Linux Foundation: attacco ai server e servizi offline

Linux Foundation: attacco ai server e servizi offline

Dopo il problema di alcune settimane fa relativo a Kernel.org negli scorsi giorni l'infrastruttura di Linux Foundation è stata violata. Servizi offline e reinstallazione di tutti i server

di pubblicata il , alle 08:37 nel canale Web
 
I migliori sconti su Amazon oggi
21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
frankie13 Settembre 2011, 16:15 #11
Non sono aggiornato in materia, ma siamo finalmente al kernel 3.x? Che cosa è cambiato di relativamente grosso dal 2.6.xx??

Ho cercato info su kernel.org ma è down...
Z80Fan13 Settembre 2011, 16:22 #12
Confermo anche io che l'attacco a kernel.org è avvenuto rubando le credenziali di accesso, quindi nessun bug del software.
E' probabile che gli stessi dati siano stati sufficienti per entrare nel sito della fondazione.

Originariamente inviato da: frankie
Non sono aggiornato in materia, ma siamo finalmente al kernel 3.x? Che cosa è cambiato di relativamente grosso dal 2.6.xx??

Ho cercato info su kernel.org ma è down...


Nulla, praticamente invece di chiamarlo "2.6.40" hanno deciso di passare a "3.0".
Questo perchè ormai la vecchia numerazione non aveva più senso, perchè ormai il sistema è completo e non ci sono più grosse caratteristiche da aggiungere. Perciò sono passati a una numerazione tipo "3.0","3.1","3.2" etc. per semplificare, oltre (meno importante) a fare un regalo per i 20 anni .

E cmq il 3.0 è già uscito, ora c'è il 3.1 in release candidate.
http://djwong.org/docs/31-tuxlogo-screen.png
medicina13 Settembre 2011, 18:25 #13
Originariamente inviato da: Breaking
Infatti non è stato violato il kernel linux e il suo ecosistema Gli hacker sono riusciti ad ottenere i dati d'accesso (nickname, password e chiave firmata) di uno dei circa 400 sviluppatori. [....] Si, visto che te lo sei chiesto, ancora oggi linux è rimasto inviolato anche se è lontano dalla perfezioni..


Originariamente inviato da: Z80Fan
Confermo anche io che l'attacco a kernel.org è avvenuto rubando le credenziali di accesso, quindi nessun bug del software.
E' probabile che gli stessi dati siano stati sufficienti per entrare nel sito della fondazione.


L'ultima volta che ho guardato su kernel.org la spiegazione che davano è che chi ha attaccato il sito ha avuto le credenziali UTENTE di qualcuno e per mezzo di queste è riuscito, in un modo ancora da chiarire, di ottenere l'accesso ROOT.

Non è detto che sia stata sfruttata una falla nel kernel, ma l'ultima volta che ho visto un exploit che permetteva di arrivare a una shell root, un po' di tempo fa, non molto, questa era riconducibile a una falla scovata nel kernel (che viene, tra l'altro, continuamente patchato per correggere problemi di sicurezza).
Breaking13 Settembre 2011, 19:54 #14
L'attacco è avvenuto perché avevano già le credenziali (avevano i dati per l'accesso prima di agire) e non perché attaccando i server hanno scoperto le credenziali e poi fatto il resto con maggiori privilegi. Io vado per logica che non sia il kernel bucato, in queste settimane hanno scoperto l'attacco attraverso file log, sono venuti a conoscenza dei file che hanno infettato e di quale infezione si trattasse, hanno scoperto i dati compromessi e ripristinati i rami git; in questi ultimi giorni non è stata rilasciata alcuna revisione del kernel per fixare bug di sicurezza, indi per cui non è un problema in se del kernel linux. Quella a cui tu ti riferisci era una falla decennale scoperta dagli stessi sviluppatori della linux foundation, nemmeno dai terzi. In quel caso l'hack era sfruttabile in locale e non in remoto, non era situazione grave ma potenzialmente grave.
medicina13 Settembre 2011, 21:22 #15
Quanto ho scritto è quanto era riportato sul sito kernel.org prima che andasse off-line: loro hanno detto chiaramente che devono investigare su quanto accaduto, per scoprire dove è stata la falla software e quindi correggerla (sempre se riusciranno mai a venirne a capo, ché potrebbe non essere impresa da poco). Non hanno escluso che sia stata sfruttata una falla nel kernel, quindi non vedo perché dire il contrario...

Tra l'altro la falla in vmsplice() la ritengo una gravissima falla di sicurezza.
Breaking13 Settembre 2011, 22:12 #16
L'ho letto anche io cosa c'era scritto su kernel.org Loro hanno parlato solo di credenziali utente compromesse. Ovvero scovate e successivamente sfruttate, la cui sicurezza è diventata nulla. Potrebbe essere benissimo una negligenza del dev che doveva tutelare i suoi dati; dopotutto se ci pensi bene il root è un utente del sistema come altri che poteva essere scovato nello stesso modo (se cade la protezione sulla gestione degli utenti, non importa quanto privilegi abbia ogni utente, cadono tutti) noterai infatti che da queste credenziali sono passati a root e non direttamente; considerando che questo dev era in grado di postare ed abilitare commits, sicuramente i privilegi delle credenziali trafugate sono abbastanza alte. Hanno abilitato il rootkit Phalanx2 e delle backdoor ssh. Ad oggi non sono state trovate falle nel kernel. Tutte informazioni che trovi nella mail-list o siti specializzati.
Salvatopo14 Settembre 2011, 08:51 #17
Originariamente inviato da: strangers
P.S
Risparmiati per favore la solita tiritera che linux ha solo l'1%,Apple lo 0,2 e altre menate tipo windows presente anche nei cessi pubblici


Per essere precisi, windows c'è solo sui PC, mentre in circa il 90% dei grossi (e importanti) server mondiali c'è Linux.
Chissà perchè?
medicina14 Settembre 2011, 10:08 #18
Originariamente inviato da: Breaking
L'ho letto anche io cosa c'era scritto su kernel.org Loro hanno parlato solo di credenziali utente compromesse. Ovvero scovate e successivamente sfruttate, la cui sicurezza è diventata nulla. Potrebbe essere benissimo una negligenza del dev che doveva tutelare i suoi dati; dopotutto se ci pensi bene il root è un utente del sistema come altri che poteva essere scovato nello stesso modo (se cade la protezione sulla gestione degli utenti, non importa quanto privilegi abbia ogni utente, cadono tutti) noterai infatti che da queste credenziali sono passati a root e non direttamente; considerando che questo dev era in grado di postare ed abilitare commits, sicuramente i privilegi delle credenziali trafugate sono abbastanza alte. Hanno abilitato il rootkit Phalanx2 e delle backdoor ssh. Ad oggi non sono state trovate falle nel kernel. Tutte informazioni che trovi nella mail-list o siti specializzati.


Permettimi di sottolineare questo:

Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.


Poi in nessun caso un utente non-root dovrebbe essere in grado di compromettere il sistema, qualsiasi falla software che permette questo è da considerarsi grave. In pratica significa spalancare le porte a una potenziale minaccia da parte di chi ha già l'accesso utente e a chi può guadagnarlo sfruttando più comuni falle al software.

Più probabilmente, se è stata trafugata una password, è di un utente comune, dovendo essere il server organizzato per offrire spazio di lavoro e web ad alcuni sviluppatori. Per pubblicare commit via git non serve nemmeno l'accesso utente al server in questione.
Breaking14 Settembre 2011, 10:43 #19
Veramente un utente normale può tranquillamente elevarsi al grado di supervisore, dipende da come sia configurato. Con git o simili, ad esempio in gitorious, se non vieni abilitato nei privilegi da chi ha aperto la trunk ti attacchi, non puoi postare direttamente. Considerando che i server della linux foundation utilizzano questa gestione a commits ... altrimenti tutti potrebbero inserire patch.
medicina14 Settembre 2011, 12:46 #20
Chi ha accesso alle funzionalità di git, non è detto che abbia anche una login per loggarsi nel server come utente. Chi gestisce l'accesso a git, non deve essere root, potrebbe godere di qualche privilegio in più nel sistema per altri motivi, ammesso che sia influente, si tratta sempre di una, due o tre persone, contro tutti gli altri utenti del sistema che in teoria possono perdere la propria password.

Insomma, il punto del mio discorso - altrimenti ci perdiamo - è che non si può liquidare la cosa come semplice furto di credenziali d'accesso (cosa che è solo supposta che sia avvenuta tra l'altro). Purtroppo anche i programmatori di Linux sono umani e possono fare errori e non mi sembra giusto dare l'idea di una inviolabilità che in pratica non sussiste, tanto meno mi pare giusto farlo proprio dopo che purtroppo hanno subito uno smacco del genere.

Vedremo se ci saranno novità nei prossimi mesi che possano fare un po' di luce.
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^