Linux Mint – krajobraz po ataku
Wszystkich zadziwiły ostatnie wypadki dotyczące dystrybucji Linux Mint, gdy 20 lutego 2016 roku zamaskowani sprawcy zdołali podmienić na stronie projektu linki do instalacyjnych obrazów ISO. Nie mniej zdziwieni byli sami twórcy tego popularnego systemu i w tym samym dniu przystąpili do szacowania strat, oceny zagrożenia i informowania użytkowników o co chodzi. Okazało się, że kilkadziesiąt pobranych w tym dniu obrazów iso zawierało dodatki służące zbudowaniu botnetu (i dostępowi do danych użytkownika) i w gruncie rzeczy to była najłatwiejsza do naprawienia szkoda. Wieść lotem neutrino obleciała całą sieć i raczej wszyscy pechowcy z trefnym iso jeszcze tego samego dnia skasowali tę podróbkę. Gorszą sprawą było to, że agresorzy przejęli bazę użytkowników forum Minta i uzyskali dość swobodny dostęp w całą infrastrukturę zbudowaną wokół tego projektu.
Z deweloperami Minta skontaktowała się ekipa odpowiedzialna za silnik forum phpBB oraz firma Automattic (twórców WordPressa), z pytaniem czy będą w jakiś sposób mogli pomóc wobec powyższych wydarzeń.
Pomoc zaoferował również producent oprogramowania antywirusowego Avast. Poprosili o obraz zainfekowanego ISO i przeprowadzili gruntowną analizę tego, jakie malware zostało dodane do znajdującego się na nim systemu. Już na drugi dzień byli w stanie ogłosić wyniki swoich badań, ostrzec użytkowników czego można się spodziewać (po dodatkach zaszytych w ISO) i zaktualizowali swoje produkty tak, by blokowały bułgarskie serwery (z którymi nawiązywał łączność spreparowany Mint). Na koniec wspomniane adresy zostały zlikwidowane bądź też zablokowane na DNSach (DNS Sinkhole).
Pomocą na zawołania służyli również eUKhost oraz AYKsolutions – dostarczyciele usług dla domeny linuxmint.com.
Dużą wolę współpracy wykazała również firma Sucuri i jej szef Daniel Cid. Dokonali analizy serwerów pod kątem oprogramowania malware i oczyścili je z podejrzanych wstawek. Obecnie wszystkie serwery z których korzysta projekt Linux Mint są monitorowane przez Sucuri i ubezpieczeń ich firewallem.
Na koniec Clem dziękuje również wszystkim użytkownikom – tym którzy donieśli o anomaliach, jak i tym którzy musieli przez te dni znosić niepewność wywołaną tym atakiem. Deweloperzy zdają sobie sprawę, jakim echem może to wszystko odbić się na całej społeczności Minta, jednak do tej pory reakcje były konstruktywne – ludzie starali się pomóc, zamiast mieszać z błotem Clema i spółkę za przeoczenia w kwestii zabezpieczenia serwerów.
To wszystko doprowadziło również do konkretnych postawień i wdrożeń. Choć zmiany niekiedy uciążliwe – ale będą.
Po pierwsze, zmianie ulegnie struktura strony i podstron. Łączy się to jednocześnie z prośbą, by informować zespół w wypadku niemożności komentowania lub wysyłania zawartości na stronę.
W celu uniknięcia w przyszłości różnych form ataku typu man-in-the-middle witryna przełączona zostaje na HTTPS.
Aby dokonać weryfikacji ISO w bardziej widocznym miejscu znajdziemy sumy kontrolne SHA256 i informacje GPG. Celem jest też uświadomienie społeczności do wykorzystywania tych technik kontrolowania pobranego ISO zamiast sum MD5.
Na koniec – do domyślnej instalacji systemu Linux Mint powróci GUFW – czyli nieskomplikowana zapora sieciowa (czy domyślnie włączona i skonfigurowana? Nie wiadomo). To bardzo rozsądna decyzja i na czasie jak nigdy dotąd. Wobec wzrastającej popularności systemów linuksowych nie unikniemy tego, co stało się codziennością masowego odbiorcy wiodącego systemu. Dużym plusem są nasze repozytoria, ale i w przypadku ich kompromitacji skala rażenia będzie kolosalna – bo poza wiarą w ich niezłomność nic innego nas nie chroni. Innymi słowy – czasy się zmieniają i trzeba się na to przygotować. Miejmy nadzieję, że twórcy Minta poważnie potraktują tę całą aferę i przynajmniej zrobią to, co w ich mocy by zapewnić ochronę użytkownikom.