(Por El Microsaurio) Hace dos semanas, servidores oficiales de Red Hat y Fedora fueron atacados por hackers. El objetivo: instalar versiones modificadas de archivos del sistema operativo, para adueñarse de computadoras corporativas. Si no logramos vencer a Troya, regalémosle un caballo.
La recomendación la habrás escuchado docenas de veces: “no descargues software de cualquier website, tratá de conseguirlo en el sitio oficial del proveedor, de otra manera, podés meter alguna porquería en tu compu”. Si además quien debe instalar el software es una persona del oficio informático, responsable del buen funcionamiento de una empresa, seguro que se va a conseguir los CD originales, o bajará archivos ISO del website oficial. En el caso de los usuarios de Red Hat Enterprise Linux, con más razón. O los que tienen que instalar Fedora, la distribución Linux mantenida por gente experta estrechamente relacionada con Red Hat (a tal punto que el presidente del proyecto Fedora es nombrado por Red Hat).
Entonces, si alguien tiene interés en atacar computadoras de misión crítica, ¿qué mejor que hacer que las víctimas bajen actualizaciones “envenenadas”? Y mejor aún, si los archivos modificados están en el servidor oficial del afamado proveedor…
Con esta introducción, lo que sigue es sólo un roadmap, como decía Farías.
Jueves 14 de agosto, a las 19:15. El líder del Proyecto Fedora, Paul W. Frields, probablemente tragó saliva un montón de veces antes de escribir este mail: “…estamos investigando un tema en nuestra infraestructura de sistemas (…) este proceso podría resultar en caídas en el servicio (…) como precaución, les recomendamos que no descarguen o actualicen ningún paquete adicional en su sistema Fedora…”
Y los servidores donde la gente descargaba versiones de Fedora fueron desconectados de la Internet. ¿Por qué? Los estaban revisando furiosamente.
Habrán entrado hackers, sospechamos unos cuantos, pero esperamos más noticias…
Sábado 16 de agosto a las 11:30. El mismo Paul Frieds (sospecho que después de algunos litros de café) envía otro mail: “… el equipo de infraestructura de Fedora sigue trabajando en los temas que descubrimos esta semana (…) ya hemos puesto en servicio el sistema de cuentas, junto a algunos de los servidores de aplicaciones (…) hemos aprovechado los cortes para actualizar algunos de los sistemas…”
A esa altura, el rumor estaba corriendo por el mundo. Ya nadie dudaba. Alguien había entrado a los servidores de Red Hat/Fedora. ¿Por qué los puse juntos?
¡Pues porque están juntos, chaval! Si alguien entra al tercer piso del edificio, y logró meterse en la oficina 305, ¿porqué no entrar en la 306, la 307 y la 308? Una aclaración para los más desconfiados: el “sistema de cuentas” a que se refiere ese mail, parece ser el Fedora Account System, donde ingresan los integrantes del conjunto de desarrolladores, traductores, webmasters y diseñadores que colaboran con Fedora. ¿Alguien consiguió un password por allí, tal vez?
Martes 19 de agosto a las 2:00 de la matina. Otra vez mail de Frieds: “…nuestro equipo ha trabajado duramente desde hace varios días, restaurando servicios en la infraestructura de Fedora (…) los equipos críticos, necesarios para el trabajo cotidiano de Fedora, estarán todos funcionando al final del día (…)
Por fin el viernes 22 a las ocho de la mañana, se terminan los eufemismos: “…la semana pasada descubrimos que alguien ingresó ilegalmente a algunos servidores de Fedora (…) la intrusión fue rápidamente descubierta, y los servidores fueron puestos offline (…) especialistas en seguridad y administradores trabajaron para analizar la intrusión y reinstalar los sistemas (…) uno de los servers comprometidos es el que se usa para la firma electrónica de los paquetes Fedora (…) determinamos que el atacante no pudo capturar la contraseña que protege la clave de firma de los paquetes Fedora (…) aunque no hay evidencia definitiva de que la clave maestra de Fedora haya sido comprometida, hemos decidido cambiarla (…) esto requerirá pasos a seguir por cada propietario o administrador de un sistema Fedora, que serán oportunamente comunicadas…”
Pero esto no terminó ahí. En ese mismo mensaje dice “la empresa Red Hat Inc. detectó una intrusión en ciertos sistemas de computación de su propiedad (…) los efectos de esta intrusión, aclaramos, no son los mismos que en el caso de Fedora…”
Es cierto, no era lo mismo. Parece que al atacar las máquinas de Fedora trataron de obtener una contraseña, y fallaron. Pero al entrar en los equipos de Red Hat, tuvieron un peligroso éxito. Según esta declaración de Red Hat, “…el intruso fue capaz de firmar un pequeño número de paquetes OpenSSH pertenecientes a Red Hat Enterprise Linux 4 (arquitecturas (i386 y x86_64) y RHEL 5 (arquitectura x86_64 solamente) y hemos publicado una versión actualizada de estos paquetes, junto con una lista de los paquetes alterados y un método para detectarlos (…) los archivos dentro del sistema de actualización automática Red Hat Network no han sido alterados…”
Hasta ahí los sucesos, según la versión oficial. Ahora, las moralejas.
Desde el 2002 se han detectado ataques a los servidores de actualización de Microsoft, algunos exitosos y otros frenados a tiempo. Y ahora, van por Red Hat Enterprise Linux, usado por el mundillo de finanzas y bancos de Allá Arriba y de Acá Abajo. Y van por Fedora, que además de constituir el corazón de Red Hat, es el sistema operativo que aparece en varios edificios de la NASA y hasta en la compu de Linus Torvalds, según parece, que habría dejado de usar Debian.
Y no es por mostrar quién la tiene más larga. Acá se habla de dinero, muchacho. Lograr que un servidor corporativo cargue un backdoor no detectable es el sueño del pibe. Imaginate, si el administrador lo descargó del server oficial, porqué habría de desconfiar…
Que pases una linda semana, y agarrate, porque esto recién empieza. Estás avisado.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291