Login
Login-Name Passwort


 
Newsletter
Werbung

Do, 1. September 2011, 10:14

Software::Kernel

Einbruch bei kernel.org

Kernel.org, die Heimat des Linux-Kernels, wurde Opfer eines Einbruchs und war vorübergehend nicht erreichbar. Der Einbruch wurde wahrscheinlich durch ein kompromittiertes Passwort oder einen kompromittierten SSH-Schlüssel eines Benutzers möglich.

kernel.org ist mittlerweile wieder erreichbar und die meisten Dienste sind wieder verfügbar. Nach Angaben der Betreiber wurde kein Quellcode, der sich auf den Servern befindet, kompromittiert. Eine gründliche Verifikation des Quellcodes läuft zur Zeit noch.

Die Betreiber haben eine Nachricht auf die Hauptseite gestellt, die den derzeitigen Stand der Erkenntnisse zu dem Vorfall wiedergibt. Demnach geschah der Einbruch in den letzten Wochen und wurde am 28. August bemerkt. Die Kriminellen nutzten mutmaßlich ein kompromittiertes Passwort oder einen kompromittierten SSH-Schlüssel eines Benutzers. Dadurch erhielten sie Zugang zu mehreren Servern der kernel.org-Infrastruktur. Es gelang ihnen, ein Rootkit zu installieren. Dazu wurde eine nicht näher bezeichnete lokale Sicherheitslücke im Kernel genutzt, die mutmaßlich in der aktuellen Testversion von Linux bereits korrigiert ist.

Das Rootkit der Einbrecher änderte unter anderem offenbar den SSH-Server und die SSH-Clients und zeichnete die Benutzerinteraktionen auf, um möglicherweise weitere Passwörter zu erschnüffeln. Das Rootkit wurde aufgrund von Fehlermeldungen, die sich auf Xnest beziehen, entdeckt. Wer solche Meldungen bei sich findet und Xnest nicht installiert hat, sollte sofort aufmerksam werden.

Nach der Entdeckung des Einbruchs nahmen die Betreiber die Server vom Netz, sicherten deren Daten für weitere Untersuchungen und installierten die Server neu. Die 448 Benutzer, die Zugang zu den Servern haben, müssen ihre Passwörter und SSH-Schlüssel ändern. Die Kriminalpolizei in den USA und in Europa wurde eingeschaltet. Die Analyse der Sicherheitslücke dauert an, und die Betreiber wollen Maßnahmen ergreifen, um die Sicherheit weiter zu erhöhen.

Außerdem wurde eine Überprüfung der Quellcode-Archive begonnen. Jede Manipulation an Quellcode kann zuverlässig erkannt werden, weil jede Datei in den Git-Archiven mit einer SHA-1-Prüfsumme versehen ist. SHA-1 widersteht nach dem derzeitigen Stand der Forschung jedem noch so angestrengten Fälschungsversuch. Änderungen an anderen Dateien können durch den Vergleich mit dem Stand auf den zahlreichen öffentlichen und privaten Spiegelservern entdeckt werden.

Werbung
Kommentare (Insgesamt: 21 || Alle anzeigen || Kommentieren )
Re: Jetzt bin ich aber sauer! (Torsten, Sa, 24. September 2011)
Jetzt bin ich aber sauer! (Ey Alter, Mo, 5. September 2011)
Re: Und was für einen Sinn hatte das? (TBO, Fr, 2. September 2011)
Re: Und was für einen Sinn hatte das? (dario, Fr, 2. September 2011)
Re: neue Passwörter und SSH-Schlüssel sinnlos? (unreal, Do, 1. September 2011)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung