Linux : les serveurs de Kernel.org victimes d'une attaque
Le noyau de l'OS n'aurait subi aucune modification

Le , par Hinault Romaric, Responsable .NET
Les serveurs Web utilisés pour la distribution et la maintenance du noyau Linux ont été infectés par un malware disposant d’un accès root.

Le cheval de Troie aurait été introduit par un attaquant non identifié qui aurait obtenu un accès à des serveurs de Kernel.org, serveurs sur lesquels sont hébergées les sources du noyau de l'OS.

Selon John Hawley, administrateur de Kernel.org, l’attaque aurait eu lieu le 12 août mais n’aurait été découverte que 17 jours plus tard, suite à la détection d’un cheval de Troie sur la machine personnelle d’un développeur du noyau Linux et sur les serveurs Hera et Odin1 de kernel.org.

L'attaquant aurait utilisé un compte utilisateur compromis, puis aurait exploité des failles de sécurité du système pour s'approprier des droits d'accès de niveau root.

Cependant, les sources du noyau Linux n’auraient, elles, subi aucune modification.

Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.

D’autres mécanismes de sécurité tendent également à prouver que le Kernel n'a pas été touché. «Pour chacun des 40.000 fichiers du noyau Linux, un chiffrement à partir de la fonction de hachage SHA-1 (Secure Hash Algorithm) est effectué de façon unique pour définir le contenu exact de chaque fichier » explique l’administrateur du site «lorsque [le noyau] est publié, il n’est pas possible de changer les anciennes versions sans que cela ne soit remarqué».

Pour plus de sécurité, et en plus de ces "alarmes", l’ensemble des fichiers sources du noyau sont en cours d’analyse pour confirmer qu’aucun fichier n’a été modifié.

Les administrateurs de Kernel.org ont annoncé qu’ils allaient également procéder à une réinstallation complète des systèmes d’exploitation des serveurs infectés. Enfin, les informations d’authentification ainsi que les clés SSH seront modifiées.

Source : Kernel.org

Et vous ?

Que pensez-vous de cette attaque ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Freem Freem - Membre émérite https://www.developpez.com
le 02/09/2011 à 12:18
Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.

Une chose est sûre, en tout cas, c'est qu'ils ne le prennent pas à la légère, pour faire une réinstallation totale des systèmes et analyser les sources

Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.
Avatar de ProgVal ProgVal - Membre éclairé https://www.developpez.com
le 02/09/2011 à 12:22
Citation Envoyé par Freem  Voir le message
Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.

Ce n'est pas le seul intérêt. C'est également utile quand tu passes deux semaines sans accès à Internet (bien que cela se fasse rare), et que tu veux continuer à appliquer ton rythme de travail favori ("Commit soon, commit often"), plutôt que faire un gros commit à la fin.
Il y a également le cas où le serveur contenant le dépôt venait à tomber en panne et/ou perdre ses données.
Et enfin, ça permet également de "merger" des commits d'autres forks d'un logiciel, lorsque l'on en maintient un.

Citation Envoyé par Freem  Voir le message
Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.

D'autant plus que Linux n'est pas le seul projet hébergé sur kernel.org. Il y a également Android, par exemple.
Avatar de ValCapri ValCapri - Membre régulier https://www.developpez.com
le 02/09/2011 à 14:38
Je trouve cela un peu fort d'aller hacker kernel.org, j'en vois pas trop l’intérêt vu que c'est du libre et qu'on a accès aux sources. C'est juste pour le fun quoi ou la pub, mais alors, je ne vois pas pourquoi un groupe ne le revendique pas. Surtout que je pense que les hackers utilisent souvent des serveurs sous Linux.

C'est vrai que Git est plutôt pratique au niveau sécurité, et c'est un aspect qu'on ne lui donne pas souvent.
Avatar de ProgVal ProgVal - Membre éclairé https://www.developpez.com
le 02/09/2011 à 15:04
Citation Envoyé par ValCapri  Voir le message
Je trouve cela un peu fort d'aller hacker kernel.org

Je pense que tu veux dire "pirater". Un hack, c'est ça : http://www.developpez.com/actu/23928...ignes-de-code/

Citation Envoyé par ValCapri  Voir le message
j'en vois pas trop l’intérêt vu que c'est du libre et qu'on a accès aux sources.

Citation Envoyé par ValCapri  Voir le message
Surtout que je pense que les hackers utilisent souvent des serveurs sous Linux.

Tu as une vision tellement binaire des choses... tout n'est pas blanc ou noir.

EDIT : En plus, pour certaines personnes, la licence GPL (utilisée par Linux) n'est pas vraiment une licence libre, car trop restrictive. Mais je ne pense pas que ce soit ce genre de personnes qui en veuille particulièrement à Linux.
Avatar de f-k-z f-k-z - Membre éprouvé https://www.developpez.com
le 02/09/2011 à 15:28
Yopyop,

Concernant l'attaque et avec un peu de recul, l' (ou les) attaquant(s) ont quand même un minimum de respect pour le travail effectué. Bon il y a eu un trojan d'installé, même si de mon côté je pencherais beaucoup plus sur une jolie backdoor (pour beaucoup c'est la même chose, mais y a quand même quelques différences notables). Mais après, il n'y a pas eu corruption des données, ni de grand défaçage et encore moins de revendication à la Anonymous & Co. Je le vois plus comme un gros tirage d'alarme pour dire: "Houlà les gars, si je peux y rentrer y en a qui vont faire pareil et peut être pire."
Un autre point concernant Kernel.org, c'est qu'ils n'ont pas hésité à le rendre public en faisant un post directement sur la page principale du site, au moins ils ne nient pas l'évidence.

Il reste juste un point: La justice retrouvera-t-elle l'auteur de cet acte ? suite au dépôt de plainte.

@Valcapri : L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple. De plus c'est en exposant les failles (avec plus ou moins d'éthique) que celles-ci sont corrigées.
De plus les hackers n'utilisent pas que les serveurs sous linux, il y a beaucoup de machines sous windows qui leur servent aussi, surtout celles allumées 24/24 ou connectées à de grand débits

++

Fiki

PS: Il ne s'agit ici que de mon point de vue
Avatar de Loceka Loceka - Expert confirmé https://www.developpez.com
le 02/09/2011 à 16:04
Citation Envoyé par f-k-z  Voir le message
L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple.

Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
Et rajouter une backdoor dans le noyau linux à l'insu de tout le monde pourraît être utile à pas mal de hackers (cf la backdoor dans le code de la couche IPsec sur BSD apparement commanditée par le FBI).
Avatar de ProgVal ProgVal - Membre éclairé https://www.developpez.com
le 02/09/2011 à 16:05
Citation Envoyé par Loceka  Voir le message
Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.

Non, grâce au système de hash et de signature numérique de Git.
Avatar de frp31 frp31 - Expert éminent sénior https://www.developpez.com
le 02/09/2011 à 16:55
Citation Envoyé par Loceka  Voir le message
Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
Et rajouter une backdoor dans le noyau linux à l'insu de tout le monde pourraît être utile à pas mal de hackers (cf la backdoor dans le code de la couche IPsec sur BSD apparement commanditée par le FBI).

ça avait été fini par être démontré en HOAX au final... cette histoire... même si la demande a bel et bien existé par contre à l'origine.
Avatar de thorium90 thorium90 - Membre averti https://www.developpez.com
le 05/09/2011 à 12:09
Citation Envoyé par ProgVal  Voir le message
à moins d'avoir une chance du diable, et que le hash soit exactement le même, mais les probabilités sont du même ordre que l'implosion du Soleil dans la prochaine semaine

Question HASH, je ne suis pas entièrement d'accord, des système Hardware avec 12 cartes graphiques monté en parallèles utilisant CUDA pour leur exploitation et tu trouve en moins d'une journée un fichier remplit de contenu aléatoire ayant exactement le même hachage numérique (c'est d’ailleurs le gros problème du hash(cf collisions)). Le cloud d'amazon permet d'en faire d’ailleurs autant.

Donc, même si je ne pense pas que ce soit le cas, mais un hacker ayant cherché a s'introduire sur le serveur de linux peut sans problème avoir préparé un noyau corrompu ayant le même hash (bon, j'avoue aussi le SHA c'est pas aussi facile a duper que le MD5). Ensuite pour ce qui est de la taille du fichier, il me semble qu'il est aussi possible de faire croire au système qu'un fichier fais toujours la même taille.

Pour conclure l'acte en lui même reste très effronté de la part de son auteur. Fallait oser ^^
Avatar de Firwen Firwen - Membre expérimenté https://www.developpez.com
le 05/09/2011 à 22:06
Question HASH, je ne suis pas entièrement d'accord, des système Hardware avec 12 cartes graphiques monté en parallèles utilisant CUDA pour leur exploitation et tu trouve en moins d'une journée un fichier remplit de contenu aléatoire ayant exactement le même hachage numérique (c'est d’ailleurs le gros problème du hash(cf collisions)). Le cloud d'amazon permet d'en faire d’ailleurs autant.

Avec du contenu aléatoire oui, c'est possible, peu probable mais possible.

Mais avec du vrai contenu, qui passe la compilation, qui peut servir de backdoor et qui se voit pas au premier coup d'oeil ?
ça me parait etre aussi probable que de recevoir l'épave du Titanic sur la tête en plein Sahara.
Avatar de ProgVal ProgVal - Membre éclairé https://www.developpez.com
le 11/09/2011 à 19:12
Les serveurs de la Linux Foundation ont également été attaqués, et il semblerait que cette attaque soit liée à celle de kernel.org.
Linux Foundation infrastructure including
LinuxFoundation.org, Linux.com, and their subdomains are
down for maintenance due to a security breach that was
discovered on September 8, 2011. The Linux Foundation made
this decision in the interest of extreme caution and
security best practices. We believe this breach was
connected to the intrusion on kernel.org.

We are in the process of restoring services in a secure
manner as quickly as possible. As with any intrusion and as
a matter of caution, you should consider the passwords and
SSH keys that you have used on these sites compromised. If
you have reused these passwords on other sites, please
change them immediately. We are currently auditing all
systems and will update this statement when we have more
information.

We apologize for the inconvenience. We are taking this
matter seriously and appreciate your patience. The Linux
Foundation infrastructure houses a variety of services and
programs including Linux.com, Open Printing, Linux Mark,
Linux Foundation events and others, but does not include
the Linux kernel or its code repositories.

Please contact us at info@linuxfoundation.org with
questions about this matter.

The Linux Foundation

Offres d'emploi IT
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)
Chef projet big data - pse flotte H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil