Re: Einbruch in kernel.org

To: debian-user-german@lists.debian.org
Subject: Re: Einbruch in kernel.org
From: Martin Steigerwald <Martin@lichtvoll.de>
Date: Tue, 6 Sep 2011 00:10:52 +0200
Message-id: <[🔎] 201109060010.52303.Martin@lichtvoll.de>
In-reply-to: <[🔎] uepfj8-po7.ln1@acer.hebelweg.de>
References: <[🔎] bncfj8-dr6.ln1@acer.hebelweg.de> <[🔎] uepfj8-po7.ln1@acer.hebelweg.de> (sfid-20110905_235306_843833_7D758251)

Am Montag, 5. September 2011 schrieb Juergen F. Pennings:
> OK, offensichtlich habe ich meine Sorgen nicht konkret 'rüberbringen
> können, daher nochmal:
> 
> Wenn schon jemand, der nicht dazu in der Lage ist, seine Spuren bei
> einem Einbruch in ein System zu entfernen, also jemand, der zu dem
> Thema nicht sonderlich bewandert ist, in einen Server von kernel.org
> eindringen kann und dort sogar root-Rechte erlangen kann, wie ist es
> dann mit den wirklich guten Leuten bestellt? Möglicherweise tummeln
> die sich da, verändern diverse der 40000 Dateien, die den Kernel
> ausmachen, als root können sie ja dann auch die Prüfsumme, die von
> kernel.org geliefert wird, neu erzeugen, und schon ist der von den
> Distributionen gelieferte Kern, der aus den kernel.org-Dateien erzeugt
> wird, kompromittiert. Und niemand kriegt's mit!! Oder ist meine
> Vorstellung vom System zu einfach?
> Also, eigentlich sind es zwei Punkte, die mir Sorgen machen.
> 1. Amateure können offensichtlich wichtige Linux-Server cracken, dann
> können das sicher auch Profis, die ihre Spuren so verwischen können,
> dass sie _nicht_ gefunden werden.
> 2. Eine Prüfsumme zu einer Datei bringt nur dann was, wenn sie nicht
> auch geändert werden kann. Ein root auf einem Rechner könnte das aber,
> die Cracker hatten root-Rechte.
> Ich hoffe sehr, dass meine Bedenken grundlos sind und erwarte eure
> Kommentare.

Wer sich den Kernel-Quelltext mit git zieht, hat lokal ebenfalls alle 
Prüfsummen und die Versionsgeschichte. Kernel-Entwickler arbeiten in der 
Regel immer mit eigenen Git-Repos und aktualisieren diese mitunter 
täglich. Wenn da eine SHA1-Checksumme oder die Versionsgeschichte nicht 
stimmt, dürfte das auffallen.

Das war aber auch schon in einem Blog detailliert beschrieben.

Bei den Distributoren käme es drauf an, wie die sich den Kernel-Quelltext 
ziehen. Wenn Sie dazu die tar.gz oder tar.bz2-Archive verwenden, gäbe es 
eine gewisse Möglichkeit zur Komprimierung, da die CA für das Signieren 
der Kernel-Archive wohl auch auf dem Server war. Wenn die Debian 
Maintainer für die Kernel-Pakete sich den Quelltext jedoch per Git ziehen, 
dann sehe ich diese Möglichkeit eher nicht. Da weiß ich aber nicht genau, 
wie die Maintainer für die Kernel-Pakete arbeiten.

So oder so, gehe ich davon aus, dass die Debian-Maintainer die Echtheit 
des Kernel-Quelltexts mittlerweile sicherlich geprüft haben. Eine Debian- 
bezogenes Announcement habe ich dazu aber bislang auch nicht gesehen.

Insgesamt mache ich mir derzeit eher wenig Sorgen.

-- 
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7

Reply to:

References:
- Einbruch in kernel.org
  - From: "Juergen F. Pennings" <j.pennings@gmx.de>
- Re: Einbruch in kernel.org
  - From: "Juergen F. Pennings" <j.pennings@gmx.de>

Prev by Date: Re: Einbruch in kernel.org
Next by Date: Re: Wie gelöschtes Verzeichnis wiederherstellen?
Previous by thread: Re: Einbruch in kernel.org
Next by thread: Re: Einbruch in kernel.org
Index(es):
- Date
- Thread