jeudi 02 juillet
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

: Du nouveau sur les serveurs Debian compromis

Posté par Brunus (). Modéré le 28 novembre 2003.
0
Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.

Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.

> Lire la suite (118 commentaires, moyenne: 2,6).   [dépêche : 845 caractères]

On peut lire les détails de l'intervention sur chaque machine, et une analyse des causes probables et des conséquenses des failles utilisées pour pénétrer ces machines.

Les machines étaient approximativement à jour, et les patchs de sécurités appliqués.
La machine master disposait pourtant assez bizarrement d'une copie de son ancienne installation...avec bien sur des binaires non patchés.

Tous les comptes ont été fermés, les mots de passe invalidés et les clefs ssh retirées...et ça va durer.

Comme le précise l'auteur de la dépêche sur Slashdot, la faille locale exploitée n'a pas été utilisée pour pénétrer la machine Sparc qui héberge l'archive ftp principale. C'est donc peut être une faille liée aux architectures i386 uniquement...

Je conseille à tous de lire l'annonce postée sur la liste Debian avant de réagir sur DLFP.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

[+] Re: Du nouveau sur les serveurs Debian compromises

Posté par Christophe (rOotix) GUILLOUX (Jabber id, page perso, ) le 28/11/2003 à 18:04. (lien). Évalué à -10.

moi qui croyait que Debian est super sécurisée comme quoi....

--
http://rootix.info

Re: Du nouveau sur les serveurs Debian compromises

Posté par m4k_pem () le 28/11/2003 à 18:04. (lien). Évalué à 3.

J'ai peur que cet exemple ne soit désormais mis en avant par les détracteurs du libre, comme quoi c'est aussi sensible qu'autre chose au piratage.
Sinon, cela risque-t-il de retarder le projet Debian ?

[+] Re: Du nouveau sur les serveurs Debian compromises

Posté par passant () le 28/11/2003 à 18:09. (lien). Évalué à -1.

Je pensais que c'était dans les films qu'on pouvait casser des sécurités aussi rapidement... Maintenant reste a voir combien de temps MS va mettre pour annoncer avoir trouvé un bug chez Debian :-)

On Wednesday 19th November (2003), at approximately 5pm GMT, a sniffed
password was used to access an (unprivileged) account on
klecker.debian.org. Somehow they got root on klecker and installed
suckit. The same account was then used to log into master and gain
root (and install suckit) there too. They then tried to get to murphy
with the same account. This failed because murphy is a restricted box
that only a small subset of developers can log into. They then used
their root access on master to access to an administrative account
used for backup purposes and used that to gain access to Murphy. They
got root on murphy and installed Suckit there too. The next day they
used a password sniffed on master to login into gluck, got root there
and installed suckit.

o Klecker init timestamp: Nov 19 17:08
o Master sk timestamp: Nov 19 17:47
o Murphy sk timestamp: Nov 19 18:35
o Oopses on Murphy start: Nov 19 19:25
o Oopses on Master start: Nov 20 05:38
o Gluck init timestamp: Nov 20 20:54

--
--

Re: Du nouveau sur les serveurs Debian compromises

Posté par marcMC () le 28/11/2003 à 18:19. (lien). Évalué à 2.

Moi, l'ignorant, le débutant, le petit, le naïf, je ne comprend pas comment il est possible de devenir root en partant d'un compte utilisateur sans privilèges. Pourquoi alors, sur une machine perso à la maison, dire que se connecter toujours (voire uniquement) en root est dangereux ?

Typo

Posté par durandal () le 28/11/2003 à 18:22. (lien). Évalué à 6.

Y'a une erreur dans le titre. Tout le monde aura bien sûr rectifié. On dit "serveuses", et non "serveurs" avec "compromises".

Re: Du nouveau sur les serveurs Debian compromis

Posté par XHTML/CSS inside (page perso, ) le 28/11/2003 à 20:07. (lien). Évalué à 2.

Ca veut dire quoi "rootkitées" ???

--
In tartiflette we trust !

[+] Re: Du nouveau sur les serveurs Debian compromis

Posté par Zorro () le 28/11/2003 à 20:27. (lien). Évalué à -7.

C'est quand même bien la preuve que Debian c'est nul, parce que c'est pas sur les serveurs de Mandrake que ça arriverait.
(hihihi...)

Re: Du nouveau sur les serveurs Debian compromis

Posté par kapouik () le 28/11/2003 à 20:53. (lien). Évalué à 8.

Soyons honnête : ce n'est pas le système Debian qui est en cause mais, comme dans la majorité des problèmes de sécurité, c'est plus dû à manque de rigueur de la part des administrateurs que par l'exploitation d'une hypothétique faille inconnue :

- Première erreur : "The kernels running on the machines in question didn't all get a ptrace fixed kernel as fast one might have liked ". Trop de temps s'est écoulé entre la sortie du patch et son application, laissant une fenêtre de temps ouverte à un exploit. Plus cette fenêtre est grande, plus elle risque d'être exploitée.

- Seconde erreur : "Master had a copy it's old harddrive still lying around by accident. Unfortunately it had a lot of old, unpatched suid binaries on it". Les anciens binaires suid, qui peuvent contenir des failles, ont pu être exploités pour gagner des privilèges

- Troisième erreur : "All the compromised machines were running recent kernels and were up-to-date with almost all security updates". Un système est à jour ou il ne l'est pas : s'il est "presque" à jour au niveau sécurité, il n'est pas totalement sécurisé. S'il toutes les mises à jour de sécurité sont appliquées, on peut considérer qu'il est à jour et sécurisé au regard des failles existantes. Si les mises à jour sont partiellement appliquées, on ne peut pas raisonnablement considérer que le système est sécurisé. C'est d'autant plus étonnant que Debian est connue pour son système de mis à jour très élaboré, donc c'est bien un certain laxisme qui pourrait être en cause.

L'auteur du message ne pense pas que ces erreurs aient été exploitées et invoque probablement un exploit local existant et inconnu : je me permets d'exprimer mon sceptissisme car dans l'hypothèse où une telle faille existe, elle n'excuse pas du tout les erreurs d'administration précédentes. Si les systèmes avaient été correctement administrés, la piste de recherche vers une faille local inconnue aurait été beaucoup plus logique.

Re: Du nouveau sur les serveurs Debian compromis

Posté par gege (page perso, ) le 28/11/2003 à 21:28. (lien). Évalué à 6.

Il y a des liens très interressants sur la page de Wichert Akkerman qui permettent
d'avoir des infos sur comment sécuriser un peu mieux sa machine quand on n'est pas un guru de la sécurité.

Il parle par exemple d'outils comme debsum qui permet de vérifier les checksums des packages, aide (http://www.cs.tut.fi/~rammer/aide.html(...)) qui permet de vérifier l'intégrité et les dates et autre des binaires, fichiers de conf, etc... Il décrit aussi les rootkit et des softs qui permettent de les repérer. Enfin
il donne quelques configs à activer dans le kernet pour + de sécurité

Enfin comme ça a déjà été dit il évoque des bonnes pratiques de sécurité.

Bref que du bon pour des gens qui cherchent à en savoir un peu plus sur la sécurité des Unix

[+] Re: Du nouveau sur les serveurs Debian compromis

Posté par Pascal (page perso, ) le 29/11/2003 à 10:18. (lien). Évalué à -2.

Moi je me demande comment va faire la Team Debian. Cela fait 2 fois qu'ils se font attaquer, en ayant une securité maximum (enfin je pense), avec toutes les programmes à jour
Conclusion, l'attaquant utilise une faille aujourd'hui inconnue.

Que peut faire Debian??

