[Résolu] Un serveur de kernel.org compromis

01101011 · Le 02/09/2011, à 04:57

Jour',

Selon Linuxfr.org le serveur Hera de kernel.org a été compromis :

linuxfr.org a écrit :

Les responsables du site viennent d'annoncer (voir la partie news en bas de la page) que le serveur Hera avait été compromis, et ce au moins depuis le 28 août. Le pirate a modifié les binaires SSH du système et il a ajouté un cheval de Troie dans les scripts de démarrage.

En gros, si j'ai bien compris, il a réussi à modifier le binaire d'SSH (comment ?), créant une entrée sur le serveur et a modifié des scripts en y incluant un cheval de troie (sympa ).

Ils disent qu'il n'y a pas de risque pour les sources. Ça tombe bien avant hier j'ai justement téléchargé les sources du 2.6.32.46 pour le recompiler avec Grsecurity.

Merde, ça arrive une fois tout les 2 ou 3 ans ce genre de trucs et ça tombe pile quand je me procure les sources de Linux !

Mise à part le fait que je relais l'info, vous me conseillez quoi ? Retélécharger les sources ? Ça tombe bien ça compile depuis une heure …

PS : Je pari qu'avec Grsecurity ce ne serait pas arrivé .

Dernière modification par 01101011 (Le 09/09/2011, à 11:55)

Shrat · Le 02/09/2011, à 10:09

Les sources sont identifiées avec SHA1 grâce au connard. Pas d'inquiétude donc.

01101011 · Le 02/09/2011, à 14:38

Oui mais si le SHA1 est corrompu ? Si elle se trouve sur le même serveur où il a attaqué on peut pas avoir confiance.

Dernière modification par 01101011 (Le 02/09/2011, à 14:38)

Shrat · Le 02/09/2011, à 15:33

Euh ben si le hash ne correspond pas, les sources ne correspondent pas. Je ne parle pas de cryptage ici.

01101011 · Le 02/09/2011, à 15:34

Il y a bien des systèmes pour vérifier que ce qu'on a téléchargé est conforme à l'originale mais si on modifie la copie et qu'on adapte le système de vérification (ex: md5sum) pour que la modification est l'air d'être original ça n'a aucun intérêt.

C'est ça que je veux dire, on ne peut pas avoir confiance en tout ce qui provient du serveur Hera !

Shrat · Le 02/09/2011, à 18:25

01101011 a écrit :

si on modifie la copie et qu'on adapte le système de vérification (ex: md5sum) pour que la modification est l'air d'être original

Cela me semble bien improbable.

01101011 · Le 02/09/2011, à 20:57

C'est sûr, mais IMHO en informatique tout est possible.

Zoulou.4556 · Le 06/09/2011, à 10:07

d'après l'article sur pcinpact les dépôts non pas été touché par l'infection.

Shrat · Le 06/09/2011, à 18:07

Ciel. PCinpact deviendrait une source fiable et objective?

Zoulou.4556 · Le 08/09/2011, à 09:07

up!

01101011 · Le 08/09/2011, à 09:08

Shrat, depuis quand ça ne le serait pas ? C'est un très bon webzine !

kleim · Le 08/09/2011, à 10:00

01101011 a écrit :

Il y a bien des systèmes pour vérifier que ce qu'on a téléchargé est conforme à l'originale mais si on modifie la copie et qu'on adapte le système de vérification (ex: md5sum) pour que la modification est l'air d'être original ça n'a aucun intérêt.
C'est ça que je veux dire, on ne peut pas avoir confiance en tout ce qui provient du serveur Hera !

Justement, l'idée derrière le hashage, c'est de rendre impossible ce genre de bidouille (sauf si on dispose de plusieurs millénaires devant soit mais je pense que le kernel n'en sera plus à la version 3.0 ). Il y a bien eu qques failles pour md5 mais même avec ça, c'est super-dur à faire alors avec sha1...

