kernel.org cracked

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
Plaoo
Linux 3.x
Linux 3.x
Messaggi: 809
Iscritto il: gio 10 apr 2008, 17:40
Slackware: 14 64
Kernel: 3.2.9
Desktop: KDE
Località: Ittiri (SS)

kernel.org cracked

Messaggio da Plaoo »

Codice: Seleziona tutto

---------- Forwarded message ----------
From: J.H. <warthog9@kernel.org>
Date: 2011/8/29
Subject: [kernel.org users] [KORG] Master back-end break-in
To: users@kernel.org


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Afternoon Everyone,

As you can guess from the subject line, I've not had what many would
consider a "good" day.  Earlier today discovered a trojan existing on
HPA's personal colo machine, as well as hera.  Upon some investigation
there are a couple of kernel.org boxes, specifically hera and odin1,
with potential pre-cursors on demeter2, zeus1 and zeus2, that have been
hit by this.

As it stands right now, HPA is working on cleaning his box, and
I'm working on hera (odin1 and zeus1 are out of rotation still for other
reasons), mainly so that if one of us finds something of interest, we
can deal with it and compare notes on the other box.

Points of interest:

- - Break-in seems to have initially occurred no later than August 12th

- - Files belonging to ssh (openssh, openssh-server and openssh-clients)
were modified and running live.  These have been uninstalled and
removed, all processes were killed and known good copies were
reinstalled.  That said all users may wish to consider taking this
opportunity to change their passwords and update ssh keys (particularly
if you had an ssh private key on hera).  This seems to have occurred on
or around August 19th.

- - A trojan startup file was added to rc3.d

- - User interactions were logged, as well as some exploit code.  We have
retained this for now.

- - Trojan initially discovered due to the Xnest /dev/mem error message
w/o Xnest installed; have been seen on other systems.  It is unclear if
systems that exhibit this message are susceptible, compromised or not.
If you see this, and you don't have Xnest installed, please investigate.

- - It *appears* that 3.1-rc2 might have blocked the exploit injector, we
don't know if this is intentional or a side affect of another bugfix or
change.

- - System is being verified from backups, signatures, etc.  As of right
now things look correct, however we may take the system down soon to do
a full reinstall and for more invasive checking.

- - As a precaution a number of packages have been removed from the
system, if something was removed that you were using please let us know
so we can put it back.

- - At this time we do not know the vector that was used to get into the
systems, but the attackers had gained root access level privileges.

That's what we know right now, some of the recent instabilities may have
been caused by these intrusions, and we are looking into everything.

If you are on the box, keep an eye out, and if you see something please
let us know immediately.

Beyond that, verify your git trees and make sure things are correct.

- - John 'Warthog9' Hawley
Chief Kernel.org Administrator
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org/

iEYEARECAAYFAk5a5U0ACgkQ/E3kyWU9dif+1ACfYPlgq/keFrFO77AmQVduKGwx
TAcAnRAu6nHt74+5aC+fPeb8aT0hcy2K
=Semd
-----END PGP SIGNATURE-----
Anche nelle news del sito c'è scritto ormai è ufficiale.

Earlier this month, a number of servers in the kernel.org infrastructure were compromised. We discovered this August 28th. While we currently believe that the source code repositories were unaffected, we are in the process of verifying this and taking steps to enhance security across the kernel.org infrastructure.
Il canale ufficiale di slacky.eu si trova sui server irc.syrolnet.org canale #slackware

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6566
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: kernel.org cracked

Messaggio da targzeta »

Bene, quindi in questo momento potrei avere un trojan sul mio PC? Simpatica la cosa :D

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà 

Avatar utente
phobos3576
Staff
Staff
Messaggi: 2980
Iscritto il: dom 17 apr 2005, 0:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: kernel.org cracked

Messaggio da phobos3576 »

spina ha scritto:Bene, quindi in questo momento potrei avere un trojan sul mio PC? Simpatica la cosa :D

Emanuele
Difficile!
While we currently believe that the source code repositories were unaffected, we are in the process of verifying this and taking steps to enhance security across the kernel.org infrastructure.
Inoltre:
However, it's also useful to note that the potential damage of cracking kernel.org is far less than typical software repositories. That's because kernel development takes place using the git distributed revision control system, designed by Linus Torvalds. For each of the nearly 40,000 files in the Linux kernel, a cryptographically secure SHA-1 hash is calculated to uniquely define the exact contents of that file. Git is designed so that the name of each version of the kernel depends upon the complete development history leading up to that version. Once it is published, it is not possible to change the old versions without it being noticed.


Those files and the corresponding hashes exist not just on the kernel.org machine and its mirrors, but on the hard drives of each several thousand kernel developers, distribution maintainers, and other users of kernel.org. Any tampering with any file in the kernel.org repository would immediately be noticed by each developer as they updated their personal repository, which most do daily.
Siccome però i troll non sono in grado di capire queste cose, domani su PI (e non solo) si scatenerà la macchina del fango contro Linux ...

