Linux Mint' in Sitesi Heklendi

[fsutil]

Not: Konu hakkındaki ayrıntılı açıklama için: https://forum.linuxmint.net.tr/index.php?topic=5472.0
@heartsmagic


Hekırlar modifiye edilmiş arkakapıya sahip Linux Mint ISO'sunu , hekledikleri Linux Mint sitesine koymuş. 20 şubat tarihinde Linux Mint ISO'sunu indirmiş kişilerin elinde arkakapı bulunan bir sistem olma olsasılığı yüksek. Linux Mint ekipleri sadece tek sürüme yapıldığını, bunun da Linux Mint 17.3 Cinnamon sürümü olduğu söylemekte.

Şuan www.linuxmint.com ' e erişim sağlanamamakta.

Kaynak : http://blog.linuxmint.com/?p=2994#

Kaynak 2 : http://thehackernews.com/2016/02/linux-mint-hack.html

[seron]

İşleri kolaylaştırmak adına alıntı vereyim:

What to do if you are affected?

Delete the ISO. If you burnt it to DVD, trash the disc. If you burnt it to USB, format the stick.

If you installed this ISO on a computer:

    Put the computer offline.
    Backup your personal data, if any.
    Reinstall the OS or format the partition.
    Change your passwords for sensitive websites (for your email in particular).

Is everything back to normal now?

Not yet. We took the server down while we're fixing the issue.

"Şimdi ne yapacağız?

İlgili ISO hala sisteminizdeyse iso'yu silin. DVDye yazılı ise diski çöpe atın. Flaşa kurduysanız, flaşı biçimlendirin.
Eğer bilgisayarınıza kurduysanız;

İnternet bağlantınızı kesin
Eğer varsa, verilerinizi yedekleyin
Yeni kurulum yapın, ya da partisyonu biçimlendirin.
Bu sistem kurulu iken giriş yaptığınız sitelerdeki şifrenizi neyinizi değiştirin.

Herşey normale dönecek mi?

Henüz değil. Sunucumuzdaki indirilebilir herşeye bakıp doğrulayacağız..." diyorlar.

[if]

21 Şubat gecesinde saat yaklaşık 04:00 sularında Linux Mint Blog'una "20 Şubat günü Linux Mint indirdiyseniz heklenmiş ISO'lara dikkat edin!" başlığıyla bir haber düşmüş[1]. Habere göre "kısa süreli olan" ve "çok bir kimseyi etkilemeyecek" sızma ile, Linux Mint sitesindeki Linux Mint 17.3 Cinnamon sürümünün ISO'ları arkakapı barındıran ISO'lara yönlendirilmiş. Arkakapılı ISO'ların /var/lib/man.cy adlı dosyayı barındırdığı tespit edilmiş. Yine indirilen ISO'ların arkakapı barındırıp barındırmadığının tespiti için karşılaştırılma yapılması adına "doğru" MD5 değerleri sunulmuş. Arkakapılı ISO indirip kuran kullanıcıların internet bağlantılarını koparıp yeniden kurulum yapmaları ya da işletim sistemlerinin kurulu olduğu bölümü silmeleri ve güvenliğin öncelikli olduğu siteler için şifrelerini değiştirmeleri önerilmiş. Haberi geçen şahıs - Clement - sızmayı gerçekleştirenlerin bu işi ne amaçla yaptıklarına dair bir fikirlerinin olmadığını fakat saldırının/sızmanın tekrarı durumunda yetkili mercilere başvuracaklarını not olarak geçmiş.

Clement, bir kullanıcının sızmanın Wordpress kullanımıyla alâkası olup olmadığını sorduğu soruya "Evet, sızma Wordpress üzerinden gerçekleştirildi. Ardından www-data kullanıcısı için kabuk(shell) çalıştırma hakkı kazandılar."[2] diye cevap vermiş. Sorun tespit edilip arkakapı barındıran ISO'ya olan bağlantılar kaldırıldıktan sonra sorunlar ortadan kalktı diye düşünülürken yaklaşık 1 saat sonra gelen bir kullanıcı yorumu[3] bütün bağlantıların arkakapı barındıran ISO'lara yönlendirildiğini açığa çıkarmış.