Shrat · Le 09/09/2011, à 06:07

01101011 a écrit :

Shrat, depuis quand ça ne le serait pas ? C'est un très bon webzine !

Les goûts et les couleurs…

Khalev · Le 09/09/2011, à 10:27

kleim a écrit :

01101011 a écrit :
Il y a bien des systèmes pour vérifier que ce qu'on a téléchargé est conforme à l'originale mais si on modifie la copie et qu'on adapte le système de vérification (ex: md5sum) pour que la modification est l'air d'être original ça n'a aucun intérêt.
C'est ça que je veux dire, on ne peut pas avoir confiance en tout ce qui provient du serveur Hera !
Justement, l'idée derrière le hashage, c'est de rendre impossible ce genre de bidouille (sauf si on dispose de plusieurs millénaires devant soit mais je pense que le kernel n'en sera plus à la version 3.0 ). Il y a bien eu qques failles pour md5 mais même avec ça, c'est super-dur à faire alors avec sha1...

Ce qu'il a voulu dire je pense c'est que le hash SHA1 que tu compares avec celui que tu calculse en local, il provient bien de quelque part. Et si le hash fourni a été modifié pour correspondre au hash du code source modifié? (Parce que effectivement, trouver une collision avec des sources différentes prendrai très très longtemps, à part à être extrèmement chanceux, sans compter qu'un simple diff peut réduire à néant tout ton boulot).

Mais il me semble que Git a des moyens justement pour se protéger contre cela. Sans compter tous les gens qui font des copies régulières de toutes les sources et des patchs appliqués. C'est très simple de reprendre des sources d'avant l'attaque, de recalculer le hash, et de regarder ce qui a changé.

Je pense que si quelque chose avait changé, ça se serait rapidement vu.

01101011 · Le 09/09/2011, à 11:55

Bon vous m'avez convaincu, merci !

helly · Le 09/09/2011, à 14:36

kleim a écrit :

01101011 a écrit :
Il y a bien des systèmes pour vérifier que ce qu'on a téléchargé est conforme à l'originale mais si on modifie la copie et qu'on adapte le système de vérification (ex: md5sum) pour que la modification est l'air d'être original ça n'a aucun intérêt.
C'est ça que je veux dire, on ne peut pas avoir confiance en tout ce qui provient du serveur Hera !
Justement, l'idée derrière le hashage, c'est de rendre impossible ce genre de bidouille (sauf si on dispose de plusieurs millénaires devant soit mais je pense que le kernel n'en sera plus à la version 3.0 ). Il y a bien eu qques failles pour md5 mais même avec ça, c'est super-dur à faire alors avec sha1...

Avec gpg, c’est simple et sécure de vérifier l’intégrité et la provenance .

helly · Le 09/09/2011, à 14:38

WTF !
kernel.org est down !

Shyne · Le 09/09/2011, à 15:51

Oui, linus a ouvert un compte github en attendant que tout rentre dans l'ordre.

helly · Le 09/09/2011, à 15:54

Mais y’a que le 3.1 dessus ? Et les autres kernels, on s’assoit dessus ?
Moi qui voulait mettre à jour mon 3.0.4…

Shyne · Le 09/09/2011, à 15:57

Non tu peux récupérer le 3.0.4 aussi.

helly · Le 09/09/2011, à 16:00

Ha okay, merci .
edit : bhooo pas de 3.0.5 .

Dernière modification par helly (Le 09/09/2011, à 16:03)

kamui57 · Le 09/09/2011, à 16:14

jsais pas s'il faut mettre "résolu" dans le titre du coup...

ehmicky · Le 10/09/2011, à 17:25

Khalev a écrit :

Ce qu'il a voulu dire je pense c'est que le hash SHA1 que tu compares avec celui que tu calculse en local, il provient bien de quelque part. Et si le hash fourni a été modifié pour correspondre au hash du code source modifié? (Parce que effectivement, trouver une collision avec des sources différentes prendrai très très longtemps, à part à être extrèmement chanceux, sans compter qu'un simple diff peut réduire à néant tout ton boulot).

Si le système est secure, le hash est chiffré avec une clef privée avant d'être envoyé. Ainsi, seul le détenteur de la clef privée peut chiffrer le hash, mais tout le monde peut déchiffrer à l'aide de clefs publiques disponibles pour quiconque (chiffrement asymétrique). Il faut juste s'assurer que les clefs publiques soient bien celles de l'auteur voulu (authentification de l'entité), ce qui est le rôle des certificats PKI ou du Web of Trust. Cf les MAC.
En l'occurence, je connais pas git (donc pas sûr de ce que je dis là), mais je crois que git s'y prend autrement, en empêchant tout simplement de modifier manuellement les hashs, c'est git qui les calcule automatiquement.

Dernière modification par ehmicky (Le 10/09/2011, à 17:39)

Shrat · Le 10/09/2011, à 19:51

Exactement, c'est git qui calcule les hashs.

01101011 · Le 03/10/2011, à 10:46

Je remonte ce topic car j'ai une petite question.

kernel.org semble encore down, pour des raisons de maintenance, et cela depuis l'incident.

Quelqu'un a une idée de la date de réapparition du site ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 02/09/2011, à 04:57

[Résolu] Un serveur de kernel.org compromis

#2 Le 02/09/2011, à 10:09

Re : [Résolu] Un serveur de kernel.org compromis

#3 Le 02/09/2011, à 14:38

Re : [Résolu] Un serveur de kernel.org compromis

#4 Le 02/09/2011, à 15:33

Re : [Résolu] Un serveur de kernel.org compromis

#5 Le 02/09/2011, à 15:34

Re : [Résolu] Un serveur de kernel.org compromis

#6 Le 02/09/2011, à 18:25

Re : [Résolu] Un serveur de kernel.org compromis

#7 Le 02/09/2011, à 20:57

Re : [Résolu] Un serveur de kernel.org compromis

#8 Le 06/09/2011, à 10:07

Re : [Résolu] Un serveur de kernel.org compromis

#9 Le 06/09/2011, à 18:07

Re : [Résolu] Un serveur de kernel.org compromis

#10 Le 08/09/2011, à 09:07

Re : [Résolu] Un serveur de kernel.org compromis

#11 Le 08/09/2011, à 09:08

Re : [Résolu] Un serveur de kernel.org compromis

#12 Le 08/09/2011, à 10:00

Re : [Résolu] Un serveur de kernel.org compromis

#13 Le 09/09/2011, à 06:07

Re : [Résolu] Un serveur de kernel.org compromis

#14 Le 09/09/2011, à 10:27

Re : [Résolu] Un serveur de kernel.org compromis

#15 Le 09/09/2011, à 11:55

Re : [Résolu] Un serveur de kernel.org compromis

#16 Le 09/09/2011, à 14:36

Re : [Résolu] Un serveur de kernel.org compromis

#17 Le 09/09/2011, à 14:38

Re : [Résolu] Un serveur de kernel.org compromis

#18 Le 09/09/2011, à 15:51

Re : [Résolu] Un serveur de kernel.org compromis

#19 Le 09/09/2011, à 15:54

Re : [Résolu] Un serveur de kernel.org compromis

#20 Le 09/09/2011, à 15:57

Re : [Résolu] Un serveur de kernel.org compromis

#21 Le 09/09/2011, à 16:00

Re : [Résolu] Un serveur de kernel.org compromis

#22 Le 09/09/2011, à 16:14

Re : [Résolu] Un serveur de kernel.org compromis

#23 Le 10/09/2011, à 17:25

Re : [Résolu] Un serveur de kernel.org compromis

#24 Le 10/09/2011, à 19:51

Re : [Résolu] Un serveur de kernel.org compromis

#25 Le 03/10/2011, à 10:46

Re : [Résolu] Un serveur de kernel.org compromis

Pied de page des forums