miércoles, 31 de agosto de 2011

Violación de seguridad en kernel.org

Este anuncio salio recién, y no creo que les vaya a dar problemas (a los que usan alguna distro)  pero estén atentos por si acaso. Resulta que alguien logro escalar derechos de root en los servidores del sitio que mantiene el kernel de Linux (kernel.org) e hicieron varias trastadas. Por fortuna han logrado contenerlo (aunque pasaron varios días antes que lo notaran, por eso, precaución). En fin, aquí les va como mismo apareció en el sitio.
 


Violación de seguridad en kernel.org
A principios de este mes, un número de servidores en la infraestructura de kernel.org fueron comprometidos. Esto fue descubierto este 28 de agosto. A pesar de que creemos que los repositorios de código fuente no se vieron afectados, estamos en el proceso de verificación de esto y tomamos medidas para mejorar la seguridad de toda la infraestructura de kernel.org.


¿Que sucedió?
  • Intrusos consiguieron acceso de root en el servidor Hera. Creemos que pueden haber ganado este acceso a través de una credencial de usuario comprometida, ¿cómo se las arreglaron para explotarla y conseguir escalar a root se desconoce y se está investigando.
  • Los archivos que pertenecen a ssh (OpenSSH, openssh-server y openssh-clientes) fueron modificados y ejecutados en vivo.
  • Un troyano de arranque fue introducido en el sistema de scripts de inicio
  • Las interacciones de los usuarios fueron registradas, así como un código de exploit. Hemos controlado esto de momento.
  • El Troyano, descubierto inicialmente por un mensaje de error Xnest /dev/mem sin estar Xnest instalado; se han visto en otros sistemas. No está claro si los sistemas que presentan este mensaje son susceptibles, comprometidos o no. Si los desarrolladores ven esto, y usted no tiene instalado Xnest, por favor, investiguen.
  • "Parece" que 3.1-rc2 podría haber bloqueado el inyector del exploit, no sabemos si esto es intencional o un efecto secundario de otra corrección de errores o cambios.

Qué se ha hecho hasta ahora:
  • Hemos tomado sacado las cajas fuera de línea para hacer una copia de seguridad y están en proceso de hacer una reinstalación completa.
  • Hemos notificado a las autoridades de los Estados Unidos y en Europa para que ayuden en la investigación
  • Vamos a hacer una reinstalación completa en todas las cajas en kernel.org
  • Estamos en el proceso de hacer un análisis sobre el código dentro de git, y los paquetes para confirmar que no se halla modificado nada.
La comunidad de Linux y kernel.org toman la seguridad de los dominios kernel.org muy en serio, y están evaluando todas las posibilidades para investigar este ataque y prevenir ataques futuros.
Sin embargo, también es útil señalar que el daño potencial al comprometer kernel.org es mucho menor que los repositorios de software típico. Eso es porque el desarrollo del kernel se realiza mediante el sistema de control de versiones distribuido GIT, diseñado por Linus Torvalds. Para cada uno de los cerca de 40.000 archivos en el kernel de Linux, se calcula un hash SHA-1 criptográficamente seguro para definir únicamente el contenido exacto de dicho archivo. Git está diseñado para que el nombre de cada versión del kernel dependa de la historia de desarrollo completo que conduce a esa versión. Una vez que se publica, no es posible cambiar las versiones antiguas sin que se note.
Los archivos y sus valores hash correspondientes existen no sólo en la máquina de kernel.org y sus espejos, sino en los discos duros de cada uno de los miles de desarrolladores del kernel, mantenedores de distribuciones, y otros usuarios de kernel.org. Cualquier alteración de cualquier archivo en el repositorio de kernel.org inmediatamente se notaría por cada desarrollador, a medida que actualiza su repositorio personal, lo cual hacen a diario.

Actualmente estamos trabajando con los 448 usuarios de kernel.org para cambiar sus credenciales y cambiar sus claves SSH.
También estamos auditando todas las políticas de seguridad para hacer kernel.org más seguro, pero confiamos en que nuestros sistemas, en concreto git, tienen un diseño excelente para prevenir el daño real de este tipo de ataques.