Il 14 agosto scorso alcuni dei server di RedHat hanno subito dei pesanti attacchi con accessi non autorizzati e, per questo motivo, sono stati messi offline per qualche giorno (ho personalmente avuto problemi nell’aggiornamento del codice sorgente di alcuni progetti per tutta la mattinata del 18 Agosto).
In questi giorni i responsabili della società stanno cercando di far luce e assicurare gli utenti su quanto di “malevolo” è stato fatto e se ci possa essere qualche pericolo per l’utente finale.
Il sospetto è che alcuni pacchetti RPM, quelli che nelle distribuzioni RedHat based (quindi CentOS, RHEL e Fedora) sono usati per installare software e componenti, possano essere stati in qualche modo compromessi.
In particolare, per quello che riguarda la distruzione concepita per i desktop degli utenti “casalinghi”, Fedora, si è esposto con alcune dichiarazioni direttamente il project manager del progetto, Paul Frields.
“The intrusion into the servers was quickly discovered, and the servers were taken offline. … One of the compromised Fedora servers was a system used for signing Fedora packages”
Contrariamente a quanto annunciato inizialmente dallo stesso Frields, cioè che tutti i server avessero subito una manomissione, ora l’entità dell’attacco è stata ridimensionata e sembra che siano solo pochi i server coinvolti. In particolare sembra che uno dei server interessati sia quello usato per la certificazione dei pacchetti (per firmare con una chiave GPG che garantisce che il pacchetto in questione è sicuro e può essere installato).
Proprio per questo motivo il consiglio che viene dato, soprattutto per quello che riguarda le distribuzioni server usate in molte grosse imprese, è di NON aggiornare il sistema operativo finchè non si avrà un quadro completo di quanto accaduto.
Per il momento viene esclusa la possibilità che possano essere state rubate password di account sensibili o che la chiave usata per il sign dei pacchetti possa essere stata compromessa. In forma cautelare RedHat ha comunque deciso di cambiare la chiave in ogni caso.
In una note RedHat ha poi fatto sapere che l’attacco “peggiore” è stato inflitto ai propri server. Ovviamente, in questo le distribuzioni RedHat Enterprise vengono usate in parecchi ambienti di produzione, è molto più appetibile poter accedere in modo fraudolento a queste macchine, piuttosto che a quelle di un utente domestico.
In particolare gli Hacker sono riusciti a manomettere il pacchetto OpenSSH (quello che viene usato per accedere ad una macchina via SSH e che quindi, se fatto con utenza di root, da il pieno controllo della macchina stessa), ricertificandolo e uplodandolo nel sistema. Cosa che ovviamente, se non fosse stata scoperta, avrebbe potuto creare un enorme problema di vulnerabilità.
RedHat ha comunque rilasciato prontamente informazioni al riguardo che permettono di scovare se la propria macchina è stata aggiornata con il pacchetto incriminato ed escludere tale pacchetto da eventuali futuri aggiornamenti.
Tutte le informazioni sono reperibili sul sito di RedHat.
Ora non resta che attendere che completino i controlli e sperare che chiudano un po’ meglio tutte le porte vulnerabili.
Secondo me è stato qualche programmatore di Debian risentito dalle critiche fatte qualche tempo fa sulla vulnerabilità dello stesso pacchetto OpenSSH dei loro sistemi! 😀 (lì la storia era un po’ diversa e veniva proprio da una svista di un programmatore).
Via | Information Week Security
#1Carlo
Ancora una volta gli Hacker hanno colpito! Qnd gli Hacker fanno il proprio lavoro…così si fa!
#2Marco Mornati
eheh, ma credo ci sia poco da stare allegri. Vero che RedHat sui suoi server non ha mai badato molto alla sicurezza (in fondo sono poi siti web e distributori di pacchetti).
Però se riesci ad infilarci un pacchetto SSH che accetta, per esempio, per l’utenza di root una password fissa (oltre a quella impostata) questo crea un “buchetto” non indifferente in ogni server che usa RedHat.
E c’è poco da stare allegri perchè la tua banca potrebbe averne uno! 😛
#3Rube
Marco Mornati dice:
beh è sempre buona norma disabilitare il login di root diretto da ssh, almeno per i server, e poi almeno cambiare la porta (invece della classica 22)….
#4Marco Mornati
@ Rube:
Beh le cose che si possono fare sono parecchie. I bochi sono solito frutto dell'”ignoranza” dell’amministratore della macchina. Basta anche solo scegliere una password molto semplice (tipo la mia: billgates) per creare un buco profondo.
Il problema solitamente sta in chi gestisce il software/computer e non nel software stesso. Per windows è di solito il contrario, ma c’è molta gente che ancora si fida! 😛