[Flug] Rapporto dettagliato (versione 2)

Leandro Noferini lnoferin@cybervalley.org
Gio 7 Lug 2005 13:57:04 CEST 

Ciao a tutti,

versione riveduta e corretta soprattutto per l'aggiunta della verifica
dall'uptime e dei contatti con l'ultimo flugghista che ha maneggiato
il serverone.

Resoconto dettagliato delle compromissioni individuate al server del
Firenze Linux User Group il 27 giugno 2005


Lunedì 27 giugno 2005 due aderenti del Flug (LG e CG) si sono recati
alla sede milanese del provider Inet per riprendere il serverone, là
ospitato negli spazi del provider Dada con il quale il Flug aveva il
contratto di housing da circa 6 anni. Questo cambiamento di provider
era stato programmato da alcuni giorni sulla base di una proposta di
sponsorizzazione (da concretizzarsi con l'housing del server) giunta
al Flug da un altro provider fiorentino (vedi
https://lists.firenze.linux.it/pipermail/flug/2005-June/009578.html).

Al momento del ritiro dell'hardware, avvenuto verso le 11.30, sono
state riscontrate le seguenti anomalie:

   ll server (di tipo rack 1U) aveva il coperchio del case chiuso con
le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti
anche graffi sullo stesso coperchio dovuti all'inserimento e
all'estrazione dall'armadio rack;
   il cavo ide di collegamento del cdrom era completamente staccato;
   le viti di fissaggio delle slitte dei dischi fissi erano mancanti.

È stato deciso di riprendere ugualmente il server e di riportarlo a
Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo
provider.

Durante il viaggio di ritorno sono stati presi contatti telefonici da
parte dei due aderenti del Flug con i nostri riferimenti del provider
Dada: nelle conversazioni telefoniche con questi riferimenti (prima
commerciale e poi tecnico) Ú stato confermato lo spostamento di
stanza programmato (vedi down), spostamento peraltro verificato
direttamente dai due incaricati (i quali erano presenti anche alla
prima installazione), ma sono state escluse manomissioni
dell'hardware. È stato inoltre contattato il membro del Flug che per
ultimo ha maneggiato il server il quale ha confermato di aver lasciato
il server regolarmente chiuso e con tutto l'hardware regolare.

All'arrivo a Firenze il server Ú stato riavviato più volte per
problemi con il kernel installato; solo in un secondo tempo Ú
iniziata l'analisi delle tracce di manomissione.

Ad un'analisi più specifica dell'hardware (in particolare il
controller dei dischi che non permette l'installazione di dispositivi
di memorizzazione non presenti all'avvio) sono state escluse
manomissioni "a caldo" cioÚ con il sistema operativo funzionante e
quindi se queste manomissioni sono avvenute devono essere state
compiute necessariamente dopo un riavvio. I riavvii durante la
permanenza ad Inet sono stati tre:
   il giorno dell'installazione, compiuta da tre aderenti al Flug (LG,
CG, LN);
   il giorno successivo ad opera di un altro aderente del Flug (CC)
per ovviare a problemi riscontrati con uno degli slot della ram;
   durante lo spostamento degli armadi del provider Dada che
ospitavano il server, così come annunciato anche nella lista di
discussione generale del Flug (flug@firenze.linux.it, vedi
https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html).

Delle prime due serie di operazioni al server risulta assolutamente
accettabile l'esclusione di un riassemblamento inaccurato; della terza
risulta difficilmente accettabile supporre manomissioni involontarie o
dovute a ragioni contingenti allo spostamento. D'altro canto non ci Ú
neanche possibile escluderle dato il fatto che nessuno del Flug era
là presente.
Per queste considerazioni risulta evidente che se manomissione c'Ú
stata questa deve essere necessariamente avvenuta durante quest'ultimo
riavvio, cosa peraltro assolutamente esclusa dai rappresentanti
tecnici di Dada, così come scritto in precedenza.

Il fatto che gli unici riavvii subiti dal serverone siano quelli
elencati viene fatto risalire dal controllo dell'"uptime" cioÚ il
tempo di funzionamento ininterrotto che viene registrato dal kernel
Linux: questo dato in effetti può essere alterato usando sistemi
piuttosto sofisticati. L'ipotesi che il supposto attaccante abbia
usato questi sistemi per truccare questo dato viene considerata troppo
fantasiosa anche perché difficilmente conciliabile con le tracce poi
lasciate sull'hardware.

Il gruppo di persone che nel frattempo si era riunito ha però deciso
lo stesso di considerare il server manomesso data la presenza di dati
delicati (in particolare le chiavi del remailer antani) e quindi di
non reinserire in rete il server e di procedere ad una nuova
installazione del software e di non rendere subito disponibili i dati
ospitati ma di attendere un controllo da parte dei vari responsabili.
È stato deciso inoltre di non riavviare il remailer fino a quando
non sarà possibile revocare le vecchie chiavi (dichiarandole
compromesse) e di ripartire con chiavi nuove.

L'installazione Ú avvenuta su due nuovi dischi con caratteristiche
tecniche uguali ai precedenti: questi sono in consegna ad un aderente
del Flug in attesa di svolgere analisi forense dei dati contenuti.

Versione di giovedì 7 luglio 2005

-- 
Ciao
leandro
Tessera n° 17 dell'ata-F-lug
..... e saluti al brigadiere
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: Digital signature
URL:         <http://lists.linux.it/pipermail/flug/attachments/20050707/6771b971/attachment.pgp>

Maggiori informazioni sulla lista flug