3 solutions:
- Mettre la tête du pirate à prix (comme Microsoft pour Blaster, Nimda....), mais je pense qu'ils ont pas les moyens

- Essayer de trouver en examinant les sources des applications qu'ils utilisent, la faille de sécurité que le pirate a utilisé et la corrigé. Mais c'est difficile et cela demande énormément de temps.

- Arrêter complètement le service incriminé (s'ils savent lequel bien sur)

- Utiliser une autre OS comme Windows, mais ils ont encore plus de chances de se retrouver dans la meme situation d'ci quelques mois.

Il faut avouer qu'ils doivent se retrouver dans un impasse, devant laquelle tout administrateur réseau peut être confronté un jour ou l'autre..
Que faire dans cette situation??

Il y a au moins 2 failles à prendre en compte

Posté par Jetto () le 29/11/2003 à 11:26. (lien). Évalué à 4.

Ce qui est démontré dans le cas Debian c'est qu'il à fallu au moins 2 failles de sécurité pour passer root.

Si les éléments pour comprendre l'usurpation des privilèges de root manquent actuellement, ce seul défaut n'aurait pas suffit à quelqu'un d'extérieur au projet pour exploiter cette faille (Je fais l'hypothèse que tous les mainteneurs Debian sont gentils.).

Il a donc fallu exploiter en premier lieu un autre défaut pour se faire passer pour un utilisateur normal d'une machine Debian.

Je regrette le manque d'explication sur ce préalable, et je vais tenter de proposer plusieurs hypothèses naïves que je soumet à votre sagacité.

Tout d'abord il faut envisagé les cas non techniques. Je n'en vois qu'un. C'est le cas ou le pirate a regardé par dessus l'épaule d'un mainteneur Debian au moment où il se loggait sur une machine Debian (cas 0).

Les cas techniques que j'entrevois sont les suivants :
1 - espionnage de l'entrée du mot de passe au clavier
2 - exploitation d'une faille dans SSH/OpenSSH permettant de décrypter le mot de passe envoyé
3 - vol d'une la clé privé OpenSSH
4 - autres exploitations de faille SSH permettant de se passer d'une authentification
5 - exploitation d'une faille GPG permettant de décrypter un message et interception d'un mail de demande de changement de mot de passe
6 - interception d'une transaction SSL de demande de changement de mot de passe
7 - espionnage de la page/mémoire du navigateur lors du changement par un mainteneur Debian de ses info personnelles sur le site db.debian.org.

Dans les cas 0,1,3 et 7 il faut probablement que le pirate soit root pour que cela soit possible, et donc qu'il soit administrateur de la machine ou qui ai usurpé les droits de root sur cette machine également.

Il me semble que l'on peu raisonnablement se prémunir contre ces 4 cas par l'application d'une politique de sécurité rigoureuse mais malheureusement contraignante, qu'il risque d'être difficile à imposer à une communauté de bénévoles.

Par contre pour les cas restants, la seule solution que j'envisage est de rechercher les failles et de se passer des services inutiles.

Vous avez d'autres idées ?

Re: Du nouveau sur les serveurs Debian compromis

Posté par Castor666 () le 29/11/2003 à 12:55. (lien). Évalué à 5.

Un traduction française de http://www.wiggy.net/debian/explanation/(...) :
- http://castor-server.homelinux.org/debian/(...)

Si vous voyez des fautes, mailez-moi je serais de retour ce soir pour les corriger.

Max

Re: Du nouveau sur les serveurs Debian compromis

Posté par vaol () le 30/11/2003 à 15:26. (lien). Évalué à 0.

Moi en fait je trouve que c bien ce qui arrive a debian meme a tous ceux qui particitipent au developpement du libre, ca va permettre a tous de ce remettre en cause. On vient tous de prendre un gros coup de pied au CUL et ca va faire du bien a tous. Ca montre que Debian et les autres distrib ne sont pas incassables et qu'il faut toujours etre attentif.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.368s (dont 0.0329 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !