Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linux : les serveurs de Kernel.org victimes d'une attaque
Le noyau de l'OS n'aurait subi aucune modification

Le , par Hinault Romaric

41PARTAGES

5  1 
Les serveurs Web utilisés pour la distribution et la maintenance du noyau Linux ont été infectés par un malware disposant d’un accès root.

Le cheval de Troie aurait été introduit par un attaquant non identifié qui aurait obtenu un accès à des serveurs de Kernel.org, serveurs sur lesquels sont hébergées les sources du noyau de l'OS.

Selon John Hawley, administrateur de Kernel.org, l’attaque aurait eu lieu le 12 août mais n’aurait été découverte que 17 jours plus tard, suite à la détection d’un cheval de Troie sur la machine personnelle d’un développeur du noyau Linux et sur les serveurs Hera et Odin1 de kernel.org.

L'attaquant aurait utilisé un compte utilisateur compromis, puis aurait exploité des failles de sécurité du système pour s'approprier des droits d'accès de niveau root.

Cependant, les sources du noyau Linux n’auraient, elles, subi aucune modification.

Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.

D’autres mécanismes de sécurité tendent également à prouver que le Kernel n'a pas été touché. «Pour chacun des 40.000 fichiers du noyau Linux, un chiffrement à partir de la fonction de hachage SHA-1 (Secure Hash Algorithm) est effectué de façon unique pour définir le contenu exact de chaque fichier » explique l’administrateur du site «lorsque [le noyau] est publié, il n’est pas possible de changer les anciennes versions sans que cela ne soit remarqué».

Pour plus de sécurité, et en plus de ces "alarmes", l’ensemble des fichiers sources du noyau sont en cours d’analyse pour confirmer qu’aucun fichier n’a été modifié.

Les administrateurs de Kernel.org ont annoncé qu’ils allaient également procéder à une réinstallation complète des systèmes d’exploitation des serveurs infectés. Enfin, les informations d’authentification ainsi que les clés SSH seront modifiées.

Source : Kernel.org

Et vous ?

Que pensez-vous de cette attaque ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Freem
Membre émérite https://www.developpez.com
Le 02/09/2011 à 12:18
Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.

Une chose est sûre, en tout cas, c'est qu'ils ne le prennent pas à la légère, pour faire une réinstallation totale des systèmes et analyser les sources

Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.
8  0 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 02/09/2011 à 12:22
Citation Envoyé par Freem Voir le message
Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.
Ce n'est pas le seul intérêt. C'est également utile quand tu passes deux semaines sans accès à Internet (bien que cela se fasse rare), et que tu veux continuer à appliquer ton rythme de travail favori ("Commit soon, commit often", plutôt que faire un gros commit à la fin.
Il y a également le cas où le serveur contenant le dépôt venait à tomber en panne et/ou perdre ses données.
Et enfin, ça permet également de "merger" des commits d'autres forks d'un logiciel, lorsque l'on en maintient un.

Citation Envoyé par Freem Voir le message
Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.
D'autant plus que Linux n'est pas le seul projet hébergé sur kernel.org. Il y a également Android, par exemple.
5  0 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 02/09/2011 à 11:49
Citation Envoyé par Hinault Romaric Voir le message
Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.
Ce n'est pas forcément le cas lorsque l'on a un accès direct aux fichiers (modification des données), et encore moins un accès root (possibilité de bloquer les courriels sortants).
Cependant, il est vrai qu'avec les gestionnaires de versions distribués tels que Git, il est quasi-impossible de modifier un commit sans avoir des répercutions sur tous les autres (à moins d'avoir une chance du diable, et que le hash soit exactement le même, mais les probabilités sont du même ordre que l'implosion du Soleil dans la prochaine semaine)

Citation Envoyé par Hinault Romaric Voir le message
Que pensez-vous de cette attaque ?
Comme frp31 le dit : faire chier du monde, et faire parler de soi.

De plus, la transparence est ici requise, car faire régénérer leur clef SSH à 448 personnes en voulant garder le secret, je pense que c'est tout bonnement impossible.
4  0 
Avatar de f-k-z
Membre éprouvé https://www.developpez.com
Le 02/09/2011 à 15:28
Yopyop,

Concernant l'attaque et avec un peu de recul, l' (ou les) attaquant(s) ont quand même un minimum de respect pour le travail effectué. Bon il y a eu un trojan d'installé, même si de mon côté je pencherais beaucoup plus sur une jolie backdoor (pour beaucoup c'est la même chose, mais y a quand même quelques différences notables). Mais après, il n'y a pas eu corruption des données, ni de grand défaçage et encore moins de revendication à la Anonymous & Co. Je le vois plus comme un gros tirage d'alarme pour dire: "Houlà les gars, si je peux y rentrer y en a qui vont faire pareil et peut être pire."
Un autre point concernant Kernel.org, c'est qu'ils n'ont pas hésité à le rendre public en faisant un post directement sur la page principale du site, au moins ils ne nient pas l'évidence.

Il reste juste un point: La justice retrouvera-t-elle l'auteur de cet acte ? suite au dépôt de plainte.

@Valcapri : L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple. De plus c'est en exposant les failles (avec plus ou moins d'éthique) que celles-ci sont corrigées.
De plus les hackers n'utilisent pas que les serveurs sous linux, il y a beaucoup de machines sous windows qui leur servent aussi, surtout celles allumées 24/24 ou connectées à de grand débits

++

Fiki

PS: Il ne s'agit ici que de mon point de vue
4  0 
Avatar de frp31
Expert éminent sénior https://www.developpez.com
Le 02/09/2011 à 11:22
Comme toute attaque elle est là pour "faire chier un max de monde", et non pas comme on essaye parfois de nous le faire croire pour "faire démonstration d'un problème de sécurité pour obtenir sa correction"

Le fait que ce soit une attaque contre un site libriste majeur, c'est simplement la rançon du succès à mon avis.... désormais, le site kernel.org est un site connu comme fiable, et stable depuis un certains temps. Donc une sorte d'étendard, et par conséquent une cible idéale. (Stabilité, veut aussi souvent dire que les mises à jour sont faites mais pas forcément à un rythme soutenu).

Avec la "mode", des attaques organisées par des groupes plus ou moins organisés, il n'y a rien d'étonnant à ce que d'autres attaquent des site sans motivations particulières, juste pour "le fun" ou suivre la mode.

[GROSTROLL]A moins que ce ne soit un coup de µ$oft pour prévoir la sortie de windows 8, suite au manque à gagner dans les pays émergeant qui privilégient les systèmes libre d'abord pour des raisons financières
[/grostroll]


[GROSSECONNERIE]Mais on sait tous qu'en fait µ$oft n'est qu'un écran de fumée et qu'en réalité c'est un coup des extraterrestres chinois du FBI, cours Marie-Jo ! Cours ![/GROSSECONNERIE]

Quant-à la réaction rapide, et mise en place par les membres de Kernel.org, on ne peut que s'en féliciter. Ils sont réactifs, c'est pro. Encore un exemple qui prouve que le libre et sa communauté c'est du solide ; même sur l'organisation et le management de situations de crise.
5  2 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 02/09/2011 à 15:04
Citation Envoyé par ValCapri Voir le message
Je trouve cela un peu fort d'aller hacker kernel.org
Je pense que tu veux dire "pirater". Un hack, c'est ça : http://www.developpez.com/actu/23928...ignes-de-code/

Citation Envoyé par ValCapri Voir le message
j'en vois pas trop l’intérêt vu que c'est du libre et qu'on a accès aux sources.
Citation Envoyé par ValCapri Voir le message
Surtout que je pense que les hackers utilisent souvent des serveurs sous Linux.
Tu as une vision tellement binaire des choses... tout n'est pas blanc ou noir.

EDIT : En plus, pour certaines personnes, la licence GPL (utilisée par Linux) n'est pas vraiment une licence libre, car trop restrictive. Mais je ne pense pas que ce soit ce genre de personnes qui en veuille particulièrement à Linux.
3  0 
Avatar de Firwen
Membre expérimenté https://www.developpez.com
Le 05/09/2011 à 22:06
Question HASH, je ne suis pas entièrement d'accord, des système Hardware avec 12 cartes graphiques monté en parallèles utilisant CUDA pour leur exploitation et tu trouve en moins d'une journée un fichier remplit de contenu aléatoire ayant exactement le même hachage numérique (c'est d’ailleurs le gros problème du hash(cf collisions)). Le cloud d'amazon permet d'en faire d’ailleurs autant.
Avec du contenu aléatoire oui, c'est possible, peu probable mais possible.

Mais avec du vrai contenu, qui passe la compilation, qui peut servir de backdoor et qui se voit pas au premier coup d'oeil ?
ça me parait etre aussi probable que de recevoir l'épave du Titanic sur la tête en plein Sahara.
3  0 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 11/09/2011 à 19:12
Les serveurs de la Linux Foundation ont également été attaqués, et il semblerait que cette attaque soit liée à celle de kernel.org.
Linux Foundation infrastructure including
LinuxFoundation.org, Linux.com, and their subdomains are
down for maintenance due to a security breach that was
discovered on September 8, 2011. The Linux Foundation made
this decision in the interest of extreme caution and
security best practices. We believe this breach was
connected to the intrusion on kernel.org.

We are in the process of restoring services in a secure
manner as quickly as possible. As with any intrusion and as
a matter of caution, you should consider the passwords and
SSH keys that you have used on these sites compromised. If
you have reused these passwords on other sites, please
change them immediately. We are currently auditing all
systems and will update this statement when we have more
information.

We apologize for the inconvenience. We are taking this
matter seriously and appreciate your patience. The Linux
Foundation infrastructure houses a variety of services and
programs including Linux.com, Open Printing, Linux Mark,
Linux Foundation events and others, but does not include
the Linux kernel or its code repositories.

Please contact us at info@linuxfoundation.org with
questions about this matter.

The Linux Foundation
3  0 
Avatar de Loceka
Expert confirmé https://www.developpez.com
Le 02/09/2011 à 16:04
Citation Envoyé par f-k-z Voir le message
L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple.
Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
Et rajouter une backdoor dans le noyau linux à l'insu de tout le monde pourraît être utile à pas mal de hackers (cf la backdoor dans le code de la couche IPsec sur BSD apparement commanditée par le FBI).
2  0 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 02/09/2011 à 16:05
Citation Envoyé par Loceka Voir le message
Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
Non, grâce au système de hash et de signature numérique de Git.
2  0