Avatar utente
darkstaring
Linux 3.x
Linux 3.x
Messaggi: 639
Iscritto il: mer 13 ott 2010, 13:55
Nome Cognome: Francesco Achenza
Desktop: KDE
Distribuzione: Arch Linux
Contatta:

Re: kernel.org cracked

Messaggio da darkstaring »

Hai fatto bene a segnalare +Plaoo :)..
phobos3576 ha scritto: Inoltre:
However, it's also useful to note that the potential damage of cracking kernel.org is far less than typical software repositories. That's because kernel development takes place using the git distributed revision control system, designed by Linus Torvalds. For each of the nearly 40,000 files in the Linux kernel, a cryptographically secure SHA-1 hash is calculated to uniquely define the exact contents of that file. Git is designed so that the name of each version of the kernel depends upon the complete development history leading up to that version. Once it is published, it is not possible to change the old versions without it being noticed.


Those files and the corresponding hashes exist not just on the kernel.org machine and its mirrors, but on the hard drives of each several thousand kernel developers, distribution maintainers, and other users of kernel.org. Any tampering with any file in the kernel.org repository would immediately be noticed by each developer as they updated their personal repository, which most do daily.
Siccome però i troll non sono in grado di capire queste cose, domani su PI (e non solo) si scatenerà la macchina del fango contro Linux ...
Bella phobos..Non lo sapevo!..
Se vedo veramente qualche cosa di simile copio e incollo ;)!

Avatar utente
shark1500
Linux 3.x
Linux 3.x
Messaggi: 785
Iscritto il: gio 3 apr 2008, 14:33
Slackware: current
Kernel: 2.6.27.7-smp
Desktop: kde
Località: Modna

Re: kernel.org cracked

Messaggio da shark1500 »

Ecco un articolo un attimo dettagliato sul perche` nessuno puo` toccare il git del kernel (nemmeno con il root sulla macchina). E questo a prescindere dal controllo degli hash.

http://git-blame.blogspot.com/2011/08/h ... o-git.html

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6566
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: kernel.org cracked

Messaggio da targzeta »

So come funziona git, però, lasciando da parte il ramo di sviluppo, non è possibile che uno prenda il tar.bz2, lo modifichi e lo riporti sul server?

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà 

Avatar utente
shark1500
Linux 3.x
Linux 3.x
Messaggi: 785
Iscritto il: gio 3 apr 2008, 14:33
Slackware: current
Kernel: 2.6.27.7-smp
Desktop: kde
Località: Modna

Re: kernel.org cracked

Messaggio da shark1500 »

I tar.bz2 sono tutti creati a partire da git-archive, quindi basta ricontrollare tutti gli hash per vedere se sono stati corrotti o no

Vic Steele
Linux 3.x
Linux 3.x
Messaggi: 534
Iscritto il: dom 27 apr 2008, 13:46
Nome Cognome: Luigi Caiazza
Slackware: current x86_64
Kernel: 3.0.0
Desktop: Fluxbox / KDE 4.7.0
Distribuzione: Fedora 15
Località: Potenza
Contatta:

Re: kernel.org cracked

Messaggio da Vic Steele »

I troll su PI stanno diventando sempre più banali. Mi aspettavo più divertimento.

Avatar utente
phobos3576
Staff
Staff
Messaggi: 2980
Iscritto il: dom 17 apr 2005, 0:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: kernel.org cracked

Messaggio da phobos3576 »

Vic Steele ha scritto:I troll su PI stanno diventando sempre più banali. Mi aspettavo più divertimento.
Infatti. Molto meglio ieri quando è comparso il mitico articolo: Oracle: niente più Java per Linux

Ovviamente, si tratta solo di un (discutibile) cambio di licenza per cui ora non è più possibile distribuire direttamente JRE o JDK di Oracle; bisogna scaricare i binari dal loro sito e installarli (come già si può fare con gli script di Pat).
Vale per Linux, Mac, Windows, etc; ma quelli di PI non potevano certo esimersi dal far apparire il tutto come un gesto anti Linux di Oracle.

Vic Steele
Linux 3.x
Linux 3.x
Messaggi: 534
Iscritto il: dom 27 apr 2008, 13:46
Nome Cognome: Luigi Caiazza
Slackware: current x86_64
Kernel: 3.0.0
Desktop: Fluxbox / KDE 4.7.0
Distribuzione: Fedora 15
Località: Potenza
Contatta:

Re: kernel.org cracked

Messaggio da Vic Steele »

Ahahah. Winaro è un mito!

