Fundação Apache investiga invasão a seus servidores
Via NotíciasLinux:
Nesta sexta-feira os servidores da fundação Apache apresentaram durante algumas horas uma página informando que estavam investigando um incidente em seus servidores.
Ao que parece, primeiro foi comprometido via SSH o servidor minotaur.apache.org, depois os arquivos foram replicados para o resto da infraestrutura, incluindo www.apache.org. Segundo a Apache a investigação continua e por enquanto não se tem conhecimento dos usuários finais afetados, ainda que recomendem sempre efetuar a verificação da assinatura dos arquivos. (via noticiaslinux.com.br)
Saiba mais (noticiaslinux.com.br).
• Publicado por Augusto Campos em
2009-08-31
@brlinuxblog
Feed RSS
Ultimamente o mundo open source vem esbanjando segurança nos seus sites.
Sabe como é, Vinicius, a notícia é a exceção.
A rotina não dá manchete. Não haveria capa suficiente pros problemas do maravilhoso mundo do Monkey boy.
Sem nem comentar os problemas nunca revelados.
Pois é: quando ocorre a violação da segurança de uma empresa de open source consagrada, a notícia é quente.
Quando um novo vírus for Windows nasce (dezenas todos os dias) é rotina.
Sabe como é… A notícia só é quente quando alguém muito bom é atingido.
SSH e Apache: 2 das soluções mais usadas no mundo. Qualidades eles têem.
Caso contrário seriam o Terminal Services e o IIS as soluções mais usadas no mundo.
Não como é a estrutura interna dos servidores que eles possuem, mas o mínimo que eu espero é que os processos não necessitem de usuário privilegiado e rodem no mínimo em “chroot jail”.
Agora resta a nós mortais, torcemos para que as POSIX capabilities tornem-se padrão no kernel, e possamos dispensar SUID e SGID bit na maioria dos aplicativos. Já faço alguma coisa relacionada, mas não ajuda muito se cada vez que eu atualizo os pacotes de qualquer distro as permissões voltam a ser como eram. A solução paleativa que estou trabalhando é um script adaptável para que rode em qualquer distro e faça o serviço de forma transparente, inclusive com relatórios.
Existem diversas abordagens diferentes para o tema, e uma que é interessante (e resumida) é essa:
http://wiki.archlinux.org/index.php/Using_File_Capabilities_Instead_Of_Setuid
Alguma coisa eu já andei “despejando” no meu blog, mas nada ainda elaborado o suficiente para valer uma indicação para postagem no BR-Linux.
Bremm, no caso deles o kernel é outro, a máquina invadida roda FreeBSD, então o esquema de controle de privilégios é outro – o que não invalida o desejo de ter um refinamento maior nesse contexto em todas as demais arquiteturas também.
Manchetes como: “Servidores da Apache são hackeados” ou “Falha no SSH
deixa Apache vulnerável” não tem nada haver com o acontecido, mas
distorcem de forma negativa aos aplicativos envolvidos…
temos que ter cuidado com o que vincula-mos na internet.
https://blogs.apache.org/infra/entry/apache_org_downtime_initial_report
Falha totalmente administrativa …..
Temos quem, Marcelo? Onde você viu alguma dessas manchetes mencionadas?
@ Augusto
Pois é, me abstive de tecer comentários, justamente por desconhecer como as coisas são operadas lá. Li depois o relato na dada referência e fui dar uma pesquisada (só usei o Free como desktop, nada além disso). Eis que ele ainda não possui nada habilitado (no kernel), conforme esta postagem:
http://markmail.org/message/dyzvfug2ewqsvqnl
Pelo que entendi, uma chave SSH “vazou” (especulação minha) e foi com ela que conseguiram acessar o servidor e transferir os arquivos para lá. Talvez por esse motivo o Marcelo tenha comentado sobre ser uma falha administrativa.
O negócio é esperar o próximo relatório. :-/
E agora hein galera linux?
O que vocês vão dizer disso aí?
:)
:)
@jereba,
Se a chave criptográfica vazou ou algum administrador imbecil colocou uma senha fraca, não tem como culpar “a galera do linux”.
Continue usando o seu windows e pegando os milhares de malwares compatíveis com o seu sistema, seu anta !
@jereba,
Como assim, o que vamos dizer disso?
Já estamos dizendo. Isso é um blog, reparou?
@Augusto,
Essa Mensagem que o Marcelo colocou no comentário, reconheci logo de cara !, isso eu escrevi ontem numa discussão na lista da FUG (vide link abaixo [1]). O que acontece que a manchete (ou seja o titulo de uma entrada) da noticia pode distorcer o que realmente possa ter acontecido. Vejamos esse caso mesmo, a manchete diz: “Fundação Apache investiga invasão a seus servidores” e o no conteudo do texto existe outra situação mas leve: “Nesta sexta-feira os servidores da fundação Apache apresentaram durante algumas horas uma página informando que estavam investigando um INCIDENTE em seus servidores.”, O que quero dizer é que vendo uma manchete assim, penso logo em uma vulnerabilidade no software (que tenho em varios servidores) e soa como uma negatividade para o projeto, seria uma analogia mais ou menos assim: “a vizinha sai com um rapaz que não é seu marido, e a dona Maria, outra vizinha, diz pra todo mundo que a vizinha tá saindo com outro homem e se descobre no dia seguinte que o homem com quem ela saiu era o seu irmão oferecendo-lhe uma carona.”
enfim… esperamos ver o que realmente aconteceu para não prejudicar-mos quem não teve culpa. Num contexto geral, saberiamos que um problema de chave exposta do ssh é administrativo e não do software, mas para um leigo que possa estar interessado em SL, soa como um bicho papão.
[1] http://www.fug.com.br/historico/html/freebsd/2009-08/msg00970.html
Luiz Gustavo, mas o incidente que estava sendo investigado era exatamente uma invasão, com inserção de scripts CGI nos DocumentRoots, disseminação interna e execução de arquivos.
Eu concordo que um título pode levar a um entendimento errado, mas não dá pra exagerar pro lado oposto, e querer maquiar. No caso específico, houve um comprometimento grave dos servidores, e ele estava sendo investigado no momento em que compus a notícia (e o título). A causa pode ser simples ou não, mas não dá de esperar a conclusão da investigação antes de divulgar que está sendo investigada, e que houve a invasão.
Vale mencionar que agora que eles já analisaram, concluíram que foi uma invasão “clássica” mesmo, mas a um dos servidores da ApacheCon, integrado aos servidores do projeto Apache (o que possibilitou o suo da chave da conta de backup). O ataque a um dos servidores da ApacheCon levou a comprometimento completo dele, dando ao atacante acesso de root nele, e permitindo que a partir dali ele prosseguisse da forma como havia sido descrita inicialmente, usando chaves e senhas que lá estavam e davam acesso aos servidores do projeto Apache.