Fakat sorunlar bununla sınırlı değil. Blogdaki haberden bir kaç saat sonra Linux Mint forum veritabanının, linuxmint.com'a erişim için kullanılan betiğin[5] ve e-posta hesaplarının[6] DarkWeb'te bulunan TheRealDeal adlı sitede satışa sunulduğu bir güvenlik firması çalışanı Yonathan Klijnsma tarafından duyrulmuş[7]. Durumun vehametini göstermek adına Hacker News sitesinde foruma ait ayar dosyasının içeriği geçilmiş[8]. İçeriği geçen "ryanlol" adllı şahıs, aynı zamanda ISO'ya yerleştirilen arka kapının zikredildiği gibi "tsunami" değil, 14 senden fazladır bilinen açık kaynak "kaiten"[9] olduğunu ifade etmekte[10]. "ryanlol" aynı iletisinde, saldırganların botu IRC DDoS botu olarak değil, kabuk komutları çalıştırmak için kullanmış olabileceklerini ifade etmekte.

Herkesin başına gelebilecek gibi görünen bu olay dikkatli incelendiğinde ciddi sorunlara işaret etmekte.

1- Linux Mint sitesi HTTPS protokolünü kullanmamakta. HTTPS protokolünün kullanılması bu saldırıyı durdurmazdı fakat bu protokolün kullanılması güvenlik tedbirleri arasında evden çıkarken kapının kitlenmesi kadar asgarî bir önlemdir.

2- Forum veritabanı için kullanılan şifreye (upMint) baktığımızda asgarî güvenlik önlemlerinin dahi kullanılmadığını tekrardan teyit edebiliriz.

Kod Seç Genişlet


  forums.linuxmint.com pwd
  /root/hacked_distros/mint/var/www/forums.linuxmint.com
    forums.linuxmint.com cat config.php
  <?php
  // phpBB 3.0.x auto-generated configuration file
  // Do not change anything in this file!
  $dbms = 'mysql';
  $dbhost = 'localhost';
  $dbport = '';
  $dbname = 'lms14';
  $dbuser = 'lms14';
  $dbpasswd = 'upMint';


3- İndirilen ISO'ların arkakapı barındırıp barındırmadığının tespiti için karşılaştırılma yapılması adına MD5 doğrulaması yapılmasının yanlış olduğu burada[11] güzelce anlatılmakta. HTTPS kullanılmayan ve sızılmış bir sunucu üzerinde koşan bir sitede MD5 değerlerini vermenin bir anlamı yok. Ayrıca veilen MD5 değerleri GPG ile imzalanmamış. Zaten bu MD5 değerlerinin sızmayı gerçekleştiren şahıs tarafından değiştirildiği öğreniliyor.

4- Sonradan PGP ile imzalanmış ISO'lar FTP üzerinden sunulmasına rağmen imza için artık yeterince güvenli olmayan[12] 1024-bit'lik DSA OpenPGP anahtarı kullanılmış.

5- Siteye sızıldığı öğrenilir öğrenilmez tüm yapı (site, forum, ftp vs.) derhal kapatılmalı, sızmanın nasıl gerçekleştiği detaylıca incelenmeli, tüm tedbirler alındıktan sonra tamamen yeniden kurulmuş bir yapıyla kullanıcılar karşılanmalıydı. Bunun yerine sitedeki bağlantının düzeltilmesiyle yetinip ancak forum veritabanının elde edildiğinin ve düzeltilen bağlantıların yeniden değiştirildiğinin öğrenilmesinin ardından yapı kapatılmış. 

6- Linux Mint ekibi kullanıcılarını güvenlik açıklarına dair bilgilendirmemekte. Bununla da kalmayıp X.org ve çekirdek gibi sistemin önemli bileşenleri için güvenlik açıklarını öntanımlı olarak "sistem kararlılığını bozabilir" gerekçesiyle engellemekte.

Olay başka vahim hataların da konuşulmasına sebep olmuş. Pieter Vlasblom, 16 Ocak 2016 tarihinde Twitter hesabından paylaştığı iletisinde[13] Linux Mint forum veritabanının bir çok forumda satışa sunulduğunu bildirmekte. Başka bir iletisinde ise 21 Şubat günü Linux Mint sitesinde geçilen duyuruya işaret ederek Linux Mint ekibinin olayı farketmesinin bir ay sürdüğünü yazmakta[14]. Bu Linux Mint sitesinin 20 Şubat 2016 günü değil daha öncesinden heklendiğini göstermekte. 20 Şubat günü gerçekleştirilen sızmayı yapan hackerla yapılan söyleşiden 16 Ocak'taki olayın farklı biri tarafından yapıldığı anlaşılmakta.

Son olarak, sızmayı gerçekleştiren hackerla bir söyleşi yayımlanmış[15]. Hacker, Linux Mint yüklü bir kaç yüz sistemin kontrolü altında olduğunu söylüyor.

Toparlarsam - vakit epey olmuş, kısa keseyim- , Linux Mint ekibinin güvenliğe yaklaşımı ve olayı yönetimi yerlerde sürünüyor. Hobi olarak bir dağıtım çıkarmak isteyebilirler fakat bu hobileri insanları güvenlik açıkları karşısında cıplak bırakıyorsa, o işi yapmamalılar.

Önerim, bilgisayarınızda Linux Mint kurulu ise derhal silin. Böyle bir sistem üzerindeki bütün şifre ve önemli bilgilerinizi sıfırlayın. Linux Mint ekibi güvenilir bir dağıtım ortaya koyana kadar da yönünüzü dönüp Linux Mint'e bakmayın.

İletimde, bağlantılarda yanlış okuduğum veya verdiğim bir şey varsa kusura bakmayın. Vakit olunca iletiyi elden geçireceğim.

[1] http://blog.linuxmint.com/?p=2994
[2] http://blog.linuxmint.com/?p=2994#comment-124882
[3] http://blog.linuxmint.com/?p=2994#comment-124881
[4] http://i1-news.softpedia-static.com/images/news2/linux-mint-website-hack-a-timeline-of-events-500719-4.png
[5] Kaynakta "Linuxmint.com shell" olarak geçmekte. Ben de anladığım şekilde ifade ediyorum.
[6] Kaynakta "php mailer" olarak geçmekte.
[7] https://twitter.com/ydklijnsma/status/701331196769394688?lang=tr
[8] https://news.ycombinator.com/item?id=11143162
[9] https://packetstormsecurity.com/files/25575/kaiten.c.html
[10] https://news.ycombinator.com/item?id=11145825
[11] https://micahflee.com/2016/02/backdoored-linux-mint-and-the-perils-of-checksums/
[12] http://www.symantec.com/page.jsp?id=1024-bit-migration-faq
[13] https://twitter.com/ChunkrGames/status/688346150622081024
[14] https://twitter.com/ChunkrGames/status/701441406787784704
[15] http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/

[seron]

Bilgilendirmeniz için teşekkür ederim.

Anlatılanların geneline bakınca, aslen tüm deb-linux dağıtımları tehlikede değil mi?

[if]

Rica ederim @seron. Hayır, bu kapsamda tehlikede değil. Neden tehlikede olduğunu düşünüyorsunuz?

[seron]

Rica ederim @seron. Hayır, bu kapsamda tehlikede değil. Neden tehlikede olduğunu düşünüyorsunuz?

Kusura bakmayın ben pek bilgili değilim. Şöyle düşündüm: Birileri bir linux sitesine giriyor, iso değiştiriyor ama kimsenin haberi olmuyor. Kişilerin e-mailleri derin web'de kolayca satışa çıkarılıyor; hatta site çok önceden satışa çıkıyor ama "linux" ile uğraşan bu kişilerin olaydan çok geç haberi oluyor.

Ubuntu için çalışanlar da insan. Onlar da bu ya da benzer hataya düşemezler miydi?

Bir de ben 17.2 kullanıyorum mesela. İSO'yu indirdiğim tarihi pek hatırlamıyorum ama rahat iki ay oldu. Ben de biraz bakındım, sadece 17.3 deniyor. İçim nasıl rahat edebilir? Benim için ubuntu'ya geçmek sorun değil ama, alıştım bir defa...

[if]

Kimse heklenmez, kimsenin sitesine sızılmaz demiyorum. Linux Mint ekibinin güvenliğe yaklaşımı ve olayı yönetimi önemli olan. Sana güvenerek kurduğum işletim sistemini korumak adına en basit tedbirleri dahî uygulamazsan, sana gösterilen sıkıntıları önemsemzsen, bu gibi durumlarda uygulanması gereken kriz yönetimini ortaya koymayıp beni tekrar tehlikeye atarsan seninle ne işim olur ki daha. Ayrıca, burada hata yok. Vurdumduymazlık, umursamazlık ve sorumsuzluk var.

Benim içim rahat etmeyeceği için derhal silerdim. Şu an kullandığım sistemde arkakapı olmasa dahi dağıtımın geliştiricilerinin beni tekrar tehlikeye atmayacaklarına dair güvenim kalmadığı için yine silerdim. Bu benim görüşüm. Windows kullananları da anlayışla karşılıyorum.

[Reverser]

@if'in yazdıklarına aynen katılıyorum.
Az önce sistemimden Mint'i kaldırdım boş vaktimde Arch kurulumu yapıp yoluma devam edeceğim.

[D@bbe]

bu olaydan TR etkilenmemiştir heralde... bende sorun yok çünkü indirsem bile yazacak medya yok... kurması zahmetli geldi... 

[plazma]

Siz ozaman durumu çok yanlış anlamışsınız, if in en sondaki önerisini dikkate alın, işletim sistemini değiştirin tüm parolalarınızı değiştirin.

[meda]

Belki yanlış bir tutum olacak ama vakti zamanında Ubuntu'yu, Amazon benzeri yerlere bilgi aktarımı yaptığı gibi gerekçelerle tu kaka kaka olarak gösterenlerden ne haber ? Hele ki Mint ekibi gibi senelerin tecrübesine sahip kişiler buna sebep olmuş. Benzer durum Manjaro dağıtımında da vardı. Asıl merak ettiğim şimdi Mint ekibi kime nasıl kendini tanıtacak kendi evini savunamayan adama adam derler mi  Kızım olsa bunlara vermem oğlum olsa evlendirmem.  17.2'de galiba kalıpta sorun vardı. LTS tabanı sanırım Mint ekibini uyuşuklaştırdı.  Ey Mint silkelen ve derhal kendine gel 

[Zebercet]

Bu olay sebebiyle 1 yıllık Mint macerama Ubuntu'ya geri dönerek son verdim.

Özlemişim reisi

[ShangriLa]

Bu olay aslında wordpress ve PHP'nin ne kadar güvensiz olduğunu bir kez daha gözler önüne seriyor *.

[D@bbe]

Kod Seç Genişlet

ls /var/lib | grep man.cy
bu komut sonucu dosya çıkan oldu mu? 

[plazma]

Veritabanı şifresinin basit kullanılması tamamiyle kullanıcı hatasıdır neden 8+ karakter ve alfanümerik olmayan karakter seçilmemiş ? Bence durumu php yada wp mâl etmek yanlıştır.

[ahmet_matematikci]

Unix kullanan biri php kullanmayacaksa başka ne kullanabilir ki?
En büyük açık kullanıcı kaynaklıdır. Mint de kullanıcı kaynaklı hacklendi.

