Włamanie Na Kernel.Org

[farba]

Cześć. Pewnie już słyszeliście bądź czytaliście na temat ataku skierowanego na kernel.org. Nie będę wdawał się w szczegóły. Okazało się, że repozytoria 'git' są bezpieczne, ze względu na cyfrowy podpis plików znajdujących się właśnie w tym repo (w licznych kopiach), klucze natomiast przechowywane są u deweloperów, nie zaś na kernel.org. Moje pytanie brzmi: z jakich źródeł korzystają deweloperzy Fedory, kiedy ściągają i wykorzystują nowe kernele? Z wspomnianego repozytorium 'git' korzysta np. Debian.

[Raven]

Z git.kernel.org

[farba]

Krótko i na temat. Dzięki. Swoją drogą ciekawe, czy są jeszcze distra, które nie korzystają z tego rezpozytorium.

[thof]

A z czego mają korzystać? Pewnie RedHat, który nie może pozwolić sobie na wpadki utrzymuje swoje repozytorium i każdy commit przechodzi przez ręce ich speców od zabezpieczeń. Ale to tylko przypuszczenia, chociaż oni utrzymują już niewspierane oficjalnie gałęzie, więc raczej nie ma innej możliwości. Zresztą chwilowo kernel został przeniesiony na GitHuba https://github.com/torvalds/linux

[farba]

Z czego mają korzystać? Skoro nie z repozytorium 'git' to chyba z kernel.org, prawda? Jeżeli ktoś w ciągu tych dwóch tygodni, pomiędzy włamaniem a odkryciem, ściągnął kernel - wszystko jedno w jakim celu; testowym etc. - z kernel.org to może być nieciekawie.

Cieszy natomiast takie podejście jak to ująłeś - speców - w tej materii.

[thof]

Raczej wszyscy korzystają z repozytorium i to nie tylko w przypadku kernela (patche itp., a checkout z odpowiednią wersją załatwia sprawę). Po tym ataku żadna większa dystrybucja nie wypuści lekkomyślnie kolejnej wersji bez przetestowania, więc nie masz o co się martwić. Dodatkowo git robi swoją robotę i prawie nie ma takiej możliwości, żeby nie zauważył zmian.

[morsik]

Z czego mają korzystać? Skoro nie z repozytorium 'git' to chyba z kernel.org, prawda? Jeżeli ktoś w ciągu tych dwóch tygodni, pomiędzy włamaniem a odkryciem, ściągnął kernel - wszystko jedno w jakim celu; testowym etc. - z kernel.org to może być nieciekawie.

Nie zrozumiałem tego zdania, 'skoro nie z git to z kernel.org'. git to repozytorium na serwerze kernel.org. System kontroli wersji czy czegoś podobnego, i nic nie może być nieciekawie, bo zmiana źródeł była by zauważona od razu. Git posiada hashe każdego updatu i innych rzeczy i zmiana czegokolwiek jest od razu widoczna przez wszystkich

[thof]

Nie zrozumiałem tego zdania, 'skoro nie z git to z kernel.org'. git to repozytorium na serwerze kernel.org.

Pewnie chodziło o paczki ze źródłami z kernel.org, które były spakowane już przed atakiem. Co do tego, że wszystko jest kontrolowane przez system kontroli wersji to prawda, ale nigdy nie wiesz jak wymyślny atak to był. Może zaatakowali przy okazji samo repozytorium git (repozytorium kernela) i przez to git nie widzi zmian. Racja, że nie ma czego się obawiać, ale trzeba pamiętać, że samo włamanie się do kernel.org to nie lada wyczyn. Na pewno nie byli to amatorzy. Przecież admini kernel.org nie są z łapanki tylko pewnie wszyscy z brodami sięgającymi podłogi

[farba]

Tak, thof zrozumiał i ma rację. Chodziło mi o paczki z źródłami kernela. Z tego co wiem, repo 'git' nie było naruszone, ponieważ podpisane są cyfrowo, natomiast klucze znajdują się u deweloperów, nie zaś na kernel.org. Gdzieś czytałem, że jeden z deweloperów w sumie zapewniał o tym, że 'git' jest w porządku. W przeciwnym razie dostrzegliby jakieś zmiany.

thof masz także rację pisząc o tym, że nie do końca wiadomo jak "wymyślny" to był atak. Niemniej w/w zapewnienia dewelopera, wydają się być, na tyle prawdziwe, że nikt w takim przypadku bez absolutnej pewności, nie opowiadałby podobnych rzeczy, prawda? :-)