Servidores Kernel.org são hackeados

Alejandro (a.k.a KZKG^Gaara)

Minutos 2

Aparentemente, um número indeterminado de servidores hospedando kernel.org tenham sido violado e segurança se viu acionado. Isso teria acontecido com início de agosto, embora apenas no dia 28 os administradores do site perceberam.

O que aconteceu?

  • Os invasores acessaram o servidor Hera com privilégios de administrador. Os administradores do Kernel.org suspeitam que isso foi possível depois que algumas credenciais do usuário foram comprometidas; como eles conseguiram tirar proveito disso para obter privilégios de administrador ainda não é conhecido e está sendo investigado.
  • Os arquivos pertencentes ao ssh (openssh, openssh-server e openssh-clients) foram modificados e executados ao vivo.
  • Um Trojan foi adicionado aos aplicativos de inicialização do sistema (dos servidores kernel.org ... Não, não na sua máquina! Não entre em pânico!).
  • Todas as interações do usuário, bem como alguns códigos maliciosos, foram rastreados. Por enquanto, os administradores salvaram essas informações.
  • O Toryan originalmente descoberto por uma mensagem de erro do Xnest / dev / mem sem ter o Xnest instalado foi visto em outros sistemas também. Ainda não está claro se os sistemas que exibem esta mensagem estão comprometidos ou não.
  • Aparentemente, o kernel 3.1-rc2 parece ter bloqueado o código malicioso de alguma forma. Ainda não se sabe se isso é intencional ou um efeito colateral de outra mudança.

O que está sendo feito para controlar os danos causados?

  • Vários servidores foram desconectados para fazer backups e reinstalar o sistema novamente.
  • Autoridades dos Estados Unidos e da Europa foram notificadas para auxiliar na investigação.
  • O sistema será completamente reinstalado em TODOS os servidores kernel.org.
  • Uma análise do código enviado ao git, bem como os tarballs, começará a confirmar que nada foi modificado.

Durmam em paz meus amigos

Jonathan Corbet, da Linux Foundation, escreveu uma nota falando sobre o evento que, embora grave, não deve gerar pânico ou histeria em massa, já que possuem as ferramentas necessárias para retornar à normalidade e localizar qualquer modificação não autorizada:

O episódio é perturbador e constrangedor. Mas posso dizer que não há necessidade de se preocupar com a integridade do código-fonte do kernel ou de qualquer outro software hospedado nos sistemas kernel.org.

Portanto, devemos ter calma porque, após a detecção, tudo voltará ao normal. Claro, ninguém pode tirar o susto e, claro, foi um golpe para os gerentes de projeto que, provavelmente, perderão tempo melhorando a segurança de seus sistemas.

fonte: Kernel.org & Alt1040