Letartóztatták a 2011-es kernel.org betörés gyanúsítottját

 ( trey | 2016. szeptember 4., vasárnap - 8:28 )

2011-ben a kernel.org infrastruktúra számos szerverére betörtek. Most, 5 évvel később úgy fest, hogy elkapták a gyanúsítottat. Múlt vasárnap egy dél-kaliforniai számítógépprogramozót tartóztattak le, akit azzal vádolnak, hogy 2011-ben betört a kernel.org és a The Linux Foundation által üzemeltetett szerverekre. A 27 éves Donald Ryan Austin-t augusztus 28-án tartóztatták le Miami Shores Police Department rendőrei. Austin-t azzal vádolják, hogy négy szerverre tört be és telepített azokra rootkit-et és egyéb rosszindulatú szoftvereket. A vádlott csütörtökön jelent meg az illetékes bíróságon, ahol 50 ezer dollár óvadék fejében elengedték, a következő tárgyalásig szabadlábon védekezhet. A következő tárgyalása szeptember 21-én lesz San Francisco-ban.

Ha bűnösnek találják, Austin akár 4 x 10 év börtönt és 4 x 250 ezer dolláros büntetést is kaphat. A vádemelésre az FBI nyomozása nyomán került sor.

Részletek a szövetségi ügyészi hivatal közleményében.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Mit lehet ilyenkor kívánni? Kellemes cellatársakat!

--
trey @ gépház

Akkoriban azt ígérték, hogy írnak egy beszámolót az incidensről, amit aztán nem tettek meg azóta sem. Sőt, az új dizájnra váltáskor ezt az egész Security Breach bejelentést is "véletlenül" kifelejtették a Site News szekcióból, úgyhogy én hasonló jókat kívánnék a képmutató kernel.org üzemeltetőknek is...

Vagy a "nyomozás érdekeire való tekintettel" nem tehették meg (az FBI kérésére), de most, hogy a tettes megvan és elítélik, kiadhatják a jelentést. Majd kiderül. De, jelentsd fel őket, hátha lesz olyan bíróság, aki a kettőt egy súlyban kezeli (én kétlem).

--
trey @ gépház

Tekintve hogy a részletekről így is lehetett tudni (gagyi Phalanx rootkitet telepített a gyerek, ami feltűnő Xnest hibaüzeneteket generált a kompromitált szervereken), kizárt hogy "nyomozás érdekeire való tekintettel" nem publikálták a beszámolót... (és az is viccesen hangzana, hogy az FBI kérésére tűntették el az incidens bejelentését az oldalról ;)

Én nem bocsátkozom feltételezésekbe, te ehhez jobban értesz ;) Amit mondtam, az bevett ügymenet része szokott lenni.

--
trey @ gépház

Bevett ügymenet szokott lenni, hogy fél évvel az incidens bejelentése után az FBI kérésére eltűntetik a bejelentés nyomát a hírfalról. Jólvangábor...

Nem úgy értette, hanem amúgy.

Lenyilatkozzuk az újságíróknak, hogy mi történt, a The Register le is közli ezeket a részleteket, de mi a kernel.org-ra nem írjuk ki a nyomozás érdekeire hivatkozva, sőt fél év után a weboldal hírfaláról is levesszük ezt az egy cikis történetet, de természetesen kizárólag az FBI kérése miatt, utólag... True story :))

Bevett ügymenet, hogy folyamatban levő nyomozás részleteit nem közlik és az érintettet is megkérik, hogy ne nyilatkozzon. Ennek több oka is van, az egyik az, hogy a wannabe hacker hülyegyerekek ne árasszák el "én voltam, én voltam" jelentkezésekkel a rendőrséget. Ha mégis, akkor egyszerű keresztkérdésekkel ki lehessen szűrni, hogy csak pattanásos pistike wannabe médiasztár jelentkezett be vagy valóban a tettest kapták el. Az, hogy elkotyogták előre és utólag a rendőség levetette, nekem a belefér kategória. De szívesen olvasok mindenféle egyéb feltételezés sztorit is, szóval folytasd nyugodtan. Ráérek ;)

--
trey @ gépház

Tehát fél évvel az incidens után a kernel.org dizájn váltással egyidőben a rendőrség levetette a hírfalra kiírt figyelmeztetést, hogy a kernel fejlesztők cseréljék le az RSA kulcsaikat. Rendbengábor...

Szerintem simán lehetséges, hogy egyszerűen aktualitását vesztettnek ítélték a hírt, amiről amúgy a teljes szakma tud, bárhonnan lehet a részletekről informálódni, így nyilván nem feltételezték, hogy ezzel bármit is "eltüntetnek" (az internet emlékszik), csak nem tartották szerencsésnek kiteregetni a szennyest minden újonnan érkező látogatónak.
Plusz sosem tettek ígéretet arra, hogy minden kitett hírt örökre megőriznek.

Én nem neheztelek rájuk emiatt.

Más régi híreket is leszedtek?

>nem tartották szerencsésnek kiteregetni a szennyest minden újonnan érkező látogatónak.
>bevett ügymenet

En sem neheztelek, egyszeruen undoritonak tartom.

Hans Reiser mondjuk?

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

A netes pizzarendelés veszélyei.

Azért meglepődnék, ha szerencsétlen mind a négy megtámadott szerver után megkapná a 10-10 éves maximális büntetést. Ugyanebben az államban az előre megfontolt szándékkal történő gyilkosság megúszható 25 évvel (mínusz jó magaviselet, mínusz enyhítő körülmények, stb.)

Ehhez képest a 4x10 év a kernel.org feltöréséért elég furcsa lenne.

Az a 4x10 ev az az elmeleti max.
Szerintem az alak kb 2-3 evet kaphat... Meglepodnek ha sokkal tobbet kapna.
A jo magaviseletet, meg az enyhito korulmenyeket meg nem csak a gyilkossagnal kellene beleszamitani.

Van itt egy kicsit hosszabb leiras:
https://en.wikipedia.org/wiki/United_States_Federal_Sentencing_Guidelines

Amugy lehet, hogy meguszhato egy szandekos emberoles 25 evvel, de az elmeleti max az eletfogytiglan.
https://www.sentencingcouncil.vic.gov.au/about-sentencing/maximum-penalties

Szerk.: most latom, hogy a fenti link az Ausztralia... na mindegy
Szerk #2: unatkozoknak: http://www.sentencing.us/

Kicsit ki van fordulva a világ.
Aki szándékosan vagy gondatlanságból embereket öl, az megússza egy felfüggesztettel, ő meg ennyiért üljön?
--
The Community ENTerprise Operating System

Ha ugy nezzuk sok ember eletet veszelyeztette/veszelyeztethette. Ki tudja mi volt az eredeti cel?
Es ha olyan linuxot futtato rendszereket tesz tonkre amiken eletek mulhatnak mert o hackerpistit jatszott?

Szerintem ilyen dolgoknak igenis legyen kovetkezmenye. En sem babralom a tuzolto autok szelepsapkajat bar artatlan gyerekcsinynek tunik viszont ha ezert mert en jofejsegbol leengedem a kereket es ok keslekednek mikor valaki eppen bent eg a hazikojaban maris mas a leanyzo fekvese ugye?

+1, mi liberálisok tartsunk össze!

Ha ugy nezzuk sok ember eletet veszelyeztette/veszelyeztethette.

:))

Lenyegeben terrorizmus ez, nem?

Igen, mert a linux hírének rontásával politikai célzattal befolyásolt kormányokat, nehogy áttérjenek.

Focilabdába rejtett pokolgépről csak a "nyomozás érdekei" miatti titkosítás okán nem értesültünk eddig.

Tarball-ba rejtettet akartál mondani, nem? :)

Ideje a vészhelyzetet az egész bolygóra kiterjeszteni!

