[FUG-BR] Security Incident on FreeBSD Infrastructure

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Segunda Novembro 19 11:48:01 BRST 2012 

Mas não foi falha do sistema.

Historicamente o Projeto FreeBSD teve um único comprometimento técnico, em um injection num arquivo CGI na década de 90, época do FreeBSD 3 mas nada além do próprio script CGI foi comprometido.

Esse incidente agora não é técnico.

O elo explorado da corrente foi, "segundo especialistas" o mais fraco da corrente: pessoas.

Um desenvolvedor com acesso autêntico teve sua chave SSH vazada, e demorou até perceber que alguém acessou 2 máquinas do Ports Cluster com suas credenciais.

Eu pessoalmente discordo que pessoas sejam o elo fraco. Pra mim são processos. O mero processo de cruzar histórico de login com endereço IP e alertar ou auto-lockar se não houver confirmação positiva daquele acesso, teria ajudado nesse caso. Independente da postura segura do usuário.

De volta ao foco, quem deve se preocupar:

- Quem instalou pacotes (não ports) de 11/Setembro a 17/Novembro (pkg_add -r);
- Quem baixou fontes via cvs(1) anônimo na mão;

Isso porque as máquinas comprometidas tem 2 funções, ser mirror secundário de repo cvs e ser parte do cluster de package build.

Fala-se no canal #bsdcode no IRC que menos de 15% dos pacotes binários foram construídos nessas máquinas mas ainda assim por precaução todos que instalaram pacotes devem atualizar. Não existe qualquer indício de problema nos pacotes, eles inclusive estão sendo auditados (sei la como) pra saber se houve qq modificação, mas por hora isso parece improvável.

Ainda assim o projeto FreeBSD alertou então negligência de quem não substituir os pacotes binários por ports novinhos :-)

E fica a dica, sempre usar SVN/Portsnap, ports preferencialmente ao invés de pacotes porque pacotes pre compilados apesar de assinados, só evitam ataque do tipo MITM, o comprometimento direto no repositório pode ter a própria assinatura comprometida.

Ja via ports é feito download do MASTER_SITE original, testado checksum, etc, processo q envolve tanto o projeto FreeBSD quando os projetos de onde os sources são baixados, e um comprometimento de ports precisaria de alguem apontar pra um MASTER_SITE comprometido e modificar os distinfo (checksum), o que teria que ser através de commit (dificil ninguem perceber) ou faria um barulho danado na construção dos snapshots do portsnap e chamaria atenção rapidamente. Ou mais dificil comprometer tanto o ports quanto o MASTER_SITE original ao invés de apenas modifica-lo, mais "barulhento" ainda.

Apesar do comprometimento não ter natureza técnica, é uma pena de qualquer forma.


Em 17/11/2012, às 19:59, Marcelo Gondim escreveu:

> É por isso que segurança nunca será 100%  :)  mas é admirável o trabalho 
> feito para reparar isso.
> Todos os grandes sistemas já tiveram falhas, problemas de invasão e tal.
> O importante é que está sendo feito algo e melhor na mais pura clareza 
> para com todos.
> 
> Parabéns à equipe de segurança por identificar e tomar as devidas ações.  :)
> 
> Em 17/11/12 19:50, Neerlan Amorim escreveu:
>> Fiquei assustado!
>> 
>> 2012/11/17 mantunes <mantunes.listas em gmail.com>
>> 
>>> E ai pessoal.
>>> 
>>> será que o lance foi serio ?
>>> 
>>> 2012/11/17 FreeBSD Security Officer <security-officer em freebsd.org>:
>>>> -----BEGIN PGP SIGNED MESSAGE-----
>>>> Hash: SHA1
>>>> 
>>>> On Sunday 11th of November, an intrusion was detected on two machines
>>>> within the FreeBSD.org cluster.  The affected machines were taken
>>>> offline for analysis.  Additionally, a large portion of the remaining
>>>> infrastructure machines were also taken offline as a precaution.
>>>> 
>>>> We have found no evidence of any modifications that would put any end
>>>> user at risk.  However, we do urge all users to read the report
>>>> available at http://www.freebsd.org/news/2012-compromise.html and
>>>> decide on any required actions themselves.  We will continue to
>>>> update that page as further information becomes known.  We do not
>>>> currently believe users have been affected given current forensic
>>>> analysis, but we will provide updated information if this changes.
>>>> 
>>>> As a result of this event, a number of operational security changes
>>>> are being made at the FreeBSD Project, in order to further improve our
>>>> resilience to potential attacks.  We plan, therefore, to more rapidly
>>>> deprecate a number of legacy services, such as cvsup distribution of
>>>> FreeBSD source, in favour of our more robust Subversion, freebsd-update,
>>>> and portsnap models.
>>>> 
>>>> More information is available at
>>>> http://www.freebsd.org/news/2012-compromise.html
>>>> 
>>>> -----BEGIN PGP SIGNATURE-----
>>>> Version: GnuPG v1.4.9
>>>> 
>>>> iEYEARECAAYFAlCm0dAACgkQFdaIBMps37KrYgCfTEkJ/odP2XMrYQ1FIvD89AJb
>>>> GUUAn2r4YLeDEfQriWZIIXR0Hj1/rSWT
>>>> =cLZF
>>>> -----END PGP SIGNATURE-----
>>>> _______________________________________________
>>>> freebsd-security-notifications em freebsd.org mailing list
>>>> http://lists.freebsd.org/mailman/listinfo/freebsd-security-notifications
>>>> To unsubscribe, send any mail to "
>>> freebsd-security-notifications-unsubscribe em freebsd.org"
>>> 
>>> 
>>> 
>>> --
>>> Marcio Antunes
>>> Powered by FreeBSD
>>> ==================================
>>> * Windows: "Where do you want to go tomorrow?"
>>> * Linux: "Where do you want to go today?"
>>> * FreeBSD: "Are you, guys, comming or what?"
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> 
>> 
>> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd