» »

Vdor v Kernel.org, posledic za uporabnike ni

Vdor v Kernel.org, posledic za uporabnike ni

Slashdot - Na spletni strani kernel.org so sporočili, da so 28. avgusta odkrili napad na stran, ki je bil izveden pred dvema tednoma in je ves čas napadalcem omogočal nepooblaščen dostop. Škode ali posledic za uporabnike Linuxa ni.

Ugotovili so, da so neznani napadalci 12. avgusta pridobili dostop do strežnikov, na katere so namestili rootkit Phalanx. Najprej so pridobili administratorski (root) dostop do strežnika Hera, kar so najverjetneje izvedli z uporabo ukradenega uporabniškega imena in gesla (pridobili naj bi 448 gesel za dostop prek SSH). Ni še znano, kako so uspeli izvesti eskalacijo privilegijev do absolutnega dostopa root. V zagonske skripte so nato dodali trojanskega konja, ki je ostal neodkrit 17 dni.

Čeprav je na kernel.org centralni repozitorij za Linuxova jedra, večje škode ni. Škodljivo programsko opremo so že odstranili, dostop do onemogočili, prav tako pa so skupaj z evropskimi in ameriškimi organi pregona začeli preiskavo. Analiza kode kaže, da napadalci niso mogli poseči v repozitorije git zaradi same narave gita. Izvorna koda Linuxa tako ni bila kompromitirana.

14 komentarjev

denial ::

Zakaj se pri vdorih v FOSS/Pingo based sisteme nikdar ne uporablja kratice APT?
SELECT finger FROM hand WHERE id=3;

5er--> ::

Verjetno nisem edini, ki ne ve kaj je APT v tem primeru. Google pa za Windows + APT vrne same (verjetno) ne-relevantne rezultate. Bi mi lahko prosim namignil kje naj iščem razlago?

Icematxyz ::

Advanced persistent threat

Kaj se pa tiče same novice pa mi je všeč ta ideja da. Se pravi da zasnuješ sistem tako, da je vdor v "ponudnika gostovanja" šele prva premagana ovira... ker te stvari se pač dogajajo in se bodo še dogajale.

Zgodovina sprememb…

KoKi ::

denial je izjavil:

Zakaj se pri vdorih v FOSS/Pingo based sisteme nikdar ne uporablja kratice APT?

Zato, ker ni zadaj neke "mega-korporacije", ki bi napihovala, kako so bili napadalci napredni.
# hackable

BigWhale ::

denial je izjavil:

Zakaj se pri vdorih v FOSS/Pingo based sisteme nikdar ne uporablja kratice APT?


Zato ker ne nucamo buzzword compliant novic. :>

Tilen ::

Škode ali posledic za uporabnike Linuxa ni.


Poslednic ni za tiste, kateri si zatiskajo oči.

Ne pozabimo, da Kernel.org še vedno nima odgovora na to, kako so zlikavci prišli do root dostopa. Dokler to ne bo jasno odkrito in pojasnjeno, je Linux svet (vsaj trenutno) na precej majavih temeljih.

https://www.kernel.org/

Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.


Če je slučajno kje drugje razloženo kako so prišli do root dostopa, naj nekdo prosim polinka. Za kernel.org je seveda najmanj boleče enostavo reči, da je nekdo ukradel gesla (npr. social engineering), ker potem še vedno lahko ljudstvu servirajo zgodbice o varnosti samega kernela.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

Icematxyz ::

Poslednic ni za tiste, kateri si zatiskajo oči.

Ne pozabimo, da Kernel.org še vedno nima odgovora na to, kako so zlikavci prišli do root dostopa. Dokler to ne bo jasno odkrito in pojasnjeno, je Linux svet (vsaj trenutno) na precej majavih temeljih.


Za to ker se je "uspešno vlomilo" v eden strežnik? Zakaj pa ne padejo potem vsi, če je to tako enostavno?

Glede tega, da posledic zaradi tega napada za uporabnike ni, pa je to mišljeno v smislu, da je sistem zasnovan na način, da je vdor v strežnik "vračunan" torej, da je koda še naprej bolj ali manj "na varnem".

Bo pa zanimivo slišati "vzrok" da, če ga bodo našli, katero "ranljivost" je napadalec izkoristil.

Tilen ::

Saj to je ravno hec, ker najverjetneje sploh ni šlo za "vlom" ampak za vstop. Kot da bi nekdo prišel skozi vrata s ključem. Če gre dejansko za vdor v sistem potem pa še toliko slabše. Ampak pustimo to. Osredotočimo se na local root exploit na zadnji verziji uradnega kernela. Kako? Zakaj tega nihče ne pojasni? Je z zadnjo verzijo to popravljeno? Seveda ni, ker niti ne vejo kako je napadalcem to uspelo.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

darkolord ::

Očitno je popravljeno, ker če ne bi se to tudi drugim (vsem!) dogajalo! </sarcasm>

Zgodovina sprememb…

Tilen ::

Štala bo, ko se bo nekdo odločil objaviti source za omenjen local root exploit. Tale šala s kernel.org jim je kar dobro uspela. Naravnost čudim se, da še nismo na deseti strani debate, ker bi v primeru enakega odkritja na najnovejšem Windows kernelu najverjetneje bili že dlje.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

MrStein ::

A niso local root exploiti precej "small peanuts" (al kak se že reče, pozno je...)?

Ali pa to velja le za primere, ko je napadalec fizično "local" ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Tilen ::

Ne rabi biti fizično local.
413120536c6f76656e696a612c20642e642e

Tilen ::

Posledic za uporabnike ni, sedaj je padla naslednja domina - LInux.com.

All servers run by the Linux Foundation are offline while the administrators do complete re-installs. Compromise is believed to be connected to the breach of kernel.org


http://www.h-online.com/security/news/i...

Mogoče bo sedaj kak boljši odgovor, kot pa to, da nič ni.
413120536c6f76656e696a612c20642e642e

Icematxyz ::

Saj piše na isti povezavi, ki si jo prilepil:

The Foundation says that it believes the breach is connected to the security breach at kernel.org at the start of September.


Torej morda gre za teorijo "pridobitve pravic" s pomočjo izrabe ranljivosti v Linux jedru, ki jo zagovarjaš. Morda pa gre za kaj drugega, kjer napadalec izrabil kakšno drugo "ranljivost", da je pridobil ustrezne pravice, ki so mu omogočile napad.

Sam bom zaenkrat počakal na uradno razlago, ker tega ne vem. Če pa kdo ve pa lahko napiše potek že sedaj, ko čakamo, da bomo torej vedeli.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Napad na MySQL.com obiskovalcem stregel zlobno kodo

Oddelek: Novice / Varnost
4110198 (8035) MrStein
»

Po kernel.org zdaj potrjen še vdor v linux.com

Oddelek: Novice / Varnost
245056 (3647) jype
»

Vdor v Kernel.org, posledic za uporabnike ni

Oddelek: Novice / Varnost
145925 (4216) Icematxyz
»

kernel.org compromised?

Oddelek: Informacijska varnost
91249 (923) denial
»

Microsoft IE 7.0 in https, Exchange 5.5 gre v pokoj, prihaja MSN Book Search

Oddelek: Novice / Brskalniki
213453 (2817) ahac

Več podobnih tem