GitHub
Pred približno tednom dni je v repozitorij Gentoo Linux GitHub vlomil vdorec, ki je nato lahko prevzel nadzor nad računom in v distrose vstavil zlonamerno kodo. Ta koda je bila zasnovana za brisanje uporabniških podatkov. Razvijalci Gentoo-ja so lahko nadzor prevzeli precej hitro, vendar je bilo zaskrbljujoče, ker bi lahko zelo škodoval namestitvam končnih uporabnikov. Poleg tega je zelo redko, da se prevzame celotno skladišče zrcalnih kod operacijskega sistema.
Na srečo napadalci uporabnikom niso mogli povzročiti veliko žalosti, saj so prevzeli ogledalo le za datoteke, ki so običajno shranjene na lastnih strežnikih Gentoo-a. Uporabniki prenesejo kodo z uradnih strežnikov, zato se pri veliki večini uporabnikov Gentoo-a stvari niso zares počutile.
Distributer je zdaj razkril, da je bil račun pod nadzorom nepooblaščenega uporabnika, ker je bilo geslo skrbnika organizacije slabo in ga je bilo enostavno uganiti. Prefinjeni vektorji napada niso bili uporabljeni in ni bil rezultat notranjega dela. Preprosto je bilo enostavno uganiti uporabniško geslo.
Vnos na wikiju Gentoo Linux, o katerem so nato poročale številne spletne strani s tehničnimi novicami, nakazuje, da je imela oseba geslo, ki je olajšalo ugibanje poverilnic za prijavo na druga spletna mesta, za katera je imel ta uporabnik račune.
Medtem ko so nekateri komentatorji omenili, da bi dvofaktorski sistem avtorizacije morda pomagal preprečiti tovrstne napade, je nastavitev osnovnega gesla pogosto povabilo za napad. Gentoo se zelo podrobno posveča podrobnostim in uvedli so vrsto novih varnostnih ukrepov, ki naj bi zmanjšali tveganje, da se to zgodi v prihodnosti.
Končni uporabniki pa v resnici niso mogli preveriti, ali ima njihovo drevo čiste kopije programske opreme. Gentoo tudi priznava, da morajo v prihodnosti določiti jasnejša navodila in razložiti, kako lahko preprečijo, da bi ogroženi sistemi izvajali kodo, dodano v zlonamernih zavezah.
Za končne uporabnike bi lahko bilo precej slabše, vendar so razvijalci in vodje projektov Gentoo izjavili, da popolnoma razumejo, da bi tišji napad potencialno privedel do daljšega okna priložnosti za krekerje.
Oznake Gentoo Varnost Linuxa
