Kernel.org, il sito di distribuzione ufficiale dei sorgenti del kernel Linux, è stato l´obiettivo di un attacco informatico tra il 12 e il 28 di agosto scorso, giorno in cui sono state trovate le prime tracce dell´attacco stesso. I sorgenti del kernel - a quanto sembra da una prima indagine - non sarebbero stati compromessi.
Sul sito stesso è stato pubblicato un messaggio che riassume la situazione e che traduciamo per intero:
All´inizio di questo mese (Agosto), un certo numero di server nell´infrastruttura di kernel.org è stato compromesso. L´abbiamo scoperto il 28 Agosto. Sebbene al momento pensiamo che i repository del codice sorgente non siano stati coinvolti, stiamo verificando che ciò corrisponda a verità e stiamo migliorando la sicurezza dell´infrastruttura.
Che cosa è successo?
Degli intrusi hanno avuto accesso con privilegi di root al server Hera. Crediamo che possano avere ottenuto accesso al server mediante delle credenziali utente compromesse; il modo in cui siano riusciti a diventare root al momento non è noto ed è oggetto d´indagine.
Sono stati modficati e mandati in esecuzione file appartenenti a ssh (openssh, openssh-server e openssh-clients).
È stato aggiunto un "cavallo di Troia" agli script di avvio del sistema.
Sono stati salvati dei log sulle interazioni utente, così come del codice usato per l´exploit. Lo abbiamo mantenuto per il momento.
Il trojan è stato scoperto inizialmente a causa di un messaggio di errore di Xnest riguardo /dev/mem, in un sistema in cui Xnest non era installato; il comportamento è stato osservato anche in altri sistemi, ma non è chiaro se ci sia un legame reale con la compromissione in sé del sistema. Sviluppatori, se vedete questo messaggio e Xnest non è installato, indagate.
*Sembra* che la release 3.1-rc2 possa aver bloccato il software utilizzato per iniettare l´exploit, non sappiamo se ciò sia voluto o solo un effetto collaterale di un altro bugfix o cambiamento.
Cosa è stato fatto fin´ora
Abbiamo messo offline dei sistemi per fare dei backup e stiamo per effettuare delle reinstallazioni complete.
Abbiamo allertato le autorità statunitensi ed europee per ricevere assistenza.
Reinstalleremo da zero tutti i sistemi su kernel.org
Stiamo analizzando il codice all´interno del repository git e negli archivi tar per vedere se c´è stata o meno qualche modifca.La comunità Linux e kernel.org prendono molto sul serio la sicurezza del dominio kernel.org, e stanno effettuando quanto necessario per indagare a proposito dell´attacco e impedirne di altri in futuro. Tuttavia risulta utile sottolineare il fatto che il danno potenziale di un attacco cracker a kernel.org sia molto inferiore rispetto ai tipici repositori software, dal momento che lo sviluppo del kernel ha luogo usando il sistema di controllo versione distribuito git, progettato da Linus Torvalds. Per ciascuno dei quasi 40.000 file del kernel Linux, un hash SHA-1 viene calcolato per definire in maniera univoca il contenuto esatto del file. Git è progettato in maniera tale che il nome di ciascuna versione del kernel dipenda dalla history completa dello sviluppo fino a quel momento. Dopo la pubblicazione, non è possibile modificare le vecchie versioni senza che ciò venga notato.
Questi file e gli hash corrispondenti esistono non soltanto su kernel.org e sui suoi mirror, ma sui dischi rigidi di diverse migliaia di sviluppatori del kernel, mantainer delle distribuzioni e altri utenti di kernel.org. Un qualunque sabotaggio a un file nel repository kernel.org verrebbe immediatamente notato da ciascuno sviluppatore che aggiornasse il proprio repository personale, attività che la maggior parte di essi svolge giornalmente.
Stiamo lavorando con i 448 utenti di kernel.org affinché cambino le proprie credenziali e le chiavi SSH.
Stiamo sottoponendo a verifica tutte le policy di sicurezza adottate in modo da rendere kernel.org più sicuro, ma confidiamo nel fatto che i nostri sistemi, e specificatamente git, siano progettati in maniera tale da impedire danni derivanti da questi tipi di attacchi.
È possibile trovare qualche piccolo dettaglio aggiuntivo nel messaggio inviato da John Hawley, amministratore capo di kernel.org, alla mailing list degli utenti di kernel.org.