Linux Foundation: attacco ai server e servizi offline

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/linux-fou...ine_38427.html

Dopo il problema di alcune settimane fa relativo a Kernel.org negli scorsi giorni l'infrastruttura di Linux Foundation è stata violata. Servizi offline e reinstallazione di tutti i server

Click sul link per visualizzare la notizia.

[nikel]

sputano nel piatto in cui mangiano... che tristezza

[rastapunx]

Forse hanno tentato di entrare in possesso dei sorgenti di linux... Spero non ci siano riusciti

[coschizza]

Quote:

Originariamente inviato da rastapunx

Forse hanno tentato di entrare in possesso dei sorgenti di linux... Spero non ci siano riusciti

essendo i sorgenti liberi per scaricarli basta premere sul tasto "download"

[rastapunx]

Accidenti e io che ho dovuto scassare tutta linuxfoundation per averli... uff...

[rb1205]

Quote:

Originariamente inviato da coschizza

essendo i sorgenti liberi per scaricarli basta premere sul tasto "download"

Ti consiglio di comprarti uno di questi:

[II ARROWS]

MA i server di Linux non usano Linux?

Come mai sono stati bucati? Linux non è mica perfetto e inviolabile?

[strangers]

Quote:

Originariamente inviato da II ARROWS

MA i server di Linux non usano Linux?

Come mai sono stati bucati? Linux non è mica perfetto e inviolabile?

Il sistema inviolabile è isolato dal resto del mondo.
Quello è inviolabile(forse).
Detto questo notizie come questa nel mondo unix sono talmente rare che appunto...fanno notizia.
Su windows ormai abbiamo perso tutti il conto per cui...corri a controllare l'antivirus che potrebbe non essere abbastanza aggiornato all'ultimo minuto....

P.S
Risparmiati per favore la solita tiritera che linux ha solo l'1%,Apple lo 0,2 e altre menate tipo windows presente anche nei cessi pubblici perché francamente a me non me ne fotte una sega:vivo benissmo senza windows e non divento schiavo di una macchina e dell'antivirus che ti ritrovi dentro in ogni PC che acquisti.

[Khronos]

Quote:

Originariamente inviato da strangers

dell'antivirus che ti ritrovi dentro in ogni PC che acquisti.

basta non installarcelo....

[Breaking]

Quote:

Originariamente inviato da II ARROWS

MA i server di Linux non usano Linux?

Come mai sono stati bucati? Linux non è mica perfetto e inviolabile?

Infatti non è stato violato il kernel linux e il suo ecosistema Gli hacker sono riusciti ad ottenere i dati d'accesso (nickname, password e chiave firmata) di uno dei circa 400 sviluppatori. Molto probabilmente sfruttando qualche falla nel sistema di autenticazione della linux foundation. Potrebbe essere apache, mysql, la gestione dei cookie, insomma siamo li. Per quanto mi riguarda non escludo la cattura di un piccione viaggiatore che trasportava i vari dati d'accesso. Quindi considerando che ogni modifica attuata dal malintenzionato era in fin dei conti "autorizzata" dalla stessa fondazione, da qui il danno. Ma considerando il sistema di checksum adottato in ogni commit grazie al sistema git, nulla è compromesso, per loro è stato facile ripristinare il tutto (senza dimenticare che ogni sviluppatore ha in locale una copia dei vari rami di sviluppo nella propria macchina). Infatti la sviluppo del kernel continua in gitorious arrivato alla release sperimentale 3.1-rc6 e 3.0.4 stabile. Si, visto che te lo sei chiesto, ancora oggi linux è rimasto inviolato anche se è lontano dalla perfezioni..

[djfix13]

non esiste un sistema inviolabile in quanto tale sistema è realizzato dall'uomo che di per se introduce una percentuale di errore in ogni passaggio; più passaggi più errori o falle sfruttabili...a compensare ciò esiste per definizione un altro uomo che non genera gli stessi errori e questo migliora il livello di sicurezza in base al numero degli sviluppatori, per contro in tale equazione c'è anche il programmatore esterno al team che tenta l'attacco che può aver trovato uno degli spiragli lasciati dai precedenti programmatori.
non ne usciremo mai, quindi occorre sempre stare attenti e migliorare ove è possibile.

[frankie]

Non sono aggiornato in materia, ma siamo finalmente al kernel 3.x? Che cosa è cambiato di relativamente grosso dal 2.6.xx??

Ho cercato info su kernel.org ma è down...

[Z80Fan]

Confermo anche io che l'attacco a kernel.org è avvenuto rubando le credenziali di accesso, quindi nessun bug del software.
E' probabile che gli stessi dati siano stati sufficienti per entrare nel sito della fondazione.

Quote:

Originariamente inviato da frankie

Non sono aggiornato in materia, ma siamo finalmente al kernel 3.x? Che cosa è cambiato di relativamente grosso dal 2.6.xx??

Ho cercato info su kernel.org ma è down...

Nulla, praticamente invece di chiamarlo "2.6.40" hanno deciso di passare a "3.0".
Questo perchè ormai la vecchia numerazione non aveva più senso, perchè ormai il sistema è completo e non ci sono più grosse caratteristiche da aggiungere. Perciò sono passati a una numerazione tipo "3.0","3.1","3.2" etc. per semplificare, oltre (meno importante) a fare un regalo per i 20 anni .

E cmq il 3.0 è già uscito, ora c'è il 3.1 in release candidate.
http://djwong.org/docs/31-tuxlogo-screen.png

[medicina]

Quote:

Originariamente inviato da Breaking

Infatti non è stato violato il kernel linux e il suo ecosistema Gli hacker sono riusciti ad ottenere i dati d'accesso (nickname, password e chiave firmata) di uno dei circa 400 sviluppatori. [....] Si, visto che te lo sei chiesto, ancora oggi linux è rimasto inviolato anche se è lontano dalla perfezioni..

