[Flug] Rapporto dettagliato (versione 2)
Sergio Ballestrero
s.ballestrero@firenze.linux.it
Ven 8 Lug 2005 15:58:29 CEST
Leandro Noferini wrote:
>Ti dispiace correggere come suggerito da Leonardo che io proprio non
>ce la faccio?
>
>
Eccolo:
Resoconto dettagliato delle compromissioni individuate al server del
Firenze Linux User Group il 27 giugno 2005
Lunedì 27 giugno 2005 due aderenti del Flug (LG e CG) si sono recati
alla sede milanese del provider Inet per riprendere il serverone, lì
ospitato negli spazi del provider Dada con il quale il Flug aveva il
contratto di housing da circa 6 anni. Questo cambiamento di provider
era stato programmato da alcuni giorni sulla base di una proposta di
sponsorizzazione (da concretizzarsi con l'housing del server) giunta
al Flug da un altro provider fiorentino (vedi
https://lists.firenze.linux.it/pipermail/flug/2005-June/009578.html).
Al momento del ritiro dell'hardware, avvenuto verso le 11.30, sono
state riscontrate le seguenti anomalie:
- il server (di tipo rack 1U) aveva il coperchio del case chiuso con
le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti
anche graffi sullo stesso coperchio, attribuibili all'inserimento e
all'estrazione dall'armadio rack;
- il cavo ide di collegamento del cdrom era completamente staccato;
- le viti di fissaggio delle slitte dei dischi fissi erano mancanti.
È stato deciso di riprendere ugualmente il server e di riportarlo a
Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo
provider.
Quando ancora si trovavano presso il data-center di Inet, i due aderenti
del Flug hanno preso contatto con i nostri riferimenti del provider
Dada: nelle conversazioni telefoniche con questi riferimenti (prima
commerciale e poi tecnico) è stato confermato lo spostamento di stanza
programmato (vedi sotto i riavvi del server), spostamento peraltro
verificato direttamente dai due incaricati (i quali erano presenti anche
alla prima installazione), ma sono state escluse manomissioni dell'hardware.
Inoltre, è stato contattato il membro del Flug che per ultimo era
intervenuto sul server, il quale ha confermato di aver lasciato il
server regolarmente chiuso e con tutto l'hardware regolare.
All'arrivo a Firenze il server è stato riavviato più volte per
problemi con il kernel installato; solo in un secondo momento è
iniziata l'analisi delle tracce di manomissione.
In seguito ad un'analisi più specifica dell'hardware (in particolare
il controller dei dischi, che non permette l'installazione di
dispositivi di memorizzazione non presenti all'avvio) sono state
escluse manomissioni "a caldo" cioè con il sistema operativo
funzionante e quindi se queste manomissioni sono avvenute devono
essere state compiute necessariamente dopo un riavvio.
I riavvii durante la permanenza ad Inet sono stati tre:
- il giorno dell'installazione, compiuta da tre aderenti al Flug (LG,
CG, LN);
- il giorno successivo, ad opera di un altro aderente del Flug (CC)
per ovviare a problemi riscontrati con uno degli slot della ram;
- durante lo spostamento degli armadi del provider Dada che
ospitavano il server, così come annunciato anche nella lista di
discussione generale del Flug (flug@firenze.linux.it, vedi
https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html).
Il fatto che gli unici riavvii subiti dal serverone siano quelli
elencati viene fatto risalire dal controllo dell'"uptime", cioè il
tempo di funzionamento ininterrotto che viene registrato dal kernel
Linux: questo dato in effetti può essere alterato usando sistemi
piuttosto sofisticati. L'ipotesi che il supposto attaccante abbia
usato questi sistemi per truccare questo dato viene considerata
del tutto implausibile perché difficilmente conciliabile con le
evidenti tracce poi lasciate sull'hardware.
Per i primi due interventi sul server risulta assolutamente
accettabile escludere un riassemblaggio inaccurato ad opera degli
aderenti al Flug. Per il terzo risulta difficilmente accettabile
supporre manomissioni accidentali o dovute a ragioni contingenti allo
spostamento; d'altro canto non ci è neanche possibile escluderle dato
il fatto che nessuno del Flug era lì presente.
Per queste considerazioni risulta inevitabile concludere che se
manomissione c'è stata questa deve essere necessariamente avvenuta in
occasione dell'ultimo riavvio; cosa peraltro assolutamente esclusa dai
rappresentanti tecnici di Dada, così come scritto in precedenza.
Il gruppo di persone che nel frattempo si era riunito ha però deciso
lo stesso di considerare compromesso il server, data la presenza di
dati delicati (in particolare le chiavi del remailer antani) e quindi
di non reinserire in rete il server ma di procedere ad una nuova
installazione del software, e di non rendere subito disponibili i dati
ospitati ma di attendere un controllo da parte dei vari responsabili.
È stato deciso inoltre di non riavviare il remailer fino a quando non
sarà possibile revocare le vecchie chiavi (dichiarandole compromesse)
e di ripartire con chiavi nuove.
L'installazione è avvenuta su due nuovi dischi con caratteristiche
tecniche uguali ai precedenti: questi sono in consegna ad un aderente
del Flug in attesa di svolgere analisi forense dei dati contenuti.
Versione di venerdì 8 luglio 2005
Maggiori informazioni sulla lista
flug