Link alla notizia: http://www.hwfiles.it/news/linux-foundation-attacco-ai-server-e-servizi-offline_38427.html

Dopo il problema di alcune settimane fa relativo a Kernel.org negli scorsi giorni l'infrastruttura di Linux Foundation è stata violata. Servizi offline e reinstallazione di tutti i server

Click sul link per visualizzare la notizia.

sputano nel piatto in cui mangiano... che tristezza :(

Forse hanno tentato di entrare in possesso dei sorgenti di linux... Spero non ci siano riusciti :)

Forse hanno tentato di entrare in possesso dei sorgenti di linux... Spero non ci siano riusciti :)

essendo i sorgenti liberi per scaricarli basta premere sul tasto "download"

Accidenti e io che ho dovuto scassare tutta linuxfoundation per averli... uff...

essendo i sorgenti liberi per scaricarli basta premere sul tasto "download"

Ti consiglio di comprarti uno di questi:

http://www.popsci.com/files/imagecache/article_image_large/articles/sarcasm01.jpg

MA i server di Linux non usano Linux?

Come mai sono stati bucati? Linux non è mica perfetto e inviolabile? :asd:

MA i server di Linux non usano Linux?

Come mai sono stati bucati? Linux non è mica perfetto e inviolabile? :asd:

Il sistema inviolabile è isolato dal resto del mondo.
Quello è inviolabile(forse).
Detto questo notizie come questa nel mondo unix sono talmente rare che appunto...fanno notizia.
Su windows ormai abbiamo perso tutti il conto per cui...corri a controllare l'antivirus che potrebbe non essere abbastanza aggiornato all'ultimo minuto....:asd: :asd: :asd:

P.S
Risparmiati per favore la solita tiritera che linux ha solo l'1%,Apple lo 0,2 e altre menate tipo windows presente anche nei cessi pubblici perché francamente a me non me ne fotte una sega:vivo benissmo senza windows e non divento schiavo di una macchina e dell'antivirus che ti ritrovi dentro in ogni PC che acquisti.

dell'antivirus che ti ritrovi dentro in ogni PC che acquisti.
basta non installarcelo....

MA i server di Linux non usano Linux?

Come mai sono stati bucati? Linux non è mica perfetto e inviolabile? :asd:


Infatti non è stato violato il kernel linux e il suo ecosistema ;) Gli hacker sono riusciti ad ottenere i dati d'accesso (nickname, password e chiave firmata) di uno dei circa 400 sviluppatori. Molto probabilmente sfruttando qualche falla nel sistema di autenticazione della linux foundation. Potrebbe essere apache, mysql, la gestione dei cookie, insomma siamo li. Per quanto mi riguarda non escludo la cattura di un piccione viaggiatore che trasportava i vari dati d'accesso. Quindi considerando che ogni modifica attuata dal malintenzionato era in fin dei conti "autorizzata" dalla stessa fondazione, da qui il danno. Ma considerando il sistema di checksum adottato in ogni commit grazie al sistema git, nulla è compromesso, per loro è stato facile ripristinare il tutto (senza dimenticare che ogni sviluppatore ha in locale una copia dei vari rami di sviluppo nella propria macchina). Infatti la sviluppo del kernel continua in gitorious arrivato alla release sperimentale 3.1-rc6 e 3.0.4 stabile. Si, visto che te lo sei chiesto, ancora oggi linux è rimasto inviolato anche se è lontano dalla perfezioni..

non esiste un sistema inviolabile in quanto tale sistema è realizzato dall'uomo che di per se introduce una percentuale di errore in ogni passaggio; più passaggi più errori o falle sfruttabili...a compensare ciò esiste per definizione un altro uomo che non genera gli stessi errori e questo migliora il livello di sicurezza in base al numero degli sviluppatori, per contro in tale equazione c'è anche il programmatore esterno al team che tenta l'attacco che può aver trovato uno degli spiragli lasciati dai precedenti programmatori.
non ne usciremo mai, quindi occorre sempre stare attenti e migliorare ove è possibile.

Non sono aggiornato in materia, ma siamo finalmente al kernel 3.x? Che cosa è cambiato di relativamente grosso dal 2.6.xx??

Ho cercato info su kernel.org ma è down...

Confermo anche io che l'attacco a kernel.org è avvenuto rubando le credenziali di accesso, quindi nessun bug del software.
E' probabile che gli stessi dati siano stati sufficienti per entrare nel sito della fondazione.

