[FUG-BR] Security Incident on FreeBSD Infrastructure

Edson Brandi ebrandi em FreeBSD.org
Domingo Novembro 18 09:14:49 BRST 2012 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bom dia Neerlan,

Em 17/11/2012 19:50, Neerlan Amorim escreveu:
> Fiquei assustado!

A principio não tem motivos para ficar assustado.

O problema que ocorreu não teve origem no exploit de nenhuma
vulnerabilidade do sistema, mas sim devido ao acesso não autorizado de
terceiros a chave ssh de um desenvolvedor, o qual tinha acesso a um
servidor legado de compilação de pacotes.

Não se sabe ainda em que circustâncias o vazamento da chave ssh
ocorreu, mas é o tipo de coisa que pode acontecer com qualquer um de
nós, seja através do acesso não autorizado ou do roubo do computador
no qual você mantem suas chaves SSH.

Aqui em SP, por exemplo, é absurdo de roubos de notebooks que
acontecem em alguns bairros nos quais se concentram a maior parte das
empresas de tecnologia, sendo que a area mais arriscada é próxima aos
aeroportos.

Mesmo que você não seja uma destas pessoas que costumam usar chaves
SSH sem senha para "simplificar" o dia a dia, o acesso indevido a sua
chave privada SSH é critico mesmo que você tenham uma senha de proteção.

Hoje em dia qualquer GPU de 100 dolares consegue quebrar por força
bruta uma senha de 8 caracteres (Com letras Maiusculas, Minusculas,
Numeros e Caracteres especiais) em menos de 10 horas :(

Mesmo uma senha maior pode ser quebrada facilmente se a pessoa tiver
paciência.

A forma mais segura de guardar a sua chave SSH privada ainda é
utilizando um smartcard, como por exemplo o OpenPGP Card
(http://en.wikipedia.org/wiki/OpenPGP_card), uma vez que a sua chave
privada estiver armazenada no smartcard e você tiver setado uma senha
que não seja muito "obvia", você estará seguro. Mesmo que ele seja
roubado, o cartão será inutilizado após 3 tentativas de acesso com a
senha incorreta.

No FreeBSD/Linux você não vai precisar de nenhum software alem do
proprio gnupg para fazer uso do smartcard, no caso do windows, vai
depender do cliente de ssh que você utilizar.

Para utilizar por exemplo o putty, você vai precisar de um ssh-agent
modificado, que você pode obter em http://smartcard-auth.de/ssh-en.html

O Smartcard custa 14 Euros, e pode ser comprado em
http://shop.kernelconcepts.de/product_info.php?cPath=1_26&products_id=42
, na minha opinião se você preza pela segurança das suas chaves, é um
investimento que vale a pena :)

Mas voltando ao tópico, todas as informações sobre o incidente estão
sendo disponibilizadas no url:

http://www.freebsd.org/news/2012-compromise.html

Sugiro fortemente que sigam as recomendações do final desta página,
principalmente se você utilizou o cvsup, csup, cvs para atualizar seu
sistema (base e ports) no periodo de 19/09 até 12/11.

Entenda que essa recomendação não se deve ao fato do repositório CVS
ter sido adulterado, até o presente momento não foi encontrado nenhum
indicio de que isso tenha ocorrido, porém como a auditoria do
repositório CVS ainda não foi 100% finalizada, no momento a coisa mais
prudente a se fazer é atualizar o sistema a partir de uma fonte
seguramente confiável, seja a partir do repositório SVN (que já foi
auditado) ou a partir da atualização binária usando o freebsd-update
(os arquivos são assinados digitalmente pelo time de Engenharia de
Release).

Ou seja, se você já utilizava o SVN para atualizar seu sistema, ou se
não atualizou nem instalou nenhum port nesta janela de tempo usando o
repositório CVS, você não tem com o que se preocupar.

- -- 
[  ]'s Edson

Edson Brandi - ebrandi em FreeBSD.org
FreeBSD Documentation Committer

The FreeBSD Documentation Project
FreeBSD Brazilian Portuguese Documentation Project - http://doc.fug.com.br

OpenPGP Key: 0xA5C45B43401FF8F3
1BAB 0B87 EE89 B8D4 B418  66D6 A5C4 5B43 401F F8F3
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.16 (MingW32)

iQEcBAEBAgAGBQJQqMMpAAoJEO49BRlAkRPXR30IAIpLi5/fVgurr5xr5DLvwP0H
jnMrHFMxNNBR5NLbCVR949gxqel0+1BIFl3GdiNFznGfB7LsZvNc+yH0v7q8lVLv
Dsj1UwR8drqk7lYS+4as1a+mDJWM9u4Gs+qlDxGBicaagT8VrTgw7uQbFfi+gVlG
oLmzb+FhQmK+McjmYdmkXmQnYDcviQlmju1yGF2enL63AlTL0xpNo/MlpcxhyuBE
D8vNZ6F/H3RE36/TVJBLr8lGrAB9CNjT25okNZH0Gf2Xl2MWZ2OuwFCsdD4H7Wnj
/LVfc+a82bCHTSccfEZME+3UtIiTYu/bNZ9FvUFq8TA/OIg1tlrP2h9MdMuu40g=
=3iwf
-----END PGP SIGNATURE-----

Mais detalhes sobre a lista de discussão freebsd