Хакеры взломали kernel.org
01.09.11, Чт, 11:55, Мск,
Хакеры атаковали основной сайт разработчиков ядра операционной системы Linux и сумели внести вредоносные изменения в файлы. Одновременно произошло еще одно громкое событие: голландская компания допустила проникновение злоумышленников в свою сеть и не смогла предотвратить утечку 200 цифровых сертификатов.
Как известно фанатам Linux, существует два вида хакеров: хорошие парни – они разрабатывают бесплатное программное обеспечение, такое как ядро Linux, и плохие парни – взламывающие ПО компьютеров.
В начале этого месяца плохие парни отплатили хорошим своим нежелательным визитом. Они проникли на сайт Kernel.org, основной сайт, поддерживающий существование проекта Linux. Им удалось получить root-овый доступ к серверу, известный как Hera, и скомпрометировать «ряд серверов в инфраструктуре kernel.org». Сообщение о взломе появилось в среду на сайте kernel.org.
О возникшей проблеме администраторам сайта стало известно в воскресенье, а вскоре они обнаружили множество следов взлома на серверах. Некоторые файлы были изменены, в сценарий запуска сервера добавлена вредоносная программа, похищены некоторые пользовательские данные.
Владельцы Kernel.org связались с правоохранительными органами в США и Европе. Сейчас происходит переинсталляция инфраструктуры сайта и выяснение причин происшедшего.
Для взлома системы хакеры, вероятно, украли пользовательские учетные данные. Сейчас сайт делает замену паролей и ключей SSH (Secure Shell) для каждого из 448 участников проекта.
Kernel.org это место, где дистрибьюторы Linux загружают исходный код для широко используемого ядра операционной системы. В сообщении kernel.org говорится, что даже с root-овым доступом хакеру трудно будет незаметно внедрить вредоносный код в ядро Linux: механизм контроля изменений системы Linux создает криптографический хэш каждого файла в момент его опубликования. Поэтому, как только компонент ядра Linux был написан и опубликован в Kernel.org, «невозможно незаметно изменить старые версии», говорится в сообщении Kernel.org.Российский рынок облачных ИБ-сервисов только формируется
Такой метод компрометации – тревожный признак. В январе были взломаны серверы, используемые в рамках проекта Fedora (сообщество разработчиков версии Red Hat Enterprise Linux). Примерно в это же время был взломан сайт другого разработчика ПО с открытым исходным кодом – SourceForge.
Продолжая перечень подобных событий, нельзя не отметить еще одно, о котором сообщила голландская компания со ссылкой на конфиденциальный источник: в середине июля хакеры получили доступ в сеть компании DigiNotar (центр сертификации), где смогли заполучить более 200 цифровых сертификатов SSL, в том числе для сайтов Mozilla, Yahoo и проекта Tor.
Google сообщила во вторник, что фальшивый сертификат, выданный фирмой DigiNotar, был использован для слежения за людьми, находящимися в Иране, во время посещения Gmail. Поддельные учетные данные для «ряда доменов» были изготовлены вследствие взлома безопасности систем, отметила DigiNotar по факту инцидента. Мошеннический сертификат был получен 10 июля, но это выяснилось только в понедельник. Google не сообщила, как долго использовались эти сертификаты.
Джонатан Найтингейл (Johnathan Nightingale), директор по развитию Firefox компании Mozilla, отметил, что о выпуске мошеннических сертификатов для сайта addons.mozilla.org DigiNotar сообщила в июле, а также об их отмене через несколько дней. «При отсутствии полных сведений о неправильно выданных сертификатах от DigiNotar, команда Mozilla реагировала быстро и, чтобы защитить наших пользователей, удалила DigiNotar из корня учитываемых сертификатов», - подчеркнул Найтингейл.
По словам Ван де Лу (Van de Looy), главного консультанта компании Madison Gurkha, в настоящее время аналитики компании Fox-IT изучают серверы DigiNotar. Компания привлекла Fox-IT для проведения аудита своих систем и расследования июльского взлома.