Gentoo Linux po ataku na GitHubie: dwustopniowa autoryzacja to konieczność
Użytkownicy Gentoo, jednej z popularniejszych dystrybucji Linuksa, na pewno zauważyli, że pod koniec czerwca do repozytorium dystrybucji na GitHubie wkradł się bałagan. Na stronie wprowadzone zostały zmiany, podmienione zostały też niektóre pliki w repozytorium. Powodem był atak na konto jednego z programistów.
Prowadzący repozytorium już uporali się z problemami i opublikowali szczegółowy raport wydarzeń. Osoby, które 28 czerwca pobierały pliki Gentoo zostały ostrzeżone o niebezpieczeństwie i zalecono usunięcie tych danych. Atakujący starali się zaszkodzić Gentoo na różne sposoby – usuwali uprawnienia innych użytkowników, dopisywali rasistowskie komentarze do plików tekstowych, a w skryptach kierujących kompilacją dodawali polecenie usuwania plików z dysków użytkowników (na przykład rm -rf $HOME ~/ w skrypcie configure w źródłach systemd).
Repozytorium zostało na kilka dni ukryte przed publicznym dostępem. Do 30 czerwca administratorzy Gentoo z pomocą GitHuba uporali się z problemami i przywrócili swoje pliki, zasoby były ponownie dostępne dopiero 3 lipca.
Włamanie było możliwe przez to, że przynajmniej jedna z osób, której konto miało wysokie uprawnienia, nie zastosowała się do podstawowych zasad bezpieczeństwa. Atakujący po prostu zgadli hasło, a ponieważ na koncie nie było dodatkowych zabezpieczeń, bez problemu je przejęli. Oczywiście nie było to możliwe od razu – z raportu wiemy, że próby zalogowania się na konta programistów były prowadzone od 8 kwietnia. Repozytorium uratowałaby dwuetapowa autoryzacja. Całe szczęście, że działania atakujących zaczęły się od razu i można było je łatwo wykryć. Gdyby zamiast od razu wymuszać kasowanie plików złoczyńcy zaczekali, mogliby wyrządzić więcej dyskretniejszych szkód, może nawet zdobyć dostęp do głównych serwerów Gentoo. Widocznie nie zależało im na tym lub nie mieli cierpliwości.
Na szczęście szkodliwość ataku nie była wysoka. Repozytorium Gentoo na GitHubie to mirror tego, co znajduje się na własnych serwerach gentoo.org. Jeśli więc korzystacie z synchronizacji bezpośrednio z nimi, nie ma zagrożenia. Fundacja rozwijająca Gentoo Linux wymaga teraz, by każdy z dostępem do repozytorium korzystał z dwustopniowej autoryzacji i menedżera silnych, unikalnych haseł. My także polecamy tę praktykę.
