» »

Vdor v Kernel.org, posledic za uporabnike ni

Slashdot - Na spletni strani kernel.org so sporočili, da so 28. avgusta odkrili napad na stran, ki je bil izveden pred dvema tednoma in je ves čas napadalcem omogočal nepooblaščen dostop. Škode ali posledic za uporabnike Linuxa ni.

Ugotovili so, da so neznani napadalci 12. avgusta pridobili dostop do strežnikov, na katere so namestili rootkit Phalanx. Najprej so pridobili administratorski (root) dostop do strežnika Hera, kar so najverjetneje izvedli z uporabo ukradenega uporabniškega imena in gesla (pridobili naj bi 448 gesel za dostop prek SSH). Ni še znano, kako so uspeli izvesti eskalacijo privilegijev do absolutnega dostopa root. V zagonske skripte so nato dodali trojanskega konja, ki je ostal neodkrit 17 dni.

Čeprav je na kernel.org centralni repozitorij za Linuxova jedra, večje škode ni. Škodljivo programsko opremo so že odstranili, dostop do onemogočili, prav tako pa so skupaj z evropskimi in ameriškimi organi pregona začeli preiskavo. Analiza kode kaže, da napadalci niso mogli poseči v repozitorije git zaradi same narave gita. Izvorna koda Linuxa tako ni bila kompromitirana.

14 komentarjev

denial ::

Zakaj se pri vdorih v FOSS/Pingo based sisteme nikdar ne uporablja kratice APT?
SELECT finger FROM hand WHERE id=3;

5er--> ::

Verjetno nisem edini, ki ne ve kaj je APT v tem primeru. Google pa za Windows + APT vrne same (verjetno) ne-relevantne rezultate. Bi mi lahko prosim namignil kje naj iščem razlago?

Icematxyz ::

Advanced persistent threat

Kaj se pa tiče same novice pa mi je všeč ta ideja da. Se pravi da zasnuješ sistem tako, da je vdor v "ponudnika gostovanja" šele prva premagana ovira... ker te stvari se pač dogajajo in se bodo še dogajale.

Zgodovina sprememb…

KoKi ::

denial je izjavil:

Zakaj se pri vdorih v FOSS/Pingo based sisteme nikdar ne uporablja kratice APT?

Zato, ker ni zadaj neke "mega-korporacije", ki bi napihovala, kako so bili napadalci napredni.
# hackable

BigWhale ::

denial je izjavil:

Zakaj se pri vdorih v FOSS/Pingo based sisteme nikdar ne uporablja kratice APT?


Zato ker ne nucamo buzzword compliant novic. :>

Tilen ::

Škode ali posledic za uporabnike Linuxa ni.


Poslednic ni za tiste, kateri si zatiskajo oči.

Ne pozabimo, da Kernel.org še vedno nima odgovora na to, kako so zlikavci prišli do root dostopa. Dokler to ne bo jasno odkrito in pojasnjeno, je Linux svet (vsaj trenutno) na precej majavih temeljih.

https://www.kernel.org/

Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.


Če je slučajno kje drugje razloženo kako so prišli do root dostopa, naj nekdo prosim polinka. Za kernel.org je seveda najmanj boleče enostavo reči, da je nekdo ukradel gesla (npr. social engineering), ker potem še vedno lahko ljudstvu servirajo zgodbice o varnosti samega kernela.
boomy@P8P67 PRO/2500K@5Ghz/16GB DDR3/670GTX/ZR24w/VTX3

Zgodovina sprememb…

  • spremenil: Tilen ()

Icematxyz ::

Poslednic ni za tiste, kateri si zatiskajo oči.

Ne pozabimo, da Kernel.org še vedno nima odgovora na to, kako so zlikavci prišli do root dostopa. Dokler to ne bo jasno odkrito in pojasnjeno, je Linux svet (vsaj trenutno) na precej majavih temeljih.


Za to ker se je "uspešno vlomilo" v eden strežnik? Zakaj pa ne padejo potem vsi, če je to tako enostavno?

Glede tega, da posledic zaradi tega napada za uporabnike ni, pa je to mišljeno v smislu, da je sistem zasnovan na način, da je vdor v strežnik "vračunan" torej, da je koda še naprej bolj ali manj "na varnem".

Bo pa zanimivo slišati "vzrok" da, če ga bodo našli, katero "ranljivost" je napadalec izkoristil.

Tilen ::

Saj to je ravno hec, ker najverjetneje sploh ni šlo za "vlom" ampak za vstop. Kot da bi nekdo prišel skozi vrata s ključem. Če gre dejansko za vdor v sistem potem pa še toliko slabše. Ampak pustimo to. Osredotočimo se na local root exploit na zadnji verziji uradnega kernela. Kako? Zakaj tega nihče ne pojasni? Je z zadnjo verzijo to popravljeno? Seveda ni, ker niti ne vejo kako je napadalcem to uspelo.
boomy@P8P67 PRO/2500K@5Ghz/16GB DDR3/670GTX/ZR24w/VTX3

Zgodovina sprememb…

  • spremenil: Tilen ()

darkolord ::

Očitno je popravljeno, ker če ne bi se to tudi drugim (vsem!) dogajalo! </sarcasm>
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

Tilen ::

Štala bo, ko se bo nekdo odločil objaviti source za omenjen local root exploit. Tale šala s kernel.org jim je kar dobro uspela. Naravnost čudim se, da še nismo na deseti strani debate, ker bi v primeru enakega odkritja na najnovejšem Windows kernelu najverjetneje bili že dlje.
boomy@P8P67 PRO/2500K@5Ghz/16GB DDR3/670GTX/ZR24w/VTX3

Zgodovina sprememb…

  • spremenil: Tilen ()

MrStein ::

A niso local root exploiti precej "small peanuts" (al kak se že reče, pozno je...)?

Ali pa to velja le za primere, ko je napadalec fizično "local" ?
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

Tilen ::

Ne rabi biti fizično local.
boomy@P8P67 PRO/2500K@5Ghz/16GB DDR3/670GTX/ZR24w/VTX3

Tilen ::

Posledic za uporabnike ni, sedaj je padla naslednja domina - LInux.com.

All servers run by the Linux Foundation are offline while the administrators do complete re-installs. Compromise is believed to be connected to the breach of kernel.org


http://www.h-online.com/security/news/i...

Mogoče bo sedaj kak boljši odgovor, kot pa to, da nič ni.
boomy@P8P67 PRO/2500K@5Ghz/16GB DDR3/670GTX/ZR24w/VTX3

Icematxyz ::

Saj piše na isti povezavi, ki si jo prilepil:

The Foundation says that it believes the breach is connected to the security breach at kernel.org at the start of September.


Torej morda gre za teorijo "pridobitve pravic" s pomočjo izrabe ranljivosti v Linux jedru, ki jo zagovarjaš. Morda pa gre za kaj drugega, kjer napadalec izrabil kakšno drugo "ranljivost", da je pridobil ustrezne pravice, ki so mu omogočile napad.

Sam bom zaenkrat počakal na uradno razlago, ker tega ne vem. Če pa kdo ve pa lahko napiše potek že sedaj, ko čakamo, da bomo torej vedeli.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor v Kernel.org, posledic za uporabnike ni

Oddelek: Novice / Varnost
142970 (1261) Icematxyz
»

kernel.org compromised?

Oddelek: Informacijska varnost
9712 (386) denial
»

Znane vse podrobnosti napada na RSA

Oddelek: Novice / Varnost
143016 (1803) MrStein
»

Moj Nook Color je lahko tudi Kindle

Oddelek: Novice / Android
215793 (3937) Smeagol
»

Linux jedro z resno varnostno luknjo

Oddelek: Novice / Varnost
484518 (1344) 'FireSTORM'

Več podobnih tem