Developpez.com

Le Club des Développeurs et IT Pro

Linux : les serveurs de Kernel.org victimes d'une attaque

Le noyau de l'OS n'aurait subi aucune modification

Le 2011-09-02 10:39:12, par Hinault Romaric, Responsable .NET
Les serveurs Web utilisés pour la distribution et la maintenance du noyau Linux ont été infectés par un malware disposant d’un accès root.

Le cheval de Troie aurait été introduit par un attaquant non identifié qui aurait obtenu un accès à des serveurs de Kernel.org, serveurs sur lesquels sont hébergées les sources du noyau de l'OS.

Selon John Hawley, administrateur de Kernel.org, l’attaque aurait eu lieu le 12 août mais n’aurait été découverte que 17 jours plus tard, suite à la détection d’un cheval de Troie sur la machine personnelle d’un développeur du noyau Linux et sur les serveurs Hera et Odin1 de kernel.org.

L'attaquant aurait utilisé un compte utilisateur compromis, puis aurait exploité des failles de sécurité du système pour s'approprier des droits d'accès de niveau root.

Cependant, les sources du noyau Linux n’auraient, elles, subi aucune modification.

Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.

D’autres mécanismes de sécurité tendent également à prouver que le Kernel n'a pas été touché. «Pour chacun des 40.000 fichiers du noyau Linux, un chiffrement à partir de la fonction de hachage SHA-1 (Secure Hash Algorithm) est effectué de façon unique pour définir le contenu exact de chaque fichier » explique l’administrateur du site «lorsque [le noyau] est publié, il n’est pas possible de changer les anciennes versions sans que cela ne soit remarqué».

Pour plus de sécurité, et en plus de ces "alarmes", l’ensemble des fichiers sources du noyau sont en cours d’analyse pour confirmer qu’aucun fichier n’a été modifié.

Les administrateurs de Kernel.org ont annoncé qu’ils allaient également procéder à une réinstallation complète des systèmes d’exploitation des serveurs infectés. Enfin, les informations d’authentification ainsi que les clés SSH seront modifiées.

Source : Kernel.org

Et vous ?

Que pensez-vous de cette attaque ?
  Discussion forum
13 commentaires
  • Freem
    Membre émérite
    Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
    J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.

    Une chose est sûre, en tout cas, c'est qu'ils ne le prennent pas à la légère, pour faire une réinstallation totale des systèmes et analyser les sources

    Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.
    le 02/09/2011 à 12:18
  • ProgVal
    Membre éclairé
    Envoyé par Freem
    Hé bien, c'est la première fois que je comprend un des intérêts de décentraliser le dépôt de sources, en fait.
    J'admet ne pas vraiment comprendre l'intérêt, mais dans le cas d'une attaque, c'est vrai qu'elle ne peut endommager qu'un seul des dépôt, ou quelques autres, mais pas la totalité.
    Ce n'est pas le seul intérêt. C'est également utile quand tu passes deux semaines sans accès à Internet (bien que cela se fasse rare), et que tu veux continuer à appliquer ton rythme de travail favori ("Commit soon, commit often", plutôt que faire un gros commit à la fin.
    Il y a également le cas où le serveur contenant le dépôt venait à tomber en panne et/ou perdre ses données.
    Et enfin, ça permet également de "merger" des commits d'autres forks d'un logiciel, lorsque l'on en maintient un.

    Envoyé par Freem
    Il faut dire que vu comment linux est déployé de nos jours (embarqué, serveurs...) il vaut mieux que la sécurité soit carrée.
    D'autant plus que Linux n'est pas le seul projet hébergé sur kernel.org. Il y a également Android, par exemple.
    le 02/09/2011 à 12:22
  • ProgVal
    Membre éclairé
    Envoyé par Hinault Romaric
    Le gestionnaire de sources et de versions Git utilisé dans le projet n’autorise pas un tiers à modifier le code sans que les développeurs de l'équipe n'en soient informés. Or aucun message n'a été envoyé.
    Ce n'est pas forcément le cas lorsque l'on a un accès direct aux fichiers (modification des données), et encore moins un accès root (possibilité de bloquer les courriels sortants).
    Cependant, il est vrai qu'avec les gestionnaires de versions distribués tels que Git, il est quasi-impossible de modifier un commit sans avoir des répercutions sur tous les autres (à moins d'avoir une chance du diable, et que le hash soit exactement le même, mais les probabilités sont du même ordre que l'implosion du Soleil dans la prochaine semaine)

    Envoyé par Hinault Romaric
    Que pensez-vous de cette attaque ?
    Comme frp31 le dit : faire chier du monde, et faire parler de soi.

    De plus, la transparence est ici requise, car faire régénérer leur clef SSH à 448 personnes en voulant garder le secret, je pense que c'est tout bonnement impossible.
    le 02/09/2011 à 11:49
  • f-k-z
    Membre éprouvé
    Yopyop,

    Concernant l'attaque et avec un peu de recul, l' (ou les) attaquant(s) ont quand même un minimum de respect pour le travail effectué. Bon il y a eu un trojan d'installé, même si de mon côté je pencherais beaucoup plus sur une jolie backdoor (pour beaucoup c'est la même chose, mais y a quand même quelques différences notables). Mais après, il n'y a pas eu corruption des données, ni de grand défaçage et encore moins de revendication à la Anonymous & Co. Je le vois plus comme un gros tirage d'alarme pour dire: "Houlà les gars, si je peux y rentrer y en a qui vont faire pareil et peut être pire."
    Un autre point concernant Kernel.org, c'est qu'ils n'ont pas hésité à le rendre public en faisant un post directement sur la page principale du site, au moins ils ne nient pas l'évidence.

    Il reste juste un point: La justice retrouvera-t-elle l'auteur de cet acte ? suite au dépôt de plainte.

    @Valcapri : L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple. De plus c'est en exposant les failles (avec plus ou moins d'éthique) que celles-ci sont corrigées.
    De plus les hackers n'utilisent pas que les serveurs sous linux, il y a beaucoup de machines sous windows qui leur servent aussi, surtout celles allumées 24/24 ou connectées à de grand débits

    ++

    Fiki

    PS: Il ne s'agit ici que de mon point de vue
    le 02/09/2011 à 15:28
  • frp31
    Expert éminent sénior
    Comme toute attaque elle est là pour "faire chier un max de monde", et non pas comme on essaye parfois de nous le faire croire pour "faire démonstration d'un problème de sécurité pour obtenir sa correction"

    Le fait que ce soit une attaque contre un site libriste majeur, c'est simplement la rançon du succès à mon avis.... désormais, le site kernel.org est un site connu comme fiable, et stable depuis un certains temps. Donc une sorte d'étendard, et par conséquent une cible idéale. (Stabilité, veut aussi souvent dire que les mises à jour sont faites mais pas forcément à un rythme soutenu).

    Avec la "mode", des attaques organisées par des groupes plus ou moins organisés, il n'y a rien d'étonnant à ce que d'autres attaquent des site sans motivations particulières, juste pour "le fun" ou suivre la mode.

    [GROSTROLL]A moins que ce ne soit un coup de µ$oft pour prévoir la sortie de windows 8, suite au manque à gagner dans les pays émergeant qui privilégient les systèmes libre d'abord pour des raisons financières
    [/grostroll]

    [GROSSECONNERIE]Mais on sait tous qu'en fait µ$oft n'est qu'un écran de fumée et qu'en réalité c'est un coup des extraterrestres chinois du FBI, cours Marie-Jo ! Cours ![/GROSSECONNERIE]

    Quant-à la réaction rapide, et mise en place par les membres de Kernel.org, on ne peut que s'en féliciter. Ils sont réactifs, c'est pro. Encore un exemple qui prouve que le libre et sa communauté c'est du solide ; même sur l'organisation et le management de situations de crise.
    le 02/09/2011 à 11:22
  • ProgVal
    Membre éclairé
    Envoyé par ValCapri
    Je trouve cela un peu fort d'aller hacker kernel.org
    Je pense que tu veux dire "pirater". Un hack, c'est ça : http://www.developpez.com/actu/23928...ignes-de-code/

    Envoyé par ValCapri
    j'en vois pas trop l’intérêt vu que c'est du libre et qu'on a accès aux sources.
    Envoyé par ValCapri
    Surtout que je pense que les hackers utilisent souvent des serveurs sous Linux.
    Tu as une vision tellement binaire des choses... tout n'est pas blanc ou noir.

    EDIT : En plus, pour certaines personnes, la licence GPL (utilisée par Linux) n'est pas vraiment une licence libre, car trop restrictive. Mais je ne pense pas que ce soit ce genre de personnes qui en veuille particulièrement à Linux.
    le 02/09/2011 à 15:04
  • Firwen
    Membre expérimenté
    Question HASH, je ne suis pas entièrement d'accord, des système Hardware avec 12 cartes graphiques monté en parallèles utilisant CUDA pour leur exploitation et tu trouve en moins d'une journée un fichier remplit de contenu aléatoire ayant exactement le même hachage numérique (c'est d’ailleurs le gros problème du hash(cf collisions)). Le cloud d'amazon permet d'en faire d’ailleurs autant.
    Avec du contenu aléatoire oui, c'est possible, peu probable mais possible.

    Mais avec du vrai contenu, qui passe la compilation, qui peut servir de backdoor et qui se voit pas au premier coup d'oeil ?
    ça me parait etre aussi probable que de recevoir l'épave du Titanic sur la tête en plein Sahara.
    le 05/09/2011 à 22:06
  • ProgVal
    Membre éclairé
    Les serveurs de la Linux Foundation ont également été attaqués, et il semblerait que cette attaque soit liée à celle de kernel.org.
    Linux Foundation infrastructure including
    LinuxFoundation.org, Linux.com, and their subdomains are
    down for maintenance due to a security breach that was
    discovered on September 8, 2011. The Linux Foundation made
    this decision in the interest of extreme caution and
    security best practices. We believe this breach was
    connected to the intrusion on kernel.org.

    We are in the process of restoring services in a secure
    manner as quickly as possible. As with any intrusion and as
    a matter of caution, you should consider the passwords and
    SSH keys that you have used on these sites compromised. If
    you have reused these passwords on other sites, please
    change them immediately. We are currently auditing all
    systems and will update this statement when we have more
    information.

    We apologize for the inconvenience. We are taking this
    matter seriously and appreciate your patience. The Linux
    Foundation infrastructure houses a variety of services and
    programs including Linux.com, Open Printing, Linux Mark,
    Linux Foundation events and others, but does not include
    the Linux kernel or its code repositories.

    Please contact us at info@linuxfoundation.org with
    questions about this matter.

    The Linux Foundation
    le 11/09/2011 à 19:12
  • Loceka
    Expert confirmé
    Envoyé par f-k-z
    L'intêret est d'être passé non pas par le système lui-même lui mais par un compte utilisateur compromis, donc tu peux avoir accès aux sources et tout le tralalla, mais si tu as directement accès aux données en prennant un autre compte c'est encore plus simple.
    Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
    Et rajouter une backdoor dans le noyau linux à l'insu de tout le monde pourraît être utile à pas mal de hackers (cf la backdoor dans le code de la couche IPsec sur BSD apparement commanditée par le FBI).
    le 02/09/2011 à 16:04
  • ProgVal
    Membre éclairé
    Envoyé par Loceka
    Ouaip. Et, même si on en croit la news les sources présentes sur le serveur n'ont pas été modifiées, le fait d'avoir une backdoor sur le serveur hébergeant ces sources permettrait de modifier ces sources à loisir.
    Non, grâce au système de hash et de signature numérique de Git.
    le 02/09/2011 à 16:05
  Poster une réponse