[freeman]

Unix kullanan biri php kullanmayacaksa başka ne kullanabilir ki?

Ruby, python, java, nodejs

[ahmet_matematikci]

Unix kullanan biri php kullanmayacaksa başka ne kullanabilir ki?

Ruby, python, java, nodejs

Java çok hantal. pyhton ve nodejs ile de malesef php de yaptıklarını yapamazsın. Ruby bilmiyorum ama hiç web programlamada kullanıldığını duymadım.

[seron]

Bu bilgiler ışığında sanırım Ubuntu'ya geçeceğim.

Çok üzgünüm...

Daha dün, güvenlik konusunda güven verici şeyler konuştuk. Şimdi "Güvensiz olduğu için" dağıtım değiştirmek zorunda kalıyoruz. Ne iş?

Haydaaaa!...

Neyse ki Ubuntu'yu da seviyorum...

[naklov]

Bu olay aslında wordpress ve PHP'nin ne kadar güvensiz olduğunu bir kez daha gözler önüne seriyor *.

Wordpress bir frameworktür ve ona yazılan pluginlerde açık olabilir ona  bir şey diyemiyorum ama PHP'nin güvensiz olduğunu zannetmiyorum. Kullanıcı bazlı yapılan hataların bir programlama diline maal edilmesi altı boş bir eleştiri.

[barış]

Alıntı yapılan: SkynetX - Bugün, 13:25:57Alıntı yapılan: ahmet_matematikciUnix kullanan biri php kullanmayacaksa başka ne kullanabilir ki?Ruby, python, java, nodejsJava çok hantal. pyhton ve nodejs ile de malesef php de yaptıklarını yapamazsın. Ruby bilmiyorum ama hiç web programlamada kullanıldığını duymadım.

Şimdi konu başka yere gidecek ancak Java ÇOK hantal mı dediniz yoksa ben mi yanlış okumaya devam ediyorum? Java, C++ kadar hızlıdır. PHP'de bu hızı yakalamak için HHVM desteğini arkanıza almanız gerekir ki onu yapsanız bile tam olarak yakalayamazsınız. Hello World'ün sayfada açılma sürecine bakılıp bir dilin performansı hakkında karar verilemez
Tam tersi olmalıydı, Python ile yapılan her şey PHP'de yapılamaz. Masaüstü program Python'da yazılır, PHP'de yazmak için çok kıvranırsınız. Python ile web programlama da yapılır Django, Flask, Pyramid gibi büyük çatılar var.
Ruby on Rails diye bir şey duymadınız sanırım, iyice araştırın (istatistiki verilere göre dünyanın en çok kazandıran programlama platformu).

Ayrıca derlenebilir ve yorumlanabilir diller arasındaki farkı bilmeniz gerekiyor Java hantal demeden önce

Ayrıca GitHub'a güç veren bir platform Rails'dır.

Ebay, Amazon ve Alibaba Java kullanıyor
Google Blogger'ı Java kullanıyor, Gmail de öyle. Ayrıca Python da Google'da sıkça kullanılan bir dil. PHP'yi hiç görmedim.
Twitter, Ruby on Rails ile yazıldı ve sonrasında Scala'ya geçildi. Tabi o zamanlar JRuby yoktu, belki şimdi olsa geçmezlerdi.
Bankalar servis kısımların çoğunlukla Java kullanır.
Ayrıca Facebook tarafından geliştirilen ve şu anda Apache'de bulunan ve NoSQL dünyasının en güçlü veritabanlarından biri olan Cassandra da Java ile yazılmıştır.

Tiobe indexine de bakacak olursanız, Java'nın birinci olduğunu görürsünüz kullanım alanlarında

PHP kullanan Facebook (o da kesmeyince HHVM'e falan yöneldiler. Şimdi o da yetmiyor, servisleri C++'a çekmişler)
Yahoo kullanıyor
Tumblr kullanıyor

[freeman]

Alıntı yapılan: SkynetX - Bugün, 13:25:57Alıntı yapılan: ahmet_matematikciUnix kullanan biri php kullanmayacaksa başka ne kullanabilir ki?Ruby, python, java, nodejsJava çok hantal. pyhton ve nodejs ile de malesef php de yaptıklarını yapamazsın. Ruby bilmiyorum ama hiç web programlamada kullanıldığını duymadım.

Nodejs yi tam bilmiyorum da Python/Ruby ve ilgili frameworkler ilgili PHP nin yaptığı herşeyi çok daha kolay ve eğlenceli yoldan yapabilirsin. Php nin sintaksından nefret ediyorum şahsen. Python kadar temiz değil.

Java 'nın sunucuda yavaş olduğunu ilk sizden duydum.  Grafiksel uygulamalarda falan baya baya yavaşta sunucu tarafında böyle birşey yok. 

[turuncu]

Mint ekibinin güvenlik adına yap(ma)dıkları şeyler can sıkıcı. Umarım popüleriteleri tamamen biter.

[heartsmagic]

Arkadaşlar mesele dil kavgasına dönmesin lütfen Ayrıca, Wordpress olmasın Xpress olsun, kul yapısı olduktan sonra onda da açık çıkma ihtimali mevcut, hele hele bu kadar yaygın kullanılıyorken. Hakeza PHP değil de Python olsun kullanılan dil, ne fark edecek doğru kullanılmadıktan sonra? Mesele kullanılan ortamın mümkün mertebe sıkılaştırılması, güncellemelerin kaçırılmaması, güvenlik bildirimlerinin takip edilmesi.

@seron, mesele dağıtımın güvensiz oluşu değil o dağıtımın sitesinin biraz gevşek bırakılması.

Açıkçası ben üzülüyorum böyle durumlarda, hani yılların emeği bir anda kredisini yitirdi. Oysa ki Mint'in yaptığı güzel işler mevcuttu, umarım toparlarlar kısa bir süre içinde. Tabi gevşekliğe sebep olan şey her neyse ona göre bir değerlendirme yapmaları gerekiyor ekip olarak.

Bir de, böyle meseleler karşıdan çok kolay görünüyor, ancak işin başına geçince ne denli sıkıntılar yaşanabildiğini görür insan. Tabi bu bir mazeret değil, tedbirli olmamanın bir mazereti yok ne yazık ki.

[seron]

Heartsmagic, ben konuyu başlıktan ayrılmamaya çalışarak şöyle özetleyeyim:

LinuxMint Kullanmak, bu başlıkta anlatılanlara bakıldığında güvenli değil(miş).

Değiştirmem gereken parolalar var, bunlar benim için ciddi sıkıntı. Zira yeni-karmaşık parolalar üretecek kullanıcı; ve bunları unutmayacak. Bir de eğer kullanıcının parolalarını kullanarak girdiği yer veya her ne ise oralarda keylogger var mı acaba? Şimdi parola yenilemek sorunu çözecek mi? o da var...

İkincisi benim Linux-Mint kurulu iki bilgisayarım var. Şimdi laptobuma, ağır bir sürüm veya alışık olmadığım bir sürüm kurmak ve ona alışmak istemiyorum. Muhtemelen diğer kullanıcıların da benzer sıkıntıları olacaktır. Ubuntu'yu seviyorum ama internete girmek için kullandığım notebook ile çalışırken render yapamayacağım; şu sistemle bile zor kaldırıyor.   

Daha da ağırıma giden bir şey var; bu biraz konudışı: İnternet kafeden bağlanıyorum ve buradaki şahsa "güvenli ve yeterli bir sistem kullandığım için" hava atıyordum Şimdi iki bilgisayar birden kurulum yapılacak burada. "Neden?" diye sorarsa... Anla artık Mint benim için bitmiştir! Güvenliğimi riske atması bir kenara, beni rezil etmiştir. Eğer benzer bir sorun, bu tarafta da olursa, bir kez daha kapalıkaynak sisteme geçmek durumunda kalacağım...