[FUG-BR] Security Incident on FreeBSD Infrastructure

Renato Frederick renato em frederick.eti.br
Segunda Novembro 19 13:11:26 BRST 2012 

Patrick,

quem fez um cvsup para atualizar o free de release para stable, por 
exemplo, pode correr risco? Não ficou claro esta questão.

eu sempre uso o csup e o fastest_cvsup para achar os mirrors mais perto, 
normalmente o cvsup2.br.freebsd.org

Acredito não ter problema né?

Em 19/11/2012 11:48, Patrick Tracanelli escreveu:
> Mas não foi falha do sistema.
>
> Historicamente o Projeto FreeBSD teve um único comprometimento técnico, em um injection num arquivo CGI na década de 90, época do FreeBSD 3 mas nada além do próprio script CGI foi comprometido.
>
> Esse incidente agora não é técnico.
>
> O elo explorado da corrente foi, "segundo especialistas" o mais fraco da corrente: pessoas.
>
> Um desenvolvedor com acesso autêntico teve sua chave SSH vazada, e demorou até perceber que alguém acessou 2 máquinas do Ports Cluster com suas credenciais.
>
> Eu pessoalmente discordo que pessoas sejam o elo fraco. Pra mim são processos. O mero processo de cruzar histórico de login com endereço IP e alertar ou auto-lockar se não houver confirmação positiva daquele acesso, teria ajudado nesse caso. Independente da postura segura do usuário.
>
> De volta ao foco, quem deve se preocupar:
>
> - Quem instalou pacotes (não ports) de 11/Setembro a 17/Novembro (pkg_add -r);
> - Quem baixou fontes via cvs(1) anônimo na mão;
>
> Isso porque as máquinas comprometidas tem 2 funções, ser mirror secundário de repo cvs e ser parte do cluster de package build.
>
> Fala-se no canal #bsdcode no IRC que menos de 15% dos pacotes binários foram construídos nessas máquinas mas ainda assim por precaução todos que instalaram pacotes devem atualizar. Não existe qualquer indício de problema nos pacotes, eles inclusive estão sendo auditados (sei la como) pra saber se houve qq modificação, mas por hora isso parece improvável.
>
> Ainda assim o projeto FreeBSD alertou então negligência de quem não substituir os pacotes binários por ports novinhos :-)
>
> E fica a dica, sempre usar SVN/Portsnap, ports preferencialmente ao invés de pacotes porque pacotes pre compilados apesar de assinados, só evitam ataque do tipo MITM, o comprometimento direto no repositório pode ter a própria assinatura comprometida.
>
> Ja via ports é feito download do MASTER_SITE original, testado checksum, etc, processo q envolve tanto o projeto FreeBSD quando os projetos de onde os sources são baixados, e um comprometimento de ports precisaria de alguem apontar pra um MASTER_SITE comprometido e modificar os distinfo (checksum), o que teria que ser através de commit (dificil ninguem perceber) ou faria um barulho danado na construção dos snapshots do portsnap e chamaria atenção rapidamente. Ou mais dificil comprometer tanto o ports quanto o MASTER_SITE original ao invés de apenas modifica-lo, mais "barulhento" ainda.
>
> Apesar do comprometimento não ter natureza técnica, é uma pena de qualquer forma.
>

Mais detalhes sobre a lista de discussão freebsd