Linux Kernel Sunucularına Saldırı Girişimi!

[Felâsife]

Ciddi bir haber olduğu için paylaşmak istedim.


Linux Kernel Sunucularına Saldırı Girişimi!
Bu ayın başında, kernel.org sunucularının bir kısmında alt yapı tutarsızlıkları tespit edildi. Olayın saldırı kaynaklı olduğu sanılmakla beraber araştırmalar hala devam ediyor.

Site yönetiminden yapılan açıklamada;
* Yönetimin söz konusu zaman dilimi içerisinde kaynak kodu depolarının bu tutarsızlıklardan etkilenmediğini düşündükleri,
* Şu an yönetim olarak, kaynak depolarının doğrulama çalışmalarının yapıldığı,
* Doğrulamadan sonra, sunucuların sahip olduğu güvenlik önlemlerinin sıkılaştırılacağı bildirildi.

Peki Ne Oldu?
# Hera sunucusuna, yetkisiz giriş yapıldı ve yönetici (root) hakları alındı. Bunun siteden birinin hesabının güvenlik açığından kaynaklandığı düşünülse de, giriş yapıldıktan sonra yönetici haklarının nasıl alındığı konusu hala bir muamma durumunda, araştırmalar ise devam ediyor.
# SSH'a ait (openssh, openssh-server ve openssh-clients) dosyalar değiştirildi ve çalışır duruma getirildi.
# Sistem başlangıcına trojan zararlısı girişi yapıldı.
# Kullanıcı etkileşimleri/ilişkileri ile beraber sistem açıklarını istismar edecek kodlar çalıştırıldı ve aktive edildi. (henüz ortaya çıkan gelişme)
#Trojanın varlığı, Xnest yüklü olmayan bilgisayarlarda; Xnest kaynaklı hata mesajlarının (Xnest /dev/mem tabanlı) belirmesi ile fark edildi. Şu an bu hata mesajı ile karşılaşan sistemlerin, etkilenip etkilenmedikleri hakkında kesin bir veri yok. Site yönetimi, bu mesajı alan geliştiricilerin araştırma yapmasını ve geri bildirimde bulunmalarını rica ediyor.
# -Öyle görünüyor ki-, "3.1-rc2" güncelleştirmesi yüklü sistemler, açığı yükleyen aracı yazılımı engelliyor. Bunun bir yan etki ya da hata yaması olup olmadığı bilinmiyor.

Neler Yapıldı?
# Sunucular ulaşıma kapatıldıktan sonra yönetim tarafından yedekleme yapıldı. Sonrasında ise yeniden yükleme işlemlerine ağırlık verildi.
# Yönetim tarafından, araştırmaya destek vermelerini rica etmek adına Amerika ve Avrupa yetkililerine bilgi verildi.
# Tüm sunucuların sıfırlanıp baştan kurulacağı bildirildi.
# Site yönetimi GIT'e girilen kodun analinizi üzerinde çalışmaya devam ediyor, şu ana kadar herhangi bir kaynak tabanlı "değiştirme" saptanmadı.

Linux Community ve kernel.org yönetimi tarafından özellikle altı çizilen nokta;
"kernel.org'un özgür bilişim için ne kadar önemli ve vazgeçilmez olduğunun farkında oldukları, kernel.org'un güvenliğinin hep çok önemsendiği ve önemseneceği, bu saldırının oluşumunun çözüleceği ve gelecek saldırıların önüne geçileceği" oldu.

Yine site yönetimi, bu saldırının "o kadar da tehlikeli" olmadığını söylüyor. Açıklamaları ise şu şekilde sürüyor;
"kernel.org'a yapılan söz konusu saldırı, yazılım deposu (hasarından) daha basit bir seviyede kalıyor. Çünkü GIT'te kullanılan sürüm kontrol sistemi(belirtmeliyiz ki Linus Torvalds tarafından geliştirildi), sunucular üzerindeki 40,000 dosyayı da kapsıyor ve her birine özel metodlarla hash değeri(kimlik) atıyor. Sizin bu dosyalardan birini değiştirmeniz ya imkansız, ya da inanılmaz derecede zararsız. Çünkü binlerce geliştiricinin sıkı takibi ve ilgisi ile, yapılacak olan izinsiz/zararlı herhangi bir değişiklik fark edilecektir ve önlemi alınacaktır. Düşünsenize, kaç geliştiricinin ve kullanıcının sisteminde söz konusu dosya kullanılıyorsa, her biri "gerçek" hash değerini biliyor, bu hash değerleri Dünya üzerinde sayısız sabit diskte ve diğer platformlarda kayıtlı."
Bilişim Platformu

[eribol]

Teşekkürler @Felasife, ben de bu haberin mealini bekliyordum
http://forum.ubuntu-tr.net/index.php?topic=29021.0

[Felâsife]

Teşekkürler @Felasife, ben de bu haberin mealini bekliyordum
http://forum.ubuntu-tr.net/index.php?topic=29021.0

Rica ederim.
Hımm.. English bölümündeymiş bende görmemişim orayı
Gerçi bizim arkadaşlarda anca çevirdiler, sağ olsunlar olayı az/çok mealen anladık.

[decent]

Saldırının ardından taşınma sürecinin başladığı belirtiliyor:

Linux Kernel Temporarily Moves to GitHub, After Kernel.org Hack

[eribol]

Bu konu iki ayrı başlıkta mı dile getirilmiş?

[if]

@eribol, aradım ama bulamadım. İngilizce bir konu var sadece:)

[eribol]

Buldum ben
http://forum.ubuntu-tr.net/index.php?topic=29096.msg349792

[BayboraKaan]

@eribol buldugun baslik yine bu konuya dönüyor

[if]

Konu başka bir yerde idi, taşımıştım. Belki o yüzden iki ayrı konu olduğunu hatırlıyorsun @eribol:)

[eribol]

@eribol buldugun baslik yine bu konuya dönüyor

Çaktırma
@if; cevap yazmıştım bu başlığa ama cevabımı göremeyince bakındım. Umarım bu doğru adrestir
http://forum.ubuntu-tr.net/index.php?topic=29100.msg349820

[if]

Cevaplar neden taşınmamış ki...Onları da taşıyalım. Hatta taşımama rağmen konu orada duruyor.

[eribol]

Tüm cevaplar bu başlıkta iken diğer başlık çöpe alınsa sorun olmaz diye düşünüyorum

[alquirel]

Saldırganlar buraya da el atmış galiba, kimin cevabı nerde, başlık nerde karışmış ortalık

[heartsmagic]

Henüz o kadarını yapamadılar @alquirel

[Felâsife]

Üsteki saldırı haberinin artçı şokları gelmeye başladı.
Linux Vakfı'ndan Güvenlik Açığı Uyarısı!

kernel.org, linux.com, inuxfoundation.org gibi sitelerde şu an kapalı ve görünen o ki bakım altındalar, ne zaman açılacakları da belli değil.

[eribol]

Merak etmeye başladım kim bu hacker, dağıtmış ortalığı. kernel.org kaç gündür cevap vermiyordu zaten.

[heartsmagic]

kernel.org'un işinin uzun olduğu zaten belliydi. Çekirdeğin yeni sürümlerini bir süreliğine github üzerinden dağıtma kararı almışlardı. Görünen o ki, meselenin boyutu bir hayli ciddi.

[alquirel]

Korkmaya başladım bak şimdi
Biraz önce çekirdek güncellemesi geldi 2.6.35-30 şeklinde.
Bi sorun çıkmaz değil mi

[heartsmagic]

Çekirdeği barındıran Git bölümüne herhangi bir müdahale tespit edilmediğini, oranın oldukça güvenli olduğunu son paragraflarda açıklamışlar aslında.

[ersinkandemir]

Linux Foundation da aynı şekilde. Neler oluyor? 

[heartsmagic]

Ortak sunuculardır muhtemelen.

[ersinkandemir]

Eğer dediğiniz gibiyse, böyle sitelerin ayrı sunucularda barındırılması daha doğru olurdu bence.

ersin@kandemir:~/Downloads$ ping linuxfoundation.org
PING linuxfoundation.org (140.211.169.32) 56(84) bytes of data.
ersin@kandemir:~/Downloads$ ping kernel.org
PING kernel.org (140.211.169.30) 56(84) bytes of data.

Dediğiniz gibi, aynı sunucularda sanırım.

[heartsmagic]

Diğer sitelerin çok bir ehemiyeti yok aslında, fakat sorun çekirdeğin barındırıldığı sunucuda. Zira diğer sitelerden bir şey aldığımız yok bizim, fakat çekirdek malum. Gerçi o yönde içiniz rahat olsun tarzında açıklamalar geliyor, fakat insanız nitekim, içimize kurt düşüyor yine de. Teknoloji böyle bir şey işte, bir güvenlik açığı, belki bir kullanıcı tedbirsizliği nelere mal oluyor.

[KemalALKIN]

Şimdi öğrendim hackmiş :S. Korkmaya başladım. 28 Ağustos tarihinden beri aynı durumda. Durum vahim demekki.
Linux kullanmamak veya eski kernel kullanmak mantıklı galiba şu an için. Bence kapalı kaynak sistemlerin adamları.
Apple diyeceğim ama saf duruyorlar çünki onlarda açık kaynak BSD çekirdeği üzerine sistem oluşturuyor.
Geriye Microsoft kalıyor 20. yıldaki videolarıda içime kurt düşürmüştü.

[MURATSPLAT]

Eğer dediğiniz gibiyse, böyle sitelerin ayrı sunucularda barındırılması daha doğru olurdu bence.

ersin@kandemir:~/Downloads$ ping linuxfoundation.org
PING linuxfoundation.org (140.211.169.32) 56(84) bytes of data.
ersin@kandemir:~/Downloads$ ping kernel.org
PING kernel.org (140.211.169.30) 56(84) bytes of data.

Dediğiniz gibi, aynı sunucularda sanırım.

Bu sonuç aynı sunucuların kullanıldığı anlamına gelmez. Bir ip ile yüzlerce site servis edilebilir.


Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 24 Eylül 2011 - 20:02:06

Şimdi öğrendim hackmiş :S. Korkmaya başladım. 28 Ağustos tarihinden beri aynı durumda. Durum vahim demekki.
Linux kullanmamak veya eski kernel kullanmak mantıklı galiba şu an için. Bence kapalı kaynak sistemlerin adamları.
Apple diyeceğim ama saf duruyorlar çünki onlarda açık kaynak BSD çekirdeği üzerine sistem oluşturuyor.
Geriye Microsoft kalıyor 20. yıldaki videolarıda içime kurt düşürmüştü.

Giriş yapılmış. Ama çekirdek kodlarına bir müdahale olduğu şu ana kadar tespit edilmemiş.