«

»

Sep 02 2011

Print this Post

Trojan Attack στο Kernel.org

Categories:

Computers

by MadAGu

September 2, 2011

Πολλαπλοί servers οι οποίοι χρησιμοποιούνται για την συντήρηση και την διανομή του λειτουργικού συστήματος Linux μολύνθηκαν από κακόβουλο λογισμικό το οποίο κατάφερε να αποκτήσει πρόσβαση στο root των συστημάτων, να τροποποιήσει το λογισμικό τους και να καταγράψει τους κωδικούς πρόσβασης των ατόμων που τα χρησιμοποιούσαν, σύμφωνα με ανακοίνωση του Linux Kernel Organization.

Η διείσδυση αυτή σημειώθηκε όχι αργότερα από τις 12 Αυγούστου και δεν είχε γίνει αντιληπτή έως και 17 μέρες αργότερα, σύμφωνα με τον John “‘Warthog9″ Hawley, διαχειριστή του kernel.org. Στο email που έστειλε ο Hawley προς τους προγραμματιστές και τους ενημέρωνε για το θέμα, αναφέρει πως το trojan εντοπίστηκε πρώτα στον προσωπικό υπολογιστή του προγραμματιστή H Peter Anvin και μετά στους servers του kernel.org με τα ονόματα Hera και Odin1. Μετά την είσοδο στο σύστημα, τροποποιήθηκε καταλλήλως ένας secure shell client που χρησιμοποιούνταν για απομακρυσμένη πρόσβαση και έτσι υποκλάπησαν οι κωδικοί πρόσβασης των διαχειριστών.

“Οι εισβολείς απέκτησαν root πρόσβαση στον server Hera. Παραμένει άγνωστο πως τα κατάφεραν και το θέμα ερευνάται”, επιβεβαιώνει το kernel.org.

Οι προγραμματιστές/συντηρητές του kernel δήλωσαν πως πιστεύουν πως τα αποθετήρια (repositories) του πηγαίου κώδικα του Linux δεν έχουν υποστεί κάποια παραβίαση, αν και διαβεβαιώνουν πως ο έλεγχος ασφάλειας τους είναι σε εξέλιξη. Βασίζουν την πεποίθηση τους για την ακεραιότητα του κώδικα στο κρυπτογραφημένο σύστημα SHA-1 το οποίο προστατεύει τα περίπου 40.000 αρχεία.

Δύο ερευνητές ασφάλειας οι οποίοι ενημερώθηκαν για την παραβίαση δήλωσαν πως τα συστήματα προσβλήθηκαν από το rootkit Phalanx.

Δεν είναι η πρώτη φορά κατά την οποία δέχεται επίθεση ένας οργανισμός ο οποίος διανέμει λογισμικό ανοιχτού κώδικα. Τον Δεκέμβριο δέχθηκε επίθεση το GNU Savannah, το κύριο repository για το FSF ενώ τον Απρίλιο του 2010 δέχθηκε μεγάλης κλίμακας επίθεση το Apache Software Foundation.

Στο kernel.org οι διαχειριστές έθεσαν εκτός σύνδεσης του servers που δέχθηκαν την επίθεση και επαναγκατέστησαν το λειτουργικό σύστημα σε όλους τους υπολογιστές του οργανισμού ενώ βρίσκεται σε εξέλιξη η ενημέρωση και των 448 χρηστών του kernel.org προκειμένου να αλλάξουν τους κωδικούς πρόσβασης τους, και των κλειδιών SSH συμπεριλαμβανομένων. Παράλληλα ενημερώθηκαν οι αστυνομικές αρχές στην Ευρώπη και τις Η.Π.Α.

Πηγή: The Register

Για εμένα, όσο δεν μπορεί να βρεθεί ο τρόπος με τον οποίο μπήκε το trojan στα λειτουργικά των server, δεν έχει μεγάλο νόημα η συζήτηση. Αν κάποιος από λάθος έτρεξε με root δικαιώματα πάνω στο server κάτι (που το θεωρώ και το πιθανότερο), ή αν ήταν network attack (άρα που πάει να πει πως ο apache έχει κάποια τρύπα και άρα κινδυνεύει με την ίδια δουλειά όλο το ποσοστό των server παγκοσμίως που τρέχουν Linux — και που απορώ γιατί δεν έχουν γίνει και άλλες επιθέσεις σε υπολογιστές αν την πατήσαν εκεί) είναι τελείως διαφορετικά πράγματα. Βέβαια την τρύπα τη μπάλωσαν στην τρέχουσα δοκιμαστική έκδοση, αλλά πρέπει οπωσδήποτε να αναζητηθεί ο τρόπος με τον οποίο την πάθανε γιατί δεν μπορώ να πιστέψω πως δε γίνεται σοβαρό administration στους server τους.

=-=-=-=-=
Powered by Blogilo

VN:F [1.9.17_1161]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.17_1161]
Rating: 0 (from 0 votes)
Post Popularity 6.36%  
Popularity Breakdown
Views 12.72%  
Ratings 0%  

Sharing is knowlegde

Related posts:

Tags: ,

Permanent link to this article: http://www.euaclan.org/2011/09/trojan-attack-%cf%83%cf%84%ce%bf-kernel-org/

Page optimized by WP Minify WordPress Plugin