Um invasor desconhecido conseguiu obter privilégios de root para alguns dos servidores mais importantes no kernel.org (conhecido como "hera"), que é o site principal de distribuição para o kernel do Linux, e para uma variedade de software relacionada ao referido sistema operacional. A área de notícias do site mostra que os administradores detectaram a intrusão no último dia 28 de agosto.
O modo comportamental do servidor já havia chamado a atenção dos desenvolvedores em meados de agosto, após uma reinicialização e uma atualização do kernel, devido à situações de kernel panic que se manifestaram diversas vezes. Dessa maneira, foi possível realizar a descoberta da intrusão.
Investigação Sobre Obtenção de Privilégios de Root
Segundo o andamento das investigações, o intruso obteve o acesso através de uma conta de usuário comprometida. Há grandes possibilidades de que ele tenha explorado falhas de segurança para escalar os seus privilégios de root. Porém, não há nenhuma precisão nas informações divulgadas até o momento.
Devido à essa ocorrência de violação, os administradores dizem que os repositórios de código fonte talvez sejam alterados, mas isso ainda está em processo de análise. A declaração sobre o incidente também diz, que o dano potencial causado por uma intrusão é muito menor no kernel.org do que em outros sites de hospedagem (código fonte).
Isso pode muito bem ser atribuído ao fato de que os desenvolvedores do kernel trabalham com Git, que utiliza um hash SHA1 para cada arquivo de código fonte; de acordo com os desenvolvedores, uma vez que isso tenha sido publicado, nenhuma alteração feita em relação a esses arquivos podem passar indiferente.
Kernel.org pode parecer o lugar onde o desenvolvimento do kernel é feito, mas não é, ele se caracteriza realmente apenas como um ponto de distribuição. A integridade desse ponto de distribuição é protegida pela combinação de software inteligente e milhares de cópias do repositório distribuído em todo o mundo. Assim, quando houver a afirmação de que a fonte do kernel não foi comprometida no kernel.org, pode estar certo de que não ocorreu mesmo nenhum tipo de dano.
Análise Sob a Ótica dos Desenvolvedores
Jonathan Corbert, kernel hacker e editor do LWN.net, dá uma explicação plausível sobre o que foi citado acima, através de um texto publicado no blog da Linux Foundation. Na sequência, o desenvolvedor Git ( desenvolvimento primário), Junio C. Hamano, explora, através de um detalhamento ainda maior, as possibilidades de um potencial invasor realizar a tentativa de alteração em um repositório Git.
Além disso, Hamano afirmou que aqueles que obtiverem o código fonte do Linux via Git, podem ter certeza de que não receberam uma versão em que o código malicioso tenha sido injetado. No entanto, a declaração feita no kernel.org não menciona, de maneira explícita, se o kernel patches (código fonte) e arquivos .tar acessíveis através de links na página principal do próprio kernel.org, estejam sem nenhum vestígio de violação.
Enquanto a integridade destes arquivos puder ser verificada através de assinaturas PGP, a descrição deste mecanismo afirma que as assinaturas são geradas em um dos servidores no kernel.org. Portanto, atualmente não está claro se o intruso tinha acesso a todos os componentes necessários para a assinatura de um arquivo modificado.
Links de Interesse:
-The Cracking of Kernel.org
-Git Blame
Mensagem do Sistema