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6566
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: kernel.org cracked

Messaggio da targzeta »

shark1500 ha scritto:I tar.bz2 sono tutti creati a partire da git-archive, quindi basta ricontrollare tutti gli hash per vedere se sono stati corrotti o no
Questo vuol dire che:
spina ha scritto:Bene, quindi in questo momento potrei avere un trojan sul mio PC? Simpatica la cosa :D

Emanuele
Non mi prendete troppo sul serio, io sono tranquillo. Però se sono entrati sul server posso aver fatto di tutto e non dovrebbe essere così semplice capire cosa hanno fatto. Altrimenti non si capirebbe come mai:
While we currently believe that the source code repositories were unaffected, we are in the process of verifying this and taking steps to enhance security across the kernel.org infrastructure
io non capisco molto l'inglese ma:"we believe" dovrebbe significare un'alta percentuale ma non 100%. Inoltre:"we are in the process of verifying this" indica chiaramente che proprio sicuri sicuri non lo sono...o no?

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà 

Avatar utente
phobos3576
Staff
Staff
Messaggi: 2980
Iscritto il: dom 17 apr 2005, 0:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: kernel.org cracked

Messaggio da phobos3576 »

spina ha scritto:io non capisco molto l'inglese ma:"we believe" dovrebbe significare un'alta percentuale ma non 100%. Inoltre:"we are in the process of verifying this" indica chiaramente che proprio sicuri sicuri non lo sono...o no?

Emanuele
Il problema preoccupante è questo:
Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.
Se uno sviluppatore del kernel si fa rubare le credenziali, allora buonanotte.
A meno che non si tratti di un infiltrato ...

Per fortuna le procedure di sicurezza previste da GIT sono molto robuste.

Avatar utente
414N
Iper Master
Iper Master
Messaggi: 2903
Iscritto il: mer 13 feb 2008, 16:19
Slackware: 14.2
Kernel: 4.4.19
Desktop: KDE4
Località: Bulagna
Contatta:

Re: kernel.org cracked

Messaggio da 414N »

kernel.org ha scritto: April 1, 2011: Kernel.org would like to officially unveil are long existing parrallel infrastructure. Since it's inception we've been concerned with total and catastrophic failure of our systems, and have secretely and quietly run a full and parallel infrastructure. Today, we have decided to lift the veil and no longer hide behind the security through obscurity.

Kernel.org would like to Officially announce Kernel.org Skynet.

And for such an unveiling of such an important piece of our infrastructure I would also like to announce the generous donation from Google to help support Skynet: the purchase of an set of aircraft to keep kernel.org in the air at all times, making kernel.org the first flying datacenter! Further details are over on the Skynet website.
Tsk tsk, eravamo stati avvisati, ma abbiamo sottovalutato la minaccia Skynet :D

Avatar utente
shark1500
Linux 3.x
Linux 3.x
Messaggi: 785
Iscritto il: gio 3 apr 2008, 14:33
Slackware: current
Kernel: 2.6.27.7-smp
Desktop: kde
Località: Modna

Re: kernel.org cracked

Messaggio da shark1500 »

spina ha scritto:Non mi prendete troppo sul serio, io sono tranquillo. Però se sono entrati sul server posso aver fatto di tutto e non dovrebbe essere così semplice capire cosa hanno fatto.
Ovviamente non si puo` sapere tutto subito, ci vogliono degli accertamenti.
Per controllare i .tar.bz2 come dici tu basta fare uno script che con git-archive rigeneri TUTTI i kernel, e poi confronti gli md5 (o sha1 o quello che ti pare) con quelli che risiedono sul server.

La cosa ovviamente non e` immediata, ma considerato il tempo passato ormai avranno gia` controllato, e sono sicuro che avrebbero gia` avvisato se fosse stato manomesso un tar.bz2.

In ultimo (ma non meno importante) c'e` da ricordare che non sono in molti quelli che aggiornano il kernel a manaccia, la maggior parte delle persone utilizza il kernel che c'e` nelle distribuzioni, e loro usano git invece dei tar.bz2, quindi oggi la modifica di un .tar.bz2 farebbe danni "contenuti".

Ora penso che la loro preoccupazione maggiore sia capire come hanno fatto ad avere accesso root alla macchina.

Avatar utente
phobos3576
Staff
Staff
Messaggi: 2980
Iscritto il: dom 17 apr 2005, 0:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: kernel.org cracked

Messaggio da phobos3576 »

Microsoft Contributes 361 Changes to Linux 3.0

A pensare male si fa peccato ... però ...

:-' :-' :-' :-'

Io sinceramente questa situazione la trovo totalmente inaccettabile; è come se il Pentagono rendesse accessibili i propri segreti militari a qualche membro di Al Qaeda!

Cosa succederebbe se Linus Torvalds o Greg Kroah-Hartman chiedessero a Microsoft le credenziali di accesso a qualche porzione del kernel Windows?

Rispondi