Slashdot - Na spletni strani kernel.org so sporočili, da so 28. avgusta odkrili napad na stran, ki je bil izveden pred dvema tednoma in je ves čas napadalcem omogočal nepooblaščen dostop. Škode ali posledic za uporabnike Linuxa ni.
Ugotovili so, da so neznani napadalci 12. avgusta pridobili dostop do strežnikov, na katere so namestili rootkit Phalanx. Najprej so pridobili administratorski (root) dostop do strežnika Hera, kar so najverjetneje izvedli z uporabo ukradenega uporabniškega imena in gesla (pridobili naj bi 448 gesel za dostop prek SSH). Ni še znano, kako so uspeli izvesti eskalacijo privilegijev do absolutnega dostopa root. V zagonske skripte so nato dodali trojanskega konja, ki je ostal neodkrit 17 dni.
Čeprav je na kernel.org centralni repozitorij za Linuxova jedra, večje škode ni. Škodljivo programsko opremo so že odstranili, dostop do onemogočili, prav tako pa so skupaj z evropskimi in ameriškimi organi pregona začeli preiskavo. Analiza kode kaže, da napadalci niso mogli poseči v repozitorije git zaradi same narave gita. Izvorna koda Linuxa tako ni bila kompromitirana.
Verjetno nisem edini, ki ne ve kaj je APT v tem primeru. Google pa za Windows + APT vrne same (verjetno) ne-relevantne rezultate. Bi mi lahko prosim namignil kje naj iščem razlago?
Kaj se pa tiče same novice pa mi je všeč ta ideja da. Se pravi da zasnuješ sistem tako, da je vdor v "ponudnika gostovanja" šele prva premagana ovira... ker te stvari se pač dogajajo in se bodo še dogajale.
Ne pozabimo, da Kernel.org še vedno nima odgovora na to, kako so zlikavci prišli do root dostopa. Dokler to ne bo jasno odkrito in pojasnjeno, je Linux svet (vsaj trenutno) na precej majavih temeljih.
Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.
Če je slučajno kje drugje razloženo kako so prišli do root dostopa, naj nekdo prosim polinka. Za kernel.org je seveda najmanj boleče enostavo reči, da je nekdo ukradel gesla (npr. social engineering), ker potem še vedno lahko ljudstvu servirajo zgodbice o varnosti samega kernela.
Ne pozabimo, da Kernel.org še vedno nima odgovora na to, kako so zlikavci prišli do root dostopa. Dokler to ne bo jasno odkrito in pojasnjeno, je Linux svet (vsaj trenutno) na precej majavih temeljih.
Za to ker se je "uspešno vlomilo" v eden strežnik? Zakaj pa ne padejo potem vsi, če je to tako enostavno?
Glede tega, da posledic zaradi tega napada za uporabnike ni, pa je to mišljeno v smislu, da je sistem zasnovan na način, da je vdor v strežnik "vračunan" torej, da je koda še naprej bolj ali manj "na varnem".
Bo pa zanimivo slišati "vzrok" da, če ga bodo našli, katero "ranljivost" je napadalec izkoristil.
Saj to je ravno hec, ker najverjetneje sploh ni šlo za "vlom" ampak za vstop. Kot da bi nekdo prišel skozi vrata s ključem. Če gre dejansko za vdor v sistem potem pa še toliko slabše. Ampak pustimo to. Osredotočimo se na local root exploit na zadnji verziji uradnega kernela. Kako? Zakaj tega nihče ne pojasni? Je z zadnjo verzijo to popravljeno? Seveda ni, ker niti ne vejo kako je napadalcem to uspelo.
Štala bo, ko se bo nekdo odločil objaviti source za omenjen local root exploit. Tale šala s kernel.org jim je kar dobro uspela. Naravnost čudim se, da še nismo na deseti strani debate, ker bi v primeru enakega odkritja na najnovejšem Windows kernelu najverjetneje bili že dlje.
Posledic za uporabnike ni, sedaj je padla naslednja domina - LInux.com.
All servers run by the Linux Foundation are offline while the administrators do complete re-installs. Compromise is believed to be connected to the breach of kernel.org
The Foundation says that it believes the breach is connected to the security breach at kernel.org at the start of September.
Torej morda gre za teorijo "pridobitve pravic" s pomočjo izrabe ranljivosti v Linux jedru, ki jo zagovarjaš. Morda pa gre za kaj drugega, kjer napadalec izrabil kakšno drugo "ranljivost", da je pridobil ustrezne pravice, ki so mu omogočile napad.
Sam bom zaenkrat počakal na uradno razlago, ker tega ne vem. Če pa kdo ve pa lahko napiše potek že sedaj, ko čakamo, da bomo torej vedeli.
