neprihlásený Piatok, 22. novembra 2024, dnes má meniny Cecília
Hack Linux Mintu sa ďalších užívateľov nedotkol, ubezpečuje čitateľov DSL.sk tvorca distribúcie

Značky: Linux Minthackovanie

DSL.sk, 1.3.2016


Hacknutie serverov populárnej linuxovej distribúcie Linux Mint, ktoré vyústilo do odkazovania na hacknuté ISO obrazy inštalačných médií, ďalších užívateľov distribúcie okrem užívateľov so stiahnutým infikovaným DVD priamo podľa zakladateľa distribúcie Clementa Lefebvreho nepostihlo.

Vyplýva to z informácií zakladateľa Linux Mintu pre DSL.sk.

Incident

Ako sme detailne informovali v tomto článku, v sobotu 20. februára respektíve podľa časovej zóny prípadne aj 19. alebo 21. februára web Linux Mintu odkazoval na infikované inštalačné DVD Cinnamon edície aktuálnej poslednej verzie Linux Mint 17.3.

Útočníci sa na servery Mintu dostali cez CMS systém WordPress a okrem zmeny odkazov na infikované DVD a zmeny ich uvádzaných MD5 hash súm získali aj kompletnú databázu užívateľov prispievajúcich do diskusného fóra na stránkach Linux Mintu. Podľa dostupných informácií dokonca databázu zrejme mohli získať už v januári.

Užívateľov, ktorí si stiahli infikované DVD, boli podľa verejných vyjadrení útočníkov stovky a podľa Lefebvreho je tento údaj zrejme správny. Samotné DVD obrazy uložené na mirroroch distribúcie infikované neboli a ak si ich užívatelia sťahovali priamo z mirrorov, infikované by nemali byť. V každom prípade užívateľom s ISO obrazom verzie 17.3 je odporúčané preverenie jeho hash sumy, ako detailne popisujeme v pôvodnom článku.

Aktualizácie sú v poriadku

Incident samozrejme vyvolal otázky, či zostala zachovaná integrita aktualizácií operačného systému pre všetkých existujúcich užívateľov populárnej distribúcie.


Linux Mint 17.3 v Cinnamon edícii, kliknite pre zväčšenie (screenshot: Linux Mint)



Linux Mint sa skladá priamo z binárnych balíčkov distribúcie Ubuntu, na ktorej je postavený, a viacerých vlastných balíčkov. Balíčky Ubuntu sa sťahujú zo serverov tejto distribúcie, balíčky Mintu z jeho serverov. Balíčky Mintu nie sú priamo kryptograficky podpísané, podpísaný je ale ich zoznam sťahovaný z aktualizačných serverov potvrdzujúci integritu balíčkov.

Lefebvre na otázku servera DSL.sk, či útočníci zrealizovali len infekciu spomínaných ISO, či sú aktualizácie, balíčky, ostatné ISO súbory a zdrojové kódy nedotknuté a ľudia tomu môžu stopercentne dôverovať a či majú tvorcovia distribúcie spôsob ako to definitívne overiť odpovedal jedným spoločným áno.

Na základe tejto informácie ostatní užívatelia Mintu, ktorí ho neinštalovali z infikovaného DVD stiahnutého okolo 20. februára, nemajú byť incidentom postihnutí a ich inštalácia infikovaná.

Lefebvre ale zatiaľ neodpovedal na otázku, či sa útočníci dostali alebo mohli dostať k privátnemu kľúču použitému na podpisovanie zoznamov aktualizácií.

Škodlivý kód

Ako sme už informovali, inštalovaným škodlivým kódom bol trojan Tsunami, ktorý otvára zadné vrátka do systému pripojením sa na IRC servery. Ich zoznam je možné nájsť v zdrojovom kóde použitého škodlivého kódu, škodlivý kód sa pripája na port 6667 týchto serverov.

Tsunami je najčastejšie používaný na realizovanie DDoS útokov, podľa Lefebvreho ale v tomto prípade útočníkom išlo zrejme o citlivé dáta užívateľov.

Infikované ISO po spustení ako Live CD aj inštaláciu z neho je možné poznať podľa prítomnosti súboru /var/lib/man.cy. Útočníci potenciálne ale mohli tento súbor vďaka zadným vrátkam odstrániť, ďalším spôsobom ako detekovať infekciu je samozrejme monitorovať pripojenia na IRC servery respektíve inú podozrivú komunikáciu.

Zmeny

Tvorcovia distribúcie spravili po odhalení útoku viacero opatrení. Odizolovali a lepšie zabezpečili jednotlivé weby a servery, umiestnili ich za spoločný globálny firewall a začali ich monitorovať na škodlivý kód.

Uskutočnili tiež viacero opatrení, ktoré s útokom priamo nesúviseli, zlepšujú ale bezpečnosť ich infraštruktúry. Web je teraz dostupný cez HTTPS a z MD5 hash súm zverejňovaných na overenie korektnosti sťahovaných DVD sa prejde na modernejšie algoritmy.

Vydaná bola aktualizovaná verzia manažéra aktualizácií, ktorá sa snaží detekovať infekciu a následne na ňu upozorňuje.

Tvorcovia tiež zvažujú, že do inštalácie štandardne zahrnú grafické rozhranie k firewallu ufw, gufw.


      Zdieľaj na Twitteri



Najnovšie články:

Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky
Qualcomm chystá Snapdragon CPU pre lacnejšie PC, majú začínať na 600 dolárov
SpaceX nezachytávala prvý stupeň Starship kvôli problému na štartovacej veži


Diskusia:
                               
 

tomu hovorím dobrá investigatíva.
Odpovedať Známka: 5.2 Hodnotiť:
 

Kedy bude mat dsl.sk svoj IRC kanál? Napr. #dsl.sk na Rizone.
Odpovedať Známka: 3.3 Hodnotiť:
 

staci alokal!
Odpovedať Známka: 5.0 Hodnotiť:
 

sprav a bude
Odpovedať Hodnotiť:
 

Tvorcovia tiež zvažujú, že do inštalácie štandardne zahrnú grafické rozhranie k firewallu ufw, gufw.

to na konci niekto tresol do klavesnice alebo to tak ma byt
Odpovedať Známka: 2.7 Hodnotiť:
 

ufw je konzolove (textove) rozhranie a gufw je graficka nadstavba nad ufw, tot vse.
Odpovedať Známka: 8.2 Hodnotiť:
 

A ešte prebieha vývoh hgufw, haptickej nadstavba nad gufw, a thgufw, telepatického rozhrania k hgufw.
Odpovedať Známka: 5.6 Hodnotiť:
 

https://wiki.Ubuntu.com/UncomplicatedFirewall
https://help.ubuntu.com/community/UFW
https://help.ubuntu.com/community/Gufw
Odpovedať Hodnotiť:
 

Mam rad nadpisy clankov na DSL.sk :-)
Odpovedať Známka: 5.0 Hodnotiť:
 

a ja mam rad dsl.sk ;)
Odpovedať Hodnotiť:
 

my sme ale super tu všetci, on ubezpečil priamo nás čitateľov a menovateľov DSL.sk...fasááá
Odpovedať Známka: 7.8 Hodnotiť:
 

Posielam ubezpecenie.

A kvety.

Odpovedať Známka: 6.7 Hodnotiť:
 

http://blog.linuxmint.com/?p=3007
tu je popis k tomu
Odpovedať Hodnotiť:
 

http://shrtc.at/Z
Odpovedať Hodnotiť:
 

ze je tych distribucii tak mnoho, pricom uz teraz vdaka rychlemu internetu to nie je problem to secko zostandardizovat a priniest kazdemu uzivatelovi moznosti si to modovat ako sce. napr nevidim zmysel roznych spinov, kere sa specializuju na reci. napr slovencinu alebo cestinu. ked mas normalne fungujucu distribuciu, malo by byt mozne spravit poriadnu slovensku a cesku lokalizaciu a ludie nech si to nainstaluju, ked to scu. takisto ako tie seliake kubuntu lubbuntu a xubuntu v tom nevidim zmysel, lebo co je na tom, ze aky ma clovek UI, nech si kazdy nainstaluje co sce, saq je internet, netreba to pakovat do distribucii ako v rokoch 90tych, kedy internet bol velmo pomaly, tak ze ked si scel instalaciu taku ako sa ci lubila, tak sis vybral taku, de je secko uz na CD.
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár