Alfonso Maruccia

Kernel.org bucato, ma Linux non è sotto attacco

Ignoti malintenzionati si sono guadagnati l'accesso al server dove sono ospitate le diverse versioni del kernel del Pinguino. Ma gli admin minimizzano: nessun danno per gli utenti

Roma - Quasi in concomitanza con il festeggiamento delle venti candeline del progetto Linux, l'infrastruttura che ospita gli archivi primari del kernel del pinguino è stata presa da assalto da ignoti e parzialmente "compromessa" con l'aggiunta di codice indesiderato. Ma i sorgenti di Linux sono protetti da un sistema di hash, assicurano gli admin.

Gli ignoti cracker hanno ottenuto l'accesso "root" a un server della piattaforma kernel.org noto come "Hera", e da qui sono riusciti a compromettere altri server appartenenti al network remoto. La breccia è avvenuta nelle scorse settimane ma gli admin di kernel.org l'hanno individuata solo domenica scorsa: nel mentre, i cracker erano riusciti a mettere la propria firma sui file ospitati sui server.

I cyber-criminali sono riusciti a modificare alcuni file, installare un programma malevolo all'interno degli script di avvio del server e hanno persino carpito alcuni log contenenti i dati degli utenti di kernel.org. Stando a quel che spiegano gli admin, per ottenere l'accesso root ai server i cracker hanno sfruttato credenziali di accesso rubate, e per tale ragione il sito è ora in fase di rinnovamento con un cambio delle password e delle chiavi SSH di tutte le 448 utenze che hanno accesso al server.
Una volta individuata la breccia, gli admin hanno provveduto a contattare le forze dell'ordine al di là e al di qua dell'Atlantico prima di continuare con indagini approfondite su quello che era accaduto sui server.

Il codice del Pinguino resta salvo, dicono, e provare a compromettere il kernel Linux con componenti malevoli non è così facile: il sistema di tracciamento delle modifiche archivia un hash crittografico di ogni file aggiunto, per cui una eventuale modifica malevola verrebbe subito individuata e neutralizzata.

Alfonso Maruccia
Notizie collegate
241 Commenti alla Notizia Kernel.org bucato, ma Linux non è sotto attacco
Ordina
  • Hanno pedinato un programmatore del kernel, l'hanno irretito con una matahari, gli sono entrati dalla finestra del bagno e gli hanno rubato le chiavi del server, tutto per poter dire "ABBIAMO BU'ATO LINUZ!!!!1!!!!111!"

    DiabboliciA bocca aperta
    Funz
    12995
  • scherzi a parte, il vero problema è quello

    questi casi non fatto altro che mettere in risalto il fatto che i sistemi di sicurezza e autenticazione attuali sono minimo completamente inaffidabili

    per come la vedo io, un sistema futuro di sicurezza assoluto, sfruttare i dati biometrici, leggendoli in tempo reale ( tipo se vuoi fare modifiche al server ti metti davanti ad una telecamera per tutta la durata della sessione, col server che di tanto in tanto ti fa domande tipo "fai 2 con le dita"A bocca aperta )

    ok magari ho esagerato, però il punto è che ci vuole più intelligenza e meno automatismi lato macchina
    non+autenticato
  • Nell'articolo c'è scritto :

    I cyber-criminali sono riusciti a modificare alcuni file, installare un programma malevolo all'interno degli script di avvio del server e hanno persino carpito alcuni log contenenti i dati degli utenti di kernel.org. Stando a quel che spiegano gli admin, PER OTTENERE L'ACCESSO DI ROOT ai server ...

    Ma stando al link gli Admin non dicono : "hanno ottenuto le credenziali di ROOT e hanno compromesso i server ....
    Gli amministratori se ne sono accorti domenica e hanno scoperto diversi problemi ecc .... ".

    Poi c'è anche scritto separatamente :

    Pensano che gli hacker abbiano rubato una credenziale di accesso per entrare nel sistema.