Quote:

Originariamente inviato da Z80Fan

Confermo anche io che l'attacco a kernel.org è avvenuto rubando le credenziali di accesso, quindi nessun bug del software.
E' probabile che gli stessi dati siano stati sufficienti per entrare nel sito della fondazione.

L'ultima volta che ho guardato su kernel.org la spiegazione che davano è che chi ha attaccato il sito ha avuto le credenziali UTENTE di qualcuno e per mezzo di queste è riuscito, in un modo ancora da chiarire, di ottenere l'accesso ROOT.

Non è detto che sia stata sfruttata una falla nel kernel, ma l'ultima volta che ho visto un exploit che permetteva di arrivare a una shell root, un po' di tempo fa, non molto, questa era riconducibile a una falla scovata nel kernel (che viene, tra l'altro, continuamente patchato per correggere problemi di sicurezza).

[Breaking]

L'attacco è avvenuto perché avevano già le credenziali (avevano i dati per l'accesso prima di agire) e non perché attaccando i server hanno scoperto le credenziali e poi fatto il resto con maggiori privilegi. Io vado per logica che non sia il kernel bucato, in queste settimane hanno scoperto l'attacco attraverso file log, sono venuti a conoscenza dei file che hanno infettato e di quale infezione si trattasse, hanno scoperto i dati compromessi e ripristinati i rami git; in questi ultimi giorni non è stata rilasciata alcuna revisione del kernel per fixare bug di sicurezza, indi per cui non è un problema in se del kernel linux. Quella a cui tu ti riferisci era una falla decennale scoperta dagli stessi sviluppatori della linux foundation, nemmeno dai terzi. In quel caso l'hack era sfruttabile in locale e non in remoto, non era situazione grave ma potenzialmente grave.

[medicina]

Quanto ho scritto è quanto era riportato sul sito kernel.org prima che andasse off-line: loro hanno detto chiaramente che devono investigare su quanto accaduto, per scoprire dove è stata la falla software e quindi correggerla (sempre se riusciranno mai a venirne a capo, ché potrebbe non essere impresa da poco). Non hanno escluso che sia stata sfruttata una falla nel kernel, quindi non vedo perché dire il contrario...

Tra l'altro la falla in vmsplice() la ritengo una gravissima falla di sicurezza.

[Breaking]

L'ho letto anche io cosa c'era scritto su kernel.org Loro hanno parlato solo di credenziali utente compromesse. Ovvero scovate e successivamente sfruttate, la cui sicurezza è diventata nulla. Potrebbe essere benissimo una negligenza del dev che doveva tutelare i suoi dati; dopotutto se ci pensi bene il root è un utente del sistema come altri che poteva essere scovato nello stesso modo (se cade la protezione sulla gestione degli utenti, non importa quanto privilegi abbia ogni utente, cadono tutti) noterai infatti che da queste credenziali sono passati a root e non direttamente; considerando che questo dev era in grado di postare ed abilitare commits, sicuramente i privilegi delle credenziali trafugate sono abbastanza alte. Hanno abilitato il rootkit Phalanx2 e delle backdoor ssh. Ad oggi non sono state trovate falle nel kernel. Tutte informazioni che trovi nella mail-list o siti specializzati.

[Salvatopo]

Quote:

Originariamente inviato da strangers

P.S
Risparmiati per favore la solita tiritera che linux ha solo l'1%,Apple lo 0,2 e altre menate tipo windows presente anche nei cessi pubblici

Per essere precisi, windows c'è solo sui PC, mentre in circa il 90% dei grossi (e importanti) server mondiali c'è Linux.
Chissà perchè?

[medicina]

Quote:

Originariamente inviato da Breaking

L'ho letto anche io cosa c'era scritto su kernel.org Loro hanno parlato solo di credenziali utente compromesse. Ovvero scovate e successivamente sfruttate, la cui sicurezza è diventata nulla. Potrebbe essere benissimo una negligenza del dev che doveva tutelare i suoi dati; dopotutto se ci pensi bene il root è un utente del sistema come altri che poteva essere scovato nello stesso modo (se cade la protezione sulla gestione degli utenti, non importa quanto privilegi abbia ogni utente, cadono tutti) noterai infatti che da queste credenziali sono passati a root e non direttamente; considerando che questo dev era in grado di postare ed abilitare commits, sicuramente i privilegi delle credenziali trafugate sono abbastanza alte. Hanno abilitato il rootkit Phalanx2 e delle backdoor ssh. Ad oggi non sono state trovate falle nel kernel. Tutte informazioni che trovi nella mail-list o siti specializzati.

Permettimi di sottolineare questo:

Quote:

Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.

Poi in nessun caso un utente non-root dovrebbe essere in grado di compromettere il sistema, qualsiasi falla software che permette questo è da considerarsi grave. In pratica significa spalancare le porte a una potenziale minaccia da parte di chi ha già l'accesso utente e a chi può guadagnarlo sfruttando più comuni falle al software.

Più probabilmente, se è stata trafugata una password, è di un utente comune, dovendo essere il server organizzato per offrire spazio di lavoro e web ad alcuni sviluppatori. Per pubblicare commit via git non serve nemmeno l'accesso utente al server in questione.

[Breaking]

Veramente un utente normale può tranquillamente elevarsi al grado di supervisore, dipende da come sia configurato. Con git o simili, ad esempio in gitorious, se non vieni abilitato nei privilegi da chi ha aperto la trunk ti attacchi, non puoi postare direttamente. Considerando che i server della linux foundation utilizzano questa gestione a commits ... altrimenti tutti potrebbero inserire patch.