04.12.2003 01:08
GNU- und Gentoo-Server ebenfalls gehackt
Zwei weitere Server, die freie Software bereitstellen, wurden gehackt: der Savannah-Server der Free Software Foundation und ein rsync-Server der Linux-Distribution Gentoo. Zusammen mit den Debian-Systemen wurden damit innerhalb weniger Wochen drei Infrastrukturknoten für freie Software angegriffen und kompromittiert.
Der Savannah-Server der FSF dient als Download- und Entwicklungszentrale für GNU- und andere freie Software. Derzeit erscheint auf dem Server nur eine kurze Meldung, dass die Betreiber am 1. Dezember entdeckt haben, ihr Server sei ungefähr am 2. November kompromittiert worden. Die Vorgehensweise der Eindringlinge sei identisch zu der bei dem Einbruch in die Debian-Systeme und unterscheide sich grundsätzlich von dem Einbruch auf dem GNU-FTP-Server im August. Der Einbrecher habe sich nachdem er einmal auf das System gelangt sei, Root-Rechte verschafft und das Root-Kit SucKIT installiert (siehe auch Heimliche Hintertüren).
Trotz "wichtiger philosophischer Differenzen" wolle man jetzt mir den Mitgliedern des Debian-Projekts zusammenarbeiten, um den Einbrecher aufzupüren und die Infrastruktur für freie Software zukünftig besser abzusichern. Insbesondere untersuche man Möglichkeiten, die Authentizität von dort bereitgestelltem Source Code sicher überprüfbar zu machen. Der Server ist derzeit außer Betrieb, das System wird auf neuer Hardware wieder aufgesetzt und bis Freitag soll zumindest ein Minimalbetrieb wiederaufgenommen werden.
Etwas anders liegt der Fall bei Gentoo. Hier ist "nur" einer der rsync-Server betroffen, gegen den Anwender ihre Dateibestand abgleichen können. Der Einbruch fand in der Nacht zum Dienstag den 2.12. statt, die Angreifer haben sich mit einem Remote Exploit Zugang verschafft. Nach erster forensischer Analyse sehen die Entwickler keine Anzeichen, dass Pakete der Gentoo-Distribution manipuliert worden seien. Nach Aussagen der Entwickler war der betreffende Server circa eine Stunde kompromittiert, bevor der Einbruch entdeckt und der Rechner vom Netz genommen wurde. Laut Log-Dateien haben in der Zeit 20 Nutzer von diesem Server Pakete heruntergeladen.
Auf welche Weise genau in den Server eingebrochen wurde, untersuchen die Gentoo-Entwickler momentan -- anscheinend aber ist eine Lücke in rsync für den Einbruch ausgenutzt worden. Den Namen des Servers geben sie vorerst nicht bekannt, da es sich um einen gesponsorten Rechner handelt, der nicht zur offiziellen Gentoo-Infrastruktur gehört und noch andere Dienste bereitstelle. Solange keine Gentoo-Dateien kompromittiert seien, akzeptiere man den Wunsch des Sponsors, bis zum Abschluss der Auswertung mit der Veröffentlichung des Namens zu warten.
Der betroffene Server wurde aus den rsync.*.gentoo.org-Rotationen entfernt und wird erst wieder in Betrieb genommen, wenn die Integrität vollständig gewährleistet ist. Sicherheitsbesorgten Anwendern empfiehlt Gentoo, mit einem emerge sync die Paketlisten auf den aktuellen Stand zu bringen.
Siehe dazu auch:
(ju)
- Statement der FSF
- Security Announcement des Gentoo-Teams
- rsync übers Netz verwundbar auf heise Security
- Debian-Projekt legt Abschlussbericht zum Server-Einbruch vor auf heise Security
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
