Debian-Projekt legt Abschlussbericht zum Server-Einbruch vor

Das Debian-Projekt hat heute den Abschlussbericht zum Einbruch in die Server des Linux-Projektes vorgelegt, während die "Aufräumarbeiten" noch im Gange sind. In dem Bericht legt das Linux-Distributionsprojekt Details zu der Einbruchsmethode offen, mit der der Angreifer vorgegangen ist. Wie bereits bekannt wurde, drang der Einbrecher über ein abgefangenes Passwort eines regulären Benutzers ein, verschaffte sich über einen Kernel-Bug mit einem bis dahin unbekannten Exploit Root-Rechte und installierte das so genannte SucKIT Root-Kit. Es enthält Passwortschnüffler und Routinen, um sich vor Entdeckung zu verstecken, die direkt in den Kernel installiert werden. Der Einbrecher selbst konnte noch nicht dingfest gemacht werden.

Laut Timeline des Berichts fand der erste Einbruchsversuch am 19. November um 17.00 Uhr mithilfe eines mitprotokollierten Passwortes statt. Am 20. November waren erstmals so genannte Kernel-Oops, die das vom Angreifer installierte Root-Kit auslöste, festgestellt worden, als der Server für das Bug-Tracking-System (master) und auch der Server für die Mailinglisten (murphy) Ungereimtheiten aufwiesen. Zeitgleich zeigten Sicherheitsmechanismen auf den Web- und CVS-Servern klecker und gluck an, dass /sbin/init ausgetauscht worden war und dass sich einige Timestamps verändert hatten. Zunächst wurden Hardwareprobleme vermutet. Da aber auf murphy die gleichen Probleme auftraten, wurden die Administratoren hellhörig.

Obwohl der Kernel-Bug bereits im September von Andrew Morton entdeckt und seit Oktober in Pre-Release-Versionen des Kernels behoben wurde, seien die Sicherheitsimplikationen als nicht besonders schwerwiegend erachtet worden. Es habe daher auch keine Security-Advisories gegeben. Der Linux-Kernel 2.2.x sei für den Exploit nicht anfällig, heißt es weiter. Ebenso seien auch die Kernel für Sparc und PA-RISC nicht betroffen. Auch habe der Einbrecher nicht in die Paket-Archive eindringen können. In dem Abschlussbericht gibt das Projekt-Team auch Hinweise für die an Debian beteiligten Entwickler zum weiteren Vorgehen, etwa dem notwendigen Erneuern der Passwörter und möglicher Überprüfung der eigenen Rechner. Auch gibt das Debian-Projekt Erklärungen zum bei dem Einbruch installierten Root-Kit und dem Burneye-Schutz, den der Angreifer zum Verschlüsseln des Exploits für den Kernel-Bug benutzte.

Zu Details zu dem Einbruch und zu dem Bug im Linux-Kernel siehe auch:

• Debian Investigation Report after Server Compromises-- Untersuchungsbericht des Debian-Projekts
• Debian-Untersuchungsbericht nach Serverkompromittierungen-- Deutsche Übersetzung des Untersuchungsberichts
• Security Advisory des Debian-Projekts
• Advisory von iSEC Security Research mit technischen Details über den Kernel-Bug

Mit den Informationsdefiziten, die der Debian-Hack aufgezeigt hat, beschäftigt sich auch der aktuelle Kommentar auf heise Security: (anw)

• Der Debian-Hack und Informationspolitik