[Flug] Rapporto dettagliato (versione 2)

[Sergio Ballestrero]

Leandro Noferini wrote:

>Ciao a tutti,
>
>versione riveduta e corretta soprattutto per l'aggiunta della verifica
>dall'uptime e dei contatti con l'ultimo flugghista che ha maneggiato
>il serverone.
>
 Ciao Leandro,
grazie per il lavoro che stai facendo. La versione 2 mi sembra del tutto 
condivisibile come contenuti.

 Ho
- sistemato le accentate, che continuavo a non riuscire a leggere, 
mettendo tutto in UTF-8;
- spostato il paragrafo sull'uptime subito dopo l'elenco dei reboot;
- cercato di far scorrere meglio qualche frase e rendere meno 
"colloquiale" qualche altra, e spero di non averne alterato il significato;
- ho sostituito "manomissione" con "compromissione", dove si parla della 
ragione per cui il server non e' stato rimesso subito in linea. Scusate 
se insisto con questo - mi sembra importante far capire bene che non e' 
stato fermo tanto per via della evidente manomissione fisica, quanto per 
il sospetto che qualcuno abbia avuto accesso a dati sensibili, o li 
abbia addirittura alterati.

 Comunque, se preferite la versione di Leandro, per me e' accettabile lo 
stesso.
 Ciao,
  Sergio


Resoconto dettagliato delle compromissioni individuate al server del
Firenze Linux User Group il 27 giugno 2005

Lunedì 27 giugno 2005 due aderenti del Flug (LG e CG) si sono recati
alla sede milanese del provider Inet per riprendere il serverone, lì
ospitato negli spazi del provider Dada con il quale il Flug aveva il
contratto di housing da circa 6 anni. Questo cambiamento di provider
era stato programmato da alcuni giorni sulla base di una proposta di
sponsorizzazione (da concretizzarsi con l'housing del server) giunta
al Flug da un altro provider fiorentino (vedi
https://lists.firenze.linux.it/pipermail/flug/2005-June/009578.html).

Al momento del ritiro dell'hardware, avvenuto verso le 11.30, sono
state riscontrate le seguenti anomalie:
 - il server (di tipo rack 1U) aveva il coperchio del case chiuso con
 le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti
 anche graffi sullo stesso coperchio, attribuibili all'inserimento e
 all'estrazione dall'armadio rack;
 - il cavo ide di collegamento del cdrom era completamente staccato;
 - le viti di fissaggio delle slitte dei dischi fissi erano mancanti.

È stato deciso di riprendere ugualmente il server e di riportarlo a
Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo
provider.

Durante il viaggio di ritorno sono stati presi contatti telefonici da
parte dei due aderenti del Flug con i nostri riferimenti del provider
Dada: nelle conversazioni telefoniche con questi riferimenti (prima
commerciale e poi tecnico) è stato confermato lo spostamento di stanza
programmato (vedi down), spostamento peraltro verificato direttamente
dai due incaricati (i quali erano presenti anche alla prima
installazione), ma sono state escluse manomissioni dell'hardware.
Inoltre, è stato contattato il membro del Flug che per ultimo era
intervenuto sul server, il quale ha confermato di aver lasciato il
server regolarmente chiuso e con tutto l'hardware regolare.

All'arrivo a Firenze il server è stato riavviato più volte per
problemi con il kernel installato; solo in un secondo momento è
iniziata l'analisi delle tracce di manomissione.

In seguito ad un'analisi più specifica dell'hardware (in particolare
il controller dei dischi, che non permette l'installazione di
dispositivi di memorizzazione non presenti all'avvio) sono state
escluse manomissioni "a caldo" cioè con il sistema operativo
funzionante e quindi se queste manomissioni sono avvenute devono
essere state compiute necessariamente dopo un riavvio.
 I riavvii durante la permanenza ad Inet sono stati tre:
 - il giorno dell'installazione, compiuta da tre aderenti al Flug (LG,
 CG, LN);
 - il giorno successivo, ad opera di un altro aderente del Flug (CC)
 per ovviare a problemi riscontrati con uno degli slot della ram;
 - durante lo spostamento degli armadi del provider Dada che
 ospitavano il server, così come annunciato anche nella lista di
 discussione generale del Flug (flug@firenze.linux.it, vedi
 https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html).

Il fatto che gli unici riavvii subiti dal serverone siano quelli
elencati viene fatto risalire dal controllo dell'"uptime", cioè il
tempo di funzionamento ininterrotto che viene registrato dal kernel
Linux: questo dato in effetti può essere alterato usando sistemi
piuttosto sofisticati. L'ipotesi che il supposto attaccante abbia
usato questi sistemi per truccare questo dato viene considerata
del tutto implausibile perché difficilmente conciliabile con le
evidenti tracce poi lasciate sull'hardware.

Per i primi due interventi sul server risulta assolutamente
accettabile escludere un riassemblaggio inaccurato ad opera degli
aderenti al Flug. Per il terzo risulta difficilmente accettabile
supporre manomissioni accidentali o dovute a ragioni contingenti allo
spostamento; d'altro canto non ci è neanche possibile escluderle dato
il fatto che nessuno del Flug era lì presente.
Per queste considerazioni risulta inevitabile concludere che se
manomissione c'è stata questa deve essere necessariamente avvenuta in
occasione dell'ultimo riavvio; cosa peraltro assolutamente esclusa dai
rappresentanti tecnici di Dada, così come scritto in precedenza.

Il gruppo di persone che nel frattempo si era riunito ha però deciso
lo stesso di considerare compromesso il server, data la presenza di
dati delicati (in particolare le chiavi del remailer antani) e quindi
di non reinserire in rete il server ma di procedere ad una nuova
installazione del software, e di non rendere subito disponibili i dati
ospitati ma di attendere un controllo da parte dei vari responsabili.
È stato deciso inoltre di non riavviare il remailer fino a quando non
sarà possibile revocare le vecchie chiavi (dichiarandole compromesse)
e di ripartire con chiavi nuove.

L'installazione è avvenuta su due nuovi dischi con caratteristiche
tecniche uguali ai precedenti: questi sono in consegna ad un aderente
del Flug in attesa di svolgere analisi forense dei dati contenuti.

Versione di venerdì 8 luglio 2005