A história toda gerou uma celeuma na comunidade com especulações a respeito do impacto que isso poderia ter na imagem do projeto frente aos usuários e sobre quão seguro realmente era o Fedora e, finalmente, depois de 9 meses de investigações, os relatórios da equipe encarregada de investigar o ocorrido vem esclarecer como o intruso invadiu o servidor, o que ele fez e o que pretendia com isso.
As investigações nos logs de acesso e usos do sudo mostraram que o invasor foi capaz de invadir o sistema após se apoderar de uma chave SSH privada pertencente a um dos administradores de infra estrutura do Projeto Fedora, como esta chave SSH não era protegida por password o intruso foi capaz de utilizá-la para ter acesso ao servidor e usando o comando sudo alterou a senha do usuário.
Com o acesso garantido ao servidor, o intruso tinha acesso ao software que continha as chaves para assinatura dos pacotes RPM gerados e distribuídos pelo Projeto Fedora, mas nada indica que ele acessou tal recurso em algum momento (embora pudesse tê-lo feito se quisesse); em vez disso, o intruso aproveitou os privilégios de acesso para gerar versões envenenadas do pacote openssh e rpm, instalando-as no servidor, isso permitiria a ele capturar as senhas de usuários que se conectassem para construir pacotes via SSH e as senhas usadas para assinar os pacotes RPM. Tendo acesso ao sistema de assinatura de pacotes e conseguindo a senha para usá-lo o invasor poderia assinar qualquer pacote que desejasse, distribuindo-o para os usuários do Fedora como se fossem pacotes originais.
Apenas 22 segundos depois de instalado o pacote rpm envenenado no servidor, um dos administradores percebe que o pacote rpm foi modificado sem nenhum motivo e começa a investigar o que teria causado isso. Dezoito minutos depois que o primeiro administrador percebe que algo de estranho está acontecendo uma equipe inteira de administradores está varrendo o sistema em busca de provas conclusivas sobre uma possível suspeita de invasão. O invasor havia feito um backup do sistema para apagar seus traços; os administradores utilizam uma snapshot do volume LVM para observar o que havia no sistema durante o tempo da possível invasão. Cinco horas, onze minutos e quatorze segundos depois do primeiro sinal de que algo estava errado, os administradores encontram um pacote RPM dentro da pasta /root/.ssh/ e isso confirma o que todos temiam: o sistema havia sido invadido. Quarenta e dois minutos depois o servidor é isolado da rede.
Pelo curto tempo em que teve controle do sistema, felizmente, nenhum pacote foi gerado e assinado pelo servidor invadido e isso indica muito fortemente que o atacante não conseguiu se apoderar da chave que lhe permitiria assinar pacotes.
Seguindo a praxe de segurança para quando um sistema é comprometido a equipe de infra estrutura do Projeto Fedora iniciou um processo de desmantelamento completo do sistema usado em nossos servidores. Cada uma das áreas, mesmo que remotamente afetadas, foram reconstruídas do zero e melhoradas com tecnologias de segurança mais poderosas. Todas as chaves e senhas, mesmo as dos usuários do FAS, são descartadas e substituídas por novas e em 3 semanas todos os serviços são normalizados.
Essa situação marcou profundamente o projeto e mostrou que toda preocupação com segurança nunca é infundada mas também mostrou que o projeto é forte, enérgico e habilidoso para atuar em momentos de crise.
em: LonelySpooky's
para maiores detalhes clique aqui!
Nenhum comentário:
Postar um comentário