Letartóztatták a 2011-es kernel.org betörés gyanúsítottját

Titkosítás, biztonság, privát szféra

2011-ben a kernel.org infrastruktúra számos szerverére betörtek. Most, 5 évvel később úgy fest, hogy elkapták a gyanúsítottat. Múlt vasárnap egy dél-kaliforniai számítógépprogramozót tartóztattak le, akit azzal vádolnak, hogy 2011-ben betört a kernel.org és a The Linux Foundation által üzemeltetett szerverekre. A 27 éves Donald Ryan Austin-t augusztus 28-án tartóztatták le Miami Shores Police Department rendőrei. Austin-t azzal vádolják, hogy négy szerverre tört be és telepített azokra rootkit-et és egyéb rosszindulatú szoftvereket. A vádlott csütörtökön jelent meg az illetékes bíróságon, ahol 50 ezer dollár óvadék fejében elengedték, a következő tárgyalásig szabadlábon védekezhet. A következő tárgyalása szeptember 21-én lesz San Francisco-ban.

Ha bűnösnek találják, Austin akár 4 x 10 év börtönt és 4 x 250 ezer dolláros büntetést is kaphat. A vádemelésre az FBI nyomozása nyomán került sor.

Részletek a szövetségi ügyészi hivatal közleményében.

( trey | 2016. 09. 04., v – 09:37 )

Mit lehet ilyenkor kívánni? Kellemes cellatársakat!

--
trey @ gépház

Akkoriban azt ígérték, hogy írnak egy beszámolót az incidensről, amit aztán nem tettek meg azóta sem. Sőt, az új dizájnra váltáskor ezt az egész Security Breach bejelentést is "véletlenül" kifelejtették a Site News szekcióból, úgyhogy én hasonló jókat kívánnék a képmutató kernel.org üzemeltetőknek is...

Vagy a "nyomozás érdekeire való tekintettel" nem tehették meg (az FBI kérésére), de most, hogy a tettes megvan és elítélik, kiadhatják a jelentést. Majd kiderül. De, jelentsd fel őket, hátha lesz olyan bíróság, aki a kettőt egy súlyban kezeli (én kétlem).

--
trey @ gépház

Tekintve hogy a részletekről így is lehetett tudni (gagyi Phalanx rootkitet telepített a gyerek, ami feltűnő Xnest hibaüzeneteket generált a kompromitált szervereken), kizárt hogy "nyomozás érdekeire való tekintettel" nem publikálták a beszámolót... (és az is viccesen hangzana, hogy az FBI kérésére tűntették el az incidens bejelentését az oldalról ;)

Lenyilatkozzuk az újságíróknak, hogy mi történt, a The Register le is közli ezeket a részleteket, de mi a kernel.org-ra nem írjuk ki a nyomozás érdekeire hivatkozva, sőt fél év után a weboldal hírfaláról is levesszük ezt az egy cikis történetet, de természetesen kizárólag az FBI kérése miatt, utólag... True story :))

Bevett ügymenet, hogy folyamatban levő nyomozás részleteit nem közlik és az érintettet is megkérik, hogy ne nyilatkozzon. Ennek több oka is van, az egyik az, hogy a wannabe hacker hülyegyerekek ne árasszák el "én voltam, én voltam" jelentkezésekkel a rendőrséget. Ha mégis, akkor egyszerű keresztkérdésekkel ki lehessen szűrni, hogy csak pattanásos pistike wannabe médiasztár jelentkezett be vagy valóban a tettest kapták el. Az, hogy elkotyogták előre és utólag a rendőség levetette, nekem a belefér kategória. De szívesen olvasok mindenféle egyéb feltételezés sztorit is, szóval folytasd nyugodtan. Ráérek ;)

--
trey @ gépház

Szerintem simán lehetséges, hogy egyszerűen aktualitását vesztettnek ítélték a hírt, amiről amúgy a teljes szakma tud, bárhonnan lehet a részletekről informálódni, így nyilván nem feltételezték, hogy ezzel bármit is "eltüntetnek" (az internet emlékszik), csak nem tartották szerencsésnek kiteregetni a szennyest minden újonnan érkező látogatónak.
Plusz sosem tettek ígéretet arra, hogy minden kitett hírt örökre megőriznek.

Én nem neheztelek rájuk emiatt.

( gelei v | 2016. 09. 04., v – 10:35 )

Azért meglepődnék, ha szerencsétlen mind a négy megtámadott szerver után megkapná a 10-10 éves maximális büntetést. Ugyanebben az államban az előre megfontolt szándékkal történő gyilkosság megúszható 25 évvel (mínusz jó magaviselet, mínusz enyhítő körülmények, stb.)

Ehhez képest a 4x10 év a kernel.org feltöréséért elég furcsa lenne.

Az a 4x10 ev az az elmeleti max.
Szerintem az alak kb 2-3 evet kaphat... Meglepodnek ha sokkal tobbet kapna.
A jo magaviseletet, meg az enyhito korulmenyeket meg nem csak a gyilkossagnal kellene beleszamitani.

Van itt egy kicsit hosszabb leiras:
https://en.wikipedia.org/wiki/United_States_Federal_Sentencing_Guidelines

Amugy lehet, hogy meguszhato egy szandekos emberoles 25 evvel, de az elmeleti max az eletfogytiglan.
https://www.sentencingcouncil.vic.gov.au/about-sentencing/maximum-penalties

Szerk.: most latom, hogy a fenti link az Ausztralia... na mindegy
Szerk #2: unatkozoknak: http://www.sentencing.us/

Ha ugy nezzuk sok ember eletet veszelyeztette/veszelyeztethette. Ki tudja mi volt az eredeti cel?
Es ha olyan linuxot futtato rendszereket tesz tonkre amiken eletek mulhatnak mert o hackerpistit jatszott?

Szerintem ilyen dolgoknak igenis legyen kovetkezmenye. En sem babralom a tuzolto autok szelepsapkajat bar artatlan gyerekcsinynek tunik viszont ha ezert mert en jofejsegbol leengedem a kereket es ok keslekednek mikor valaki eppen bent eg a hazikojaban maris mas a leanyzo fekvese ugye?

Pl itt nalunk ha vonat kozlekedest akadalyozod (fat cipelsz a sinekre vagy ilyesmi akkor elegge megcsesznek es bortonbe is kerulhetsz erte ) Mo-n nem tudom ez hogy van.

Azert mert nem tortent nagyobb baj a problema pont a cselekedetevel volt. Nem buzgeralunk ilyen rendszereket csak poenbol...

Én tényleg nem látom. Úgy rémlik, hogy konkrétan semmi nem történt, már azon kívül, hogy a csávó access-t szerzett 4 db géphez. Nem nyúlt bele a repóba, nem változtatott meg semmit, stb. De fixme.

1-2 év _nagyon_ sok. Meglepődnél, hogy milyen bűncselekményeket lehet megúszni 1-2 év letöltendővel. A kernelfejlesztők helyében levonnám a tanulságot, és elengedném az egészet. Onnan is lehet nézni a dolgot, hogy ezentúl talán kicsit tudatosabban foglalkoznak majd a security-vel, kész nyereség az egész. ;)

Mindenki azon rugozik hogy semmi nem tortent. Egyreszt ebben soha nem lehetsz biztos masreszt maga a cselekmeny a sulyos mert egy olyan rendszert tamadott meg emberunk amivel komoly karokat okozhatott volna (nem rajta mult hogy nem tortent semmi hanem felfedeztek)
Igen lekapcsoltak amikor meg a root access volt meg a 4 gephez. Meg kellett volna varni amig nekiall szethekkelni repokat?

A kulonbseg abban rejlik hogy ha tigrincs weblapjat tamadjak azt leszarja a vilag mivel minimalis karokozast tudnak vele csinalni (kb nekem meg max a csaladomnak).

Betorok a paksi atomeromube es lekapcsolnak miutan root lettem. Valoszinuleg meg azt is ramhuzzak hogy terrorista vagyok. Ertsetek jol nem azt mondom hogy vegezzek ki de 2-3 evet nyugodtan gondolkozhatna azon mit csinalt. Legyen mar kovetkezmenye annak hogy rendszereket torok fel...

Erdekes hogy pont egy ilyen forumon ezt legtobben elbagatelizaljak :O (es meg azt sem lehet rahuzni hogy feherkalapos hacker lett volna es azt demonstralta hogy milyen szarul volt vedve a kernel.org mondjuk figyelmeztetesek semmibevetele utan)

Szerintem maskepp sulyoznak ha pistike gepet torod meg mintha egy kritikus rendszert ami sok galibat tud okozni.

Pl en is maskepp kezelem azt ha egy user sajat gepen epit es futtat lokalisan olyan query-t amitol beall a gepe vagy a report szerveren futtat es mondjuk crossjoinol par tablat amiben milliard sorok vannak...

Te milyen alternatív univerzumban élsz?

A Google önvezető autója linuxos (Ubuntu)
https://www.linux.com/news/linux-leads-self-driving-car-movement
A magyar repülési légirányítás linuxos. (RedHat)
http://www.origo.hu/techbazis/geekturiszt/20090813-fel-van-darabolva-fe…
Ha jól tudom a kínai elektromos hálózat vezérlése alatt is linux van:
http://www.renewableenergyworld.com/ugc/blogs/2015/08/the_servers_elect…

A videófal kontrollerek tipikusan linuxosak, amiket katonai rendszerekben, forgalomirányításnál, stb használnak. Tele van a világ asterisk telefonközpontokkal amiken a 112/911 eléggé kritikus. A beléptető rendszerek túlnyomó többségében linux van.

És ezt a listát a végtelenségig lehetne folytatni, a legtöbb linuxos dologról valószínűleg nem is tudunk...

( rts | 2016. 09. 05., h – 15:22 )

Az ügy ismerete nélkül kérdezem naivan: hogy lehet egy ilyen betörést ennyi év elteltével valakire rábizonyítani?

Főleg egy lyukas, szolgáltatói wifi router mögött.
De az is elég ha malware volt bármelyik gépen abban a háztartásban és máris irányithatta más a gépet.

egy ip cim semmit nem ér. Maximum egy házkutatást, gép lefoglalást. És ha majd találnak valamit a gépen a hack-el kapcsolatban, akkor lehet személyt keresni, aki a gépre rakta.

Valahogy nem hiszem el, hogy -akár már 2011ben is- akadt olyan hülye hekker, aki a saját otthoni gépéről indult szervert törni... Miért nem inkább idegen hálózatba betörve, vagy egy zombi gépről... Vagy egy egész botnetet egymás után fűzve. Egy ilyet hogy azonosítana be az FBI, vagy az oroszok, vagy akárki?
Pedig csak megteszik valahogy, hallottunk már ilyeneket.

Hagyományos nyomozati módszerekkel. A botnetet is üzemelteti valaki a C&C szervereket le lehet nyomozni. Ha van mozgás, akkor a pénz útját is meg lehet próbálni követni, vagy egy másik nyomozás során is előkerülhet valamilyen nyomravezető egyéb adat (pl. MAC cím egyezés), esetleg tettestárs vallomása. Csapdát is lehet állítani ha már ismert a betörés de a betörő még nem tud róla.

A konkrét esetben például fokozott érdeklődést lehet tanúsítani mindenki iránt, aki a felhasznált exploitot megvásárolta vagy másképp megszerezte.