Einbruch bei Gentoo

Quelle: Negative Space | Lizenz: CC0

 

Wie die Entwickler des Linux-Projekt Gentoo bekannt gaben, wurde ein Teil der GitHub-Präsenz des Projekts am 28.6. gegen 20:20 von Hackern übernommen und dort liegender Quellcode manipuliert. Zum Zeitpunkt der Bekanntgabe des Hacks, der sehr schnell entdeckt wurde, war nicht bekannt, welche Daten verändert wurden. In einem ersten Bericht schreiben die Entwickler:

Heute, am 28. Juni um ca. 20:20 UTC haben unbekannte Personen die Kontrolle über die GitHub Gentoo Organisation erlangt und den Inhalt von Repositories und Seiten dort verändert. Wir arbeiten noch immer daran, den genauen Umfang zu bestimmen und die Kontrolle über die Organisation und ihre Repositorien wiederzuerlangen. Der gesamte Gentoo Code, der auf GitHub gehostet wird, sollte im Moment als kompromittiert betrachtet werden.

Originalcode ist sicher

Der kompromittierte Quellcode auf GitHub ist nur eine Kopie des Originalcodes, der von Gentoo auf eigener Infrastruktur unter der Domain gentoo.org gehostet wird. Der Originalcode, der für die Entwicklung und für ebuilds genutzt wird, ist von den Manipulationen nicht betroffen und wird als sicher betrachtet. Auch ein Spiegel des Codes im Repository gentoo mirror auf GitHub ist unversehrt und weiterhin zugänglich. Sorgen machen müssen sich lediglich Personen, die in den Stunden vor dem Einbruch bei Gentoo Code vom derzeit immer noch geschlossenen GitHub-Repository bezogen haben. Die von den Einbrechern hinterlassene Malware war dazu ausgelegt, sämtliche Daten auf dem Rechner eines Anwenders zu löschen.

Wiederherstellungsarbeiten

Der GitHub-Support arbeitet derzeit noch an der Wiederherstellung der Pull-Request-Historie zum Zeitpunkt des Einbruchs und an einem Audit. Wie die Gentoo-Entwickler in einer Zusammenfassung der Ereignisse seit dem Einbruch bekannt gaben, wurden, soweit bekannt, keine ebuilds von dem betroffenen Repository angestoßen. Der Account der Einbrecher und der hinterlassene bösartige Malware-Code waren rund 10 Stunden nach der Entdeckung von der Plattform entfernt.

Gentoo wartet derzeit auf den Abschluss des Audits seitens GitHub, um anschließend manuell nötige Nacharbeiten zur Wiederherstellung der Pull Requests vorzunehmen. Zudem müssen alle Nutzerkonten wiederhergestellt werden. Dazu gilt ab sofort Zwei-Faktor-Authentifizierung (2FA) als Voraussetzung. Nach Abschluss der Arbeiten wird das Repository wieder freigegeben.

Nach Abschluss der Wiederherstellung wird das Projekt einen zeitlichen Ablauf der Ereignisse publizieren. Als gute Vorsichtsmaßnahme empfehlen die Entwickler, bei der Nutzung von Git jeweils die Signaturen des genutzten Codes zu überprüfen. Zu Vermutungen oder Erkenntnissen zu dem oder den Tätern und deren Vorgehensweise und Motiven liegen noch keine Aussagen vor.

Verwandte Themen

Einbruch bei Gentoo durch Achtlosigkeit ermöglicht...
views 261
Photo by Anas Alshanti on Unsplash   Die Analyse des Einbruchs und der Übernahme des GitHub-Repositories der Linux-Distribution Gentoo ist...

Beitrag kommentieren