1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
|
<define-tag pagetitle>Undersøgelsesrapport fra Debian efter serverindbrud</define-tag>
<define-tag release_date>2003-12-02</define-tag>
#use wml::debian::news
#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2"
<p>Debians hold af administratorer og sikkerhedseksperter har endelig kunnet
konstatere hvordan indbruddene i fire projektmaskiner er foregået. Den skyldige
er dog endnu ikke blevet afsløret.</p>
<h3>Pakkearkivet blev ikke ændret af den ubudne gæst</h3>
<p>Debians hold af administratorer og sikkerhedsteamet har meget tidligt i
forløbet og genetableringsprocessen kontrolleret arkiverne (security, us,
non-us). Derfor var det muligt at genåbne sikkerhedsarkivet igen og bekræfte
at opdateringen til den stabile udgave (3.0r2) ikke var påvirket.</p>
<p>Hvis projektet havde forventet at blive ramt af indbrud samtidig med at en
stabil opdatering blev overført, ville de involverede personer have udsat det.
Men da de opdaterede pakker allerede var overført til den stabile udgaves arkiv
og spejlserverne, da indbruddene blev opdaget, var det ikke længere muligt at
tilbageholde opdateringerne.</p>
<p>Flere metoder baseret på forskellige kontroldata var i anvendelse for at
kontrollere pakkerne og sikre at angriberen ikke havde ændret på arkivet:</p>
<ul>
<li>eksternt opbevarede lister over MD5-summer opsamlet i de forgangne uger på
maskiner der ikke var brudt ind i
<li>digitalt signerede .changes-filer fra eksterne debian-devel-changes-arkiver
på maskiner der ikke var brudt ind i
<li>digitalt signerede .changes-filer på de respektive arkivservere
<li>eksternt opbevarede spejllogfiler
</ul>
<h3>Tidsforløb</h3>
<p>Nedenfor er tidsforløbet fra opdagelsen til genetableringen af maskinerne
der var brudt ind i. Alle tidsangivelser er i UTC. Nogle tidsangivelser er
kun estimerede, da vores kommunikation ikke indeholdt præcise tidspunkter.</p>
<ul class="discless">
<li>28. sep 01:33 Linus Torvalds udgiver 2.6.0-test6 hvor do_brk() er rettet
<li>02. okt 05:18 Marcelo Tosatti laver et grænsecheck i do_brk()
<li>19. nov 17:00 Angriber logger ind på klecker med en opsnuset adgangskode
<li>19. nov 17:08 Root-kit installeres på klecker
<li>19. nov 17:20 Attacker logger ind på master med en opsnuset adgangskode
<li>19. nov 17:47 Root-kit installeres på master
<li>19. nov 18:30 Attacker logger ind på murphy med servicekonto fra master
<li>19. nov 18:35 Root-kit installeres på murphy
<li>19. nov 19:25 Oops'er begynder på murphy
<li>20. nov 05:38 Oops'er begynder på master
<li>20. nov 20:00 Oops'er opdages på master og murphy
<li>20. nov 20:54 Root-kit installeres på gluck
<li>20. nov 22:00 Bekræftelse af at der har været indbrud på debian.org
<li>21. nov 00:00 Deaktivering af alle konti
<li>21. nov 00:34 Nedlukning af security.debian.org
<li>21. nov 04:00 Nedlukning af gluck (www, cvs, people, ddtp)
<li>21. nov 08:30 www.debian.org peges til www.de.debian.org
<li>21. nov 10:45 Offentlig annoncering
<li>21. nov 16:47 Udvikleroplysninger opdateres
<li>21. nov 17:10 Nedlukning af murphy (lists) og master
<li>22. nov 02:41 security.debian.org startes igen
<li>25. nov 07:40 lists.debian.org startes igen
<li>28. nov 22:39 Linux 2.4.23 udgives
</ul>
<h3>Opdagelse</h3>
<p>Torsdag den 20. november Om aftenen (GMT) bemærkede holdet af
administratorer flere kerne-oops'er på master. Da systemet havde kørt uden
problemer i lang tid, var man parate til at gennemgå systemet var eventuelle
hardwareproblemer. Men på samme tid optrådte nøjagtigt de samme problemer på
en anden maskine, murphy, hvilket gjorde administratorerne mistænksomme.</p>
<p>Desuden er der på klecker, murphy og gluck installeret "Advanced Intrusion
Detection Environment" (pakken <a href="https://packages.debian.org/aide">aide</a>)
for at overvåge ændringer af filsystemet og på omkring denne tid begyndte
programmet at advare om at <code>/sbin/init</code> var blevet udskiftet og at
værdierne for mtime og ctime til <code>/usr/lib/locale/en_US</code> var
ændret.</p>
<p>Yderligere undersøgelser afslørende at årsagen til begge problemer var
SucKIT root-kit (1.3b). Programmet indeholder adgangskodeopsnusning og
mulighed for at undgå opdagelse (eksempelvis værktøjer til at skjule processer
og filer) som installeres direkte i kernen, hvilket medførte at oops'erne blev
opdaget.</p>
<h3>Udførlig analyse af angrebet</h3>
<p>Onsdag den 19. november omkring kl. 17 GMT, blev en opsnuset adgangskode
anvendt til at logge ind i en upriviligeret udviklerkonto på værtsmaskinen
klecker (.debian.org). Angriberen hentede dernæst kildekoden via HTTP til en
(på det tidspunkt) ukendt lokal kerneudnyttelse og opnåede root-rettigheder
via denne udnyttelse. Derefter blev SucKIT root-kit installeret.</p>
<p>De samme konto- og adgangskodeoplysninger blev dernæst anvendt til at logge
på maskinen master, for at opnå root-rettigheder med den samme udnyttelse og
også installere SucKIT root-kit.</p>
<p>Angriberen prøvede dernæst at få adgang til værtsmaskinen murphy med den
samme konto. Dette mislykkedes fordi der er begrænset adgang til murphy og
dens eneste opgave består i at fungere som postlisteserver, hvorfor kun et
fåtal af udviklerne har mulighed for at logge på maskinen. Da det første
logon-forsøg ikke lykkedes, anvendte vedkommende sin root-adgang på master til
at få adgang til en administrativ konto som anvendes til backup-formål, og fik
adgang alligevel adgang til murphy. SucKIT root-kit blev også installeret på
denne værtsmaskine.</p>
<p>Næste dag anvendte angriberen på master et program til opsnusning af
adgangskoder, til at logge på gluck, få root-adgang og også installere SucKIT
root-kit.</p>
<p>En teknisk undersøgelse afslørede præcise datoer og tidspunkter for hvornår
programmet <code>/sbin/init</code> blev overskrevet og rootkittet installeret.
Analytikerne opdagede også den udførbare fil der blev anvendt til at få
root-adgang på maskinerne, som var beskyttet og forvansket med Burneye. Ved
udpakning og disassemblering af udnyttelsen, opdagede sikkerhedseksperterne
hvilket kernefejl, der havde været anvendt.</p>
<p>Et heltalsoverløb i brk-systemkaldet blev udnyttet til at overskrive
kernehukommelse (ændre sidebeskyttelsesbit'er). Ved at gøre dette fik
angriberen fuld kontrol over kernehukommelsen og kunne ændre alle værdier i
hukommelsen.</p>
<p>Selvom denne kernekode blev forbedret i september af Andrew Morton og
kopieret ind i en nylig før-udgivelseskerne i oktober, blev
sikkerhedskonsekvenserne af forbedringen ikke taget i betragtning. Derfor blev
der ikke udsendt nye sikkerhedsbulletiner af nogen producent. Men efter det
blev opdaget at den blev anvendt som en lokal root-udnyttelse, har projektet
Common Vulnerabilities and Exposures tildelt CAN-2003-0961 til problemet. Det
er rettet i Linux 2.4.23 som blev udgivet sidste weekend og i Debians
sikkerhedsbulletin <a href="$(HOME)/security/2003/dsa-403">DSA 403</a>.</p>
<p>Linux 2.2.x er ikke sårbar overfor denne udnyttelse fordi der først
foretages grænsecheck. Sparc og PA-RISC menes heller ikke at være sårbare, da
bruger- og kerneadresser opbevares i et andet adresserum på disse
arkitekturer.</p>
<p>Hav venligst forståelse for at vi ikke kan give alle og enhver vi ikke
kender, adgang til den anvendte udnyttelse. Bed os ikke om det.</p>
<h3>Genetablering</h3>
<p>Efter maskinerne blev lukket ned, tog vi aftryk af harddiskene og gemte dem
på separate maskiner. De blev distribueret til dem, der foretog den tekniske
analyse. De tre maskiner i USA (master, murphy, gluck) blev bagefter
geninstalleret og deres tjenester genstartet en efter en, efter den relevante
administrator havde undersøgt dem.</p>
<p>På klecker blev dette dog udskudt til en planlagt vedligeholdelse, så
sikkerhedsarkivet hurtigt igen kunne gøres tilgængeligt online. På samme tid
havde vi desuden ikke konsoladgang til klecker, så genetableringen måtte klares
via fjernadgang. Efter et diskaftryk var blevet fremstillet via logon til en
seriel konsol til en lokal maskine på en firewall-beskyttet netværksforbindelse,
blev root-kit'et fjernet, kernen udskiftet og styrket (hardened), de binære
filer dobbeltchecket og sikkerhedsarkivet kontrolleret mod flere forskellige
eksterne kilder. Denne maskine vil blive geninstalleret indenfor få uger.