    Non penso proprio che l'interpretazione corretta sia che hanno installato qualcosa PER OTTENERE l'accesso di ROOT.

    Penso che piuttosto abbiano usato la password rubata per accedere, sfruttato qualche vulnerabilità di sistema (che con più di 400 utenti smanettoni e quindi non blindati, si può anche trovare facilmente), per diventare ROOT e POI abbiano modificato gli scripts di partenza.

    C'è una sottile differenza, visto che nel primo caso si suppone l'esistenza di un qualcosa di malvagio che possa essere installato da chiunque su qualunque sistema Linux per ottenere qualsiasi credenziale, mentre nel secondo caso si tratta di sfruttare un un errore umano o un programma mal patchato per entrare come ROOT e poi fare danni.
    non+autenticato
  • rimane il fatto che non essendoci a disposizione alcuni elementi, si possono fare solo supposizioni
    non+autenticato
  • - Scritto da: george
    > rimane il fatto che non essendoci a disposizione
    > alcuni elementi, si possono fare solo
    > supposizioni


    Beh, in realtà mi sembrava logico il fatto che, siccome se non sei root non puoi modificare gli scripts di partenza e meno che meno puoi installare alcun Trojan, devono essere diventati root PRIMA di installarlo, altrimenti bisognerebbe pensare ad un bug sul sistema dei permessi di Linux, che è non è per nulla pensabile.

    Per far contenti tutti però ho giusto ritrovato la notizia in un posto impensabile, cioè kernel.org, non so se è fonte abbastanza ufficiale ma la riporto volentieri :

    What happened?

        Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.

        Files belonging to ssh (openssh, openssh-server and openssh-clients) were modified and running live.

         A trojan startup file was added to the system start up scripts
        User interactions were logged, as well as some exploit code. We have retained this for now.


        Trojan initially discovered due to the Xnest /dev/mem error message w/o Xnest installed; have been seen on other systems. It is unclear if systems that exhibit this message are susceptible, compromised or not. If developers see this, and you don't have Xnest installed, please investigate.

        It *appears* that 3.1-rc2 might have blocked the exploit injector, we don't know if this is intentional or a side affect of another bugfix or change.

    Ognuno può trarre le proprie conclusioni.

    Poi chiaramente nessuno lo farà visto che la maggior parte di quelli che bazicano da queste parti sono troll, così come la maggior parte dei sistemi di rete, router adsl compresi, sono linux.
    non+autenticato
  • "altrimenti bisognerebbe pensare ad un bug sul sistema dei permessi di Linux, che è non è per nulla pensabile."

    non capisco bene questa frase frase.

    il fatto che comunque l'account utilizzato non fosse quello di root è ben chiaro nell'articolo.
    però, quello che intendevo io, sarebbe utile avere qualche altra condizione al contorno.
    forse le uniche informazioni che si hanno sono appunto queste, e le rimanenti verranno fuori in seguito
    non+autenticato
  • - Scritto da: george
    > "altrimenti bisognerebbe pensare ad un bug sul
    > sistema dei permessi di Linux, che è non è per
    > nulla
    > pensabile."
    >
    > non capisco bene questa frase frase.
    >

    Volevo solo dire chè molto improbabile che un normale utente riesca a diventare root con un semplice trojan senza per altro avere possibilità di installare nulla. Se questa possibilità gliel'hanno data è un problema di sicurezza del loro server, non del kernel linux.

    > forse le uniche informazioni che si hanno sono
    > appunto queste, e le rimanenti verranno fuori in
    > seguito

    Su questo concordo, vedremo quando avranno finito le indagini cosa sarà accaduto.
    non+autenticato
  • Il motivo?
    Semplice:
    gli hackers sono linari che devono dimostrare che Mac o Win sono c a c c a.
    Non esiste praticamente hacker che si dedichi seriamente ad hackerare linux, per questioni 'politiche' o convinzioni personali.
    Quale hacker e' cosi' sciocco da hackerare il SO in cui crede? Al massimo nel caso venga scoperta una falla, costui collabora per "tapparla". Per i SO commerciali, invece, la suddetta falla e' usata per denigrare il prodotto.

    Se fosse possibile, portare hacker professionisti ad hackerare linux ( e non e' possibile per via delle convenzioni personali e non per la robustezza del SO in se), ne salterebbero fuori e come di bugs.
    non+autenticato
  • - Scritto da: Siete patetici
    > Se fosse possibile, portare hacker professionisti
    > ad hackerare linux ( e non e' possibile per via
    > delle convenzioni personali e non per la
    > robustezza del SO in se), ne salterebbero fuori e
    > come di
    > bugs.

    Ti sbagli completamente. Linux è continuamente minacciato sotto l'aspetto della sicurezza, così come altri sistema operativi per server. Se proprio si vuole tirare fuori una differenza sostanziale su questo tema, sta nel fatto che non possono venire creati e diffusi virus con la stessa facilità presente su sistemi Windows. Altrimenti non c'è altro che un tizio che vuole entrare in un sistema (può volerlo fare per tanti motivi diversi) e gli ostacoli che quest'ultimo gli pone.
    non+autenticato
  • - Scritto da: Bah
    > - Scritto da: Siete patetici
    > > Se fosse possibile, portare hacker
    > professionisti
    > > ad hackerare linux ( e non e' possibile per
    > via
    > > delle convenzioni personali e non per la
    > > robustezza del SO in se), ne salterebbero
    > fuori
    > e
    > > come di
    > > bugs.
    >
    > Ti sbagli completamente. Linux è continuamente
    > minacciato sotto l'aspetto della sicurezza, così
    > come altri sistema operativi per server. Se
    > proprio si vuole tirare fuori una differenza
    > sostanziale su questo tema, sta nel fatto che non
    > possono venire creati e diffusi virus con la
    > stessa facilità presente su sistemi Windows
    .
    > Altrimenti non c'è altro che un tizio che vuole
    > entrare in un sistema (può volerlo fare per tanti
    > motivi diversi) e gli ostacoli che quest'ultimo
    > gli
    > pone.

    i virus come forma di malware ( = software malevolo) su windows sono spariti gia' da 3 anni

    dovresti aggiornarti di piu'

    saluti
    Fiber
    3605
  • - Scritto da: Fiber
    > i virus come forma di malware ( = software
    > malevolo) su windows sono spariti gia' da 3
    > anni
    >
    > dovresti aggiornarti di piu'

    Perdonami, sono proprio un ignorante.
    non+autenticato
  • ma morto come viene classificato allora???
  • per forza, ci sono sistemi mille volte più vantaggiosi come i worm

    Morto, Morto, Morto non smetter di Morire Rotola dal ridere
    non+autenticato
  • - Scritto da: collione
    > per forza, ci sono sistemi mille volte più
    > vantaggiosi come i
    > worm
    >
    > Morto, Morto, Morto non smetter di Morire Rotola dal ridere


    come i worm che se ho il firewall software di serie come un router adsl come un gateway aziendale tutti con tanto di Nat e firewall hardware non si diffondono e non mi fanno una fava essendoci tutte le porte TCP/IP protette

    lascia che ci siano anche i worm poverini

    tutti al mondo hanno il diritto di esistere

    anche tu esisti pur rompendo sempre i c....... i come il tuo nick al pluraleA bocca aperta
    -----------------------------------------------------------
    Modificato dall' autore il 03 settembre 2011 15.57
    -----------------------------------------------------------
    Fiber
    3605
  • definiscimi un "gateway AZIENDALE" per cortesiaA bocca aperta:D:D:D

    in cosa differisce da un gateway tradizionale?


