È stata utilizzata l’identificazione tramite password per hackerare l’account Github Gentoo Linux

È stata utilizzata l’identificazione tramite password per hackerare l’account Github Gentoo Linux

È stata utilizzata l’identificazione tramite password per hackerare l’account Github Gentoo Linux

I manutentori della distribuzione Gentoo Linux hanno ora rivelato l’impatto e la “causa principale” dell’attacco che ha visto gli hacker sconosciuti prendere il controllo del proprio account GitHub nelle scorse settimane e modificare il contenuto dei propri repository e pagine.

Gli hacker non solo sono riusciti a modificare il contenuto in repository compromessi ma hanno anche bloccato gli sviluppatori Gentoo Linux dalla loro organizzazione GitHub.

Come risultato dell’incidente, gli sviluppatori non sono stati in grado di utilizzare GitHub per cinque giorni.

Che cosa è andato storto?

Gli sviluppatori Gentoo Linux hanno rivelato che gli hacker sono stati in grado di ottenere privilegi amministrativi per il proprio account Github, dopo aver indovinato la password dell’account.

L’organizzazione potrebbe essere stata salvata se utilizzava un’autenticazione a due fattori, che richiede un codice di accesso aggiuntivo oltre alla password per poter accedere all’account.

“L’hacker ha ottenuto l’accesso a una password di un amministratore dell’organizzazione: le prove raccolte suggeriscono uno schema di password in cui la divulgazione su un sito ha reso facile indovinare le password per pagine Web non correlate”, ha scritto Gentoo Linux nel suo rapporto sugli incidenti.

Oltre a questo, gli sviluppatori Gentoo Linux non hanno anche una copia di backup dei dettagli della sua organizzazione GitHub. Cosa c’è di più? Anche il repository systemd non è stato specchiato da Gentoo Linux ma è stato memorizzato direttamente su GitHub.

Cosa è andato bene?

Tuttavia, Gentoo Linux è convinto che il progetto abbia avuto la fortuna che l’attacco fosse “rumoroso”, poiché tutti gli altri sviluppatori fuori dall’account GitHub preso di mira hanno causato la loro email.

L’azione rapida di Gentoo Linux e Github ha messo fine all’attacco in circa 70 minuti.

“L’attacco è stato rumoroso, rimuovere tutti gli sviluppatori ha causato l’invio di email a tutti”, hanno detto i manutentori di Gentoo Linux. “Considerate le credenziali adottate, è probabile che un attacco più tranquillo avrebbe fornito una finestra di opportunità più lunga.”

Inoltre, il rapporto ha anche aggiunto che con la forza che spinge i commit che hanno tentato di rimuovere tutti i file, l’hacker ha reso “il consumo downstream più evidente”, che alla fine avrebbe potuto “bloccare git dall’invio silenzioso di nuovi contenuti ai checkouts esistenti su” git pull”. ”

Come già detto in precedenza, i principali repository di Gentoo Linux sono conservati nell’infrastruttura e Gentoo Linux si specchia su GitHub per “essere dove sono i contributori”.

Pertanto, le chiavi private dell’account non sono state influenzate dall’incidente e quindi dall’infrastruttura ospitata da Gentoo Linux.

Impatto del Cyber ​​Attack

Come risultato dell’incidente, il progetto Gentoo Proxy Maintainers è stato influenzato dal fatto che molti contributori dei proxy usano GitHub per inviare richieste pull e tutte le richieste pull precedenti sono state disconnesse dai commit originali e chiuse.

Gli aggressori hanno anche tentato di aggiungere comandi “rm -rf” a vari repository, che se eseguiti, avrebbero cancellato i dati dell’utente in modo ricorsivo. Tuttavia, è improbabile che questo codice venga eseguito dagli utenti finali a causa delle varie protezioni tecniche esistenti.

rm è un comando Unix che è usato per rimuovere file, directory e simili, e rm -rf denota una rimozione più forzata, che “farebbe sì che ogni file accessibile dal file system presente fosse cancellato dalla macchina.”

Passi presi per prevenire futuri attacchi informatici

In seguito all’incidente, Gentoo Linux ha intrapreso molte azioni per prevenire tali attacchi in futuro. Queste azioni includono:

  • Fare frequenti backup della sua organizzazione GitHub.
  • Abilitando l’autenticazione a due fattori per impostazione predefinita in GitHub, che alla fine arriverà a tutti gli utenti dei repository del progetto.
  • Lavorare su un piano di risposta agli incidenti, in particolare per condividere le informazioni su un incidente di sicurezza con gli utenti.
  • Rafforzamento delle procedure relative alla revoca delle credenziali.
  • Riduzione del numero di utenti con privilegi elevati, controllo degli accessi e pubblicazione di criteri password che impongono gestori di password.
  • Presentazione del supporto per 2FA basato su hardware per gli sviluppatori Gentoo Linux.

Al momento non è noto chi fosse dietro a Gentoo Hack. Gentoo Linux non ha detto se l’incidente è stato segnalato alle forze dell’ordine per cercare gli hacker.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat