Populárny Linux Mint má vážny problém, inštalačné ISO DVD bolo infikované

Značky: Linux Mintbezpečnosť

DSL.sk, 21.2.2016

Linux Mint, v súčasnosti jedna z dvoch najpopulárnejších linuxových distribúcií pre osobné počítače pre bežných užívateľov ak nie vôbec najpopulárnejšia, zaznamenáva vážny bezpečnostný incident.

Zatiaľ neznámi hackeri prenikli na webové servery tvorcov distribúcie a na stiahnutie podstrčili odkazy na infikované ISO obrazy inštalačných DVD médií distribúcie.

Zakladateľ distribúcie Clement Lefebvre to oznámil dnes.

Identifikácia infikovaného ISO

Útočníci zmenili odkazy smerujúce na originálne ISO obrazy na odkazy smerujúce na infikované súbory na webovom serveri pod ich kontrolou. Postihnuté neboli ISO súbory stiahnuté cez BitTorrent ani ISO obrazy stiahnuté naozaj zo serverov Mintu.

Ako sa zmeny dotkli mirror serverov zrkadliacich ISO obrazy inštalačných médií zatiaľ nie je jasné.

Podľa doterajších zistení malo k modifikácii odkazov naštastie prísť len v sobotu 20. februára a postihnuté sú tak ISO stiahnuté len počas tohto víkendu. Podstrčené odkazy sa zároveň týkali len Cinnamon edície aktuálnej poslednej verzie 17.3.

Overiť legitimitu stiahnutého ISO obrazu je možné pomocou jeho MD5 hash, správne hodnoty pre jednotlivé verzie Cinnamon uvádza Lefebvre vo svojom oznámení. Infikovaná 64-bitová verzia mala MD5 7d590864618866c225ede058f1ba61f0.

Ak už užívateľ nemá stiahnuté ISO k dispozícii ale má ho napálené na DVD respektíve na USB kľúči, minimálne v prípade DVD je možné skontrolovať korektnosť DVD kontrolou MD5 príslušného množstva bajtov prečítaných z médiá, napríklad pomocou tohto návodu.

Ilustračný obrázok, Linux Mint 17.2 MATE, kliknite pre zväčšenie (screenshot: Linux Mint)

Zároveň podľa informácií tvorcov Mintu je možné infikované ISO poznať podľa prítomnosti súboru /var/lib/man.cy po jeho spustení ako Live CD.

Infekcia

V infikovaných ISO je podľa informácií Lefebvreho zahrnutý trojan Tsunami.

Čo vsetko realizuje nie je jasné, tvorcovia Mintu ale odporúčajú počítač s inštaláciou z infikovaného ISO odpojiť od siete, odzálohovať súkromné dáta, preinštalovať operačný systém z legitímneho média a zmeniť heslá na dôležitejších weboch, na ktoré užívateľ z daného PC pristupoval.

Trojan sa podľa Lefebvreho pripája na doménu absentvodka.com, čo odosiela nie je jasné.

Ako k incidentu prišlo

Hackeri sa na servery Mintu dostali cez zraniteľnosť v CMS systéme WordPress.

Infikované ISO priamo na servery nenahrali, po získaní prístupu s právami užívateľa www-data len zmenili odkazy na stiahnutie predmetných ISO súborov. Odkazy smerovali na 5.104.175.212.

IP adresa, odkiaľ sa ISO sťahovali, aj doména, na ktorú sa trojan pripája, smerujú podľa tvorcov Mintu do Bulharska. To samozrejme ale nemusí znamenať, že hackeri sú z tejto krajiny.

Webový server distribúcie je aktuálne odstavený, Lefebvre ale zverejnil odkaz na mirror inštalačných médií.

Dopady

Podľa doterajších zistení tvorcov Mintu útočníci neinfikovali nič iné a to ani aktualizácie balíčkov a k incidentu prišlo len deň pred jeho zistením.

Incident a bezpečnosť serverov je ale naďalej prešetrovaná a vzhľadom na výskyt takéhoto incidentu a možnú prítomnosť danej zraniteľnosti dlhšie je v súčasnosti až do definitívneho prešetrenia celého incidentu a zistenia stavu serverov namieste primeraná opatrnosť.

Incident v každom prípade poukázal na problematický aspekt podobných relatívne menších open source projektov, limitovanú infraštruktúru a mechanizmy na jej monitorovanie. Projekt Linux Mint má navyše dlhodobo známy mierny nedostatok v infraštruktúre, konkrétne poskytovanie svojich stránok len cez HTTP a nie cez HTTPS. To umožňuje lokálne podstrčenie infikovaných inštalačných médií aj zoznamu ich kontrolných súm. V aktuálnom incidente to samozrejme úlohu nehralo, keď útočníci prenikli na servery služby a mohli zmeniť poskytované stránky bez ohľadu na použitý protokol.

