Che non fosse un periodo particolarmente fortunato per il kernel Linux lo si era capito. In Agosto un numero imprecisato di server utilizzati per la manutenzione e la distribuzione del codice sorgente sono stati attaccati sfruttando la compromissione delle credenziali di accesso di alcuni sviluppatori, aspetto questo, ancora oggetto di indagini.
Dalle analisi fatte l’infezione risulta non precedente al 12 Agosto e ci sono voluti 17 giorni per rilevare le anomalie prodotte. Il primo server ad essere attaccato è stato Hera, che ha consentito agli intrusi di recuperare e modificare le chiavi per accedere ad altri server. Lo strumento che avrebbe reso possibile questo attacco è Phalanx2, un evoluzione del rootkit Phalanx ossia un kernel rootkit autoinstallante progettato per la famiglia 2.6 che non utilizza il device /dev/kmem (ora disabilitato). Phalanx consente di nascondere file, processi e socket; includendo anche uno sniffer ed uno script di avvio. Per fortuna Phalanx2 è abbastanza facile da riconoscere tramite comportamenti anomali del comando “ls” usato nella visualizzazione della directory “/etc/khubd.p2/”.
Il pericolo di manomissione del codice sorgente del kernel era reale, fortunatamente però, l’utilizzo di un sistema di versioni concorrenti come git, ha consentito di verificare che i circa 40000 file sorgente non erano stati compromessi e ciò perchè per ogni file viene calcolato un codice SHA-1 impedendo così una scrittura “fantasma”. Gli amministratori hanno messo offline le macchine interessate e reinstallato i sistemi, certo è che 17 giorni per accorgersi che qualcosa non va, considerato l’alto profilo dell’obiettivo e la tipologia di rootkit, sono un po’ troppi.
Via | LinuxForDevices
Kernel.org attaccato, il codice sorgente è salvo é stato pubblicato su Ossblog.it alle 14:30 di venerdì 02 settembre 2011.