20:01
6/9/2011

Włamanie do Kernel.org

Nieznani sprawcy zdobyli roota na serwerach kernel.org, służących przede wszystkim jako platforma developerska dla kodu jądra systemu Linux. Administracja kernel.org zorientowała się, że padła ofiarą ataku 28 sierpnia, ciągle jednak nie wiadomo, kiedy dokładnie nastąpiło włamanie.

Jak doszło do włamania?

Jak w e-mailiu opisującym incydent wyjaśnia główny administrator kernel.org, atakujący uzyskał dostęp do serwerów poprzez konto jednego z użytkowników, a następnie udało mu się eskalować swoje uprawnienia do poziomu roota (najprawdopodobniej dzięki wykorzystaniu jakiejś niezałatanej podatności).

Warto zauważyć, że problemy z serwerami miały miejsce już w połowie sierpnia (pojawiły się kernel panics).

Linux

Źródła jądra Linuksa nie są zagrożone

Administratorzy twierdzą, że źródła linuksowego kernela nie zostały zmodyfikowane przez włamywaczy. Duże zasługi ma tu wykorzystanie Gita do rozwoju jądra — Git generuje skróty SHA1 każdego pliku (a skróty te posiada na swoim systemie każdy z kilkuset developerów jądra).

O ile źródła nie zostały zmienione, to nie można wykluczyć, że atakujący nie podmienili patchy i tarballi, które były udostępniane na stronie kernel.org — podpisy cyfrowe dla tych paczek były generowane na jednym z przejętych serwerów. Administratcja kernel.org poinformowała, że o incydencie zawiadomiła odpowiednie służby w Europie i USA.

P.S. Tak, wiemy, że wiadomość ta jest znana już od 5 dni (o rety, rety!), ale z dziennikarskiego obowiązku warto ją odnotować.

Przeczytaj także:



18 komentarzy

Dodaj komentarz
  1. Cholera, wykradli źródła Linuksa!

    • Ou nou!!11!1

    • +1

  2. A to Ci dopiero. Pewnie już od Sierpnia ktoś im siedział na serwerze.

  3. Kiedyś musiało się to stać. Trudno, na szczęście Linux na tym nie ucierpi. Linus projektując najlepszy system kontroli wersji na świecie brał pod uwagę tego typu przypadki :)

  4. Wynieśliście się na Jowisza? Bo ostatnio taaakie lagi macie (-;

  5. Zabawne … wlamac sie do serwera z kodem jadra po to by … no wlasnie? wykrasc kod otwartozrodlowego jadra? nie, bo to nie jest projekt o zamknietych zrodlach, ktorych przechwycenie mogloby stanowic strate zyskow. Tutaj moze chodzic co najwyzej o zlosliwa i celowa manipulacje kodem tak, aby utworzyc szereg backdoorow, ale z drugiej strony sposob dzialania wskazywalby na przypadkowe, lub rozrywkowe wlamanie. Owszem, byl trojan [rootkit? jesli tak, to ukrywal procesy. Rozne zrodla roznie o tym pisza], ale sam fakt, ze zostal szybko wykryty swiadczy raczej o przypadkowym wlamaniu, niz o celowym dzialaniu. Co sie zas tyczy terminu publikacji tego newsa [sic!], to jest to sprawa autorow. Pisza o czym chca i kiedy chca. Poza tym lepiej, zeby takie informacje ukazywaly sie po czasie, ale dobrze zweryfikowane, a nie pisane na szybko i bez ladu i skladu, po czym prostowane …

    • @Henry: ze względu na sposób działania gita, nie ma możliwości dodania backdoora/czegokolwiek do kodu bez zauważenia tego przez kogokolwiek.

  6. Ciekawe kiedy na “mainstream’owych” portalach pojawią się artykuły typu “OMG WTF Linux zhackowany!!!” ;-)

  7. Mnie najbardziej interesuje to dlaczego wlamywacze, ktorzy uzyli 0day’a zeby wbic sie na serwer wrzucili na niego “trojana” ktory jest wykrywalny nawet przez rkhuntera… Innymi slowy… skoro znalezli 0day i uzyli go zeby eksplojtnac serwer to co jeszcze znalezli? Moze phalanx (z tego co pamietam czytalem ze to zostalo podrzucone ale pewnosci nie mam) to tylko dodatek, ktory ma dac adminowi cos zeby pokazac publice a niebawem nastapi 2 faza… z glebokiego ukrycia :D. A moze chcieli zeby ktos zauwazyl wlamanie i dlatego uzyli “wykrywalnej” zabawki? Schaczenie kernel.org to conajmniej +10 do lansu na dzielni…

    Swoja droga ciekawe jakie haslo mial root na serwerze? dupa123? :D

    Pozdrawiam.

    Andrzej Paranoik

    P.S. To napewno byl odwet Iranczykow za Stuxnet tylko pomylili maszyny :D

    • Kurde musze zmienic haslo do poczty..

  8. Warto jeszcze wspomnieć, że jajo wyniosło się na github.com :)

  9. Gynvael z uwteam podlinkował do ciekawego źródła, rzućcie okiem http://linux.slashdot.org/story/11/09/03/1638248/Kernelorg-Attackers-Didnt-Know-What-They-Had

  10. Co za suchar :> Za parę dni pewnie napiszecie, że źródła przeniesione na githuba tymczasowo w związku z atakami.

    • Zastanawiałem się, czy jakoś złośliwie Cię obrazić, czy może grzecznie wytłumaczyć, dlaczego chciałbym, żeby tacy ludzie jak Ty nigdy nie zaglądali na Niebezpiecznika. Doszedłem jednak do wniosku, że wkleje Ci tylko ten obrazek, licząc na Twoją inteligencje: http://cdnet.myxer.com/tn/c/530357/big/?t=20081219200933

    • @ Piotrek:

      Riposta z prawdziwego zdarzenia :D.

      Prawdziwy mezczyzna ma tylko 2 narzedzia w domu… Duct tape i wd40… Jak sie rusza a nie powinno to duct tape a jak sie nie rusza a powinno…

      @Tomasz…

      Lepiej odczekac i zweryfikowac dane zanim sie je opisze o czym swiadczy chociazby wpadka w radiu ostatnio…

      Pozdrawiam.

      Andrzej

      P.S. Dlaczego niektorym sie wydaje ze Niebezpiecznik musi zdarzyc przed wszystkimi zeby opisac jakies wydarzenie? To pewnie te same osoby ktore musza miec wszystko najnowsze i to najszybciej…

    • Wobec tego proponuję podprowadzić Urbanowi podtytuł i walnąć piękny baner “Niebezpiecznik. Dziennik Cotygodniowy”. ;)

      @Piotr Konieczny,
      jako jeden z wiernych czytelników, oświadczam, że dawno zauważyłem iż Niebiezpiecznik nie stara się być portalem szybkich newsów – i bardzo mi się to podoba. Jak dla mnie, możecie sobie pisać po miesiącu od zdarzenia, oby ciekawie i subiektywnie.

    • Slow food zyskuje popularność, to dlaczego nie slow news? A poważnie, to my piszemy na nasze potrzeby — a nie, żeby się ścigać z twitterami/rssami poszczególnych serwisów ;) Dla nas istotne jest, żeby wydarzenia pokroju włamania do kernel.org odnotować i zwrócić uwagę na ich interesujące aspekty, żeby w przyszłości móc się do tego tekstu odwołać w innych opracowaniach, które tworzymy dla naszych klientów.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: