Después de celebrar por todo lo alto los 20 años de Linux, un suceso viene a empañarnos la alegría de la efeméride puesto que un grupo de hackers (o uno, aún no se sabe a ciencia cierta) habría logrado acceder (con todos los privilegios) a los servidores de kernel.org, el repositorio principal del código fuente del kernel de Linux.
El suceso, realmente, es bastante preocupante porque, aunque ayer salió a la luz pública, los gestores del proyecto no se percataron de ello hasta el pasado domingo cuando vieron que se habían modificado archivos, se había incluido código malicioso a los scripts de arranque y las credenciales de usuario de acceso remoto a los servidores de algunos de los participantes del proyecto habían sido copiadas. Este ataque habría tenido lugar sobre el 12 de agosto pero, hasta el domingo, no se dieron cuenta hasta que uno de los participantes del proyecto se descargó código infectado lo cual hizo saltar las alarmas y se cambiaron las credenciales de 448 usuarios del proyecto.
Lógicamente, los responsables de Kernel.org se han comunicado el incidente a las fuerzas de seguridad de Estados Unidos y Europa para que se abran las diligencias oportunas para estudiar el caso e intentar localizar a los responsables y, mientras tanto, desde Kernel.org se trabaja para restablecer el sitio web y encontrar pistas que intenten esclarecer lo que ha pasado.
Jonathan Corbet, desde la Fundación Linux, ha escrito una nota hablando del suceso que, aunque grave, no debe generar el pánico o la histeria colectiva puesto que cuentan con las herramientas necesarias para volver a la normalidad y localizar cualquier modificación no autorizada:
El episodio es preocupante y embarazoso. Pero puedo decir que no hay necesidad de preocuparse por la integridad del código fuente del kernel o de cualquier otro software alojado en los sistemas de kernel.org
Concretamente, kernel.org tiene activos los siguientes mecanismos de control:
Para empezar, usan Git para el control de versiones (un sistema diseñado por el propio Linus Torvalds) que calcula un hash único para cada archivo y que lo identifica de manera unívoca, definiendo exactamente su contenido. Una vez que se publica un kernel, éste depende de la totalidad de los archivos utilizados en su desarrollo y, cualquier modificación, es comunicada a todos los desarrolladores, por lo que no es posible modificar versiones de kernel ya publicadas sin que nadie se de cuenta.
Por otro lado, están restaurando backups del sitio web para volver a un punto anterior a esta intrusión y, a partir de ahí, ir reconstruyendo el sitio.
Por tanto, hemos de estar tranquilos porque, tras la detección, todo volverá a la normalidad. Eso sí, el susto no hay quien se lo quite y, desde luego, ha sido un golpe para los gestores del proyecto que, probablemente, dedicarán tiempo a la mejora de la seguridad de sus sistemas.
Vía: ALT1040