Intrusion dans la maison du noyau Linux

Le par  |  10 commentaire(s)
linuxintro

Des pirates se sont rendus coupables d'une intrusion dans Kernel.org et ont compromis plusieurs serveurs.

linuxintroAu cours du mois d'août, le site Kernel.org a reçu la visite inopportune de pirates informatiques. Ces derniers ont pénétré dans ce qui est connu pour être la " maison " du projet Linux, le lieu principal  pour la distribution du code source du noyau.

Cette intrusion a été découverte le 28 août 2011, aboutissant à la compromission de plusieurs serveurs dans l'infrastructure de Kernel.org. L'alerte se veut toutefois rassurante, et a priori les dépôts du code source n'ont pas été touchés.

Les administrateurs du site ont néanmoins constaté que des fichiers en relation avec ssh ont été modifiés ( openssh, openssh-server, openssh-clients ) et exécutés.  Un cheval de Troie a été ajouté aux scripts de démarrage de serveurs.

À l'origine, les attaquants auraient obtenu un accès root sur le serveur dénommé Hera, probablement suite à la compromission d'un compte utilisateur. Des investigations sont menées afin de déterminer comment une élévation de privilèges a pu être possible.

Les autorités aux USA et en Europe ont été prévenues, alors que l'infrastructure du site est en cours de réinstallation. Les utilisateurs de Kernel.org vont devoir modifier leurs mots de passe et clés SSH.

Dans la mesure où le système de gestion de versions utilisés par Kernel.org ( Git ) a recours à un hash SHA-1 pour chaque fichier quand il est publié ( chacun des 40 000 fichiers dans le noyau Linux ), Kernel.org explique qu'il n'est pas possible de modifier d'anciennes versions sans en être notifié.

" Ces fichiers et les hashes qui correspondent existent non seulement sur la machine kernel.org et ses miroirs, mais aussi sur les disques durs de chacun des milliers de développeurs du kernel, mainteneurs et autres utilisateurs de Kernel.org. Toute altération d'un fichier dans le dépôt de kernel.org aurait immédiatement été remarquée par chaque développeur. "

Ceux qui obtiennent le code source via Git peuvent donc être quasi sûrs qu'ils n'ont pas reçu un quelconque code malveillant. C'est par contre plus flou pour les téléchargements que l'on peut opérer directement depuis Kernel.org.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #826851
C'est le 'quasi' qui fait toute la différence. Mais comme tenu de l'archi du kernel, il est effectivement difficile d'injecter du code.
Le #826861
Eh beh, avant on voyait des attaques sur les boites privées ou les gouvernements parce que soit ils font trop de fric soit ils nuisent à la liberté d'expression et maintenant on voit des attaques sur la maison des logiciels libres ...
Eh beh ...
Le #826871
Il y a toujours eu des méchants pirates ...
Le #826891
zont volé notre recette.
Le #826901
C'est pas bien malin de faire ça. Ils vont se faire traquer sur la toile par des gars beaucoup plus compétents qu'eux et surtout plus nombreux.

Ca sent les gamins en mal de reconnaissance. Ils pitoyables.
Le #826911
ça me rappel la rumeur des backdoors insérer dans le code de BSD par la CIA.

Cette manip n'a pas l'air d'être le fait d'un gamins, mais juste une tentative de décrédibilisation de la réputation du noyau linux au niveau de sa sécurité.

Heureusement la réaction très professionnel des développeurs me plutot qu'autre chose car ce genre d'attaque avait dû être pris en compte dans l'évaluation des risques. Par contre il faudrait trouver comment à partir d'un compte utilisateur il y a pu avoir un accès au droit root. Cela doit être une faille sur le serveur.
Le #826921
Et les mechants pirates qui creent des fermes d'ordi zombifies ou mettent des chevaux de troie partout, ils bossent pour qui?
Le #826961
bof, apparemment les types à l'origine de ça ne savent pas qu'il est quasiment impossible de modifier des données sur un dépôt git sans que les devs ne soient au courant, et sans que les hashs ne soient modifiés.

cf:

http://www.linux.com/news/featured-blogs/171-jonathan-corbet/491001-the-cracking-of-kernelorg

conclusion: juste un pseudo coup de pub/décrédibilisation raté. Qu'ils compromettent les sources, on en reparlera…
Le #827061
A mon avis c'est pour aider Linux a souffler ses 20 bougies .... Mais comme dirait Bill Gates "si on m'attaque c'est que je suis reconnu" Sauf que les membres de l'Open source n'ont rien de Geek Naifs et incompétents ..... wait and See
http://iw-linux.over-blog.com/
Le #827281
*****************************************
#7 glattering
Et les mechants pirates qui creent des fermes d'ordi zombifies ou mettent des chevaux de troie partout, ils bossent pour qui?
*****************************************
Pour ceux qui leur donnent plein de pognon
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]