IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Linux Discussion :

Les serveurs du noyau Linux compromis par un malware


Sujet :

Linux

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Les serveurs du noyau Linux compromis par un malware
    Linux : les serveurs de Kernel.org victimes d'une attaque
    Mais le noyau de l'OS n'aurait subi aucune modification

    Les serveurs Web utilisés pour la distribution et la maintenance du noyau Linux ont été infectés par un malware disposant d’un accès root.

    Le cheval de Troie aurait été introduit par un attaquant non identifié qui aurait obtenu un accès à des serveurs de Kernel.org, serveurs sur lesquels sont hébergées les sources du noyau de l'OS.

    Selon John Hawley, administrateur de Kernel.org, l’attaque aurait eu lieu le 12 août mais n’aurait été découverte que 17 jours plus tard, suite à la détection d’un cheval de Troie sur la machine personnelle d’un développeur du noyau Linux et sur les serveurs Hera et Odin1 de kernel.org.

    L'attaquant aurait utilisé un compte utilisateur compromis, puis aurait exploité des failles de sécurité du système pour s'approprier des droits d'accès de niveau root.

    Cependant, les sources du noyau Linux n’auraient, elles, subi aucune modification.

    Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.

    D’autres mécanismes de sécurité tendent également à prouver que le Kernel n'a pas été touché. «Pour chacun des 40.000 fichiers du noyau Linux, un chiffrement à partir de la fonction de hachage SHA-1 (Secure Hash Algorithm) est effectué de façon unique pour définir le contenu exact de chaque fichier » explique l’administrateur du site «lorsque [le noyau] est publié, il n’est pas possible de changer les anciennes versions sans que cela ne soit remarqué».

    Pour plus de sécurité, et en plus de ces "alarmes", l’ensemble des fichiers sources du noyau sont en cours d’analyse pour confirmer qu’aucun fichier n’a été modifié.

    Les administrateurs de Kernel.org ont annoncé qu’ils allaient également procéder à une réinstallation complète des systèmes d’exploitation des serveurs infectés. Enfin, les informations d’authentification ainsi que les clés SSH seront modifiées.


    Source : Kernel.org


    Et vous ?

    Que pensez-vous de cette attaque ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Expert éminent sénior Avatar de frp31
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2006
    Messages
    5 196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juillet 2006
    Messages : 5 196
    Points : 12 264
    Points
    12 264
    Par défaut
    Comme toute attaque elle est là pour "faire chier un max de monde", et non pas comme on essaye parfois de nous le faire croire pour "faire démonstration d'un problème de sécurité pour obtenir sa correction"

    Le fait que ce soit une attaque contre un site libriste majeur, c'est simplement la rançon du succès à mon avis.... désormais, le site kernel.org est un site connu comme fiable, et stable depuis un certains temps. Donc une sorte d'étendard, et par conséquent une cible idéale. (Stabilité, veut aussi souvent dire que les mises à jour sont faites mais pas forcément à un rythme soutenu).

    Avec la "mode", des attaques organisées par des groupes plus ou moins organisés, il n'y a rien d'étonnant à ce que d'autres attaquent des site sans motivations particulières, juste pour "le fun" ou suivre la mode.

    [GROSTROLL]A moins que ce ne soit un coup de µ$oft pour prévoir la sortie de windows 8, suite au manque à gagner dans les pays émergeant qui privilégient les systèmes libre d'abord pour des raisons financières
    [/grostroll]


    [GROSSECONNERIE]Mais on sait tous qu'en fait µ$oft n'est qu'un écran de fumée et qu'en réalité c'est un coup des extraterrestres chinois du FBI, cours Marie-Jo ! Cours ![/GROSSECONNERIE]

    Quant-à la réaction rapide, et mise en place par les membres de Kernel.org, on ne peut que s'en féliciter. Ils sont réactifs, c'est pro. Encore un exemple qui prouve que le libre et sa communauté c'est du solide ; même sur l'organisation et le management de situations de crise.

  3. #3
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.
    Ce n'est pas forcément le cas lorsque l'on a un accès direct aux fichiers (modification des données), et encore moins un accès root (possibilité de bloquer les courriels sortants).
    Cependant, il est vrai qu'avec les gestionnaires de versions distribués tels que Git, il est quasi-impossible de modifier un commit sans avoir des répercutions sur tous les autres (à moins d'avoir une chance du diable, et que le hash soit exactement le même, mais les probabilités sont du même ordre que l'implosion du Soleil dans la prochaine semaine)


    Citation Envoyé par Hinault Romaric Voir le message
    Que pensez-vous de cette attaque ?
    Comme frp31 le dit : faire chier du monde, et faire parler de soi.

    De plus, la transparence est ici requise, car faire régénérer leur clef SSH à 448 personnes en voulant garder le secret, je pense que c'est tout bonnement impossible.

  4. #4
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 832
    Points : 2 625
    Points
    2 625
    Par défaut
    Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
    J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.

    Une chose est sûre, en tout cas, c'est qu'ils ne le prennent pas à la légère, pour faire une réinstallation totale des systèmes et analyser les sources

    Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.

  5. #5
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par Freem Voir le message
    Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
    J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.
    Ce n'est pas le seul intérêt. C'est également utile quand tu passes deux semaines sans accès à Internet (bien que cela se fasse rare), et que tu veux continuer à appliquer ton rythme de travail favori ("Commit soon, commit often"), plutôt que faire un gros commit à la fin.
    Il y a également le cas où le serveur contenant le dépôt venait à tomber en panne et/ou perdre ses données.
    Et enfin, ça permet également de "merger" des commits d'autres forks d'un logiciel, lorsque l'on en maintient un.

    Citation Envoyé par Freem Voir le message
    Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.
    D'autant plus que Linux n'est pas le seul projet hébergé sur kernel.org. Il y a également Android, par exemple.

  6. #6
    Membre habitué Avatar de ValCapri
    Homme Profil pro
    En formation chez Technifutur pour me spécialisé dans le dev mobile
    Inscrit en
    Mars 2010
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Belgique

    Informations professionnelles :
    Activité : En formation chez Technifutur pour me spécialisé dans le dev mobile

    Informations forums :
    Inscription : Mars 2010
    Messages : 54
    Points : 130
    Points
    130
    Par défaut
    Je trouve cela un peu fort d'aller hacker kernel.org, j'en vois pas trop l’intérêt vu que c'est du libre et qu'on a accès aux sources. C'est juste pour le fun quoi ou la pub, mais alors, je ne vois pas pourquoi un groupe ne le revendique pas. Surtout que je pense que les hackers utilisent souvent des serveurs sous Linux.

    C'est vrai que Git est plutôt pratique au niveau sécurité, et c'est un aspect qu'on ne lui donne pas souvent.

  7. #7
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par ValCapri Voir le message
    Je trouve cela un peu fort d'aller hacker kernel.org
    Je pense que tu veux dire "pirater". Un hack, c'est ça : http://www.developpez.com/actu/23928...ignes-de-code/

    Citation Envoyé par ValCapri Voir le message
    j'en vois pas trop l’intérêt vu que c'est du libre et qu'on a accès aux sources.
    Citation Envoyé par ValCapri Voir le message
    Surtout que je pense que les hackers utilisent souvent des serveurs sous Linux.
    Tu as une vision tellement binaire des choses... tout n'est pas blanc ou noir.

    EDIT : En plus, pour certaines personnes, la licence GPL (utilisée par Linux) n'est pas vraiment une licence libre, car trop restrictive. Mais je ne pense pas que ce soit ce genre de personnes qui en veuille particulièrement à Linux.

  8. #8
    Membre éprouvé
    Avatar de f-k-z
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    Juin 2006
    Messages
    403
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Mayenne (Pays de la Loire)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2006
    Messages : 403
    Points : 928
    Points
    928
    Par défaut
    Yopyop,

    Concernant l'attaque et avec un peu de recul, l' (ou les) attaquant(s) ont quand même un minimum de respect pour le travail effectué. Bon il y a eu un trojan d'installé, même si de mon côté je pencherais beaucoup plus sur une jolie backdoor (pour beaucoup c'est la même chose, mais y a quand même quelques différences notables). Mais après, il n'y a pas eu corruption des données, ni de grand défaçage et encore moins de revendication à la Anonymous & Co. Je le vois plus comme un gros tirage d'alarme pour dire: "Houlà les gars, si je peux y rentrer y en a qui vont faire pareil et peut être pire."
    Un autre point concernant Kernel.org, c'est qu'ils n'ont pas hésité à le rendre public en faisant un post directement sur la page principale du site, au moins ils ne nient pas l'évidence.

    Il reste juste un point: La justice retrouvera-t-elle l'auteur de cet acte ? suite au dépôt de plainte.

    @Valcapri : L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple. De plus c'est en exposant les failles (avec plus ou moins d'éthique) que celles-ci sont corrigées.
    De plus les hackers n'utilisent pas que les serveurs sous linux, il y a beaucoup de machines sous windows qui leur servent aussi, surtout celles allumées 24/24 ou connectées à de grand débits

    ++

    Fiki

    PS: Il ne s'agit ici que de mon point de vue
    GNU/Linux c'est une question de VI ou de MORE.
    http://www.goodbye-microsoft.com
    "Linux is user friendly, its just very selective of its friends*", m'enfou, je suis son pote :p

    Un post vous est utile ou est constructif, ayez le réflexe du +1 pour le contributeur ( C'est gratuit et ça donne l'impression d'être utile :p )
    Le tag et la ne sont pas fait que pour le décor, pensez-y !
    R.I.P. F-k-z 13/06/2006 - 12/10/2011
    *Linux est convivial, il est juste très sélectifs pour ses amis.

  9. #9
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    Mars 2004
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2004
    Messages : 2 276
    Points : 4 845
    Points
    4 845
    Par défaut
    Citation Envoyé par f-k-z Voir le message
    L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple.
    Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
    Et rajouter une backdoor dans le noyau linux à l'insu de tout le monde pourraît être utile à pas mal de hackers (cf la backdoor dans le code de la couche IPsec sur BSD apparement commanditée par le FBI).

  10. #10
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par Loceka Voir le message
    Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
    Non, grâce au système de hash et de signature numérique de Git.

  11. #11
    Expert éminent sénior Avatar de frp31
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2006
    Messages
    5 196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juillet 2006
    Messages : 5 196
    Points : 12 264
    Points
    12 264
    Par défaut
    Citation Envoyé par Loceka Voir le message
    Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
    Et rajouter une backdoor dans le noyau linux à l'insu de tout le monde pourraît être utile à pas mal de hackers (cf la backdoor dans le code de la couche IPsec sur BSD apparement commanditée par le FBI).
    ça avait été fini par être démontré en HOAX au final... cette histoire... même si la demande a bel et bien existé par contre à l'origine.

  12. #12
    Membre averti Avatar de thorium90
    Homme Profil pro
    Technicien réseaux et télécoms
    Inscrit en
    Juillet 2008
    Messages
    120
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Technicien réseaux et télécoms
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Juillet 2008
    Messages : 120
    Points : 328
    Points
    328
    Par défaut
    Citation Envoyé par ProgVal Voir le message
    à moins d'avoir une chance du diable, et que le hash soit exactement le même, mais les probabilités sont du même ordre que l'implosion du Soleil dans la prochaine semaine
    Question HASH, je ne suis pas entièrement d'accord, des système Hardware avec 12 cartes graphiques monté en parallèles utilisant CUDA pour leur exploitation et tu trouve en moins d'une journée un fichier remplit de contenu aléatoire ayant exactement le même hachage numérique (c'est d’ailleurs le gros problème du hash(cf collisions)). Le cloud d'amazon permet d'en faire d’ailleurs autant.

    Donc, même si je ne pense pas que ce soit le cas, mais un hacker ayant cherché a s'introduire sur le serveur de linux peut sans problème avoir préparé un noyau corrompu ayant le même hash (bon, j'avoue aussi le SHA c'est pas aussi facile a duper que le MD5). Ensuite pour ce qui est de la taille du fichier, il me semble qu'il est aussi possible de faire croire au système qu'un fichier fais toujours la même taille.

    Pour conclure l'acte en lui même reste très effronté de la part de son auteur. Fallait oser ^^

  13. #13
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    Question HASH, je ne suis pas entièrement d'accord, des système Hardware avec 12 cartes graphiques monté en parallèles utilisant CUDA pour leur exploitation et tu trouve en moins d'une journée un fichier remplit de contenu aléatoire ayant exactement le même hachage numérique (c'est d’ailleurs le gros problème du hash(cf collisions)). Le cloud d'amazon permet d'en faire d’ailleurs autant.
    Avec du contenu aléatoire oui, c'est possible, peu probable mais possible.

    Mais avec du vrai contenu, qui passe la compilation, qui peut servir de backdoor et qui se voit pas au premier coup d'oeil ?
    ça me parait etre aussi probable que de recevoir l'épave du Titanic sur la tête en plein Sahara.
    It's not a bug, it's a feature

  14. #14
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Les serveurs de la Linux Foundation ont également été attaqués, et il semblerait que cette attaque soit liée à celle de kernel.org.
    Linux Foundation infrastructure including
    LinuxFoundation.org, Linux.com, and their subdomains are
    down for maintenance due to a security breach that was
    discovered on September 8, 2011. The Linux Foundation made
    this decision in the interest of extreme caution and
    security best practices. We believe this breach was
    connected to the intrusion on kernel.org.

    We are in the process of restoring services in a secure
    manner as quickly as possible. As with any intrusion and as
    a matter of caution, you should consider the passwords and
    SSH keys that you have used on these sites compromised. If
    you have reused these passwords on other sites, please
    change them immediately. We are currently auditing all
    systems and will update this statement when we have more
    information.

    We apologize for the inconvenience. We are taking this
    matter seriously and appreciate your patience. The Linux
    Foundation infrastructure houses a variety of services and
    programs including Linux.com, Open Printing, Linux Mark,
    Linux Foundation events and others, but does not include
    the Linux kernel or its code repositories.

    Please contact us at info@linuxfoundation.org with
    questions about this matter.

    The Linux Foundation

Discussions similaires

  1. Réponses: 30
    Dernier message: 16/03/2015, 15h52
  2. Réponses: 32
    Dernier message: 26/10/2010, 15h49
  3. les serveurs attaqués courament par les bots
    Par ikuzar dans le forum Sécurité
    Réponses: 3
    Dernier message: 24/07/2010, 17h10
  4. Réponses: 2
    Dernier message: 22/10/2009, 13h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo