A partir de ahí, consiguieron acceso de administrador (root) al servidor, y modificaron los archivos de SSH (SSH se encarga de dar accesos seguros a los usuarios), añadieron un troyano al inicio del sistema y guardaron algunos registros de usuario. Esto es lo que han descubierto hasta ahora, aunque podría haber más cosas que los administradores no han descubierto.
El día 28 de agosto se descubrió el ataque (seguramente el mensaje de error en Kernel.org de “Ancho de banda excedido” tenía algo que ver), y enseguida se tomaron las medidas necesarias para “limpiar” todo: reinstalación de los servidores con backups y recreación de todas las claves de los 448 usuarios de kernel.org.
¿Y el kernel? ¿Corremos riesgo de que hayan metido código malicioso?
Dado el sistema de control de código que hay en kernel.org (git), es prácticamente imposible que hayan introducido código malicioso en el kernel sin que nadie se dé cuenta. Cada uno de los archivos del kernel tiene una huella (hash, con el algoritmo SHA-1 en este caso). Si alguien cambia aunque sea una coma en el archivo, la huella ya no es la misma y se detecta enseguida la modificación en el archivo.En resumen: los usuarios de Linux no tenemos que preocuparnos por nada, ya que a nosotros nos seguirá llegando un kernel limpio y sin código malicioso. De hecho, ni siquiera nos va a afectar en cualquier otro modo este ataque, como mucho en un retraso en la llegada en la siguiente versión del kernel.
Genbeta
No hay comentarios:
Publicar un comentario