Pl itt nalunk ha vonat kozlekedest akadalyozod (fat cipelsz a sinekre vagy ilyesmi akkor elegge megcsesznek es bortonbe is kerulhetsz erte ) Mo-n nem tudom ez hogy van.

Azert mert nem tortent nagyobb baj a problema pont a cselekedetevel volt. Nem buzgeralunk ilyen rendszereket csak poenbol...

Jaja, mert sok ember életét veszélyezteti a kernel.org elérhetetlensége. Pl. itt hupon is többen öngyilkosok lesznek, ha nem tudják letölteni a Linux kernel forráskódját erről az egy, megszentelt helyről.

Jol van latom nem akarod erteni milyen kovetkezmenyei lehetnek egy ilyennek :)
Nem azt mondtam hogy vegezzik ki a csavot de 1-2 ev siman jarhat az ilyen jatszadozasokert.

Én tényleg nem látom. Úgy rémlik, hogy konkrétan semmi nem történt, már azon kívül, hogy a csávó access-t szerzett 4 db géphez. Nem nyúlt bele a repóba, nem változtatott meg semmit, stb. De fixme.

1-2 év _nagyon_ sok. Meglepődnél, hogy milyen bűncselekményeket lehet megúszni 1-2 év letöltendővel. A kernelfejlesztők helyében levonnám a tanulságot, és elengedném az egészet. Onnan is lehet nézni a dolgot, hogy ezentúl talán kicsit tudatosabban foglalkoznak majd a security-vel, kész nyereség az egész. ;)

Mindenki azon rugozik hogy semmi nem tortent. Egyreszt ebben soha nem lehetsz biztos masreszt maga a cselekmeny a sulyos mert egy olyan rendszert tamadott meg emberunk amivel komoly karokat okozhatott volna (nem rajta mult hogy nem tortent semmi hanem felfedeztek)
Igen lekapcsoltak amikor meg a root access volt meg a 4 gephez. Meg kellett volna varni amig nekiall szethekkelni repokat?

A kulonbseg abban rejlik hogy ha tigrincs weblapjat tamadjak azt leszarja a vilag mivel minimalis karokozast tudnak vele csinalni (kb nekem meg max a csaladomnak).

Betorok a paksi atomeromube es lekapcsolnak miutan root lettem. Valoszinuleg meg azt is ramhuzzak hogy terrorista vagyok. Ertsetek jol nem azt mondom hogy vegezzek ki de 2-3 evet nyugodtan gondolkozhatna azon mit csinalt. Legyen mar kovetkezmenye annak hogy rendszereket torok fel...

Erdekes hogy pont egy ilyen forumon ezt legtobben elbagatelizaljak :O (es meg azt sem lehet rahuzni hogy feherkalapos hacker lett volna es azt demonstralta hogy milyen szarul volt vedve a kernel.org mondjuk figyelmeztetesek semmibevetele utan)

> Erdekes hogy pont egy ilyen forumon ezt legtobben elbagatelizaljak

hat pont az utobbi napok forumszalait nezegetve az a benyomasom, hogy itt a feltort szerver a "normal ugymenet resze" :D

Nem vagyok jogász, de úgy rémlik a cselekedeteidért kell felelősséget vállalni, nem azért, hogy mi történhetett volna legrosszabb esetben a cselekedeted következtében. Vagy példát kéne statuálni?

Szerintem maskepp sulyoznak ha pistike gepet torod meg mintha egy kritikus rendszert ami sok galibat tud okozni.

Pl en is maskepp kezelem azt ha egy user sajat gepen epit es futtat lokalisan olyan query-t amitol beall a gepe vagy a report szerveren futtat es mondjuk crossjoinol par tablat amiben milliard sorok vannak...

tehat ha celbalovok a kiralynore es elkapnak mielott atlyuggatom akkor nem terrorista vagyok csak tiltott fegyverviselo? (elvegre nem oltem meg senkit)

Milyen királynőre, szépségkirálynőre? Nem, nem leszel terrorista, csak hülye.
http://goo.gl/H1F3qy 1-es és 3-as pontot javaslom összehasonlítani.

