GitHub
Noin viikko sitten cracker mursi Gentoo Linux GitHub -tietovaraston, joka pystyi sitten hallitsemaan tiliä ja lisäämään haitallista koodia distroihin. Tämä koodi on suunniteltu poistamaan käyttäjätiedot. Gentoon kehittäjät pystyivät ottamaan hallinnan takaisin melko nopeasti, mutta se oli huolestuttavaa, koska se olisi voinut aiheuttaa paljon vahinkoa loppukäyttäjien asennuksille. Lisäksi on melko harvinaista, että koko käyttöjärjestelmän peilikoodivarasto otetaan haltuunsa.
Onneksi hyökkääjät eivät kyenneet aiheuttamaan käyttäjille paljon surua, koska he ottivat peilin vain tiedostoille, jotka yleensä tallennetaan Gentoon omille palvelimille. Käyttäjät lataavat koodin virallisilta palvelimilta, joten ylivoimaisella enemmistöllä Gentoon käyttäjistä asiat eivät olleet todella karvaisia.
Distro on nyt paljastanut, että syy siihen, että tili tuli luvattoman käyttäjän hallintaan, johtui siitä, että organisaation järjestelmänvalvojan salasana oli huono ja helppo arvata. Hienostuneita hyökkäysvektoreita ei käytetty, eikä se johtunut sisäisestä työstä. Sen sijaan käyttäjän salasana oli helppo arvata.
Gentoo Linux -wikiin tehty merkintä, jonka sitten useat tekniset uutissivustot ilmoittivat, viittaa siihen, että henkilöllä oli salasanasuunnitelma, jonka avulla oli helppo arvata kirjautumistunnukset muille sivustoille, joilla tällä käyttäjällä oli tilejä.
Jotkut kommentaattorit ovat maininneet, että kaksivaiheinen valtuutusjärjestelmä on saattanut auttaa estämään tällaisen hyökkäyksen, perussalasanan asettaminen on usein kutsu hyökkäykseen. Gentoo esittelee hyvin yksityiskohtia ja on ottanut käyttöön joukon uusia turvatoimenpiteitä, joiden pitäisi vähentää tämän tapahtumisen riskiä tulevaisuudessa.
Loppukäyttäjillä ei kuitenkaan todellakaan ollut tapaa tarkistaa, että heidän puullaan oli puhtaita ohjelmistokopioita. Gentoo myöntää myös, että heidän on tulevaisuudessa annettava selkeämpi ohjeistus ja selitettävä, kuinka he voivat estää vaarantuneita järjestelmiä suorittamasta haitallisiin tekoihin lisättyä koodia.
Asiat olisivat voineet olla paljon pahemmat loppukäyttäjille, mutta Gentoon kehittäjät ja projektipäälliköt ovat todenneet ymmärtävänsä täysin hiljaisemman hyökkäyksen, mikä olisi voinut johtaa pitempään mahdollisuusikkunaan kekseille.
Tunnisteet Gentoo Linux-tietoturva
