Servere kernel.org compromise de hackeri

Luna trecuta, cateva servere apartinand kernel.org au fost compromise intr-un atac ce-a avut ca scop sa fure datele personale ale clientilor.

Conform declaratiilor kernel.org (site ce gazduieste codul sursa pentru kernelul de Linux), se pare ca acest atac nu a afectat arhivele cu codul sursa al kernelului. Serverul afectat este cunoscut sub numele de “Hera”.

Dupa ce au obtinut acces la server, atacatorii au modificat fisiere SSH si key de autentificare si au adaugat un troian in scripturile de pornire ale serverului. Atacul a fost decoperit pe data de 28 august si se crede ca a avut loc in jurul datei de 12 august. Sistemele afectate au fost deconectate, s-au efectuat backupuri si apoi a fost reinstalat sistemul de operare. In plus, au fost notificate cu privire la acest atac si autoritatile din Statele Unite si Europa.

In urma investigatiilor efectuate de echipele de securitate ale kernel.org, s-a descoperit ca au fost afectate serverele Hera si Odin1, in timp ce serverele Demeter2, Zeus1 si Zeus2 nu au avut de suferit in urma atacului.

Cu toate acestea, potentialul pericol de deterioare a kernel.org este unul destul de mic, mai ales pentru ca dezvoltarea kernel-ului se face folosind sistemul GIT de control de revizuire creat de catre Linus Torvalds. Pentru fiecare dintre cele 40.000 de fisiere existente in kernel-ul Linux se calculeaza automat intr-un mod unic o cheie cryptata SHA-1 pentru a defini continutul acelui fisier. Odata publicat kernelul, este practic imposibil ca o modificare adusa vreunuia dintre fisiere sa treaca neobservata. In plus aceste fisiere si chei de cryptare nu exista doar pe serverul kernel.org si pe mirror-urile acestuia ci si pe serverele dezvoltatorilor kernel.org si ale altor utilizatori. Orice modificare adusa fisierelor de pe kernel.org poate fi observata de catre dezvoltatori.

In momentul de fata, site-ul kernel.org incearca sa-i faca pe cei 448 de utilizatori sa-si schimbe datele de autentificare si cheile SSH.