Na druhej strane pokiaľ sa potvrdí, že útočníci získali prístup a zasiahli do serverov prvýkrát naozaj v sobotu a incident bol teda objavený naozaj približne len po jednom dni, jeho dopad bude veľmi limitovaný.

Dostupné informácie naznačujú, že útočníci menili aj súbory so zoznamom kontrolných súm a infekciu tak nemuseli odhaliť ani niektorí užívatelia verifikujúci si kontrolné sumy. V každom prípade evidentne ich ale nezmenili všade, keď podľa Lefebvreho bol na incident upozornený niektorými užívateľmi práve vďaka nesediacim MD5 sumám stiahnutých súborov a najmä vďaka tomu, že sa tieto sumy nachádzali na mnohých miestach.

Užívatelia kontrolujúci si bezpečnosť stiahnutých médií v maximálnej možnej miere zrejme útočníkmi oklamaní byť v žiadnom prípade nemohli, keď tvorcovia Mintu súbor s kontrolnými sumami tiež podpisujú pomocou PGP. Ak útočníci nezískali privátny kľúč Lefebvreho, tento podpis pre zmenené sumy nemohli vytvoriť a nesúlad tohto podpisu takýmto užívateľom incident odhalil.

Či zostal privátny kľúč v bezpečí a či respektíve ako Mint podpisuje aj jednotlivé balíčky zisťujeme.




Najnovšie články:



Diskusia:

Linux Mint Od: Neviem- | Pridané: 21.2.2016 14:19 Ak ten bezpečnostný problém identifikovali a odstránili do 24 hodín, tak to považujem za absolútne maximum možného. To, že celú vec nezatĺkajú považujem za maximálne profesionálne. Keď si niekto myslí, že existuje na svete server, ktorému sa to nemôže stať, tak je, slušne povedané, na omyle. Odpovedať Známka: 8.0 Hodnotiť:

Re: Linux Mint Od: Ferikuš | Pridané: 21.2.2016 14:22 a ja že prečo z neho cítiť mätu...? Odpovedať Známka: -6.5 Hodnotiť:

Re: Linux Mint Od: jeboza multiplex | Pridané: 22.2.2016 21:18 linux je najhorsi OS sveta Odpovedať Známka: -8.8 Hodnotiť:

Re: Linux Mint Od: linux je king | Pridané: 23.2.2016 1:21 hovoria najhorší lakomci sveta. Odpovedať Známka: 0.0 Hodnotiť:

Re: Linux Mint Od: karolkooooo | Pridané: 23.2.2016 5:25 "To, že celú vec nezatĺkajú považujem za maximálne profesionálne." iste, najma ked pouzivaju wordpress :D:D:D:D Odpovedať Známka: -5.0 Hodnotiť:

Re: Linux Mint Od: Ferikuš | Pridané: 22.2.2016 21:25 myslel som to srandovne...prečo mi dávate -2200 ?? Odpovedať Známka: -7.1 Hodnotiť:

Re: Linux Mint Od: syntaxterrorX | Pridané: 21.2.2016 15:23 Ak sú všetky množiny, odkazované zamlčanými podmetmi "oni", zhodné, hodnotenie kvality zatĺkania je bezpredmetné a určite existuje na svete server, na ktorý inštalácia WordPress-u nie je možná. Odpovedať Známka: -7.8 Hodnotiť:

Re: Linux Mint Od reg.: WinstonSmith | Pridané: 21.2.2016 20:03 Prdele, aspoň cez víkend nám daj pokoj s tými Tvojimi bullshitmi. Odpovedať Známka: 7.8 Hodnotiť:

Re: Linux Mint Od: syntaxterrorX | Pridané: 21.2.2016 20:56 Informácia, že rozlišovanie víkendu je nevyhnutnou súčasťou dosiahnutia zmysluplného cieľa bytia aj podľa doktrín inej svätej knihy ako Zákonník práce, je prezentovaná ideológiou ktorej konkrétnej sekty? Odpovedať Známka: -4.4 Hodnotiť:

Re: Linux Mint Od: Okres linux | Pridané: 22.2.2016 11:09 Ach, ty buzerant prijebaný. Odpovedať Známka: 6.8 Hodnotiť:

Re: Linux Mint Od: syntaxterrorX | Pridané: 22.2.2016 11:11 Opakované pokusy používania metonýmie, odkazujúce na márnosť boja s erektilnou dysfunkciou, voči ostatným účastníkom diskusie, môžu vyústiť k zvratnej synekdoche s individuálne zvoleným základom. Odpovedať Známka: -2.5 Hodnotiť:

Re: Linux Mint Od reg.: WinstonSmith | Pridané: 22.2.2016 11:37 Terror, chcem sa Ťa už dlhšiu dobu spýtať, čo týmito nezmyslami sleduješ. Neviem, príde Ti to vtipné, zaujímavé? Príde Ti, že budeš za borca, keď používaš cudzie slová, aj keď spravidla na nezmyselne? Verím, že hovorím za všetkých, keď Ti odpoviem: nie, nie a nie. Chlape, musí Ti trvať 10x toľko kým to zosmolíš (oproti normálnemu commentu), nám trvá 3x toľko, kým to po Tebe prečítame. (Spravidla aj tak skončíme v polovici a automaticky klikáme na mínus, pretože už tam zistíme, že sú to znovu len náhodne generované cudzie slová.) Mám návrh: Keď máš čo povedať k článku, povedz to. Povedz to ale normálne a radi si Tvoj názor prečítame, prípadne sa aj vyjadríme. Nám nebude stúpať tlak a nebudeme Ti musieť nadávať a Ty ušetríš fúru času a zažiješ aj zelené commenty. Čo Ty na to? Odpovedať Známka: 9.0 Hodnotiť:

Re: Linux Mint Od: szntaxterrorX | Pridané: 22.2.2016 14:02 Používanie výrokovej logiky je dobrovoľné a nad možnou akceptáciou potvrdenia pravdivosti názoru na "náhodne generované cudzie slová" je možné uvažovať po uvedení minimálne jedného konkrétneho príkladu, ktorý však jej znalosť vyžaduje. Odpovedať Známka: -5.0 Hodnotiť:

Re: Linux Mint Od: jonatan klobasa | Pridané: 22.2.2016 15:08 neviem, ci nahodne, ale casto nezmyselne, nekorektne. Sam som Ti to niekolkokrat ukazal, ked sa mi vynimocne chcelo lustit tvoje komenty, neodpovedal si vobec nic, alebo zase odveci. Odpovedať Známka: 10.0 Hodnotiť:

Re: Linux Mint Od: jetopacient | Pridané: 22.2.2016 16:19 ten pacientko o svojom trollizme vie, je mu to jedno, tesi sa, ked sa moze takto zabavat... nabuduce radsej ignore, alebo maximalne minusko a uvidi sa, ako dlho mu tu vydrzi postihnutost :-)) Odpovedať Známka: 10.0 Hodnotiť:

Re: Linux Mint Od: syntaxterrorX | Pridané: 23.2.2016 9:26 Jednoznačná identifikácia konkrétneho prípadu, poukazujúceho na schopnosť výroku byť "odveci" poukazuje v tomto prípade na pomerne rozvinuté vlohy samostatnej tvorby relevantného obsahu reakcie. Odpovedať Známka: -10.0 Hodnotiť:

Re: Linux Mint Od: Okres linux | Pridané: 21.2.2016 15:40 Ty mysliteľ, to že riziko je nenulové, neznamená, že nie je v jednom prípade minimálne a napríklad v prípade WordPressu pomerne veľké. Odpovedať Známka: -2.5 Hodnotiť:

Re: Linux Mint Od: Fsfvhfg | Pridané: 22.2.2016 9:47 A co podpisovat iso subory? Toto je minimum, nie naximum. Odpovedať Známka: 0.0 Hodnotiť:

Re: Linux Mint Od: 4Maniak. | Pridané: 22.2.2016 10:15 DVD-ROM by bolo sotva infikované... Odpovedať Známka: -4.3 Hodnotiť:

wordpress Od: kamtcho | Pridané: 21.2.2016 15:19 wp, co cakat. Odpovedať Známka: 8.6 Hodnotiť:

Re: wordpress Od: hoboboo | Pridané: 21.2.2016 16:18 tak aj WP sa da nejako lepsie zabezpecit, ci? Odpovedať Známka: -8.1 Hodnotiť:

Re: wordpress Od: pinkmeter | Pridané: 21.2.2016 16:20 nie Odpovedať Známka: 9.4 Hodnotiť:

Re: wordpress Od: syntaxterrorX | Pridané: 21.2.2016 17:20 Áno. Iba najlepšie. Odpovedať Známka: -6.2 Hodnotiť:

Re: wordpress Od: smrdliak | Pridané: 23.2.2016 5:30 WordPress je pre tych, ja ich nazyvam "klikaci". Su to pseudoprogramatori, vacsinou grafici, ktori nemaju sajnu o skutocnom programovani. Nahras cez ftp, parkrat kliknes a mas web. A neveril by si, podaktori su hrdi na to, co "naprogramovali". ;) Odpovedať Známka: -2.0 Hodnotiť:

Re: wordpress Od: kgbkjbg | Pridané: 23.2.2016 13:33 Lepsie ako ti, co nieco programuju sami mesiace, su na to hrdi a je to podstatne horsie ako wp, ak nie uplne na ... . Odpovedať Známka: 10.0 Hodnotiť:

nepotesi :( Od: asdsdf | Pridané: 21.2.2016 18:38 Au, ja som si instaloval Mint len kvoli internet bankingu, paypalu a nejakym drobnostiam (aby som na to nemusel pouzivat zavireny win). Este k tomu presne tuto verziu (17.2 cinnamon). Ale bolo to davnejsie takze by nemal byt problem. Odpovedať Známka: 5.7 Hodnotiť:

Re: nepotesi :( Od: Mxmxmsms | Pridané: 22.2.2016 0:07 Doporučujem internet banking od Tatra banky . Vyžaduje XY hesiel aktivovanú čítačku pin pid OTP potvrdenie QR kódom... A ver mi že po 3. transakcií už ani nebudeš vedieť čo potvrdzuješ. Odpovedať Známka: 7.8 Hodnotiť:

Re: nepotesi :( Od: 'PPQ' | Pridané: 22.2.2016 7:25 a bezpecny flash :-)) Odpovedať Známka: 10.0 Hodnotiť:

Re: nepotesi :( Od: karolkooooo | Pridané: 23.2.2016 5:31 No neviem, instalovat opensource pre zabezpecenie :D To je ako prepichnut kondom, aby som nemal deti ;) Odpovedať Známka: -10.0 Hodnotiť:

mint 17.3 Od: einstein | Pridané: 21.2.2016 20:58 17.2 je ilustracny obrazok, to infikovany img bol 17.3. Ked si kupim novy ssd, tak prejdem na debian :-D Odpovedať Známka: 6.7 Hodnotiť:

Re: mint 17.3 Od reg.: Trolitel | Pridané: 22.2.2016 1:11 Debian? Odvážne. Ja zostávam pri amatérskych odnožiach Debianu a Archu (Ubuntu a Manjaro). Odpovedať Známka: -8.0 Hodnotiť:

Re: mint 17.3 Od: slsapJ15 | Pridané: 22.2.2016 1:28 čo je na tom odvážne Odpovedať Známka: 10.0 Hodnotiť:

Re: mint 17.3 Od: Nemo1 | Pridané: 22.2.2016 8:43 Install Red Star! Odpovedať Známka: 10.0 Hodnotiť:

Re: mint 17.3 Od: Anonym. | Pridané: 22.2.2016 21:06 Manjaro? To vytvoril nejaký "Man" menom "Jaro"? Také diskriminačné distribúcie Linuxu by som na verejnosti ani len nespomínal. Čo by na to povedali členovia a sympatizanti LGBT+? Veď predsa "Man" je iba jeden rod čo je horšie než urážka nakoľko je to známkou ignorácie a teda diskriminácie rodu "Woman", ALE hlavne tých ďalších rodov. Veď predsa "Stereotypizovanie pohlaví je tááááák moc 'minulé storočie'", preto treba rodové pomenovanie radšej úplne vynechávať, pretože nikdy nemôžete vedieť či je "Jaro" skutočne "Man". Nechceme predsa nikoho uraziť a tak by sa aj Jaro mal/a/o/i/* nad sebou zamyslieť a svoju distribúciu premenovať tak, že rodové pomenovanie úplne vynechá. Odpovedať Známka: 2.0 Hodnotiť:

Re: mint 17.3 Od: supramen | Pridané: 22.2.2016 8:43 horizontalne sirenie: co ti zarucuje, ze rovnaky problem nebol v minulosti a/alebo na inom distre? Odpovedať Známka: 5.0 Hodnotiť:

Re: mint 17.3 Od: sensei-san | Pridané: 22.2.2016 12:07 To že kontrolujem GPG podpis? Odpovedať Známka: 6.0 Hodnotiť:

Re: mint 17.3 Od: Supramen | Pridané: 22.2.2016 12:34 S podpisom uvedenym na rovnakej web stranke alebo na nejakom druhom nezavislom zdroji? Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár