Geekissimo

Luce sugli attacchi ai server RedHat

 
Marco Mornati
29 Agosto 2008
4 commenti

Il 14 agosto scorso alcuni dei server di RedHat hanno subito dei pesanti attacchi con accessi non autorizzati e, per questo motivo, sono stati messi offline per qualche giorno (ho personalmente avuto problemi nell’aggiornamento del codice sorgente di alcuni progetti per tutta la mattinata del 18 Agosto).
In questi giorni i responsabili della società stanno cercando di far luce e assicurare gli utenti su quanto di “malevolo” è stato fatto e se ci possa essere qualche pericolo per l’utente finale.

Il sospetto è che alcuni pacchetti RPM, quelli che nelle distribuzioni RedHat based (quindi CentOS, RHEL e Fedora) sono usati per installare software e componenti, possano essere stati in qualche modo compromessi.
In particolare, per quello che riguarda la distruzione concepita per i desktop degli utenti “casalinghi”, Fedora, si è esposto con alcune dichiarazioni direttamente il project manager del progetto, Paul Frields.


“The intrusion into the servers was quickly discovered, and the servers were taken offline. … One of the compromised Fedora servers was a system used for signing Fedora packages”

Contrariamente a quanto annunciato inizialmente dallo stesso Frields, cioè che tutti i server avessero subito una manomissione, ora l’entità dell’attacco è stata ridimensionata e sembra che siano solo pochi i server coinvolti. In particolare sembra che uno dei server interessati sia quello usato per la certificazione dei pacchetti (per firmare con una chiave GPG che garantisce che il pacchetto in questione è sicuro e può essere installato).
Proprio per questo motivo il consiglio che viene dato, soprattutto per quello che riguarda le distribuzioni server usate in molte grosse imprese, è di NON aggiornare il sistema operativo finchè non si avrà un quadro completo di quanto accaduto.
Per il momento viene esclusa la possibilità che possano essere state rubate password di account sensibili o che la chiave usata per il sign dei pacchetti possa essere stata compromessa. In forma cautelare RedHat ha comunque deciso di cambiare la chiave in ogni caso.

In una note RedHat ha poi fatto sapere che l’attacco “peggiore” è stato inflitto ai propri server. Ovviamente, in questo le distribuzioni RedHat Enterprise vengono usate in parecchi ambienti di produzione, è molto più appetibile poter accedere in modo fraudolento a queste macchine, piuttosto che a quelle di un utente domestico.
In particolare gli Hacker sono riusciti a manomettere il pacchetto OpenSSH (quello che viene usato per accedere ad una macchina via SSH e che quindi, se fatto con utenza di root, da il pieno controllo della macchina stessa), ricertificandolo e uplodandolo nel sistema. Cosa che ovviamente, se non fosse stata scoperta, avrebbe potuto creare un enorme problema di vulnerabilità.
RedHat ha comunque rilasciato prontamente informazioni al riguardo che permettono di scovare se la propria macchina è stata aggiornata con il pacchetto incriminato ed escludere tale pacchetto da eventuali futuri aggiornamenti.
Tutte le informazioni sono reperibili sul sito di RedHat.

Ora non resta che attendere che completino i controlli e sperare che chiudano un po’ meglio tutte le porte vulnerabili.
Secondo me è stato qualche programmatore di Debian risentito dalle critiche fatte qualche tempo fa sulla vulnerabilità dello stesso pacchetto OpenSSH dei loro sistemi! 😀 (lì la storia era un po’ diversa e veniva proprio da una svista di un programmatore).

Via | Information Week Security

Potrebbe interessarti anche
Articoli Correlati
Linux: scovata una botnet che inietta malware a destra e a manca

Linux: scovata una botnet che inietta malware a destra e a manca

Se cercavate un argomento valido per ampliare la discussione su Linux e sicurezza informatica cominciata ieri, ecco una notizia che potrebbe fare al caso vostro. Stiamo parlano della scoperta effettuata […]

Fedora 10 Cambridge, viaggiando verso la Beta

Fedora 10 Cambridge, viaggiando verso la Beta

Autunno è ormai divenuto sinonimo di “lotta all’ultima distribuzione”. Come tutti i Linux user sanno, Ubuntu e Fedora, si sono ormai “accordate” sulle date di uscita delle nuove release delle […]

Come essere sicuri quando si utilizzano PC e connessioni Wi-Fi pubbliche

Come essere sicuri quando si utilizzano PC e connessioni Wi-Fi pubbliche

Quasi ogni geek, almeno una volta nella vita, ha a che fare con dei computer pubblici che molte volte si appoggiano su reti Wi-Fi pubbliche. Una situazione del genere può […]

Mac OS X hackerato più velocemente di Windows e Linux

Mac OS X hackerato più velocemente di Windows e Linux

Apple sbandiera ai quattro venti la sicurezza di Mac OS X in contrasto con le vulnerabilità dei sistemi operativi Windows. Ma durante il Pwn20wn, un contest di hacking, dove i […]

I migliori software gratuiti per recuperare i dati

I migliori software gratuiti per recuperare i dati

Che si sia geek o meno, quasi tutti, almeno una volta nella loro vita informatica, hanno avuto la sventura di avere a che fare con l’impossibilità di accedere al sistema […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento

  • #1Carlo

    Ancora una volta gli Hacker hanno colpito! Qnd gli Hacker fanno il proprio lavoro…così si fa!

    29 Ago 2008, 9:24 am Rispondi|Quota
  • #2Marco Mornati

    eheh, ma credo ci sia poco da stare allegri. Vero che RedHat sui suoi server non ha mai badato molto alla sicurezza (in fondo sono poi siti web e distributori di pacchetti).

    Però se riesci ad infilarci un pacchetto SSH che accetta, per esempio, per l’utenza di root una password fissa (oltre a quella impostata) questo crea un “buchetto” non indifferente in ogni server che usa RedHat.
    E c’è poco da stare allegri perchè la tua banca potrebbe averne uno! 😛

    29 Ago 2008, 9:27 am Rispondi|Quota
  • #3Rube

    Marco Mornati dice:

    Però se riesci ad infilarci un pacchetto SSH che accetta, per esempio, per l’utenza di root una password fissa (oltre a quella impostata) questo crea un “buchetto” non indifferente in ogni server che usa RedHat.

    beh è sempre buona norma disabilitare il login di root diretto da ssh, almeno per i server, e poi almeno cambiare la porta (invece della classica 22)….

    29 Ago 2008, 11:53 am Rispondi|Quota
  • #4Marco Mornati

    @ Rube:
    Beh le cose che si possono fare sono parecchie. I bochi sono solito frutto dell'”ignoranza” dell’amministratore della macchina. Basta anche solo scegliere una password molto semplice (tipo la mia: billgates) per creare un buco profondo.
    Il problema solitamente sta in chi gestisce il software/computer e non nel software stesso. Per windows è di solito il contrario, ma c’è molta gente che ancora si fida! 😛

    29 Ago 2008, 12:04 pm Rispondi|Quota
Trackbacks & Pingback
  1. Fedora, riaperti i repository per effettuare gli update di Fedora 8 e 9 - Geekissimo