Hack Linux Mintu sa ďalších užívateľov nedotkol, ubezpečuje čitateľov DSL.sk tvorca distribúcie

Značky: Linux Minthackovanie

DSL.sk, 1.3.2016

Hacknutie serverov populárnej linuxovej distribúcie Linux Mint, ktoré vyústilo do odkazovania na hacknuté ISO obrazy inštalačných médií, ďalších užívateľov distribúcie okrem užívateľov so stiahnutým infikovaným DVD priamo podľa zakladateľa distribúcie Clementa Lefebvreho nepostihlo.

Vyplýva to z informácií zakladateľa Linux Mintu pre DSL.sk.

Incident

Ako sme detailne informovali v tomto článku, v sobotu 20. februára respektíve podľa časovej zóny prípadne aj 19. alebo 21. februára web Linux Mintu odkazoval na infikované inštalačné DVD Cinnamon edície aktuálnej poslednej verzie Linux Mint 17.3.

Útočníci sa na servery Mintu dostali cez CMS systém WordPress a okrem zmeny odkazov na infikované DVD a zmeny ich uvádzaných MD5 hash súm získali aj kompletnú databázu užívateľov prispievajúcich do diskusného fóra na stránkach Linux Mintu. Podľa dostupných informácií dokonca databázu zrejme mohli získať už v januári.

Užívateľov, ktorí si stiahli infikované DVD, boli podľa verejných vyjadrení útočníkov stovky a podľa Lefebvreho je tento údaj zrejme správny. Samotné DVD obrazy uložené na mirroroch distribúcie infikované neboli a ak si ich užívatelia sťahovali priamo z mirrorov, infikované by nemali byť. V každom prípade užívateľom s ISO obrazom verzie 17.3 je odporúčané preverenie jeho hash sumy, ako detailne popisujeme v pôvodnom článku.

Aktualizácie sú v poriadku

Incident samozrejme vyvolal otázky, či zostala zachovaná integrita aktualizácií operačného systému pre všetkých existujúcich užívateľov populárnej distribúcie.

Linux Mint 17.3 v Cinnamon edícii, kliknite pre zväčšenie (screenshot: Linux Mint)

Linux Mint sa skladá priamo z binárnych balíčkov distribúcie Ubuntu, na ktorej je postavený, a viacerých vlastných balíčkov. Balíčky Ubuntu sa sťahujú zo serverov tejto distribúcie, balíčky Mintu z jeho serverov. Balíčky Mintu nie sú priamo kryptograficky podpísané, podpísaný je ale ich zoznam sťahovaný z aktualizačných serverov potvrdzujúci integritu balíčkov.

Lefebvre na otázku servera DSL.sk, či útočníci zrealizovali len infekciu spomínaných ISO, či sú aktualizácie, balíčky, ostatné ISO súbory a zdrojové kódy nedotknuté a ľudia tomu môžu stopercentne dôverovať a či majú tvorcovia distribúcie spôsob ako to definitívne overiť odpovedal jedným spoločným áno.

Na základe tejto informácie ostatní užívatelia Mintu, ktorí ho neinštalovali z infikovaného DVD stiahnutého okolo 20. februára, nemajú byť incidentom postihnutí a ich inštalácia infikovaná.

Lefebvre ale zatiaľ neodpovedal na otázku, či sa útočníci dostali alebo mohli dostať k privátnemu kľúču použitému na podpisovanie zoznamov aktualizácií.

Škodlivý kód

Ako sme už informovali, inštalovaným škodlivým kódom bol trojan Tsunami, ktorý otvára zadné vrátka do systému pripojením sa na IRC servery. Ich zoznam je možné nájsť v zdrojovom kóde použitého škodlivého kódu, škodlivý kód sa pripája na port 6667 týchto serverov.

Tsunami je najčastejšie používaný na realizovanie DDoS útokov, podľa Lefebvreho ale v tomto prípade útočníkom išlo zrejme o citlivé dáta užívateľov.

Infikované ISO po spustení ako Live CD aj inštaláciu z neho je možné poznať podľa prítomnosti súboru /var/lib/man.cy. Útočníci potenciálne ale mohli tento súbor vďaka zadným vrátkam odstrániť, ďalším spôsobom ako detekovať infekciu je samozrejme monitorovať pripojenia na IRC servery respektíve inú podozrivú komunikáciu.

Zmeny

Tvorcovia distribúcie spravili po odhalení útoku viacero opatrení. Odizolovali a lepšie zabezpečili jednotlivé weby a servery, umiestnili ich za spoločný globálny firewall a začali ich monitorovať na škodlivý kód.

Uskutočnili tiež viacero opatrení, ktoré s útokom priamo nesúviseli, zlepšujú ale bezpečnosť ich infraštruktúry. Web je teraz dostupný cez HTTPS a z MD5 hash súm zverejňovaných na overenie korektnosti sťahovaných DVD sa prejde na modernejšie algoritmy.

Vydaná bola aktualizovaná verzia manažéra aktualizácií, ktorá sa snaží detekovať infekciu a následne na ňu upozorňuje.

Tvorcovia tiež zvažujú, že do inštalácie štandardne zahrnú grafické rozhranie k firewallu ufw, gufw.




Najnovšie články:



Diskusia:

dsl.sk nesklame Od: party | Pridané: 1.3.2016 13:33 tomu hovorím dobrá investigatíva. Odpovedať Známka: 5.2 Hodnotiť:

IRC #dsl.sk Od: Albínmeniny | Pridané: 1.3.2016 13:43 Kedy bude mat dsl.sk svoj IRC kanál? Napr. #dsl.sk na Rizone. Odpovedať Známka: 3.3 Hodnotiť:

Re: IRC #dsl.sk Od: schlomo | Pridané: 1.3.2016 14:57 staci alokal! Odpovedať Známka: 5.0 Hodnotiť:

Re: IRC #dsl.sk Od: dzeah | Pridané: 2.3.2016 18:23 sprav a bude Odpovedať Hodnotiť:

lee nux Od reg.: kamaradzkosicrobihiphopcijeho | Pridané: 1.3.2016 13:55 Tvorcovia tiež zvažujú, že do inštalácie štandardne zahrnú grafické rozhranie k firewallu ufw, gufw. to na konci niekto tresol do klavesnice alebo to tak ma byt Odpovedať Známka: 2.7 Hodnotiť:

Re: lee nux Od: propofol | Pridané: 1.3.2016 16:45 ufw je konzolove (textove) rozhranie a gufw je graficka nadstavba nad ufw, tot vse. Odpovedať Známka: 8.2 Hodnotiť:

Re: li mux Od: syntaxterrorX | Pridané: 1.3.2016 18:05 A ešte prebieha vývoh hgufw, haptickej nadstavba nad gufw, a thgufw, telepatického rozhrania k hgufw. Odpovedať Známka: 5.6 Hodnotiť:

Re: lee nux Od: Rudolf Dovičín | Pridané: 1.3.2016 21:34 https://wiki.Ubuntu.com/UncomplicatedFirewall https://help.ubuntu.com/community/UFW https://help.ubuntu.com/community/Gufw Odpovedať Hodnotiť:

kvety Od: lololol | Pridané: 1.3.2016 14:27 Mam rad nadpisy clankov na DSL.sk :-) Odpovedať Známka: 5.0 Hodnotiť:

Re: kvety Od: karolkooooo | Pridané: 4.3.2016 11:52 a ja mam rad dsl.sk ;) Odpovedať Hodnotiť:

kua... Od: Ferikuš | Pridané: 1.3.2016 16:27 my sme ale super tu všetci, on ubezpečil priamo nás čitateľov a menovateľov DSL.sk...fasááá Odpovedať Známka: 7.8 Hodnotiť:

Diskusia k článku: Hack Linux Mintu sa ďalších užívateľov nedotkol, ubezpečuje čitateľov DSL.sk tvorca distribúcie Od: fdsir | Pridané: 1.3.2016 16:53 Posielam ubezpecenie. A kvety. Odpovedať Známka: 6.7 Hodnotiť:

blog Mint Od: redhawk | Pridané: 2.3.2016 0:26 http://blog.linuxmint.com/?p=3007 tu je popis k tomu Odpovedať Hodnotiť:

Co na to povedat... Od: Super | Pridané: 2.3.2016 2:40 http://shrtc.at/Z Odpovedať Hodnotiť:

mna toto sere Od reg.: Lars Schotte | Pridané: 2.3.2016 11:42 ze je tych distribucii tak mnoho, pricom uz teraz vdaka rychlemu internetu to nie je problem to secko zostandardizovat a priniest kazdemu uzivatelovi moznosti si to modovat ako sce. napr nevidim zmysel roznych spinov, kere sa specializuju na reci. napr slovencinu alebo cestinu. ked mas normalne fungujucu distribuciu, malo by byt mozne spravit poriadnu slovensku a cesku lokalizaciu a ludie nech si to nainstaluju, ked to scu. takisto ako tie seliake kubuntu lubbuntu a xubuntu v tom nevidim zmysel, lebo co je na tom, ze aky ma clovek UI, nech si kazdy nainstaluje co sce, saq je internet, netreba to pakovat do distribucii ako v rokoch 90tych, kedy internet bol velmo pomaly, tak ze ked si scel instalaciu taku ako sa ci lubila, tak sis vybral taku, de je secko uz na CD. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár