Hackerangriff auf Gentoo: Entwickler nutzen jetzt Zweifaktor-Anmeldung
Die Entwickler der Linux-Distribution Gentoo haben ihren Abschlussbericht über den Hackerangriff vorgelegt, der sich vorige Woche ereignete.
Der Eselspinguin (Pygoscelis papua) wird im Englischen als Gentoo-Pinguin bezeichnet und ist Namensgeber der Linux-Distribution.
(Bild: Pixabay)
- Fabian A. Scherschel
Nach dem Hack des offiziellen Github-Mirrors der Linux-Distribution Gentoo haben die Entwickler nun den Abschlussbericht ihrer Untersuchung des Falles vorgelegt. Daraus geht hervor, dass insgesamt drei Repositories mit Schadcode versehen waren. Insgesamt hatten die unbekannten Angreifer knapp eine Nacht lang die Github-Organisation der Entwickler unter ihrer Kontrolle. Der Admin hatte das Passwort für sein Github-Konto wohl auf einer anderen Seite verwendet, wo es von Unbekannten abgegriffen worden war. So konnten sie sein Passwort für die Code-Hosting-Seite rekonstruieren und dort einbrechen.
Grobschlächtiges Vorgehen
Der Bericht kommt zu dem Schluss, dass vor allem deswegen Schlimmeres verhindert werden konnte, weil die unbekannten Angreifer recht grobschlächtig vorgingen und zum Beispiel die Github-Konten aller beteiligten Entwickler aus der Gentoo-Organisation schmissen. Das löste Hinweis-E-Mails an diese Entwickler aus, die wiederum dazu führten, dass der Einbruch schnell aufflog. Auch der krude Löschbefehl, den die Angreifer in die Distributions-Dateien einbauten, war schlecht integriert und stellte deswegen keine akute Gefahr da.
Als die durch den Hack betroffenen Repositories geben die Entwickler die Verzeichnisse gentoo/gentoo, gentoo/musl und gentoo/systemd an. Da das Systemd-Repository als einziges nicht primär auf der Gentoo-Projektseite gehostet wurde, wollen die Entwicklern dieses Repo zu der Hauptinfrastruktur des Projektes umziehen. Außerdem wollen sie den Github-Zugang auf Zweifaktor-Authentifizierung umstellen. Später soll auch die Hauptseite des Projektes diesem Beispiel folgen. Dafür steht allerdings die technische Umsetzung noch nicht fest – die Entwickler wollen sich wahrscheinlich am Vorbild der Linux Foundation orientieren.
Eigene Git-Repos kontrollieren
Alle betroffenen Repositories wurden inzwischen wieder in ihren ursprünglichen Zustand zurückversetzt. Wer in der Nacht zwischen dem 28. und 29. Juni 2018 allerdings Code aus den oben genannten Repos geklont hat, der sollte das nun erneut tun und sicherstellen, dass die Auffälligen Commits im lokalen Code gelöscht wurden. Der Abschlussbericht der Entwickler enthält detaillierte Informationen über die bösartigen Commits. (fab)