    - Scritto da: Fiber
    > - Scritto da: collione
    > > per forza, ci sono sistemi mille volte più
    > > vantaggiosi come i
    > > worm
    > >
    > > Morto, Morto, Morto non smetter di Morire
    > Rotola dal ridere
    >
    >
    > come i worm che se ho il firewall software di
    > serie come un router adsl come un gateway
    > aziendale tutti con tanto di Nat e firewall
    > hardware non si diffondono e non mi fanno una
    > fava essendoci tutte le porte TCP/IP
    > protette
    >
    > lascia che ci siano anche i worm poverini
    >
    > tutti al mondo hanno il diritto di esistere
    >
    > anche tu esisti pur rompendo sempre i c....... i
    > come il tuo nick al plurale
    >A bocca aperta
    > --------------------------------------------------
    > Modificato dall' autore il 03 settembre 2011 15.57
    > --------------------------------------------------
  • - Scritto da: P.Inquino
    > definiscimi un "gateway AZIENDALE" per cortesia
    >A bocca aperta:D:D:D
    >
    > in cosa differisce da un gateway tradizionale?
    >

    E' trascritto nei cespiti.
  • grandioso!A bocca apertaA bocca apertaA bocca aperta
  • - Scritto da: P.Inquino
    > definiscimi un "gateway AZIENDALE" per cortesia
    >A bocca aperta:D:D:D


    io dovrei definire a te cos'è un Gateway alias router con tanto di NAT con l'avatar che hai?

    cerca su google qualche fotina elementare .. con quell'avatar che ti rispecchia nn capiresti niente di scritto
    Fiber
    3605
  • Gia' mi immagino quale sia stato lo sviluppatore a cui hanno rubato le credenziali Rotola dal ridere

    http://www.osnews.com/story/24960/Microsoft_Contri...
  • - Scritto da: benkj
    > Gia' mi immagino quale sia stato lo sviluppatore
    > a cui hanno rubato le credenziali
    > Rotola dal ridere
    >
    > http://www.osnews.com/story/24960/Microsoft_Contri

    Può essere Rotola dal ridere
    non+autenticato
  • - Scritto da: benkj
    > Gia' mi immagino quale sia stato lo sviluppatore
    > a cui hanno rubato le credenziali
    > Rotola dal ridere
    >
    > http://www.osnews.com/story/24960/Microsoft_Contri
    cazz.. il tuo e' stato uno dei commenti + intelligenti di tutti i thread, e solo UNO ha replicato. Mentre in decine replicano ai troll e a ruppolo (che e' un alias di troll in effetti).Sorride
    non+autenticato
  • > cazz.. il tuo e' stato uno dei commenti +
    > intelligenti di tutti i thread, e solo UNO ha
    > replicato. Mentre in decine replicano ai troll e
    > a ruppolo (che e' un alias di troll in effetti).
    >Sorride

    Quoto! Ecco perchè PI è pieno di resident troll: qui fanno la fila per dargli da mangiare!
    Che tristezza le nuove leve, crescono con faccialibro et similia (trollate 2.0) e purtroppo si perde l'uso delle sane, buone, vecchie maniere del "don't feed...".
    non+autenticato
  • Ma è così divertenteCon la lingua fuori
    non+autenticato
  • - Scritto da: Healty
    > Ma è così divertenteCon la lingua fuori

    Solo su PI c'e' trolling di elevato contenuto tecnico.
    A scatenare flames sui forum di politica o di calcio sono buoni tutti.

    Ma qui e' solo per intenditori!
  • Ci avevo pensato pure io.
    Secondo me Linus Torvalds di notte ha gli incubi quando pensa al fatto di aver dato le credenziali di accesso al kernel a dei dipendenti Microsoft.

    Ma chi si può fidare di certa gente?
    non+autenticato
  • Commento da 10 e lode Sorride
  • Che io sappia linux è tra gli os più sicuri, non una fortezza impenetrabile. Poi il fatto che i bug siano riportati pubblicamente, in termini di programmazione è solo che un bene. Decine di volte vengono segnalati in vie ufficiali e ufficiose bug di windows che vengono corretti dopo mesi. Quando usavo Suse venivano segnalati bug la mattina è la sera erano già corretti. Io vorrei sapere da quelli che criticano in maniera così asprà qual'è il vero motivo del loro accanimento. O sono gelosi dei sistemi di noi *nixer, o non hanno una conoscenza adeguata del nostro mondo. Sono migrato da anni a linux e ho sempre meno problemi ma sempre più funzioni avanzate con elevata flessibilità. Mia madre cinquantenne ha usato Linux Mint, Ubuntu e JoliOs senza avere nessun problema. Quando usavo windows mi chiamava per problemi di driver e finestre strane. E che non si dica che Linux non va bene perchè non legge i giochi! I giochi sono fatti per win, non è scritto sulla confezione "anche per linux" (wine è un altro discorso). Non si può mica fare girare i giochi della ps3 sull'xbox....
    Io vorrei solo che almeno questo odio verso linux sia costruttivo. Non cieco accanimento se prima non c'è un minimo di esperienza dietro che non sia 5min di macchina virtuale con ubuntu 4. Potrei mettermi a dirne di tutte i colori su windows, ma comunque rispetto la sua posizione per quello che è in grado di fare in più a linux.
  • - Scritto da: Metal_neo
    > Che io sappia linux è tra gli os più sicuri, non
    > una fortezza impenetrabile. Poi il fatto che i
    > bug siano riportati pubblicamente, in termini di
    > programmazione è solo che un bene. Decine di
    > volte vengono segnalati in vie ufficiali e
    > ufficiose bug di windows che vengono corretti
    > dopo mesi. Quando usavo Suse venivano segnalati
    > bug la mattina è la sera erano già corretti. Io
    > vorrei sapere da quelli che criticano in maniera
    > così asprà qual'è il vero motivo del loro
    > accanimento. O sono gelosi dei sistemi di noi
    > *nixer, o non hanno una conoscenza adeguata del
    > nostro mondo. Sono migrato da anni a linux e ho
    > sempre meno problemi ma sempre più funzioni
    > avanzate con elevata flessibilità. Mia madre
    > cinquantenne ha usato Linux Mint, Ubuntu e JoliOs
    > senza avere nessun problema. Quando usavo windows
    > mi chiamava per problemi di driver e finestre
    > strane. E che non si dica che Linux non va bene
    > perchè non legge i giochi! I giochi sono fatti
    > per win, non è scritto sulla confezione "anche
    > per linux" (wine è un altro discorso). Non si può
    > mica fare girare i giochi della ps3
    > sull'xbox....
    > Io vorrei solo che almeno questo odio verso linux
    > sia costruttivo. Non cieco accanimento se prima
    > non c'è un minimo di esperienza dietro che non
    > sia 5min di macchina virtuale con ubuntu 4.
    > Potrei mettermi a dirne di tutte i colori su
    > windows, ma comunque rispetto la sua posizione
    > per quello che è in grado di fare in più a
    > linux.

    quoto in toto. Sai sono troll, l'unica è non dargli da mangiare e farli morire di stenti.
    non+autenticato
  • - Scritto da: Winaro
    > Ma linux è gratis, se è gratis allora non vale
    > niente.
    > Non parliamo della sicurezza poi: nemmeno uno
    > straccio di antivirus. Ma come si fa nel 2011 a
    > non avere ancora un antivirus
    > installato?
    >
    > E non venitemi a dire che non ci sono virus per
    > linux, perché in quel server hanno messo un
    > TROJAN. Avessero avuto Windows Server + Norton
    > non sarebbe potuto MAI
    > succedere.
    >
    > Parola di Winaro!Occhiolino

    Parlo per esperienza diretta: con win puoi passare da utente limitato ad account SYSTEM (il vero root di win, no Administrator) in un click. Con script che usano gli script kiddie o con un paio di comandi nella shell.
    Con linux devi farti il mazzo e non poco.
    Per quanto riguarda i virus, su win fanno una previlege escalation senza che te ne accorgi e si autopropagano su tutto il pc/periferiche. Con linux deve essere te ad autorizzarli e intaccano principalmente il tuo account, non tutto il sistema. Comunque il trojan è un programma che è scritto da qualcuno. Se qualcuno veramente capace di prende di mira non c'è OS che tenga, scriverà la backdoor adatta a te.

    - Scritto da: For teh lulz
    > quoto in toto. Sai sono troll, l'unica è non
    > dargli da mangiare e farli morire di
    > stenti.

    Certo che comunque sarebbe bello che ci fosse un clima più calmo. Io stesso ogni tanto me ne posso uscire con delle trollate, non sono perfetto, però prima di rispondere mi informo un attimo per sapere esattamente cosa rispondere e capire le risposte, e magari finisco anche con cambiare idea su certe cose. Certo che il trollaggio selvaggio proprio non lo capisco.
  • Ma linux è gratis, se è gratis allora non vale niente.
    Non parliamo della sicurezza poi: nemmeno uno straccio di antivirus. Ma come si fa nel 2011 a non avere ancora un antivirus installato?

    E non venitemi a dire che non ci sono virus per linux, perché in quel server hanno messo un TROJAN. Avessero avuto Windows Server + Norton non sarebbe potuto MAI succedere.

    Parola di Winaro!Occhiolino
    non+autenticato
  • Di una cosa così all'ESC oppure al prossimo Moka. Vediamo cosa succede. xD
    non+autenticato
  • - Scritto da: Winaro
    >
    > E non venitemi a dire che non ci sono virus per
    > linux, perché in quel server hanno messo un TROJAN.

    Il trojan è stato messo appunto nel server (e non nei sorgenti di Linux) ed è stato subito individuato e rimosso.
    Se hai i diritti di root, puoi mettere un trojan anche nel sistema più sicuro al mondo.

    - Scritto da: Winaro
    >
    > Avessero avuto Windows Server + Norton
    > non sarebbe potuto MAI succedere.

    Ehm, veramente i server basati su Windows sono i più bucati in assoluto; in particolare, Windows NT è il più bucato della storia con il 57.9% di intrusioni. Non a caso, Microsoft è il principale sponsor di Apache!
    Linux comunque ha un buon 20% di intrusioni proprio perché, come dovresti sapere, sistemi veramente sicuri non ne esistono.
    Resta il fatto che Sun Solaris vanta un eccezionale 4% di intrusioni!

    > Parola di Winaro!Occhiolino

    Estiqaatsi!
    non+autenticato
  • Ahah... Winaro sei troppo forte!
    Ma soprattutto mi fanno ammazzare quelli che abboccano!
    non+autenticato
  • - Scritto da: MacGeek
    > Ahah... Winaro sei troppo forte!
    > Ma soprattutto mi fanno ammazzare quelli che
    > abboccano!

    Esatto. Mi sa che non hanno capito che il discorso di Winaro era ironico... Occhiolino
    non+autenticato
  • - Scritto da: Winaro
    > Ma linux è gratis, se è gratis allora non vale
    > niente.
    > Non parliamo della sicurezza poi: nemmeno uno
    > straccio di antivirus. Ma come si fa nel 2011 a
    > non avere ancora un antivirus
    > installato?
    >
    > E non venitemi a dire che non ci sono virus per
    > linux, perché in quel server hanno messo un
    > TROJAN. Avessero avuto Windows Server + Norton
    > non sarebbe potuto MAI
    > succedere.
    >
    > Parola di Winaro!Occhiolino

    Geniale ! Ho riso fino alle lacrimeA bocca aperta
    (e ancora di più quando ho letto i commenti di quelli che non hanno compreso la trollata)
    non+autenticato
  • - Scritto da: J.M.
    >
    > Geniale ! Ho riso fino alle lacrimeA bocca aperta
    > (e ancora di più quando ho letto i commenti di
    > quelli che non hanno compreso la trollata)

    Il fatto è che, tra winaro e linaro non ci si capisce più nulla.
    Gli unici seri qui su PI sono Fiber e Ruppolo.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    >

    > Gli unici seri qui su PI sono Fiber e Ruppolo.

    sono in ufficio, cazzo, non fatemi scoppiare a ridere.
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)