01 septiembre 2011

Kernel.org Comprometido


Noticia de alcance: uno (o varios) de los servidores de Kernel.org (el sitio de referencia para descargar el Kernel de Linux) han sido comprometidos

Según se puede leer en la propia web:


-Los atacantes consiguieron hacerse con el control de la cuenta root (máximos privilegios y acceso total) en uno de sus servidores

-El acceso inicial parece que se realizó mediante claves SSH legítimas que fueron robadas de usuarios que tenían acceso al sistema

-Una vez dentro, emplearon un exploit para conseguir acceso como root

-Aparentemente 'troyanizaron' el servicio OpenSSH, tanto el servidor como los clientes (con lo que no es descartable que, todo aquel que haya hecho una conexión ssh DESDE el servidor comprometido haya comprometido el host al que conectaba)

-A la máquina se le añadió un troyano para asegurar el acceso

En principio los administradores de Kernel.org aseguran que resulta poco probable (según ellos imposible) que alguien haya podido introducir código malicioso en alguna versión del kernel que haya estado accesible para descarga

El motivo por el que aseguran la integridad del kernel es debido a la forma en la que funciona GIT, que incorpora mecanismos criptográficos de validación (hashes) en los ficheros que gestiona por lo que, a priori, cualquier modificación 'extraña' hubiese sido detectada.

Aun así, la información es provisional ya que están en proceso de investigación del incidente.

5 comments :

Anonimo dijo...

April Fools' Day?

Gerard dijo...

Creo que lo mas probable es que el kernel de Linux esté comprometido desde hace tiempo, lo mismo que el gcc, bind, los sites de distribución de actualizaciones, productos Microsoft, etc. Al menos este sería uno de mis primeros objetivos si fuera un dirigente cibermilitar con un presupuesto estratosférico.

Pepe dijo...

Eso les pasó por usar Windows en los servidores :-)

Juan Aguilera dijo...

Lo más probable es que los miles de ojos que miran el código del software libre hubieran detectado algo así. ¿O es que todos... "están en el ajo"? :)

¿Los productos de Microsoft? No se sabe, ya que eso sólo lo ven empleados de la empresa. Aún así, yo creo que no, pero sería más fácil por esa ocultación del código.

anonimo dijo...

Eso les pasa por decirlo. A ver si os creeis que cuando crackean un banco lo ponen en primera portada.