Non sono aggiornato in materia, ma siamo finalmente al kernel 3.x? Che cosa è cambiato di relativamente grosso dal 2.6.xx??

Ho cercato info su kernel.org ma è down...

Nulla, praticamente invece di chiamarlo "2.6.40" hanno deciso di passare a "3.0".
Questo perchè ormai la vecchia numerazione non aveva più senso, perchè ormai il sistema è completo e non ci sono più grosse caratteristiche da aggiungere. Perciò sono passati a una numerazione tipo "3.0","3.1","3.2" etc. per semplificare, oltre (meno importante) a fare un regalo per i 20 anni ;).

E cmq il 3.0 è già uscito, ora c'è il 3.1 in release candidate.
http://djwong.org/docs/31-tuxlogo-screen.png
:asd:

Infatti non è stato violato il kernel linux e il suo ecosistema ;) Gli hacker sono riusciti ad ottenere i dati d'accesso (nickname, password e chiave firmata) di uno dei circa 400 sviluppatori. [....] Si, visto che te lo sei chiesto, ancora oggi linux è rimasto inviolato anche se è lontano dalla perfezioni..

Confermo anche io che l'attacco a kernel.org è avvenuto rubando le credenziali di accesso, quindi nessun bug del software.
E' probabile che gli stessi dati siano stati sufficienti per entrare nel sito della fondazione.


L'ultima volta che ho guardato su kernel.org la spiegazione che davano è che chi ha attaccato il sito ha avuto le credenziali UTENTE di qualcuno e per mezzo di queste è riuscito, in un modo ancora da chiarire, di ottenere l'accesso ROOT.

Non è detto che sia stata sfruttata una falla nel kernel, ma l'ultima volta che ho visto un exploit che permetteva di arrivare a una shell root, un po' di tempo fa, non molto, questa era riconducibile a una falla scovata nel kernel (che viene, tra l'altro, continuamente patchato per correggere problemi di sicurezza).

L'attacco è avvenuto perché avevano già le credenziali (avevano i dati per l'accesso prima di agire) e non perché attaccando i server hanno scoperto le credenziali e poi fatto il resto con maggiori privilegi. Io vado per logica che non sia il kernel bucato, in queste settimane hanno scoperto l'attacco attraverso file log, sono venuti a conoscenza dei file che hanno infettato e di quale infezione si trattasse, hanno scoperto i dati compromessi e ripristinati i rami git; in questi ultimi giorni non è stata rilasciata alcuna revisione del kernel per fixare bug di sicurezza, indi per cui non è un problema in se del kernel linux. Quella a cui tu ti riferisci era una falla decennale scoperta dagli stessi sviluppatori della linux foundation, nemmeno dai terzi. In quel caso l'hack era sfruttabile in locale e non in remoto, non era situazione grave ma potenzialmente grave.

Quanto ho scritto è quanto era riportato sul sito kernel.org prima che andasse off-line: loro hanno detto chiaramente che devono investigare su quanto accaduto, per scoprire dove è stata la falla software e quindi correggerla (sempre se riusciranno mai a venirne a capo, ché potrebbe non essere impresa da poco). Non hanno escluso che sia stata sfruttata una falla nel kernel, quindi non vedo perché dire il contrario...

Tra l'altro la falla in vmsplice() la ritengo una gravissima falla di sicurezza.

L'ho letto anche io cosa c'era scritto su kernel.org Loro hanno parlato solo di credenziali utente compromesse. Ovvero scovate e successivamente sfruttate, la cui sicurezza è diventata nulla. Potrebbe essere benissimo una negligenza del dev che doveva tutelare i suoi dati; dopotutto se ci pensi bene il root è un utente del sistema come altri che poteva essere scovato nello stesso modo (se cade la protezione sulla gestione degli utenti, non importa quanto privilegi abbia ogni utente, cadono tutti) noterai infatti che da queste credenziali sono passati a root e non direttamente; considerando che questo dev era in grado di postare ed abilitare commits, sicuramente i privilegi delle credenziali trafugate sono abbastanza alte. Hanno abilitato il rootkit Phalanx2 e delle backdoor ssh. Ad oggi non sono state trovate falle nel kernel. Tutte informazioni che trovi nella mail-list o siti specializzati.

