Linux Foundation confirma ataque por malware

A Linux Foundation enviou, na última semana, um e-mail para todos seus usuários alertando que uma invasão havia comprometido o LinuxFoundation.org e o Linux.com, bem como seus subdomínios. A invasão também pode ter roubados nomes de usuários, endereços de e-mails e senhas.

O ataque foi descoberto na quinta-feira (09/08) e a fundação ainda conduz uma auditoria sobre os sites afetados.
“Estamos recuperando os serviços em segurança o mais rápido possível”, dizia uma nota postada na página de entrada do site da Linux Foundation.

Até agora, a fundação não sabe a extensão da invasão e recomenda que usuários tenham algumas iniciativas. “Como uma medida de precaução em todas as invasões, aconselhamos que mudem as senhas e as chaves SSH que já foram usadas nesses sites comprometidos”. Também alertou aqueles que tenham reutilizado suas senhas em outros sites que as mudem imediatamente.

Devido a esse alerta, será que a segurança de senhas da Linux Foundation é falha, por exemplo, ao armazená-las em um texto simples, em vez de codificá-las? Não necessariamente, afirmou Paul Ducklin, chefe de tecnologia para a Sophos da região da Ásia, em uma postagem de blog. “Esta brecha parece envolver um comprometimento por malware e não somente uma retirada não autorizada de dados dos servidores. Se um servidor é “propriedade” de um malware, até mesmo o processo de login deve ser considerado não confiável. As senhas podem ser roubadas diretamente da memória durante o login, mesmo que nunca tenham sido gravadas no disco”.

A Linux Foundation acredita que o ataque ao seu site tenha relação com a invasão do mês passado ao kernel.org, que também permanece off-line enquanto seus administradores realizam uma auditoria, juntamente com autoridades dos Estados Unidos e Europa.

Em um comunicado, o Linux Kernel Organization afirmou ter descoberto o ataque em 28 de agosto, onde vários servidores foram comprometidos, com o invasor ganhando acesso ao root. “Apesar de acreditarmos que o código fonte permanece não afetado, estamos verificando e tomando medidas para aumentar a segurança por meio da infraestrutura do Kernel.org”.

Tanto os servidores Kernel.org como os computadores das pessoas que ajudam a manter o ambiente foram infectados com o malware – afirmou o The Register – em uma ruptura que durou pelo menos 17 dias antes de ser detectada. Apesar de isso soar alarmante, os especialistas do Linux disseram que o Kernel.org não hospeda o código base, e sim o distribui.

Além disso, não podem ser feitas mudanças no código sem que alarmes sejam disparados. “O código para o Kernel (bem como o de  muitos outros projetos) é administrador com o sistema de gerenciamento de código de fonte ‘git’ (plataforma de controle de versão distribuída e  criada por Linus Torvalds). E o git não permite que o código seja modificado por terceiros sem um alerta”, afirmou Jonathan Corbet, editor executivo do LWN.net, em uma postagem de blog.

Um hash (sequência de letras ou números geradas por um algoritmo de dispersão.) de 160 bits criptografado é gerado para cada conjunto de alterações no código Linux “A chave para a função hash é que, se o conteúdo do arquivo muda, o hash também muda. A criação de qualquer arquivo novo combinado com o hash de um arquivo existente é realmente impossível; se o desejo é que o novo arquivo se pareça com o antigo com a exceção de um bit de código hostil, o desafio é ainda maior”, afirmou Corbet.

Ainda assim, “como membro da comunidade de desenvolvimento do Linux Kernel posso afirmar que este episódio é perturbador e constrangedor”.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini