[Flug] Rapporto dettagliato

Leandro Noferini lnoferin@cybervalley.org
Dom 3 Lug 2005 19:55:24 CEST


Ciao a tutti,

invio la prima bozza del rapporto dettagliato. Ho eliminato i nomi
delle persone che hanno partecipato alla cosa visto che questo
messaggio verra' pubblicato sul web; la stessa cosa verra' fatta nella
versione che verra' eventualmente pubblicata mentre sara' disponibile
la versione con i nomi a chi me ne faccia richiesta (credo sia una
buona politica per evitare che vengano pubblicati troppi nomi).

Mancano le foto che conto di pubblicare in giornata.

Resoconto dettagliato delle compromissioni individuate al server del
Firenze Linux User Group il 27 giugno 2005


Lunedì 27 giugno 2005 due aderenti del Flugsi sono recati alla sede
milanese del provider Inet per riprendere il serverone, là ospitato
negli spazi del provider Dada con il quale il Flug aveva il contratto
di housing da circa 6 anni. Questo cambiamento di provider era stato
programmato da alcuni giorni sulla base di una proposta di
sponsorizzazione (da concretizzarsi con l'housing del server) giunta
al Flug da un altro provider fiorentino (vedi
https://lists.firenze.linux.it/pipermail/flug/2005-June/009578.html).

Al momento del ritiro dell'hardware, avvenuto verso le 11.30, sono
state riscontrate le seguenti anomalie:

   ll server (di tipo rack 1U) aveva il coperchio del case chiuso con
le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti
anche graffi sullo stesso coperchio dovuti all'inserimento e
all'estrazione dall'armadio rack;
   il cavo ide di collegamento del cdrom era completamente staccato;
   le viti di fissaggio delle slitte dei dischi fissi erano mancanti.

È stato deciso di riprendere ugualmente il server e di riportarlo a
Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo
provider.

Durante il viaggio di ritorno sono stati presi contatti telefonici da
parte dei due aderenti del Flug con i nostri riferimenti del provider
Dada: nelle conversazioni telefoniche con questi riferimenti (prima
commerciale e poi tecnico) Ú stato confermato lo spostamento di
stanza programmato (vedi down), spostamento peraltro verificato
direttamente dai due incaricati (i quali erano presenti anche alla
prima installazione), ma sono state escluse manomissioni
dell'hardware.

All'arrivo a Firenze il server Ú stato riavviato più volte per  ente
problemi con il kernel installato; solo in un secondo tempo Ú
iniziata l'analisi delle tracce di manomissione.

Ad un'analisi più specifica dell'hardware (in particolare il
controller dei dischi che non permette l'installazione di dispositivi
di memorizzazione non presenti all'avvio) sono state escluse
manomissioni "a caldo" cioÚ con il sistema operativo funzionante e
quindi se queste manomissioni sono avvenute devono essere
manomissionistate compiute necessariamente dopo un riavvio. I riavvii
durante la permanenza ad Inet sono stati tre:
il giorno dell'installazione, compiuta da tre aderenti al Flug;
il giorno successivo ad opera di un altro aderente del Flug per
ovviare a problemi riscontrati con uno degli slot della ram;
durante lo spostamento degli armadi del provider Dada che ospitavano
il server, così come annunciato anche nella lista di discussione
generale del Flug (flug@firenze.linux.it, vedi
https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html).

Delle prime due serie di operazioni al server risulta assolutamente
accettabile l'esclusione di un riassemblamento inaccurato; della terza
risulta difficilmente accettabile supporre manomissioni involontarie o
dovute a ragioni contingenti allo spostamento. D'altro canto non ci Ú
neanche possibile escluderle dato il fatto che nessuno del Flug era
là presente.

Per queste considerazioni risulta evidente che se manomissione c'Ú
stata questa deve essere necessariamente avvenuta durante quest'ultimo
riavvio, cosa peraltro assolutamente esclusa dai rappresentanti
tecnici di Dada, così come scritto in precedenza.

Il gruppo di persone che nel frattempo si era riunito ha però deciso
lo stesso di considerare il server manomesso data la presenza di dati
delicati (in particolare le chiavi del remailer antani) e quindi di
non reinserire in rete il server e di procedere ad una nuova
installazione del software e di non rendere subito disponibili i dati
ospitati ma di attendere un controllo da parte dei vari responsabili.
È stato deciso inoltre di non riavviare il remailer fino a quando
non sarà possibile revocare le vecchie chiavi (dichiarandole
compromesse) e di ripartire con chiavi nuove.

L'installazione Ú avvenuta su due nuovi dischi con caratteristiche
tecniche uguali ai precedenti: questi sono in consegna ad un aderente
del Flug in attesa di svolgere analisi forense dei dati contenuti.

-- 
Ciao
leandro
Tessera n° 17 dell'ata-F-lug
..... e saluti al brigadiere
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: Digital signature
URL:         <http://lists.linux.it/pipermail/flug/attachments/20050703/34a88950/attachment.pgp>


Maggiori informazioni sulla lista flug