Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Hacker entern Github-Dienst von Gentoo Linux
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
Tyrus
Guru
Guru


Joined: 03 Feb 2018
Posts: 300

PostPosted: Fri Jun 29, 2018 8:47 am    Post subject: Hacker entern Github-Dienst von Gentoo Linux Reply with quote

Kam grade auf heise.de rein: https://www.heise.de/security/meldung/Hacker-entern-Github-Dienst-von-Gentoo-Linux-4094422.html

Quote:

Hacker entern Github-Dienst von Gentoo Linux

29.06.2018 10:28 Uhr Dennis Schirrmacher

Auf Github gehosteter Code von Gentoo Linux gilt als kompromittiert.

Unbekannte Hacker hatten die Kontrolle über einen Github-Dienst von Gentoo Linux. Dabei sollen sie unter anderem Repositories modifiziert haben. Wer dort jüngst etwas heruntergeladen hat, muss davon ausgehen, dass er sich unter Umständen Schadcode auf den Computer geholt hat, warnen die Entwickler.

Derzeit arbeiten sie den Fall noch auf, das gesamte Ausmaß ist bislang noch nicht absehbar. Schon jetzt klar ist den Verantwortlichen zufolge aber, dass die eigene Webseite Gentoo.org von dem Vorfall nicht betroffen ist. Somit gilt das dort gehostete ebuild Repository als sicher. Nach jetzigem Kenntnisstand sind auch weitere Mirror Repositories mit Metadaten, die auf separate Github-Dienste verteilt sind, nicht gefährdet.

Alle Commits von Gentoo sind signiert. So lässt sich die Integrität überprüfen. Weitere Updates zu dem Vorfall wollen die Gentoo-Entwickler nachliefern. (des)


Urghs.
Back to top
View user's profile Send private message
hampelratte
Apprentice
Apprentice


Joined: 29 Jul 2005
Posts: 155

PostPosted: Fri Jun 29, 2018 10:52 am    Post subject: Reply with quote

Was mir noch nicht ganz klar ist, ob die offiziellen mirrors davon betroffen sind, oder nicht (ich benutze 2 deutsche Hochschulen). Ich gehe jetzt erst mal davon aus, dass die von gentoo.org spiegeln, aber solange mir das nicht klar ist, mach ich kein emerge update.
Back to top
View user's profile Send private message
firefly
Watchman
Watchman


Joined: 31 Oct 2002
Posts: 5165

PostPosted: Fri Jun 29, 2018 10:57 am    Post subject: Reply with quote

hampelratte wrote:
Was mir noch nicht ganz klar ist, ob die offiziellen mirrors davon betroffen sind, oder nicht (ich benutze 2 deutsche Hochschulen). Ich gehe jetzt erst mal davon aus, dass die von gentoo.org spiegeln, aber solange mir das nicht klar ist, mach ich kein emerge update.

Soweit ich die news gelesen habe (auch die meldung von gentoo selbst über ihre gentoo-announcement e-mail verteiler) scheint nur die github git reprositories betroffen zu sein.
Der portage tree auf gentoo.org und deren rsync/websync mirrors ist wohl nicht betroffen
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Fri Jun 29, 2018 11:59 am    Post subject: Reply with quote

hampelratte wrote:
Was mir noch nicht ganz klar ist, ob die offiziellen mirrors davon betroffen sind, oder nicht (ich benutze 2 deutsche Hochschulen). Ich gehe jetzt erst mal davon aus, dass die von gentoo.org spiegeln, aber solange mir das nicht klar ist, mach ich kein emerge update.
Die Mirrors, die tarballs u.s.w. hosten, haben mit den Ebuild-Repositories nichts zu tun. Ausschließlich https://github.com/gentoo ist betroffen.
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
franzf
Advocate
Advocate


Joined: 29 Mar 2005
Posts: 4565

PostPosted: Fri Jun 29, 2018 12:54 pm    Post subject: Reply with quote

Yamakuzure wrote:
hampelratte wrote:
Was mir noch nicht ganz klar ist, ob die offiziellen mirrors davon betroffen sind, oder nicht (ich benutze 2 deutsche Hochschulen). Ich gehe jetzt erst mal davon aus, dass die von gentoo.org spiegeln, aber solange mir das nicht klar ist, mach ich kein emerge update.
Die Mirrors, die tarballs u.s.w. hosten, haben mit den Ebuild-Repositories nichts zu tun. Ausschließlich https://github.com/gentoo ist betroffen.

Oho, die gesamte Gentoo-org Seite auf github ist jetzt weg, der Link gibt ne 404. Ebenso wenn ich es aus meiner Browserchronik öffne.
https://github.com/gentoo-mirror/gentoo ist auch nicht betroffen, das verwende ich zum Syncen.

Ich hoffe die bekommen das auf die Reihe. Proxy und vieles andere (Qt-bumps im gentoo/qt-repo) ging ja mittlerweile über github pull requests.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Fri Jun 29, 2018 2:01 pm    Post subject: Reply with quote

https://forums.gentoo.org/viewtopic-t-1083234.html

Ja so schnell kann es gehen. Bin aber auch nicht betroffen, rsync nutzt hier rsync://rsync.gentoo.org/gentoo-portage und die wenigen Overlays ziehen von anderen github Verzeichnissen.

Mir kommt es eh ein wenig vor wie ein Warnschuss dafür das MS github übernommen hat. Aber es kursieren in den Kommentaren auch schon wilde VT dazu das Geheimdienste Microsoft natürlich den Zugang gewähren.. ;D

Ich glaube es ist eher ein Weckruf als ein gezielter Angriff.
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Mon Jul 02, 2018 11:44 am    Post subject: Reply with quote

Ohje... Ich frage mich, woe die Verschwörungstheorien her kommen. Warum zur Hölle sollte eine Firma von den Ausmaßen Microsofts eine Meta-Distri wie Gentoo als Bedrohung ansehen? Ergibt kein Sinn.

Und jetzt auch noch Geheimdienste....

Mannmannmann... Die tolle eingeschleuste "Malware" war ein schnödes "rm /*", mit dem manche Ebuilds versetzt wurden. Davonabgesehen, dass "emerge" dann aussteigt, würde es eh nicht funktionieren: --recursive fehlt.

Also wer wirklich glaubt, dass da ein ernsthafter Angriff hinterstand, der von irgendwelchen Geheimdiensten oder von Microsoft angezettelt wurde, der sollte seinen Aluhut schleunigst auf Löcher untersuchen!
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
asturm
Developer
Developer


Joined: 05 Apr 2007
Posts: 8933

PostPosted: Mon Jul 02, 2018 2:42 pm    Post subject: Reply with quote

Yamakuzure wrote:
Also wer wirklich glaubt, dass da ein ernsthafter Angriff hinterstand, der von irgendwelchen Geheimdiensten oder von Microsoft angezettelt wurde, der sollte seinen Aluhut schleunigst auf Löcher untersuchen!

Wer nichts weiß muss alles glauben. Immerhin kann man gut beobachten wer da leichtfertig seine (Online-)Reputation aufs Spiel setzt.
Back to top
View user's profile Send private message
Tyrus
Guru
Guru


Joined: 03 Feb 2018
Posts: 300

PostPosted: Mon Jul 02, 2018 8:57 pm    Post subject: Reply with quote

Auf Heise.de gibt es dazu nen neuen Artikel: https://www.heise.de/security/meldung/Gentoo-Linux-kurzzeitig-mit-Wiper-Malware-verseucht-4095751.html

Quote:

Gentoo Linux kurzzeitig mit Wiper-Befehl versehen

Update
Stand: 02.07.2018 14:39 Uhr Dennis Schirrmacher

In Gentoo Linux von der offiziellen Github-Seite war mit offenbar bösen Absichten ein Befehl zum Löschen von Dateien eingebaut.

Unbekannte Hacker haben die Linux-Distribution Gentoo zeitweilig mit einem Befehl (rm -rf /) zum Löschen aller Nutzerdateien versehen, teilt ein Entwickler mit. Davon war aber ausschließlich Mirror-Code von der offiziellen Github-Seite betroffen – die Gentoo-Infrastruktur und der Master-Code waren davon nicht betroffen.

Wiper-Befehl löscht Dateien

Der Befehl soll aber nicht funktioniert haben, führt ein Entwickler aus. Dennoch empfehlen die Gentoo-Verantwortlichen allen, die Ebuilds vor dem 28.06.2018 18:00 GMT von Github heruntergeladen habem, ihr System entweder zurückzusetzen oder es neu zu installieren.

Mittlerweile ist auch klar, welche Commits betroffen waren. Gentoo hat eigenen Angaben zufolge wieder die Kontrolle über ihre Github-Seite und der Befehl wurde verbannt.

Vergangene Woche konnten Unbekannte Gentoo-Code auf der offiziellen Github-Seite manipulieren. Unklar ist bis zum jetzigen Zeitpunkt auch, wie die Angreifer Zugriff auf die Github-Seite bekommen haben. Die Untersuchungen laufen momentan noch.

[UPDATE, 02.07.2018 16:00 Uhr]
Nach Kontakt mit einem Entwickler die Meldung in Bezug auf den Begriff Wiper-Malware angepasst. (des)


Betroffende Commits kann man hier nachprüfen: https://wiki.gentoo.org/wiki/Github/2018-06-28
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Tue Jul 03, 2018 7:46 pm    Post subject: Reply with quote

asturm wrote:
Yamakuzure wrote:
Also wer wirklich glaubt, dass da ein ernsthafter Angriff hinterstand, der von irgendwelchen Geheimdiensten oder von Microsoft angezettelt wurde, der sollte seinen Aluhut schleunigst auf Löcher untersuchen!

Wer nichts weiß muss alles glauben. Immerhin kann man gut beobachten wer da leichtfertig seine (Online-)Reputation aufs Spiel setzt.


Ach was, war doch bestimmt nur Sarkasmus und als Humor zu verbuchen. Es passte halt zu dem drum herum. Es ist wirklich schade das News immer so aufgebauscht werden, denn das erhöht die Zeitverschwendung.

Gleichzeitig fand ich es aber auch gut das Gentoo als Name noch mal bei Heise erscheint, auch wenn die Schlagzeile das ganze in ein falsches Licht gerückt hat. Das Thema Open Source oder Linux, ist ja leider sowohl bei Heise, Google als auch der Öffentlichkeit in den Hintergrund gerückt.

So gab es ja auf der letzten CBit auch keine Open-Source Bereich mehr wenn ich das richtig vernommen habe. Da bleibt dann fast nur noch der Linux Tag und die Foscon oder?

Na wie auch dem ich hoffe das noch einige junge Menschen in ihrem Alltag öfter über Linux oder Gentoo stolpern und sich das mal anschauen. Diese Heise-Meldung war aber auch wieder eine Medienkompetenz-Übung. Sie hätten besser statt über Gentoo, einfach nur über die zwei Git-Rispositorys schreiben sollen.

Schade fand ich sowohl in der Meldung als auch in den News, das nicht auf den Umstand eingegangen wurde das Portage Signaturen verwendet und auch nicht der Stable Zweig betroffen war, sondern nur jene die dies Git-Respository nutzen und die Software bauen.

Das es dann nur ein rf Befehl war, ist aber schon ein schlechter Witz.

Aber gut zu wissen das im Fall eines Falles, das ganze Bemerkt wird.
Back to top
View user's profile Send private message
asturm
Developer
Developer


Joined: 05 Apr 2007
Posts: 8933

PostPosted: Tue Jul 03, 2018 8:03 pm    Post subject: Reply with quote

ChrisJumper wrote:
und auch nicht der Stable Zweig betroffen war, sondern nur jene die dies Git-Respository nutzen und die Software bauen.

Jeder in Gentoo baut die Software. Die ebuilds hier wie dort unterscheiden sich auch nicht. Der Punkt ist, wie schon viele Male erklärt, dass normalerweise *niemand* von den betroffenen GitHub Repos synct. Sondern nur pusht. Es ist nicht auszuschließen dass jemand davon in /usr/portage gesynct hat, aber eher aufgrund gefährlichen Halbwissens.
Back to top
View user's profile Send private message
Josef.95
Advocate
Advocate


Joined: 03 Sep 2007
Posts: 4520
Location: Germany

PostPosted: Wed Jul 04, 2018 12:01 am    Post subject: Hacker entern Github-Dienst von Gentoo Linux Reply with quote

Tyrus wrote:
Auf Heise.de gibt es dazu nen neuen Artikel:[...]
Jo, der hätte auch gut aus der Bildzeitung stammen können - unnötig dramatisieren hilft hier niemanden weiter.
Den Artikel von https://www.techrepublic.com/article/gentoo-stops-github-repo-hack-in-an-hour-setting-standard-for-security-response fand ich da deutlich besser gelungen :)
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1921
Location: Schweiz

PostPosted: Wed Jul 04, 2018 9:33 am    Post subject: Reply with quote

Yamakuzure wrote:
...
Mannmannmann... Die tolle eingeschleuste "Malware" war ein schnödes "rm /*", mit dem manche Ebuilds versetzt wurden. Davonabgesehen, dass "emerge" dann aussteigt, würde es eh nicht funktionieren: --recursive fehlt.
...

War vermutlich ein Scriptkiddie das nicht wusste wie man ein "FORMAT C:" in Linuxisch korrekt formuliert. ;)
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
Erdie
Advocate
Advocate


Joined: 20 May 2004
Posts: 2566
Location: Heidelberg - Germany

PostPosted: Thu Jul 05, 2018 6:13 am    Post subject: Reply with quote

Ich verfolge heise schon viele Jahre. Man kann nicht behaupten, dass die Qualität der Artikel in den Jahren zugenommen hat. Es geht nur noch um Clicks, clicks ... clicks
_________________
Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Sun Jul 15, 2018 7:17 am    Post subject: Reply with quote

asturm wrote:
Der Punkt ist, wie schon viele Male erklärt, dass normalerweise *niemand* von den betroffenen GitHub Repos synct.

Ganz im Gegenteil: Das war die Sync-Methode der Wahl, und sollte es in hoffentlich nicht allzu ferner Zukunft wieder werden: Es ist die einzige Möglichkeit, ChangeLogs zu erhalten, ohne sich seine Festplatte mit überflüssiger Metadatan-Geschichte vollzumüllen.

Der einzige Grund, weshalb es seit ein paar Tagen nicht mehr optimal ist, ist, dass für rsync und git-mirror eine automatische Unterschriften-Verifikation implementiert wurde (für rsync zufälligerweise schon ein paar Tage vor dem Angriff, für git-mirror erst danach), während dies für das obige Repository leider noch nicht geschehen ist.

Das ist natürlich ein massier Grund (der mich dazu gezwungen hat, ab jetzt auf die ChangeLogs zu verzichten), aber hoffentlich nur zeitweise.
Back to top
View user's profile Send private message
asturm
Developer
Developer


Joined: 05 Apr 2007
Posts: 8933

PostPosted: Sat Jul 21, 2018 11:32 am    Post subject: Reply with quote

mv wrote:
asturm wrote:
Der Punkt ist, wie schon viele Male erklärt, dass normalerweise *niemand* von den betroffenen GitHub Repos synct.

Ganz im Gegenteil: Das war die Sync-Methode der Wahl, und sollte es in hoffentlich nicht allzu ferner Zukunft wieder werden: Es ist die einzige Möglichkeit, ChangeLogs zu erhalten, ohne sich seine Festplatte mit überflüssiger Metadatan-Geschichte vollzumüllen.

Ohne metadata generation? Ohne CI integrity check? Sicher nicht (zumindest nicht als Standardempfehlung für User). Darüber hinaus gibt es immer noch gentoo.git, dafür braucht es kein GitHub. Letzteres ist auf meinen Systemen weder als pull noch als push remote eingetragen, weil es automatisch von gentoo.git gesynct wird. Nicht einmal PRs werden auf GitHub gemerged, sondern zu gentoo.git gepushed und von dort an GitHub weitergereicht.

(mein Kommentar hat sich ausschließlich auf die Nutzung als /usr/portage bezogen, mir ist schon klar dass viele die das repo wollen aus Gewohnheit von GitHub klonen werden).
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Sat Jul 21, 2018 4:38 pm    Post subject: Reply with quote

asturm wrote:
Ohne metadata generation? Ohne CI integrity check?

Metadata generation ist kein Problem. Vor vielen Jahren hat das Portage ohnehin immer selbst (nach /var/cache/edb) gemacht; inzwischen gibt es egencache für den "richtigen" Ort.
Signatur-Verifikation ist halt im Moment das Problem. Ich hoffe, dass es in näherer Zukunft eine offizielle Möglichkeit gibt, die aktuellen Entwickler-Schlüssel zu bekommen und auf dem laufenden zu halten. Das zugehörige Projekt gkeys gibt es ja eigentlich...
Edit: Fehlende Wort "Jahren" eingefügt.


Last edited by mv on Mon Jul 23, 2018 6:26 am; edited 1 time in total
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Mon Jul 23, 2018 12:40 am    Post subject: Reply with quote

Ich hatte gerade eben (kurz) das Problem das die Sync-Server nicht erreichbar waren und ich den Tree nicht synchronisieren konnte. Obwohl ich das eh von meinem lokalen Portage-Mirror mache.

Bisschen schade ist das schon das ich meinen eigenen Portage-Mirror nicht auch als Keys-Server vertrauen kann. Portage zu Verifizieren dauert aber wirklich lange. Würde es nicht reichen nur die Änderungen zu verifizieren?

Also im Grunde begrüße ich alles, was mehr Sicherheit verspricht.

Aber im Grunde ist Gentoo ja schon dafür berühmt viel Strom zu verschwenden für Stabilität. Das jetzt die Signatur-Prüfung nur von einer CPU gemacht wird und ewig dauert setzt dem ganzen die Krone auf. Na mal schauen ob ich meinen Stromverbrauch ein wenig reduzieren kann. Zumindest in der Chain of Thurst.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Mon Jul 23, 2018 6:36 am    Post subject: Reply with quote

ChrisJumper wrote:
Würde es nicht reichen nur die Änderungen zu verifizieren?

Mit rsync ist es nicht so einfach, eine Liste der geänderten files zu erhalten. Vielleicht könnte man den rsync-output abfangen; erscheint mir aber ziemlich schräg.
Nachdem jetzt git syncing mit Tiefe 1 in portage wieder implementiert ist (und höhere Tiefen aus Platzgründen für das Nicht-source-Repository nicht zweckmäßig sind), ist m.E. git mit Tiefe 1 ein sinnvoller Ersatz für rsync. Das geht auch schnell.
Quote:
Das jetzt die Signatur-Prüfung nur von einer CPU gemacht wird und ewig dauert setzt dem ganzen die Krone auf.

gemato ist in m.W. in python implementiert. Multitasking ist da schwer möglich (GIL).
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum