Software::Distributionen::Gentoo
Gentoo legt Bericht zum Einbruch auf Github Gentoo-Organisation vor
Eine Woche nach dem Einbruch auf Github Gentoo-Organisation hat Gentoo das System bereinigt, den Tathergang analysiert und einen ausführlichen Bericht dazu veröffentlicht.
Andreas Reichel
Die Linux-Distribution
Gentoo besitzt eine Github-Seite, über die ein Spiegel des Paket-Repositoriums bereitgestellt wird. Wie Gentoo am 29 Juni
entdeckte, wurde diese Seite am 28. Juni gegen 20:20 UTC gehackt. Unbekannte konnten die Kontrolle über die Github Gentoo-Organisation übernehmen und die Mitglieder des Gentoo-Projekts aussperren. Einige Seiten sowie Inhalte der Repositorien wurden manipuliert.
Es dauerte nicht lange, bis Gentoo wieder die Kontrolle über die Seiten erlangte, wozu auch gute Kontakte einiger Gentoo-Entwickler zu Github beitrugen. Github reagierte schnell, nahm die Seite vom Netz und stellte Audit-Logs zur Verfügung, mit denen Gentoo den Vorfall nachvollziehen konnte. Eine E-Mail von Alec Warner teilt nun mit, dass die resultierenden Probleme gelöst wurden.
Nach dem jetzt vorliegenden Bericht zu dem Einbruch wurde die Github Gentoo-Organisation durch ein schwaches Passwort gekapert. Einer der Gentoo-Entwickler hatte dasselbe Passwort oder eine Variation davon auf einer anderen Seite verwendet, wo es kompromittiert wurde. Die Einbrecher konnten damit, offenbar nach zahlreichen Versuchen, sich schließlich Zugang verschaffen.
Wer den Einbruch verübte, bleibt unbekannt. Die Täter manipulierten mehrere Webseiten und Repositorien. Die Folgen waren, dass die Github-Seiten fünf Tage lang nicht für Gentoo-Benutzer zur Verfügung standen. Die kontinuierliche Integration für Pull-Requests war außer Betrieb, das Gentoo Proxy Maintainers-Projekt konnte keine Fehlerberichte erstellen und ansehen und alle früheren Pull-Requests wurden von den ursprünglichen Commits getrennt und geschlossen (Github untersucht noch, ob dies repariert werden kann). Die Einbrecher versuchten außerdem, ein rm -rf-Kommando zu verschiedenen Repositorien hinzuzufügen, was aber vermutlich wirkungslos geblieben wäre. Die Entwicklung von Gentoo außerhalb von Github lief normal weiter, über 700 Änderungen wurden in dieser Zeit vorgenommen.
Drei Repositorien wurden als manipuliert erkannt: gentoo/gentoo, gentoo/musl und gentoo/systemd. Kopien dieser Repositorien aus dem betroffenen Zeitraum sollten auf keinen Fall genutzt werden. Sie wurden ebenso wie die Webseite inzwischen bereinigt. Wie das Team erklärt, ist der Code auf Github nur eine Kopie des Codes, der auf der Gentoo-eigenen Infrastruktur gespeichert ist. Die Gentoo-eigene Infrastruktur ist nicht von dem Einbruch betroffen und nach wie vor sicher. Private Schlüssel waren nach Ansicht des Teams zu keinem Zeitpunkt den Einbrechern zugänglich.
Das Gentoo-Team zieht eine Bilanz des Vorfalls und stellt fest, dass die Behandlung des Problems Anlaufschwierigkeiten hatte, weil nicht klar war, was zu tun war. Github konnte die manipulierten Repositorien nicht sperren, so dass dieser Code zu einigen Benutzern gelangt sein könnte. Die Vorgehensweise zum Entzug von Zugangsrechten war unvollständig. Es gab kein Backup der Details der Github Gentoo-Organisation, und das Systemd-Repositorium war kein Spiegel von einem Gentoo-Repositorium, sondern nur auf Github gespeichert. Aus diesen Problemen will Gentoo lernen und zahlreiche Verbesserungsmaßnahmen durchführen.
Gut für Gentoo erwies sich auch, dass der Angriff so offensichtlich war. So wurde er bereits nach sehr kurzer Zeit erkannt. Wären die Täter heimlicher vorgegangen, hätte es bis zur Entdeckung möglicherweise deutlich länger gedauert.
){kind=logo}
