek polski portal o tematyce okołokomputerowej można odnieść wrażenie, że udział systemu spod znaku pingwina sięga co najmniej 30%.

    Tego systemu nie można skrytykować na żadnym portalu, forach, ani gdziekolwiek w internecie. Wpisy są na bieżąco kasowane, użytkownicy banowani (robi tak np. portal DP, notabene sponsorowany przez Microsoft, więc ich działania są co najmniej dziwne) lub zaraz pojawiają się fanatycy pingwina i człowiek jest wyzywany i ośmieszany. Ponad to, krytykując ten najlepszy system operacyjny narażamy się na zarzuty o sponsoring, niedouczenie, zaściankową mentalność, ograniczony umysł itp. mniej lub bardziej wyszukane sformułowania.

    Miażdżąca większość użytkowników tego systemu to osoby w przedziale wiekowym 15-19 lat, więc nie ma co oczekiwać zbyt dużego poziomu merytorycznego ani kulturalnego. Nikomu tak skutecznie nie udało się zniechęcić ludzi do Linuksa jak właśnie tej grupie. Czasami Linux jest używany przez studentów informatyki. Jednak oni nigdy nie wdają się w internetowe pyskówki, więc są praktycznie niewidzialni.

    Korzystanie z Linuksa może powodować stopniową utratę poczucia rzeczywistości. Z czasem nabieramy przekonania, że jest jedynym słusznym rozwiązaniem. Kolejnym etapem jest przekonywanie innych na siłę, wbrew ich woli. A jak ktoś nie chce mieć Linuksa to znaczy, że coś z nim jest nie tak. W najbliższej przyszłości porozmawiamy z nim i postaramy się zmienić te jego skostniałe poglądy.

    1. Awatar Inżynier Niesocjalny
      Inżynier Niesocjalny

      Szkoda gadać Panie Iżynierze Socjalny. Napisał Pan że zajmował się LINUKSEM prze 6 lat. Myślę, że o 60 lat za mało.

  15. Awatar radek
    radek

    Biorac pod uwage ze kernel.org dziala od nastu lat i DOPIERO teraz udalo sie na niego wlamac mowi sam za siebie. Windowsowe serwery padaja jak muchy po kilku dniach.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *