Debian-Einbruch: Fünf Fragen an Martin 'Joey' Schulze

Debian-Einbruch: Fünf Fragen an Martin 'Joey' Schulze

Mathias Huber
24.07.2006

Auf einem Server des Debian-Projekts hat sich im Juli ein unbekannter Angreifer Root-Rechte verschafft. Bereits 2003 musste das Projekt einen ähnlichen Angriff hinnehmen.

Nach Angaben von Debian wurden die Administratoren der betroffenen Maschine gluck.debian.org am 12.Juli durch verdächtige Mails auf das Problem aufmerksam und nahmen den Rechner vom Netz. Mittlerweile haben sie den Rechner neu installiert und wieder in Betrieb genommen.

Es handelte sich um einen lokalen Angriff aus einem kompromittierten Entwickler-Account. Auch bei anderen Benutzerkonten entdeckten die Administratoren anschließend schwache Passwörter und sperrten sie zeitweise.

Um Root-Privilegien zu erlangen, nutzte der Angreifer eine Kernel-Vulnerability aus. Die Schwachstelle besteht seit Kernel 2.6.13, ab 2.6.17.4 sowie 2.6.16.24 ist sie behoben. Etwa eine Woche vor der Entdeckung des Einbruchs wurden für dieses Problem Kernel-Patches zur Verfügung gestellt.

Auf dem kompromittierten Server lief Kernel 2.6.16.18. Das Debian Projekt betonte, Installationen von Debian Sarge seien nicht betroffen, da diese Version Kernel 2.6.8 verwendet.

Die Linux-Community befragte Martin 'Joey' Schulze vom Debian-Projekt zu den Vorgängen:

Gibt es weitere Erkenntnisse des Forensik-Teams? Ist sichergestellt, dass der Rechner zur Laufzeit keine weiteren Backdoors/Rootkits hatte, die sich nicht auf der Platte verewigt haben?

Wir haben keine weiteren Backdoors oder Rootkits gefunden, das Systemjedoch zur Sicherheit trotzdem neu aufgesetzt.

Warum wurde keine strengere Passwort-Policy enforced?

Weil es die Entwicklung beeinträchtigt.

Es gibt (IMHO) zwei Policies, die diesen Angriff hätten verhindern können:

1. One-time-passwords, Securid oder Ähnliches - Nicht praktikabel, weil mehr als 1000 Clients benötigt würden (hoher Kostenfaktor). Bei kommerziellen Lösungen fehlt zudem die Freie Software.

2. Einloggen nur via SSH-Key. Ob das langfristig gereicht hätte, ist fraglich, denn der Angreifer hat sich ja auch schon auf dem Rechner des Entwicklers getummelt, kann dort auch das SSH-Passwort und Root erlangen.

Warum haben die Administratoren den Kernel nicht früher gepatcht? Nach unserer Rechnung hätten sie rund eine Woche vor Entdeckung des Einbruchs Zeit gehabt.

Nicht jedes Kernel-Problem wird sofort als gefährlichesSicherheitsproblem erkannt. Außerdem dauert es eine ganze Weile, über 40Rechner unterschiedlicher Hardware und Konfiguration zu aktualisieren.

Warum betreibt Debian den Server nicht mit einer stabilisierten Version wie Sarge, die von einem Security-Team betreut wird?

Weil aufgrund der verwendeten Hardware Features benötigt wurden, dienicht im Sarge-Kernel enthalten sind.

Wie hat sich der Angreifer genau verraten? Wie sahen die "verdächtigen Mails" aus? Oder schlug das Intrusion Detection System (IDS) an?

Es handelte sich um "Merkwürdige" Cron-Mails. Das IDS schlug anschließend an.

Kommentare
Re: Debian-Einbruch: Fünf Fragen an Martin 'Joey' Schulze
Xunil , Freitag, 28. Juli 2006 14:15:16
Ein/Ausklappen

IMHO, alles faule Ausreden. Sie zeigen wieder mal nur zu deutlich, dass auch beim Debian-Projekt nur mit Wasser gekocht wird. Manchmal erwecken Leute, die sich als ueberzeugte Debianer geben eher wie Trolls oder Mitglieder einer Ordensgemeinschaft: alles bei Debian ist toll, alles ist sicher - die sicherste Distro ueberhaupt, alles ist einfach. Der Gipfel der Trollerei ist dann immer "apt-get distupgrade" etc.. Willkommen in der Gegenwart die sich ja eh nur bedingt schoenluegen laesst.


Bewertung: 184 Punkte bei 38 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Debian-Einbruch: Fünf Fragen an Martin 'Joey' Schulze
Christian Berg, Freitag, 28. Juli 2006 22:25:31
Ein/Ausklappen

IMHO sollte man den Artikel lesen bevor man trollt.
"alles bei Debian ist toll, alles ist sicher - die sicherste Distro ueberhaupt, alles ist einfach." Wo in diesem Artikel kommt das vor? Der Artikel liest sich eher nach:
"Alles in dem zachen Sarge ist veraltet, mit dem antiken Schrott können wir nichtmal unseren Hauptserver betreiben darum müssen wir mit userer Beta Version Arbeiten. Das ist um so depremierender weil die Faulen Eier von freiwilligen Helfern nicht einmal in ganzen 7 Tagen einen neuen Kernel in testing bringen und auf allen 40 Rechner den Dreck apt-getten!"
Wow! Der Debian.org-Troll hat ja mal wieder die volle PR Trommel gerührt!

Vielleicht vergisst hier jemand die tausende unbezahlte Stunden Arbeit die in dem Projekt stecken die dazu auch noch in der Freizeit passieren. Ansonsten kann ich mir einen solchen armseligen Angriff nicht erklären.

Übrigens: Eine Maschine mit 2000 Shell Accounts öffentlich über das Internet anzubieten ist eigentlich eine Art Harakiri Aktion. Sourceforge braucht dafür eine 24/7 Adminteam, eine auf Spenden angewiesene Organisation kann sich so etwas schwer leisten.



Bewertung: 171 Punkte bei 41 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Re: Debian-Einbruch: Fünf Fragen an Martin 'Joey' Schulze
Joey Schulze, Sonntag, 30. Juli 2006 11:58:31
Ein/Ausklappen

Natürlich wird bei Debian auch nur mit Wasser gekocht. Im Projekt engagieren sich Menschen wie Du und ich, keine Übermenschen oder Superhelden. Gearbeitet wird zu großen Teilen in der Freizeit. Eingesetzt werden herkömmliche Maschinen und teure Server.

Die Unterstützung von Hardware geschieht im Kernel. Wenn Hardware eingesetzt wird, für die der Kernel nicht vorbereitet ist, z.B. weil es die Hardware beim Release noch gar nicht gab, wird ein neuerer Kernel benötigt.

Genau das ist hier der Fall. Es wurde ein teurer Server eingesetzt, den HP uns dankenswerterweise zur Verfügung gestellt hat. Allerdings war der in Sarge enthaltene Kernel nicht für diese Hardware geeignet, so daß ein neuerer verwendet wurde.

Mit dem in Sarge verteilten Kernel hätte dieser Einbruch auf Root-Ebene nicht geschehen können, da dieses Feature dort nicht enthalten ist. Der geneigte Leser möge diese Aussage mit dem Text von Xunil selbst in Beziehung setzen.



[1] http://www.debian.org/News/2006/20060713



Bewertung: 196 Punkte bei 36 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...