Hát aki linuxra biz emberéletet az nem egészen normális.

Utcára ne nagyon menj, de lehet, hogy már otthon is veszélyes.

Mesélj, mi futtat linuxot amin emberélet múlik.
Járműben kritikus rendszer közelébe nem engedik. Közlekedési lámpák detto. Áram, viz, gáz kritikus vezérlőrendszerek detto.

Otthonról is nagyon várom a felsorolásodat ahol kritikus rendszeren linux fut.

Te milyen alternatív univerzumban élsz?

A Google önvezető autója linuxos (Ubuntu)
https://www.linux.com/news/linux-leads-self-driving-car-movement
A magyar repülési légirányítás linuxos. (RedHat)
http://www.origo.hu/techbazis/geekturiszt/20090813-fel-van-darabolva-felettunk-az-egbolt-kiprobaltuk-a-legiforgalmi-iranyitok.html?pIdx=1
Ha jól tudom a kínai elektromos hálózat vezérlése alatt is linux van:
http://www.renewableenergyworld.com/ugc/blogs/2015/08/the_servers_electrif.html

A videófal kontrollerek tipikusan linuxosak, amiket katonai rendszerekben, forgalomirányításnál, stb használnak. Tele van a világ asterisk telefonközpontokkal amiken a 112/911 eléggé kritikus. A beléptető rendszerek túlnyomó többségében linux van.

És ezt a listát a végtelenségig lehetne folytatni, a legtöbb linuxos dologról valószínűleg nem is tudunk...

Kb. igen. Meg azért is rettegjen, mert volt néhány projekt, amibe mögé még én ia fejleszthettem... >:->

Úgy tűnik neked is gondot okoz az "akár" szó értelmezése a szövegben.
--
♙♘♗♖♕♔

Az ügy ismerete nélkül kérdezem naivan: hogy lehet egy ilyen betörést ennyi év elteltével valakire rábizonyítani?

Az ügy ismerete nélkül erre a kérdés nehéz pontos választ adni. Az FBI-t kérdezd meg erről. :-)

Azonosítva a source ip-t + megtámogatva ISP-k logjaival.
Nemrég volt az a HackingTeam-es report, amiben a srác írja, hogy a Tor sem nyújt ilyen szempontból 100%-os védelmet, de egy jó kiindulópont.

De, hogy rendelsz egy Source ip-hez egy embert?

Főleg egy lyukas, szolgáltatói wifi router mögött.
De az is elég ha malware volt bármelyik gépen abban a háztartásban és máris irányithatta más a gépet.

egy ip cim semmit nem ér. Maximum egy házkutatást, gép lefoglalást. És ha majd találnak valamit a gépen a hack-el kapcsolatban, akkor lehet személyt keresni, aki a gépre rakta.

Valahogy nem hiszem el, hogy -akár már 2011ben is- akadt olyan hülye hekker, aki a saját otthoni gépéről indult szervert törni... Miért nem inkább idegen hálózatba betörve, vagy egy zombi gépről... Vagy egy egész botnetet egymás után fűzve. Egy ilyet hogy azonosítana be az FBI, vagy az oroszok, vagy akárki?
Pedig csak megteszik valahogy, hallottunk már ilyeneket.

Hagyományos nyomozati módszerekkel. A botnetet is üzemelteti valaki a C&C szervereket le lehet nyomozni. Ha van mozgás, akkor a pénz útját is meg lehet próbálni követni, vagy egy másik nyomozás során is előkerülhet valamilyen nyomravezető egyéb adat (pl. MAC cím egyezés), esetleg tettestárs vallomása. Csapdát is lehet állítani ha már ismert a betörés de a betörő még nem tud róla.

A konkrét esetben például fokozott érdeklődést lehet tanúsítani mindenki iránt, aki a felhasznált exploitot megvásárolta vagy másképp megszerezte.