P.S
Risparmiati per favore la solita tiritera che linux ha solo l'1%,Apple lo 0,2 e altre menate tipo windows presente anche nei cessi pubblici

Per essere precisi, windows c'è solo sui PC, mentre in circa il 90% dei grossi (e importanti) server mondiali c'è Linux.
Chissà perchè? ;)

L'ho letto anche io cosa c'era scritto su kernel.org Loro hanno parlato solo di credenziali utente compromesse. Ovvero scovate e successivamente sfruttate, la cui sicurezza è diventata nulla. Potrebbe essere benissimo una negligenza del dev che doveva tutelare i suoi dati; dopotutto se ci pensi bene il root è un utente del sistema come altri che poteva essere scovato nello stesso modo (se cade la protezione sulla gestione degli utenti, non importa quanto privilegi abbia ogni utente, cadono tutti) noterai infatti che da queste credenziali sono passati a root e non direttamente; considerando che questo dev era in grado di postare ed abilitare commits, sicuramente i privilegi delle credenziali trafugate sono abbastanza alte. Hanno abilitato il rootkit Phalanx2 e delle backdoor ssh. Ad oggi non sono state trovate falle nel kernel. Tutte informazioni che trovi nella mail-list o siti specializzati.

Permettimi di sottolineare questo:


Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.

Poi in nessun caso un utente non-root dovrebbe essere in grado di compromettere il sistema, qualsiasi falla software che permette questo è da considerarsi grave. In pratica significa spalancare le porte a una potenziale minaccia da parte di chi ha già l'accesso utente e a chi può guadagnarlo sfruttando più comuni falle al software.

Più probabilmente, se è stata trafugata una password, è di un utente comune, dovendo essere il server organizzato per offrire spazio di lavoro e web ad alcuni sviluppatori. Per pubblicare commit via git non serve nemmeno l'accesso utente al server in questione.

Veramente un utente normale può tranquillamente elevarsi al grado di supervisore, dipende da come sia configurato. Con git o simili, ad esempio in gitorious, se non vieni abilitato nei privilegi da chi ha aperto la trunk ti attacchi, non puoi postare direttamente. Considerando che i server della linux foundation utilizzano questa gestione a commits ... altrimenti tutti potrebbero inserire patch.

Chi ha accesso alle funzionalità di git, non è detto che abbia anche una login per loggarsi nel server come utente. Chi gestisce l'accesso a git, non deve essere root, potrebbe godere di qualche privilegio in più nel sistema per altri motivi, ammesso che sia influente, si tratta sempre di una, due o tre persone, contro tutti gli altri utenti del sistema che in teoria possono perdere la propria password.

Insomma, il punto del mio discorso - altrimenti ci perdiamo - è che non si può liquidare la cosa come semplice furto di credenziali d'accesso (cosa che è solo supposta che sia avvenuta tra l'altro). Purtroppo anche i programmatori di Linux sono umani e possono fare errori e non mi sembra giusto dare l'idea di una inviolabilità che in pratica non sussiste, tanto meno mi pare giusto farlo proprio dopo che purtroppo hanno subito uno smacco del genere.

Vedremo se ci saranno novità nei prossimi mesi che possano fare un po' di luce.

Ci sono continuamente patch di sicurezza al kernel, ma questa non è una debolezza, piuttosto è la forza di linux! Quindi, ottimo direi, kernel.org tornerà online ed avranno pure chiuso un altra falla (senza aspettare il patch day del semestre successivo)! :)

Naturalmente su linux (linux è solo il kernel) le falle individuate sono spesso riferibili a condizioni molto particolari (es. è stato individuato che in sistemi con il modulo xemn83r8h, con l'opzione sdmw92d=38d e dend=4234 un utente locale con privilegi di... potrebbe scalare i privilegi).
Anche il software "maturo" legato alle principali distribuzioni linux riceve patch di questo genere, ma è rarissimo che ci sia un problema generale su configurazioni di default o quantomeno comuni.

Naturalmente partire con un account locale su un sistema è già un bel vantaggio, tanto più se questo account ha anche qualche privilegio particolare. Come già detto comunque, hanno sfruttato un exploit.

Anche linux ha il suo orifizio ma perlomeno non ha un cratere.
Ma perlomeno ripareranno a breve e non si fanno pagare per fornire un cratere che poi ti sfonda il primo script kiddie:D