Um invasor ainda desconhecido conseguiu obter privilégios de administrador (root) em alguns dos servidores mais importantes do kernel.org, o principal site para a distribuição do kernel Linux e para uma variedade de softwares relacionados ao sistema. O área de notícias do site mostra que os administradores detectaram a invasão no dia 28 de agosto.
O comportamento estranho do servidor já havia atraído a atenção dos desenvolvedores em meados de agosto, após a reinicialização das máquinas e atualização do kernel, ocorreram diversos "kernel panics" que eventualmente levaram à descoberta da invasão. De acordo com os resultados atuais da investigação, o intruso desconhecido obteve acesso através de uma conta de usuário comprometida. Uma vez logado no sistema ele provavelmente explorou alguma falha de segurança para escalar seus privilégios ao nível do root, contudo, não foram dados detalhes mais exatos sobre o procedimento usado pelo invasor.
Os administradores afirmam que os repositórios de código-fonte estão aparentemente inalterados, mas isso está sob investigação. A declaração oficial sobre o incidente também afirma que o dano potencial causado pela invasão é muito menor no kernel.org do que em outros sites que também guardam outros repositórios de código-fonte. Isso ocorreu porque os desenvolvedores do kernel trabalham com o Git, que usa hashing SHA1 para cada arquivo do código-fonte, os desenvolvedores afirmam que uma vez publicados, nenhuma mudança nesses arquivos passa desapercebida. Em uma entrada no blog oficial da Linux Foundation, o editor da LWN.net e hacker do kernel Jonathan Corbert explica isso em mais detalhes. Outra boa explanação sobre o problema pode ser encontrada no blog de um dos principais desenvolvedores do Git, Junio C.
Hamano, que explora em grande detalhe as possibilidades que um potencial invasor tem de modificar um repositório Git.
Hamano, que explora em grande detalhe as possibilidades que um potencial invasor tem de modificar um repositório Git.
Hamano afirmou que aqueles que obtem o código-fonte do Linux através do Git podem estar certos de que não receberam uma versão injetada com código malicioso. Contudo, a declaração no kernel.org não parece ser tão explícita se os patches e arquivos tar que estão acessíveis via link na página inicial do kernel.org estão intactos. Mesmo que a integridade desses arquivos possa ser conferida através de assinaturas PGP, a descrição desse mecanismo afirma que essas assinaturas são geradas em um dos servidores no kernel.org.
Por enquanto, não está claro se o intruso teve acesso à todos os componentes necessários para assinar um arquivo modificado.
Por enquanto, não está claro se o intruso teve acesso à todos os componentes necessários para assinar um arquivo modificado.
Fonte: h-online, em inglês.
0 comentários:
Postar um comentário