[Flug] Resoconto dettagliato - ultima versione

Leandro Noferini lnoferin@cybervalley.org
Sab 30 Lug 2005 00:28:23 CEST 

Ciao a tutti,

in allegato la versione riveduta e corretta del resoconto dettagliato
alla luce delle necessità dettateci dall'avvocato: in sostanza sono
stati aggiunti gli scopi del serverone nonché la tipologia dei dati in
esso contenuti.

Va pubblicato quanto prima quindi se non ricevo commenti negativi lo
pubblicherei entro la prossima settimana.

-- 
Ciao
leandro
-------------- parte successiva --------------
Resoconto dettagliato delle compromissioni individuate al server del Firenze Linux User Group il 27 giugno 2005


Lunedì 27 giugno 2005 due aderenti del Flug (LG e CG) si sono recati alla sede milanese del provider Inet per riprendere il server del Flug, lì ospitato negli spazi del provider Dada con il quale il Flug aveva il contratto di housing da circa 6 anni. Questo cambiamento di provider era stato programmato da alcuni giorni sulla base di una proposta di sponsorizzazione (da concretizzarsi con l'housing del server) giunta al Flug da un altro provider fiorentino (vedi https://lists.firenze.linux.it/pipermail/flug/2005-June/009578.html).


Con questo server il Flug offre servizi come liste di posta elettronica alla comunità di appassionati al SL di Firenze. Inoltre ospita simili servizi per conto di altri gruppi simili al Flug di altre città; per fare questo il server non contiene alcun tipo di dato sensibile eccettuati quelli necessari al funzionamento dei servizi stessi (come la chiave privata del server ssh, i certificati ssl per il server web e le chiavi private del remailer Antani). Unica eccezione è la posta elettronica personale dei pochi (numero) aderenti al Flug autorizzati all'accesso diretto al server, autorizzazioni giustificate da compiti di gestione del server.

Al momento del ritiro dell'hardware, avvenuto verso le 11.30 del 27 giugno, sono state riscontrate le seguenti anomalie:
	il server (di tipo rack 1U) aveva il coperchio del case chiuso con le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti anche graffi sullo stesso coperchio, attribuibili all'inserimento e all'estrazione dall'armadio rack;
	il cavo ide di collegamento del cdrom era completamente staccato;
	le viti di fissaggio delle slitte dei dischi fissi erano mancanti.

È stato deciso di riprendere ugualmente il server e di riportarlo a Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo provider.

Quando ancora si trovavano presso il data-center di Inet, i due aderenti del Flug hanno preso contatto con i nostri riferimenti del provider Dada: nelle conversazioni telefoniche con questi riferimenti (prima commerciale e poi tecnico) è stato confermato lo spostamento di stanza programmato (vedi sotto i riavvi del server), spostamento peraltro verificato direttamente dai due incaricati (i quali erano presenti anche alla prima installazione), ma sono state escluse manomissioni dell'hardware.
Inoltre, è stato contattato il membro del Flug che per ultimo era intervenuto sul server (CC), il quale ha confermato di aver lasciato il server regolarmente chiuso e con tutto l'hardware regolare.

All'arrivo a Firenze il server è stato riavviato più volte per problemi con il kernel installato; solo in un secondo momento è iniziata l'analisi delle tracce di manomissione.

In seguito ad un'analisi più specifica dell'hardware (in particolare il controller delle unità di memorizzazione di massa, che non permette l'installazione e l'uso di dispositivi di memorizzazione non presenti all'avvio), a fronte di quelle che sono le evidenti manomissioni dell'hardware sopra elencate, sono state escluse manomissioni dei dati contenuti negli hard-disk "a caldo" cioè con il sistema operativo funzionante: di conseguenza se questi dati sono stati manomessi o anche solo copiati deve essere avvenuto necessariamente dopo un riavvio del sistema operativo.
I riavvii durante la permanenza ad Inet sono stati tre:
	il giorno dell'installazione, compiuta da tre aderenti al Flug (LG, CG, LN);
	il giorno successivo, ad opera di un altro aderente del Flug (CC) per ovviare a problemi riscontrati con uno degli slot della ram;
	durante lo spostamento degli armadi del provider Dada che ospitavano il server, così come annunciato anche nella lista di discussione generale del Flug (flug at firenze.linux.it, vedi https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html).

Il fatto che gli unici riavvii subiti dal serverone siano quelli elencati viene fatto risalire dal controllo dell'"uptime", cioè il tempo di funzionamento ininterrotto che viene registrato dal kernel Linux: questo dato in effetti può essere alterato usando sistemi piuttosto sofisticati. L'ipotesi che il supposto attaccante abbia usato questi sistemi per truccare questo dato viene considerata del tutto implausibile perché difficilmente conciliabile con le evidenti tracce poi lasciate sull'hardware.

Per i primi due interventi sul server risulta assolutamente accettabile escludere un riassemblaggio inaccurato ad opera degli aderenti al Flug. Per il terzo risulta difficilmente accettabile supporre manomissioni accidentali o dovute a ragioni contingenti allo spostamento; d'altro canto non ci è neanche possibile escluderle dato il fatto che nessuno del Flug era lì presente. Per queste considerazioni risulta inevitabile concludere che se manomissione c'è stata questa deve essere necessariamente avvenuta in occasione dell'ultimo riavvio; cosa peraltro assolutamente esclusa dai rappresentanti tecnici di Dada, così come scritto in precedenza.

Il gruppo di persone che nel frattempo si era riunito ha però deciso lo stesso di considerare compromesso il server, data la presenza di dati delicati (in particolare le chiavi del remailer antani) e quindi di non reinserire in rete il server ma di procedere ad una nuova installazione del software, e di non rendere subito disponibili i dati ospitati ma di attendere un controllo da parte dei vari responsabili.
È stato deciso inoltre di non riavviare il remailer fino a quando non sarà possibile revocare le vecchie chiavi (dichiarandole compromesse) e di ripartire con chiavi nuove.

L'installazione è avvenuta su due nuovi dischi con caratteristiche tecniche uguali ai precedenti: questi sono in consegna ad un aderente del Flug in attesa di svolgere analisi forense dei dati contenuti.

Versione di venerdì 21 luglio 2005
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: This is a digitally signed message part
URL:         <http://lists.linux.it/pipermail/flug/attachments/20050730/44289a1d/attachment.pgp>

Maggiori informazioni sulla lista flug