Journal : Intrusion sur les serveurs Fedora/Red Hat
Posté par patrick_g (page perso, ) le 23 août 2008
5
Le 14 août les administrateurs des serveurs de Fedora ont envoyé un message indiquant qu'ils avaient détecté un problème sérieux et qu'ils étaient en cours d'investigation à ce sujet : http://lwn.net/Articles/294188/Dans l'intervalle ils conseillaient de ne pas télécharger le moindre paquet : "as a precaution, we recommend you not download or update any additional packages on your Fedora systems".
Evidemment une telle annonce fait immédiatement penser à un grave problème de sécurité et les utilisateurs de Fedora se sont senti inquiets. L'attente a donc commencé pour avoir des détails sur ce problème.
Le 16 août nouveau mail de Fedora indiquant que les administrateurs étaient toujours au travail et demandant aux utilisateurs de prendre leur mal en patience : http://lwn.net/Articles/294324/
"The Fedora Infrastructure team continues to work on the issues we discovered earlier this week (...) Please be patient as we continue to work the problem".
A partir de là les spéculations les plus folles ont commencé à courir. Si cela prenait autant de temps c'est qu'il s'agissait vraisemblablement d'un souci très grave et le pire était à envisager. L'exaspération a commencé à monter chez certains utilisateurs qui voulaient avoir plus d'informations pour évaluer la vulnérabilité de leurs systèmes. Le fait de savoir qu'une grosse merde à du arriver et de ne pas avoir le moindre détail à ce sujet est particulièrement frustrant.
Le 19 août encore un mail des admins de Fedora : http://lwn.net/Articles/294547/
Toujours pas le moindre détail et le "conseil" de ne pas télécharger de paquets est toujours valable.
Le mail demande à la communauté des utilisateurs d'attendre que tout soit revenu à la normale : "Please give the infrastructure team the time they need to do this demanding work (...) We know the community is awaiting more detail on the past week's activities and their causes. We're preparing a timeline and details and will make them available in the near future. We appreciate the community's patience, and will continue to post updates to the fedora-announce-list as soon as possible".
Les commentaires continuent de fuser au sujet de la probable compromission des serveurs. Si les admins mettent autant de temps c'est que la faille doit être importante. Est-ce spécifique à Fedora ou est-ce que les autres distributions sont touchées ? Des paquets trojanés ont-ils été distribués par un pirate ? Peut-être est-ce juste un problème matériel sur les serveurs et pas une brèche de sécurité ? Ou alors une invasion d'extra-terrestres ?
Enfin le 22 août un mail sur la liste de diffusion Fedora-annonce donne les détails et met fin à cette interminable attente : http://lwn.net/Articles/295134/
Une intrusion a bien eu lieu sur les serveurs de Fedora et aussi sur ceux de Red Hat !
Le pirate a pu signer des paquets et Red Hat a sorti un bulletin d'alerte de niveau "Critical" : http://rhn.redhat.com/errata/RHSA-2008-0855.html
Dans cette alerte on lit la phrase suivante qui fait froid dans le dos : "In connection with the incident, the intruder was able to sign a small number of OpenSSH packages".
Il semble toutefois que ces paquets ont seulement pu être signés mais n'ont pas été distribués aux utilisateurs du canal de distribution officiel Red Hat.
En ce qui concerne Fedora l'un des serveurs compromis contenait la clé de signature des paquets de la distributions mais les investigations n'ont pas pu mettre en évidence de compromission de cette clé de signature : "we have high confidence that the intruder was not able to capture the passphrase used to secure the Fedora package signing key".
Par mesure de sécurité la clé a été changée et les paquets ont été vérifiés sans que le moindre cheval de Troie ne soit détecté. Les utilisateurs peuvent maintenant reprendre leurs mises à jour et leurs téléchargements : "At this time we are confident there is little risk to Fedora users who wish to install or upgrade signed Fedora packages".
Bien entendu CentOS, qui est basé sur Red Hat, a investigué de son coté : http://lwn.net/Articles/295221/
D'après les administrateurs il n'y a pas eu de problème : "We can now assure everyone that no compromise has taken place anywhere within the CentOS infrastructure".
Donc au bilan qu'avons nous ?
1) Une intrusion sur les serveurs de Fedora et Red Hat. C'est horriblement inquiétant et il faut absolument savoir comment cela a pu se produire. Pour l'instant aucune info n'est disponible à ce sujet. Est-ce une erreur humaine ou une faille technique ? Si c'est un bug est-il générique à Linux ou spécifique aux serveurs compromis ?
2) Le pirate a réussi a signer le paquet OpenSSH de Red Hat mais, à priori, il n'a rien pu faire de plus. Ni compromettre le paquet, ni le distribuer. A noter que cette absence de distribution ne vaut que pour le canal officiel Red Hat et pas pour des dépôts tiers. Il faudra là aussi attendre pour avoir plus de détails.
3) La rétention de l'information a été parfaite de la part de Fedora/Red Hat. Aucune info n'a fuité avant l'annonce officielle et les admins de la distribution ont pu enquêter sans qu'il y ait une folie médiatique autour d'eux. La contrepartie étant le bouillonnement des spéculations pendant plus d'une semaine et l'incertitude des utilisateurs sur la sécurité de leurs systèmes.
Au final je pense que cette chaude alerte pourrait être bénéfique dans la mesure ou elle incitera sans doute les distributions Linux à renforcer leurs mesures de sécurité. La facilité d'installation des logiciels sous Linux, du fait de l'existence des dépôts centralisés, à une contrepartie : Les serveurs hébergeant ces dépôts doivent être des forteresses !
> Lire le journal (52 commentaires, moyenne: 2,8).
Vous avez demandé le commentaire #958807.
Run by 
Cette page a été générée par Templeet en 0.0683s (dont 0.006 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Diversité, diversité :)
Merci Patrick pour cette excellente news, comme il se doit.
À nouveau, on voit que la diversité des distributions et des canaux permet d'assurer une sécurité généraliste, qui évite les failles à la Microsoft ou 90% du parc mondial est concerné d'un coup ...
N'ayant aucune RedHat/Fedora dans mon parc, me voilà rassuré.
Par contre je pense à une chose : la sécurité de ces dépôts reste, elle, bel et bien centralisée.
Ne serait-il pas une bonne idée de confier une verification tierce de signatures à un tiers indépendant des distribution, genre X s'occupe de vérifier que chaque changement de signature d'un package de la distribution Y est bien issu du processus industriel de validation, et pas d'un changement sauvage sur les serveurs. X peut alors publier une liste (signée par X) des signatures des packages ayant suivi proprement ce processus industriel (sur Debian, le processus prenant du temps (unstable > testing typiquement) cela peut se vérifier assez facilement, je ne sais pas comment on pourrait faire sur les autres distribs.)
[^]Re: Diversité, diversité :)
> N'ayant aucune RedHat/Fedora dans mon parc, me voilà rassuré.
Mouaif. Vu le faible niveau d'information donné par Fedora/Red Hat, ont peut aussi penser que c'est un problème upstream (période d'embargo). Et dans ce cas tu es aussi en "danger".
> Par contre je pense à une chose : la sécurité de ces dépôts reste, elle, bel et bien centralisée.
La signature est (forcément) centralisée.
> Ne serait-il pas une bonne idée de confier une verification tierce de signatures à un tiers indépendant des distribution,
Ça n'a pas d'intérêt. C'est la distribution qui connait les paquets.
> genre X s'occupe de vérifier que chaque changement de signature d'un package de la distribution.
Il n'y a pas eu de changement de signature, il y a eu abus de l'infrastructure pour signer les paquets avec la signature de Fedora / Red Hat.
[^]Re: Diversité, diversité :)
> On peut penser à un problème d'upstream
Ayant déjà vécu ce genre de problème avec d'autres softs upstream, on a généralement des infos sur les listes de sécurité des différentes distributions quasi en même temps : si redhat trouve un problème grâve dans, mettons, openssl, ils préviennent openssl qui prévient à son tour les distributions majeures, c'est assez classique
Donc non, pas d'inquiétude côté upstream apparemment
> Ça n'a pas d'intérêt. C'est la distribution qui connait les paquets.
Peut-être, mais même si elle connaît seule les paquets, toute organisation est finalement monolithique.
Pour cette idée de la vérification de signature, je signalais juste qu'il était possible de mettre en ligne une copie (donc sur des serveurs non gérés par la distribution) des signatures de packages, copie elle-même signée par un tiers (celui qui gère ces serveurs hors distribution), copie qui ne mettrait à jour sa signature locale d'un package que lorsque celui-ci a été observé par un humain (de la même organisation qui gère ces serveurs hors distribution) et que l'humain à constaté que cette mise à jour a été annoncée d'une manière ou d'une autre : soit sur les listes de sécurité de la distribution, soit via le processus habituel (genre le développeur qui renseigne proprement un changelog, le patch associé, le mail sur la liste devel etc.)
D'ici à ce qu'un pirate puisse passer ce _processus_ qui fait finalement appels aux habitudes de la communauté, il faudra de véritables bourdes majeures, et cela peut donc rendre plus robuste l'infrastructure de distribution.
Cela reprend le classique paradigme : pirater un système au hasard est très facile, pirater un système particulier infiniment plus difficile.
Donc pirater un jour quelque chose dont il advient qu'il s'agit d'un serveur principal de distribution, c'est une chose, pirater ensuite l'infrastructure tierce qui co-valide les signatures, c'est une toute autre paire de manches.
[+] [^]Re: Diversité, diversité :)
Ayant déjà vécu ce genre de problème avec d'autres softs upstream, on a généralement des infos sur les listes de sécurité des différentes distributions quasi en même temps : si redhat trouve un problème grâve dans, mettons, openssl, ils préviennent openssl qui prévient à son tour les distributions majeures, c'est assez classique
Sauf que tout cela se passe en privé sur des mailling list privés, et il est interdit à ceux qui sont sur ces listes de rendre publique les failles qui y sont discutées avant la date prévue (si ils veullent pouvoir rester sur la liste).
Donc il pourrait très bien y avoir un probleme sur un logiciel upstream sans qu'on soit encore au courant.
[^]Re: Diversité, diversité :)
> Sauf que tout cela se passe en privé sur des mailling list privés, et il est interdit à ceux qui sont sur ces listes de rendre publique les failles qui y sont discutées avant la date prévue
"Interdit" est trop fort. C'est très très mal vu. Les personnes raisonnablent ne feront pas ça. Ceux qui s'y risquent seront probablement bânis de la mailing.
Par contre Fedora est sous la responsabilité de Red Hat et Red Hat est une boite américaine. Donc Red Hat a des obligations légales (respecter DMCA entre autre).
[^]Re: Diversité, diversité :)
Par contre Fedora est sous la responsabilité de Red Hat et Red Hat est une boite américaine. Donc Red Hat a des obligations légales (respecter DMCA entre autre).
Le truc c'est surtout que Red Hat est côté en bourse, ils ont donc des obligations légales pour les façons de délivrer des informations.
[^]Re: Diversité, diversité :)
Peux-tu être plus précis ?
Être en bourse n'implique pas d'appliquer la censure à tout. C'est même souvent l'inverse.
[^]Re: Diversité, diversité :)
Ça implique de pas communiquer n'importe comment, pour que tous les acteurs soient au courant en même temps.
Par exemple (juste une recherche rapide y'a surement d'autres obligations):
http://en.wikipedia.org/wiki/Reg_FD
[^]Re: Diversité, diversité :)
Je ne vois toujours pas le rapport.
Il y a des obligations pour communiquer, non l'inverse.