Programmazione.it v6.4
Ciao, per farti riconoscere devi fare il login. Non ti sei ancora iscritto? Che aspetti, registrati adesso!
Info Pubblicità Collabora Autori Sottoscrizioni Preferiti Bozze Scheda personale Privacy Archivio Libri Corsi per principianti Forum
Come SourceForge.net reagisce agli attacchi dei cracker
Scritto da Luca Domenichini il 03-02-2011 ore 11:16
Seminario Intel
I gestori del sito SourceForge.net, regno indiscusso del software open source e sede di oltre 260.000 progetti, hanno scoperto lo scorso mercoledì di aver subito un attacco diretto da parte di malintenzionati. L'ipotesi più probabile è che l'obiettivo dei cracker fosse quello di carpire le password degli utenti; esiste inoltre la possibilità che lo scopo fosse distruttivo, ossia rovinare uno o più progetti ospitati.

La prima impressione dei tecnici è stata quella di aver preso conoscenza dell'intrusione in tempo e aver impedito il disastro: come contromisure immediate sono stati disabilitati CVS, ishell, l'upload di file e l'aggiornamento dei progetti web. La tipologia di attacco è stata quella classica: accesso a credenziali privilegiate, controllo dell'accesso remoto tramite SSH, sostituzione del daemon SSH con una versione modificata in grado di catturare le password.

Come spiega uno degli amministratori nel blog ufficiale, non si è in grado di sapere se gli invasori siano riusciti a raccogliere le password. Ma la presenza di questo daemon e la falla di accesso via server agli archivi cifrati e con one-way hashing hanno convinto lo staff della sicurezza ad agire in maniera precauzionale, invalidando tutte le password degli utenti SourceForge.net. E' stato richiesto agli utenti di effettuare il recupero e il rinnovo tramite e-mail. Sono inoltre iniziati controlli per validare i dati memorizzati e fugare ogni dubbio di manomissione.

Una delle colpe che vengono autodenunciate dal team di lavoro è che alcune delle scelte di sicurezza risalgono oramai a dieci anni fa, quando la comunità era ancora di dimensioni contenute. Oggi, con milioni di utenti attivi, sembra giunto il momento di affrettare alcuni processi e velocizzare le contromisure, come la creazione di un nuovo servizio "secure project web" e il probabile pensionamento del vetusto servizio CVS in favore di Subversion.

Dopo una brutta settimana, le funzionalità di upload (SFTP, SCP, rsync su SSH) vengono riattivate il 1° febbraio. Vengono inoltre aggiornate le chiavi SSH host e messe a disposizione le nuove fingerprint. Ad alcuni utenti è stato infine richiesto di generare e caricare nuove chiavi SSH personali. Al momento della stesura di questo articolo, permane la sospensione dei servizi CVS e ViewVC.
Precedente: Computer Security Basics (seconda edizione)
Successiva: Linguaggi di programmazione: la classifica TIOBE del 2010
Copyright Programmazione.it™ 1999-2014. Alcuni diritti riservati. Testata giornalistica iscritta col n. 569 presso il Tribunale di Milano in data 14/10/2002. Pagina generata in 0.187 secondi.