Les serveurs du noyau Linux compromis par un malware

[Hinault Romaric]

Linux : les serveurs de Kernel.org victimes d'une attaque
Mais le noyau de l'OS n'aurait subi aucune modification

Les serveurs Web utilisés pour la distribution et la maintenance du noyau Linux ont été infectés par un malware disposant d’un accès root.

Le cheval de Troie aurait été introduit par un attaquant non identifié qui aurait obtenu un accès à des serveurs de Kernel.org, serveurs sur lesquels sont hébergées les sources du noyau de l'OS.

Selon John Hawley, administrateur de Kernel.org, l’attaque aurait eu lieu le 12 août mais n’aurait été découverte que 17 jours plus tard, suite à la détection d’un cheval de Troie sur la machine personnelle d’un développeur du noyau Linux et sur les serveurs Hera et Odin1 de kernel.org.

L'attaquant aurait utilisé un compte utilisateur compromis, puis aurait exploité des failles de sécurité du système pour s'approprier des droits d'accès de niveau root.

Cependant, les sources du noyau Linux n’auraient, elles, subi aucune modification.

Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.

D’autres mécanismes de sécurité tendent également à prouver que le Kernel n'a pas été touché. «Pour chacun des 40.000 fichiers du noyau Linux, un chiffrement à partir de la fonction de hachage SHA-1 (Secure Hash Algorithm) est effectué de façon unique pour définir le contenu exact de chaque fichier » explique l’administrateur du site «lorsque [le noyau] est publié, il n’est pas possible de changer les anciennes versions sans que cela ne soit remarqué».

Pour plus de sécurité, et en plus de ces "alarmes", l’ensemble des fichiers sources du noyau sont en cours d’analyse pour confirmer qu’aucun fichier n’a été modifié.

Les administrateurs de Kernel.org ont annoncé qu’ils allaient également procéder à une réinstallation complète des systèmes d’exploitation des serveurs infectés. Enfin, les informations d’authentification ainsi que les clés SSH seront modifiées.


Source : Kernel.org


Et vous ?

Que pensez-vous de cette attaque ?

[frp31]

Comme toute attaque elle est là pour "faire chier un max de monde", et non pas comme on essaye parfois de nous le faire croire pour "faire démonstration d'un problème de sécurité pour obtenir sa correction"

Le fait que ce soit une attaque contre un site libriste majeur, c'est simplement la rançon du succès à mon avis.... désormais, le site kernel.org est un site connu comme fiable, et stable depuis un certains temps. Donc une sorte d'étendard, et par conséquent une cible idéale. (Stabilité, veut aussi souvent dire que les mises à jour sont faites mais pas forcément à un rythme soutenu).

Avec la "mode", des attaques organisées par des groupes plus ou moins organisés, il n'y a rien d'étonnant à ce que d'autres attaquent des site sans motivations particulières, juste pour "le fun" ou suivre la mode.

[GROSTROLL]A moins que ce ne soit un coup de µ$oft pour prévoir la sortie de windows 8, suite au manque à gagner dans les pays émergeant qui privilégient les systèmes libre d'abord pour des raisons financières
[/grostroll]

[GROSSECONNERIE]Mais on sait tous qu'en fait µ$oft n'est qu'un écran de fumée et qu'en réalité c'est un coup des extraterrestres chinois du FBI, cours Marie-Jo ! Cours ![/GROSSECONNERIE]

Quant-à la réaction rapide, et mise en place par les membres de Kernel.org, on ne peut que s'en féliciter. Ils sont réactifs, c'est pro. Encore un exemple qui prouve que le libre et sa communauté c'est du solide ; même sur l'organisation et le management de situations de crise.

[ProgVal]

Citation:

Envoyé par Hinault Romaric

Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.

Ce n'est pas forcément le cas lorsque l'on a un accès direct aux fichiers (modification des données), et encore moins un accès root (possibilité de bloquer les courriels sortants).
Cependant, il est vrai qu'avec les gestionnaires de versions distribués tels que Git, il est quasi-impossible de modifier un commit sans avoir des répercutions sur tous les autres (à moins d'avoir une chance du diable, et que le hash soit exactement le même, mais les probabilités sont du même ordre que l'implosion du Soleil dans la prochaine semaine)

Citation:

Envoyé par Hinault Romaric

Que pensez-vous de cette attaque ?

Comme frp31 le dit : faire chier du monde, et faire parler de soi.

De plus, la transparence est ici requise, car faire régénérer leur clef SSH à 448 personnes en voulant garder le secret, je pense que c'est tout bonnement impossible.

[Freem]

Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.

Une chose est sûre, en tout cas, c'est qu'ils ne le prennent pas à la légère, pour faire une réinstallation totale des systèmes et analyser les sources

Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.

[ProgVal]

Citation:

Envoyé par Freem

Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.

Ce n'est pas le seul intérêt. C'est également utile quand tu passes deux semaines sans accès à Internet (bien que cela se fasse rare), et que tu veux continuer à appliquer ton rythme de travail favori ("Commit soon, commit often"), plutôt que faire un gros commit à la fin.
Il y a également le cas où le serveur contenant le dépôt venait à tomber en panne et/ou perdre ses données.
Et enfin, ça permet également de "merger" des commits d'autres forks d'un logiciel, lorsque l'on en maintient un.

Citation:

Envoyé par Freem

Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.

D'autant plus que Linux n'est pas le seul projet hébergé sur kernel.org. Il y a également Android, par exemple.

[ValCapri]

Je trouve cela un peu fort d'aller hacker kernel.org, j'en vois pas trop l’intérêt vu que c'est du libre et qu'on a accès aux sources. C'est juste pour le fun quoi ou la pub, mais alors, je ne vois pas pourquoi un groupe ne le revendique pas. Surtout que je pense que les hackers utilisent souvent des serveurs sous Linux.

C'est vrai que Git est plutôt pratique au niveau sécurité, et c'est un aspect qu'on ne lui donne pas souvent.

[ProgVal]

Citation:

Envoyé par ValCapri

Je trouve cela un peu fort d'aller hacker kernel.org

Je pense que tu veux dire "pirater". Un hack, c'est ça : http://www.developpez.com/actu/23928...ignes-de-code/

Citation:

Envoyé par ValCapri

j'en vois pas trop l’intérêt vu que c'est du libre et qu'on a accès aux sources.

Citation:

Envoyé par ValCapri

Surtout que je pense que les hackers utilisent souvent des serveurs sous Linux.

Tu as une vision tellement binaire des choses... tout n'est pas blanc ou noir.

EDIT : En plus, pour certaines personnes, la licence GPL (utilisée par Linux) n'est pas vraiment une licence libre, car trop restrictive. Mais je ne pense pas que ce soit ce genre de personnes qui en veuille particulièrement à Linux.

[f-k-z]

Yopyop,

Concernant l'attaque et avec un peu de recul, l' (ou les) attaquant(s) ont quand même un minimum de respect pour le travail effectué. Bon il y a eu un trojan d'installé, même si de mon côté je pencherais beaucoup plus sur une jolie backdoor (pour beaucoup c'est la même chose, mais y a quand même quelques différences notables). Mais après, il n'y a pas eu corruption des données, ni de grand défaçage et encore moins de revendication à la Anonymous & Co. Je le vois plus comme un gros tirage d'alarme pour dire: "Houlà les gars, si je peux y rentrer y en a qui vont faire pareil et peut être pire."
Un autre point concernant Kernel.org, c'est qu'ils n'ont pas hésité à le rendre public en faisant un post directement sur la page principale du site, au moins ils ne nient pas l'évidence.

Il reste juste un point: La justice retrouvera-t-elle l'auteur de cet acte ? suite au dépôt de plainte.

@Valcapri : L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple. De plus c'est en exposant les failles (avec plus ou moins d'éthique) que celles-ci sont corrigées.
De plus les hackers n'utilisent pas que les serveurs sous linux, il y a beaucoup de machines sous windows qui leur servent aussi, surtout celles allumées 24/24 ou connectées à de grand débits

++

Fiki

PS: Il ne s'agit ici que de mon point de vue

[Loceka]

Citation:

Envoyé par f-k-z

L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple.

Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
Et rajouter une backdoor dans le noyau linux à l'insu de tout le monde pourraît être utile à pas mal de hackers (cf la backdoor dans le code de la couche IPsec sur BSD apparement commanditée par le FBI).

[ProgVal]

Citation:

Envoyé par Loceka

Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.

Non, grâce au système de hash et de signature numérique de Git.

[frp31]

Citation:

Envoyé par Loceka

Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
Et rajouter une backdoor dans le noyau linux à l'insu de tout le monde pourraît être utile à pas mal de hackers (cf la backdoor dans le code de la couche IPsec sur BSD apparement commanditée par le FBI).

ça avait été fini par être démontré en HOAX au final... cette histoire... même si la demande a bel et bien existé par contre à l'origine.

[thorium90]

Citation:

Envoyé par ProgVal

à moins d'avoir une chance du diable, et que le hash soit exactement le même, mais les probabilités sont du même ordre que l'implosion du Soleil dans la prochaine semaine

Question HASH, je ne suis pas entièrement d'accord, des système Hardware avec 12 cartes graphiques monté en parallèles utilisant CUDA pour leur exploitation et tu trouve en moins d'une journée un fichier remplit de contenu aléatoire ayant exactement le même hachage numérique (c'est d’ailleurs le gros problème du hash(cf collisions)). Le cloud d'amazon permet d'en faire d’ailleurs autant.

Donc, même si je ne pense pas que ce soit le cas, mais un hacker ayant cherché a s'introduire sur le serveur de linux peut sans problème avoir préparé un noyau corrompu ayant le même hash (bon, j'avoue aussi le SHA c'est pas aussi facile a duper que le MD5). Ensuite pour ce qui est de la taille du fichier, il me semble qu'il est aussi possible de faire croire au système qu'un fichier fais toujours la même taille.

Pour conclure l'acte en lui même reste très effronté de la part de son auteur. Fallait oser ^^

[Firwen]

Citation:

Question HASH, je ne suis pas entièrement d'accord, des système Hardware avec 12 cartes graphiques monté en parallèles utilisant CUDA pour leur exploitation et tu trouve en moins d'une journée un fichier remplit de contenu aléatoire ayant exactement le même hachage numérique (c'est d’ailleurs le gros problème du hash(cf collisions)). Le cloud d'amazon permet d'en faire d’ailleurs autant.

Avec du contenu aléatoire oui, c'est possible, peu probable mais possible.

Mais avec du vrai contenu, qui passe la compilation, qui peut servir de backdoor et qui se voit pas au premier coup d'oeil ?
ça me parait etre aussi probable que de recevoir l'épave du Titanic sur la tête en plein Sahara.

[ProgVal]

Les serveurs de la Linux Foundation ont également été attaqués, et il semblerait que cette attaque soit liée à celle de kernel.org.

Citation:

Linux Foundation infrastructure including
LinuxFoundation.org, Linux.com, and their subdomains are
down for maintenance due to a security breach that was
discovered on September 8, 2011. The Linux Foundation made
this decision in the interest of extreme caution and
security best practices. We believe this breach was
connected to the intrusion on kernel.org.

We are in the process of restoring services in a secure
manner as quickly as possible. As with any intrusion and as
a matter of caution, you should consider the passwords and
SSH keys that you have used on these sites compromised. If
you have reused these passwords on other sites, please
change them immediately. We are currently auditing all
systems and will update this statement when we have more
information.

We apologize for the inconvenience. We are taking this
matter seriously and appreciate your patience. The Linux
Foundation infrastructure houses a variety of services and
programs including Linux.com, Open Printing, Linux Mark,
Linux Foundation events and others, but does not include
the Linux kernel or its code repositories.

Please contact us at info@linuxfoundation.org with
questions about this matter.

The Linux Foundation