Plusieurs machines-maîtres du projet Debian auraient été compromises

Posté par (page perso) . Modéré par Xavier Antoviaque.
Tags :
0
21
nov.
2003
Debian
Plusieurs serveurs debian auraient été manifestement compromis par des inconnus.

L'archive n'a pas été affectée, mais la source de sécurité pour woody est indisponible, le temps que les paquets soient vérifiés. La sortie de la nouvelle version stable de la Woody (v3.0r2) n'a cependant pas été retardée par ce problème. Voici la liste des machines affectées:
. master (Bug Tracking System)
. murphy (mailing lists)
. gluck (web, cvs)
. klecker (security, non-us, web search, www-master)

Certains services, comme http://www.debian.org/ sont à nouveau disponibles grâce au miroir allemand (http://www.de.debian.org/ ). Pour les autres, il faudra patienter, le temps que leurs hôtes respectifs soient examinés.

Une nouvelle version de la woody a été rendue disponible peu de temps auparavant et n'a pas été compromise mais l'annonce a été repoussée à plus tard. Les miroirs devraient déjà proposer une copie à jour.

La source de debian-security est en lien.

Encore une fois, ce type d'attaque relance le débat sur la sécurité, et des solutions utilisant la vérification systématique de la signature des fichiers proposés deviennent alors plus que nécessaires !
  • # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

    Posté par . Évalué à -9.

    Venant d'une distribution aussi sérieuse, ça la fout mal.

    Ah, elle est belle l'image du logiciel libre !
    • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

      Posté par (page perso) . Évalué à -9.

      Trop gros...
    • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

      Posté par . Évalué à 7.

      Y-a-t-il un risque de compromission réussite un jour ?

      Ce pourrait étre un nouveau fléau, plutot que des vers qui attaques des failles, pourquoi pas modifier les fichiers à leur sources, avec toutes ces mahines qui font des MAJ automatiquement... Ca pourrait rapidemment se propager et contaminé une multitude de machine.

      Comment connaitre les moyen mis en oeuvre par les "responsable" pour éviter ce genre d'incident ?

      Duke
    • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

      Posté par . Évalué à 7.

      C'est vrai que ca la fout mal, il n'y a pas 15 jours un serveur cvs de linux est compromis, maintenant celles de debian.

      Et on(je) ne sait pas comments ils ont fait pour la machine cvs.
      Un exploit non publie peut etre.

      Une backdoor dans linux, quoi dans la debian?

      Le mode operatoire est il le meme, les attaquants aussi?
      Quel est le but? est-ce Microsoft ? apple ? openbsd? stallman? MultideskOS? Sadam Hussein?


      Je risque de me faire moinser, mais l'architecture de dev des logiciel libre *apparait* comme vulnerable.
      Il est possible de securiser la chose (BitKeeper, gpg, signatures, ...etc) mais cela n'est pas fais systematiquement. D'autres le font (Apple, microsoft, redhat,..).


      Il serais bien de la faire systematiquement, tant pour le processus de dev (a quand les machines des developpeurs compromisent) que pour la distributions.


      PS: mon clavier n'aime pas les accents, c'est plus facile de taper un ß qu'un {.
      • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

        Posté par (page perso) . Évalué à -4.

        Salam aleikoum
        Sadam Hussein?
        Mais non, c'est pas lui.
        <troll>
        Debian c'est pour les 'spèces di counnasses.
        Mandrake Ruliz
        </troll>

        Ossama
      • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

        Posté par (page perso) . Évalué à 3.

        Il est possible de securiser la chose (BitKeeper, gpg, signatures, ...etc) mais cela n'est pas fais systematiquement.
        Tu peux toujours refuser d'intaller un package s'il n'est pas signé. Cependant, la signature ne t'assure pas que le code n'est pas vérolé mais simplement que depuis qu'il a été signé, le fichier n'a pas été modifié.
        En fait, le problème reste toujours le même. Ce genre de démarche (signature...) demandent :
        - de la technique. Les soft existent, de ce côté là c'est bon ;
        - une infrastructure lourde pour produire et distribuer des certificats, avoir une machine sûre qui signe... Des entreprises avec des moyens comme Microsoft ou Sun peuvent le faire, pour des associations comme Debian c'est probablement plus difficile à mettre en place.
        • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

          Posté par . Évalué à 1.

          Encore faut il que les signatures soient recupere sur une autre machine.

          Celui qui change un package , y a des grandes chances qu il mette la signature qui va avec.
          • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

            Posté par . Évalué à 6.

            Toutes les signatures de dévelopeurs debian sont certifiés, signées entre elles, et un package existe avec les clefs des developeurs debian; ie. les paqueteurs officiels qui ont le droit de mettre des paquets dans l'archive debian.
            • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

              Posté par . Évalué à 7.

              Ah ouais et qd tu le récupères le paquet, t'es sûr qu'il est pas vérolé si tu n'est pas développeur Debian et ne fait pas partie du cercle de confiance ?

              Il y a toujours un moment où il faut avoir accepter un risque dans le mécanisme des signatures (IGC ou GPG) si tu es utilisateur lambda.

              De plus la signature sur Debian est faite par ftpmaster et je ne sais pas si c'est un processus automatisé (ou non), effectué en ligne (ou non) mais si c'est le cas, cette clé s'expose à une compromission.
              • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                Posté par . Évalué à 1.

                Il y a toujours un moment où il faut avoir accepter un risque dans le mécanisme des signatures (IGC ou GPG) si tu es utilisateur lambda.

                Sauf si tu rencontres des développeurs Debian... et c'est pas dur (j'en connais 3 ou 4 personnellement, et j'en ai croisé 2 ou 3 autres à diverses réunions de geeks)
                • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                  Posté par . Évalué à 3.

                  Question con: Les paquets PLF ne sont pas "signés" en tant que tels ("La clé GPG ne correspond pas"). Est ce que ca empeche ceux qui ont pris connaissance de PLF de les installer. Nein.

                  Pourquoi? Parce que, aussi bete que ca puisse paraitre, toutes vos protections techniques ne sont rien sans un minimum de confiance.

                  Ok je brace du vent mais il est bon de le rappeler.
                  Pour l'utilisateur lambda, un .iso téléchargé directement depuis un site officiel est forcément vérifié. Ca doit aussi venir du temps où les cd-roms des magasines étaient estampillés "ce cd-rom a été testé contre tous les virus connus à ce jour"...

                  plagiats
                  • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                    Posté par (page perso) . Évalué à 4.

                    > Les paquets PLF ne sont pas "signés" en tant que tels

                    Ils sont signés, par la clé plf, pas par celle de mdk.
                    Tu peux télécharger la clé plf sur le site Web.

                    Bon, tu vas me dire que le site Web est peut être compromis, mais dans ce cas ceux qui ont l'ancienne clé s'en appercevront bien vite. Prend la clé sur le site Web, si tu entend personne raler pendant 15j tu peux considérer qu'elle est fiable sans trop de risques, ou alors il y a un méga complot planetaire à l'encontre de plf.
              • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                Posté par (page perso) . Évalué à 0.

                Ah ouais et qd tu le récupères le paquet, t'es sûr qu'il est pas vérolé si tu n'est pas développeur Debian et ne fait pas partie du cercle de confiance ?
                C'est le gros probème de GPG, il ne fonctionne bien que pour de petites communautés, après c'est un peu le bordel. Peut-être Debian devrait penser à passer à X.509 ? Après tout c'est aussi un standard ouvert (RFC 3280). L'infrastrucure à mettre en place est plus lourde (autorité de certification, d'enregistrement, gestion de CRL ou OSCP...) mais ç'est bien plus adapté à des déploiement massifs.
      • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

        Posté par (page perso) . Évalué à 3.

        > C'est vrai que ca la fout mal, il n'y a pas 15 jours un serveur cvs de linux est compromis, maintenant celles de debian.

        Manquerait plus que ftp.gnu.org soit compromis!
        Comment ça c'est déjà arrivé cette année?
        • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

          Posté par . Évalué à 1.

          Ce n'était pas un serveur cvs.
          Et c'était un essai de corruption, les systèmes de défences et de protections ont fonctionnés.
          • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

            Posté par . Évalué à 2.

            Euh....

            cf. http://ftp.gnu.org/MISSING-FILES.README(...)

            Le serveur a ete hacke en Mars 2003, et ils l'ont decouvert la derniere semaine de Juillet.

            Ca fait 4 mois entre la date du hack et la detection, niveau systeme de defense j'ai vu mieux...
            • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

              Posté par (page perso) . Évalué à 4.

              Vu que le serveur n'avait toujours pas été patché pour ptrace, je pense qu'on peut parler d'incompétence totale de la part des administrateurs.

              L'intrusion sur les machines Debian a été détectée en moins de 24 heures, et auric, la machine hébergeant l'archive n'a pas été compromise.
              • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                Posté par (page perso) . Évalué à -5.

                La machine à été craquée avant même qu'un patch soit disponible.

                Avant d'insulter les gens, renseignes-toi, cancrelat.

                A part cela, puisqu'on en est à transposer le conflit Debian / GNU à tout et n'importe quoi, on fera remarqué que le crackage d'une machine de GNU n'a pas impliqué le crackage de 4 autres machines.
                • [^] # Commentaire supprimé

                  Posté par . Évalué à 0.

                  Ce commentaire a été supprimé par l'équipe de modération.

                  • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                    Posté par (page perso) . Évalué à -2.

                    Quand je lis JJB écrire que le « serveur n'avait toujours pas été patché pour ptrace », il me semble que la critique concernant quand la machine a été craqué.

                    Pour le reste, les serveurs de sourceforge ont aussi eu un trojan pendant plusieurs mois, toutes les intrusions ne sont pas nécessairement facilement détectables, quand elles ne sont pas suivies d'opérations offensives.

                    Bref, les propos à l'emporte pièce de JJB ne me semble ici n'avoir qu'un but : transposer le conflit Debian / GNU dans lequel il est bon de signaler que JJB est loin de toute neutralité.
                    • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                      Posté par (page perso) . Évalué à 0.

                      Bref, les propos à l'emporte pièce de JJB ne me semble ici n'avoir qu'un but : transposer le conflit Debian / GNU dans lequel il est bon de signaler que JJB est loin de toute neutralité.

                      T'en as pas marre de voir du conflit Debian / GNU partout ? Tu ne crois pas que tu as assez cassé les couilles à tout le monde à ce propos, au point que plusieurs personnes se sont officiellement opposées à ta candidature en tant que mainteneur ?
                      • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                        Posté par (page perso) . Évalué à -3.

                        « Tu ne crois pas que tu as assez cassé les couilles à tout le monde à ce propos »

                        Non, je ne crois pas que « le monde » entier t'es chargé d'exprimer sa vision des choses. Je crois que ce que tu dis ne represente que ton point de vue et celui de tes amis.

                        « au point que plusieurs personnes se sont officiellement opposées à ta candidature en tant que mainteneur ? »

                        J'ai bien vu certains messages hors-sujet de cette nature, mais rien d'officiel. Je suppose que cela demanderais un argumentaire concret et élaboré.
                  • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

                    Posté par . Évalué à 2.

                    apparemment c'est surtout parceque l'intrus n'a pas modifié les programmes dispo en téléchargement que cette intrusion est passée inapperçue
                    http://ftp.gnu.org/MISSING-FILES.README(...)
                    rien de grave pour cette fois donc

                    une fois le noyau d'un système compromis par un très bon rootkit (qui modifie carrément les appels sytèmes pour cacher toute trace de l'effraction) il est nécessaire de rebooter (sur un CD, floppy ou clé USB) pour vérifier l'intégrité du système.
                    on peut aussi démonter chaque disque et vérifier son intégrité sur une autre machine

                    on peut surtout leur reprocher de ne pas utiliser d'outils de controle d'accès des appels systèmes comme systrace qui est aussi un bon IDS (ils signale quand un appel système inhabituel est effectué, et ptrace en est souvent un )

                    PS: je persiste à penser que des piratages arrivent aussi sur les machines des développeurs de systèmes non ouverts, mais il est alors très difficile pour un utilisateur de savoir qu'une backdoor est dans le programme closed source qu'il utilise
                • [^] # on peut interdire les appels systèmes comme ptrace

                  Posté par . Évalué à 2.

                  La machine à été craquée avant même qu'un patch soit disponible.
                  attention il faut bien préciser de quel type de patch on parle:
                  - le patch corrigeant exactement le bug de ptrace n'était pas disponible

                  - mais plusieurs patchs permettant d'interdire l'utilisation de ptrace par certains exécutables étaient depuis longtemps disponibles (des patches spécifiques à ptrace ou bien les nombreux patches de controle d'accès aux appels systèmes comme grsecurity et systrace)
                  C'est une faute de ne pas avoir interdit l'utilisation de ptrace à tous les exécutables d'un serveur internet (car ptrace est peu utilisé et surtout pour des débuggages)
          • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

            Posté par (page perso) . Évalué à 1.

            > les systèmes de défences et de protections ont fonctionnés.

            ah ? essaye de chopper la dernière version stable de http://www.gnu.org/software/libtool/(...) par exemple ..
    • [^] # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

      Posté par . Évalué à 4.

      Venant d'une distribution aussi sérieuse, ça la fout mal.

      Ah, elle est belle l'image du logiciel libre !


      C'est ridicule ce que tu dis.

      Le fait qu'il y ai une faille dans un logiciel et que celle ci ne soit connu que de certains hackers n'affecte en rien ni une quelquonque distribution et son sérieux ni le Logiciel Libre.
      Des failles exploitables il y en a depuis des lustres dans tout logiciels, que ce soit sur du propriétaire ou sur du Logiciel Libre, le fait que des serveurs Debian est été compromis ne change rien.

      Surtout que l'équipe de sécurité Debian s'en est rendu compte assez vite. Ce n'est peut être pas le cas de tous.

      Ensuite, il n'y a pas assez d'élèment pour savoir ce qui en résulte exactement, faille, mot de passe d'un admin volé, cheval de troie sur un admin utilisant Windows (bon okay, la j'ai de grand doutes)...
  • # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

    Posté par . Évalué à 5.

    Quelqu'un peut m'expliquer ce que signifie "compromis" dans ce sens ? Est ce que ca veut dire que certains paquets on été remplacé par d'autres qui ne viennent pas de l'équipe Debian ? Si j'ai fait un upgrade de ma machine hier, est ce que potentiellement j'aurais des paquets corrompus sur ma machine et/ou comprenant du code malicieux ? Est-ce qu'il y a un moyen d'avoir d'autres informations plus précises, ou faut-il attendre un peu ?
    A part l'énervement dû à cette nouvelle, je me demande vraiment quel est l'objectif d'une attaque de ce type. C'est l'assaut de sécurité de la part de Micromou ???
  • # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

    Posté par . Évalué à 0.

    j'ai cette doc pour "securiser" les maj avec apt :

    http://free2.org/d/(...)
  • # Update : les commentaires des administrateurs

    Posté par (page perso) . Évalué à 5.

    http://www.wiggy.net/debian.xhtml(...)

    (Qui semble pour l'instant privilégier la théorie du vol de mot de passe.)
  • # Côté positif

    Posté par . Évalué à 6.

    J'aimerais aussi qu'on regarde du côté positif : ces intrusions ont été détectées; dans l'intrusion du Kernel, cela n'a pris que 15 minutes.

    Les conséquences de ces intrusions renforceront les mesures de sécurité, la qualité des produits de surveillance et la vigilance des sys admin.

    La sécurité est comme une chaîne, sa solidité est celle de son maillon le plus faible or dans le développement du LL, il y a toujours un moment où on doit faire confiance à qq'un que, finalement, on ne connait pas. C'est une force de pouvoir collaborer librement avec des gens que nous n'avons jamais rencontré mais aussi une faiblesse que les LL doivent tolérer.

    Verser dans la parano nous affaiblirait; cacher ce genre de choses aussi, même si à court terme cela servirait certains.

    Je pense que cette nouvelle mode n'est pas due au hasard, soyons sûr que cela continuera et que jamais nous n'aurons de certitudes sur l'identité des pirates ou des commanditaires s'il y en a.
    • [^] # Re: Côté positif, backdoor secrètes, systrace, diff

      Posté par . Évalué à 2.

      il y a toujours un moment où on doit faire confiance à qq'un
      Tout à fait et d'ailleurs dans les projets non ouverts ce genre d'incident peut aussi exister mais n'est pas claironé et sans publication du source il sera encore + difficile pour les utilisateurs de savoir un jour si des backdoors ont été ainsi introduites (et quand )

      Pour les paranos il y a aussi des outils comme systrace qu'on peut tout à fait utiliser avec apt-get (si on est patient) pour controler ce que font les nouveaux paquets.
      Mais ce n'est certainement pas un moyen de protection fiable à 100% (il n'y en a pas)

      Pour les ultra paranos (ça doit exister quelque part) on peut aussi faire un diff de chaque nouveau paquet avec l'ancien pour voir où sont les modifications (et même laisser tomber celles dont on a pas besoin).
  • # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

    Posté par . Évalué à -3.

    A priori, le non-us remarche, j'ai pas encore testé security
    Pour vérifier si vos packages sont bien signés : http://free2.org/d/(...)
    (lien trouvé sur knoppixfr ;)
  • # Re: Plusieurs machines-maîtres du projet Debian auraient été compromises

    Posté par (page perso) . Évalué à 1.

    Complément d'information : un post sur la ML debian-devel-announce vient de spécifier ce qui s'est passé plus en détail, et les mesures en cours.

    http://lists.debian.org/debian-devel-announce/2003/debian-devel-ann(...)

    En gros, ça confirme que tout est parti d'un mot de passe sniffé, qui a permis l'installation d'un root-kit, qui a ensuite permis de récupérer des accès sur les autres machines, et l'installation du même rootkit (SuckIt) sur l'ensemble des machines.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.