Η είδηση της εβδομάδας στο χώρο του Linux, του ανοιχτού λογισμικού και της ασφάλειας πληροφοριακών συστημάτων ήταν η παραβίαση του ιστοχώρου http://linuxmint.com και η διανομή υπονομευμένων .iso αρχείων της δημοφιλούς διανομής του λειτουργικού συστήματος Linux, Mint 17.3.
ΤΙ ΣΥΝΕΒΗ;
Mία ομάδα χάκερ (τα πρώτα στοιχεία φανερώνουν άπειρους script kiddies – κάτι στο οποίο θα επανέλθουμε) απέκτησαν πρόσβαση στον ιστοχώρο http://linuxmint.com, κεντρικό ιστότοπο της δημοφιλέστατης διανομής Linux. Δεν προχώρησαν σε κάτι άμεσα αντιληπτό, όπως το βανδαλισμό της ιστοσελίδας. Αντ’ αυτού εκμεταλλεύτηκαν την πρόσβαση που είχαν στο domain για να μεταφορτώσουν παραποιημένα αρχεία .iso για τη δημιουργία δίσκων εκκίνησης για την εγκατάσταση του λειτουργικού συστήματος Linux Mint. Σύμφωνα με το δελτίο τύπου που εξέδωσε ο διαχειριστής του ιστολογίου και αρχηγός της διανομής Linux Mint, Clement Lefebvre, η παραποίηση και η παράτυπη διανομή αφορά στην έκδοση Linux Mint 17.3 Cinnamon (σε 32bit και 64bit εκδοχή) που ήταν διαθέσιμη στις 20 Φεβρουαρίου 2016.
Δόθηκαν από τον παραπάνω σύνδεσμο οδηγίες ελέγχου για να διαπιστώσει κάποιος αν ήταν άτυχος και κατέβασε την παραποιημένη έκδοση και κατέβηκε ο ιστότοπος μέχρι να αποκατασταθεί το κενό ασφάλειας, που οφειλόταν στο λογισμικό WordPress, σύμφωνα με τον Lefebvre. Το site αποκαταστάθηκε σχετικά σύντομα μες στο Σαββατοκύριακό για να αποδειχθεί ότι δεν είχαν καλυφθεί όλα τα κενά ασφαλείας. Δέχτηκε δεύτερη φορά επίθεση, κατά την οποία υπεκλάπησαν τα στοιχεία των λογαριασμών των χρηστών του forum του site. Η ιστοσελίδα έμεινε κάτω και ανέβηκε οριστικά την Τρίτη 23 Φεβρουαρίου 2016.
ΠΟΙΟΙ ΚΙΝΔΥΝΕΟΥΝ
Κινδυνεύουν οι ανυποψίαστοι και άτυχοι χρήστες που κατέβασαν εκείνη την ημερομηνία τη συγκεκριμένη διανομή και την εγκατέστησαν σε συστήματα. Από την άλλη η φρασεολογία στο δελτίο τύπου: “Finally, the situation happened today, so it should only impact people who downloaded this edition on February 20th.“, δεν αποκλείει και άλλα ενδεχόμενα. Από την άλλη δεν υπήρξε διάψευση των ισχυρισμών του δελτίου τύπου από κάποια αξιόπιστη πηγή, ενώ στο νήμα των σχολίων του δελτίου τύπου, που ξεπέρασε τα 500 σχόλια, οι αναφορές για προβλήματα δεν αφορούν για εκδόσεις νωρίτερα από τις 19 Φεβρουαρίου 2016.
Το δελτίο τύπου καλεί τους χρήστες που κατέβασαν εκδόσεις του Linux κοντά στην επίμαχη ημερομηνία να ελέγξουν την ορθότητα των αρχείων παρέχοντας έγκυρες MD5 κωδικοποιήσεις:
Πληκτρολογείτε στο τερματικό:
md5sum onomaarxeioy.iso (όπου onomaarxeioy.iso το όνομα του αρχείου ISO).
Οι έγκυρες ψηφιακές υπογραφές είναι οι ακόλουθες:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso 30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso 3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
Εάν έχετε δημιουργήσει DVD ή USB Stick, εκκινήστε τον υπολογιστή ή μια εικονική μηχανή από το DVD ή USB αντίστοιχα με τον Η/Υ εκτός Διαδικτύου και ελέγξτε την ύπαρξη αρχείου στον κατάλογο /var/lib/man.cy
Εάν υπάρχει, κακά μαντάτα. Πρόκειται για την παραποιημένη διανομή. Οπότε οι χρήστες καλούνται σε αυτήν την περίπτωση να σβήσουν τα USB stick που δημιούργησαν με την επίμαχη διανομή και να καταστρέψουν τους δίσκους εκκίνησης που δημιούργησαν εκείνες τις μέρες και αν εγκατέστησαν την έκδοση να εκκαθαρίσουν (format) το σκληρό δίσκο και να εγκαταστήσουν μία καθαρή έκδοση.
Για τα νεότερα, καθώς δεν έχουν απαντηθεί όλα τα ερωτήματα, ούτε έχει ολοκληρωθεί έρευνα για τους χάκερς, προτείνουμε στους ενδιαφερόμενους να επισκέπτονται την ιστοσελίδα και το δελτίο τύπου και να διαβάζουν και τα σχόλια, όπου δίνονται αναλυτικές εξηγήσεις ανάλογα με τις εξελίξεις.
Ο ΕΠΙΛΟΓΟΣ
Το ενδιαφέρον είναι ότι η ανακάλυψη της παραβίασης του ιστότοπου έγινε άμεσα την ίδια ή την επόμενη μέρα της παραβίασης, οπότε και εκδόθηκε το δελτίο τύπου και κατέβηκε η ιστοσελίδα μέχρι να αποκατασταθεί η παραβίαση και να σταματήσουν να διανέμονται τα παραποιημένα αρχεία. Ο Clem Lefebvre, προς τιμήν του, τηρώντας τις αρχές του ανοιχτού λογισμικού δεν απέκρυψε το συμβάν και το αντιμετώπισε με διαφάνεια, κάτι που του πιστώνουν αρκετοί οπαδοί της διανομής.
Παρόλα αυτά το πλήγμα είναι μεγάλο και στην φήμη της ομάδας του Mint αλλά και με τις δύο απανωτές πετυχημένες επιθέσεις. Ο αντίκτυπος φαίνεται στο νήμα των σχολιασμών, με αρκετούς χρήστες να καλούν σε ψυχραιμία, άλλους να trollάρουν και να καταφέρονται εναντίον του Linux και του ανοικτού λογισμικού.
Η ανακοίνωση του Clem για την παραβίαση μέσω κενού ασφάλειας στο WordPress, οδήγησε σε εταιρείες που δραστηριοποιούνται γύρω από το WordPress να τοποθετηθούν προκειμένου να προασπίσουν τη φήμη τους ή να διαφημίσουν τις υπηρεσίες τους. Χαρακτηριστική η ανακοίνωση της Wordfence, δημιουργού δημοφιλούς πρόσθετου ασφαλείας στο WordPress.
Η ως τώρα έρευνα δείχνει ότι τα IP του εξυπηρετητή (server) απ’ όπου ήταν διαθέσιμα τα παραποιημένα αρχεία .iso, φέρεται να προέρχονται από τη Σόφια. Έχουν ειδοποιηθεί οι Βουλγαρικές αρχές αλλά ακόμη δεν υπάρχει νεότερο.
Η προσθήκη στο παραποιημένο ISO περιέχει το ELF trojan Tsunami, το οποίο είναι IRC bot που χρησιμοποιείται για επιθέσεις DDoS. Πρόκειται για ένα στοιχείο που προκαλεί έκπληξη και συντείνει στον ισχυρισμό για script kiddies, καθώς το συγκεκριμένο κακόβουλο λογισμικό είναι γνωστό από το 2011 και είναι γνωστοί και οι τρόποι αντιμετώπισής του. Επιπλέον, λίγες ώρες μετά τη δεύτερη επίθεση, σε σκοτεινά κατατόπια του Διαδικτύου, η βάση χρηστών του forum και όλο το υλικό από το site του Mint ήταν διαθέσιμη προς κατέβασμα έναντι του ευτελούς ποσού των 85$. Όλη αυτή η φασαρία και το ρίσκο για αυτό το μικρό ποσό δείχνει απειρία σύμφωνα με αρκετούς αναλυτές. Επιπλέον, ρεπόρτερ από το αρκετά ευυπόληπτο site zdnet.com μετέδωσε ότι έλαβε συνέντευξη από κρυπτογραφημένη συνομιλία με τον χάκερ. Η πηγή είναι αμφισβητήσιμη για αυτό και δεν αναμεταδίδω λεπτομέρειες, αλλά το κομπαστικό και ταυτόχρονα επιτιμητικό ύφος του φερόμενου ως χάκερ προς τον στόχο της επίθεσης υποδεικνύει και πάλι νεαρό άτομο. O Clem Lefebvre δε σχολίασε το ρεπορτάζ.
Όπως και να ‘χει πρόκειται για μεγάλο πλήγμα στη φήμη και την ασφάλεια της διανομής, του Linux και της κοινότητας του ανοιχτού λογισμικού εν γένει, αφετέρου είναι αφορμή για αφύπνιση της κοινότητας του ανοιχτού λογισμικού και του Linux σε θέματα ασφάλειας.
Πρόσφατα σχόλια