<p>Som en sikkerhedsforanstaltning blev alle udviklerkonti slået fra i LDAP og
SSH-nøgler blev fjernet fra de vigtigste maskiner, så der ikke kunne brydes ind
i flere maskiner Dette gjort alt offentligt Debian-arbejde umuligt, som
krævede upload af filer og adgang til CVS-arkiverne.</p>
<p>Alle adgangskoder som anvendes på quantz (dvs. alle Alioth-, arch- og
subversion-adgangskoder) er også blevet gjort invalide. Alle SSH-autoriserede
nøgler er også blevet fjernet. Anvend "mistet adgangskode"-system til at
<a href="https://alioth.debian.org/account/lostpw.php">modtage</a> en ny
adgangskode.</p>
<p>Når alle tjeneser kører igen og maskinerne er blevet sikret tilstrækkeligt,
vil LDAP blive nulstillet så udviklerne kan
<a href="https://db.debian.org/password.html">oprette</a> nye adgangskoder. Pt.
ved vi dog ikke hvornår det vil ske.</p>
<p>Ved genetablering blev SSH geninstalleret på de maskiner, der var brudt ind
i. Derfor er der nye RSA-værtsnøgler og nøgleaftryk til disse værtsmaskiner.
Nøglerne vil blive overført til LDAP så snart de er blevet oprettet og kan
hentes <a href="https://db.debian.org/machines.cgi">herfra</a>.</p>
<h3>Konsekvenser</h3>
<p><strong>Udskift dine adgangskoder!</strong></p>
<p>Da der blev opsnuset adgangkoder på de maskiner, der blev brudt ind i, bør
alle udgående forbindelser som involverede en adgangskode også betragtes som
værende komprimitterede, dvs. at adgangskoden må anses for at være kendt af
angriberen. Den skal derfor omgående ændres.</p>
<p>Vi nogen desuden havde adgang til en Debian-maskine og anvendte den samme
adgangskode eller huskesætning (passphrase) på andre maskiner eller nøgler,
opfordrer vi kraftigt til at ændre adgangskoden henholdsvis huskesætningen så
hurtigt som muligt.</p>
<p>Hvis en SSH-nøgle blev genereret eller opbevaret på en af disse maskiner
og blev anvendt til at logge på andre maskiner (fx ved at installere den i
<code>.ssh/authorized_keys</code>), bør den også fjernes.</p>
<p>De hemmelige GnuPG-/PGP-nøgler som er fundet på debian.org-maskiner blev
også fjernet fra Debian-nøgleringene og derfor deaktiveret.</p>
<p>Udviklere som er bekymrede for deres egne maskiner, bør som minimum køre
chkrootkit og kigge på dets uddata. Matt Taggart vedligeholder en
tilbageførelse af den aktuelle version til woody på følgende adresse:</p>
<ul class="discless">
<li>deb http://lackof.org/taggart/debian woody/chkrootkit main</li>
<li>deb-src http://lackof.org/taggart/debian woody/chkrootkit main</li>
</ul>
<p>Desuden har Wichert Akkerman og Matt Taggart en udførlig liste over
<a href="http://www.wiggy.net/debian/developer-securing/">\
sikkerhedsforanstaltninger</a>.</p>
<h3>SucKIT Root-Kit</h3>
<p>SucKIT er et rootkit som blev præsenteret i Phrack nummer 58, artikel 0x07
("Linux on-the-fly kernel patching without LKM", af sd & devik). Det er et
fuldt funktionsdygtigt rootkit som startes via /dev/kmem, dvs. det ikke skal
bruge en kerne med understøttelse af loadbare kernemoduler. Det har en
adgangskodebeskyttet fjernadgangs-connect-back-shell som initieres af en
forfalsket pakke (der omgår de fleste firewallopsætninger), og kan skjule
processer, filer og forbindelser.</p>
<p>Normalt startes SucKIT som /sbin/init når systemet starter, laver en
forgrening for at installere sig selv i kernen, åbner en bagdør og starter en
kopi af den originale binære "init" fra forældren (med pid 1). Alle
efterfølgende udførelser af <code>/sbin/init</code> dirigeres videre til den
originale init.</p>
<h3>TESOs Burneye-beskyttelse</h3>
<p>Burneye er et værktøj til at forvanske binære ELF-filer på UNIX-platformen,
som blev præsenteret i Phrack nummer 58, artikel 0x05 ("Armouring the ELF:
Binary encryption on the UNIX platform", af grugq & scut). Med anvendelse
af værktøjer som TESOs Burneye, kan en angriber ændre et udførbart program og
dermed kryptere dets egentlige formål, skjule det for firewall-filtre,
system til afsløring af indtrængere, antivirusprogrammer og efterforskere.</p>
<h3>Tak til</h3>
<ul class="discless">
<li>James Troup og Ryan Murray for deres generelle arbejde på alle værtsmaskiner</li>
<li>Adam Heath og Brian Wolfe for deres arbejde på master og murphy</li>
<li>Wichert Akkerman for hans arbejde på klecker</li>
<li>Dann Frazier og Matt Taggart for deres arbejde på gluck</li>
<li>Michael Stone og Robert van der Meulen for deres efterforskningstekniske arbejde</li>
<li>Marcus Meissner for disassemblering af den anvendte udnyttelse</li>
<li>Jaakko Niemi for hans arbejde med at kontrollere og genetablere lists.debian.org</li>
<li>Colin Watson for hans arbejde med at kontrollere og genetablere bugs.debian.org</li>
<li>Josip Rodin for hans arbejde med at kontrollere og genetablere postlisternes webarkiv</li>
</ul>
<h3>Pressedækning</h3>
<ul>
<li><a href="http://slashdot.org/articles/03/11/21/1314238.shtml">Slashdot</a>, 21. november 2003 (engelsk)</li>
<li><a href="http://www.eweek.com/print_article/0,3048,a=113091,00.asp">eWeek</a>, 21. november 2003 (engelsk)</li>
<li><a href="http://www.internetnews.com/dev-news/article.php/3112551">InternetNews</a>, 21. november 2003 (engelsk)</li>
<li><a href="http://www.heise.de/newsticker/data/odi-21.11.03-001/">Heise Newsticker</a>, 21. november 2003 (tysk)</li>
<li><a href="http://www.pro-linux.de/news/2003/6205.html">Pro-Linux</a>, 21. november 2003 (tysk)</li>
<li><a href="http://www.linux-community.de/Neues/story?storyid=10821">Linux-Community</a>, 21. november 2003 (tysk)</li>
<li><a href="http://barrapunto.com/articles/03/11/21/1527220.shtml">BarraPunti</a>, 21. november 2003 (spansk)
<li><a href="http://www.newsforge.com/article.pl?sid=03/11/21/1319258">Newsforge</a>, 21. november 2003 (engelsk)</li>
<li><a href="http://searchenterpriselinux.techtarget.com/originalContent/0,289142,sid39_gci938279,00.html">SearchEnterpriseLinux.com</a>, 22. november 2003 (engelsk)</li>
<li><a href="../oldurl?http://www.debianplanet.org/node.php?id=1011">Debian Planet</a>, 22. november 2003 (engelsk)</li>
<li><a href="http://www.pcworld.com/news/article/0,aid,113636,00.asp">PC World</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://news.zdnet.co.uk/internet/security/0,39020375,39118062,00.htm">ZDNet UK</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.enterprise-linux-it.com/perl/story/22748.html">Enterprise Linux IT</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.theage.com.au/articles/2003/11/24/1069522516071.html">The Age</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.smh.com.au/articles/2003/11/24/1069522516071.html">Sydney Morning Herald</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.windowsitpro.com/windowspaulthurrott/Article/ArticleID/40957/windowspaulthurrott_40957.html">Windows & .NET Magazine</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.infoworld.com/article/03/11/24/HNdebianhacked_1.html">Infoworld</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.linuxinsider.com/perl/story/32240.html">Linux Insider</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.ecommercetimes.com/perl/story/32240.html">eCommerce Times</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.technewsworld.com/perl/story/32240.html">TechNewsWorld</a>, 24. november 2003 (engelsk)</li>
<li><a href="http://www.theregister.co.uk/2003/11/24/check_your_sums_debian_advises/">The Register</a>, 28. november 2003 (engelsk)</li>
<li><a href="http://newsvac.newsforge.com/article.pl?sid=03/11/28/1545237">Newsforge</a>, 28. november 2003 (engelsk)</li>
<li><a href="http://slashdot.org/articles/03/11/28/050232.shtml">Slashdot</a>, 28. november 2003 (engelsk)</li>
<li><a href="http://developers.slashdot.org/developers/03/12/01/2133249.shtml">Slashdot</a>, 1. december 2003 (engelsk)</li>
<li><a href="http://www.theage.com.au/articles/2003/11/24/1069522516071.html">The Age</a>, 1. december 2003 (engelsk)</li>
<li><a href="http://www.smh.com.au/articles/2003/12/01/1070127318372.html">Sydney Morning Herald</a>, 1. december 2003 (engelsk)</li>
<li><a href="http://www.pro-linux.de/news/2003/6240.html">Pro-Linux</a>, 2. december 2003 (tysk)</li>
<li><a href="http://www.heise.de/newsticker/data/jk-02.12.03-000/">Heise Newsticker</a>, 2. december 2003 (tysk)</li>
<li><a href="http://www.golem.de/0312/28747.html">Golem</a>, 2. december 2003 (tysk)</li>
<li><a href="http://lwn.net/Articles/60948/">LWN</a>, 2. december 2003 (engelsk)</li>
<li><a href="http://www.theregister.co.uk/2003/12/02/hackers_used_unpatched_server/">The Register</a>, 2. december 2003 (engelsk)</li>
<li><a href="http://www.zdnet.de/news/security/0,39023046,39117906,00.htm">ZDnet DE</a>, 2. december 2003 (tysk)</li>
<li><a href="http://www.linux-community.de/Neues/story?storyid=11004">Linux-Community</a>, 2. december 2003 (tysk)</li>
<li><a href="http://www.heise.de/security/artikel/42546">Heise</a>, 2. december 2003 (tysk)</li>
<li><a href="http://www.heise.de/newsticker/data/anw-02.12.03-005/">Heise Newsticker</a>, 2. december 2003 (tysk)</li>
<li><a href="http://www.symlink.ch/articles/03/12/02/1820248.shtml">Symlink</a>, 2. december 2003 (engelsk)</li>
<li><a href="http://www.pro-linux.de/news/2003/6245.html">Pro-Linux</a>, 3. december 2003 (tysk)</li>
<li><a href="http://www.heise.de/newsticker/data/ju-04.12.03-000/">Heise Newsticker</a>, 4. december 2003 (tysk)</li>
<li><a href="http://www.symlink.ch/articles/03/12/04/0123247.shtml">Symlink</a>, 4. december 2003 (tysk)</li>
<li><a href="http://www.internetnews.com/dev-news/article.php/3116231">Symlink</a>, 4. december 2003 (engelsk)</li>
<li><a href="http://newsvac.newsforge.com/article.pl?sid=03/12/04/1448206">Newsforge</a>, 4. december 2003 (engelsk)</li>
<li><a href="http://newsvac.newsforge.com/article.pl?sid=03/12/05/1635231">Newsforge</a>, 5. december 2003 (engelsk)</li>
<li><a href="http://www.osnews.com/comment.php?news_id=5362">OSnews</a>, 10. december 2003 (engelsk)</li>
<li><a href="http://news.com.com/2100-7344-5117271.html">Cnet</a>, 10. december 2003 (engelsk)</li>
<li><a href="http://newsvac.newsforge.com/article.pl?sid=03/12/30/1435210">Newsforge</a>, 30. december 2003</li>
</ul>
<h3>Kontaktoplysninger</h3>
<p>For yderligere oplysninger, besøg Debians <a href="$(HOME)/">websider</a>
eller send en e-mail til <email press@debian.org />.</p>
|
