[Primipassi] Resoconto dettagliato delle compromissioni individuate al server del Fi 2005

Tarapia Tapioco comesefosse@ntani.firenze.linux.it
Gio 4 Ago 2005 15:14:49 CEST


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Resoconto dettagliato delle compromissioni individuate al server del
Firenze Linux User Group il 27 giugno 2005


Lunedì 27 giugno 2005 due aderenti del Flug si sono recati alla sede
milanese del provider Inet per riprendere il server del Flug, là
ospitato negli spazi del provider Dada con il quale esisteva un
contratto di housing da circa 6 anni. Questo cambiamento di provider
era stato programmato da alcuni giorni sulla base di una proposta di
sponsorizzazione (da concretizzarsi con l'housing del server) giunta
al Flug da un altro provider fiorentino (vedi
https://lists.firenze.linux.it/pipermail/flug/2005-June/009578.html).

Con questo server il Flug offre servizi come liste di posta
elettronica alla comunità di appassionati al software libero di
Firenze. Inoltre ospita simili servizi per conto di altri gruppi
simili al Flug di altre città; per fare questo il server non
contiene alcun tipo di dato sensibile eccettuati quelli necessari al
funzionamento dei servizi stessi (come la chiave privata del server
ssh, i certificati ssl per il server web e le chiavi private del
remailer Antani). Unica eccezione è la posta elettronica personale
dei pochi aderenti al Flug autorizzati all'accesso diretto al server,
autorizzazioni giustificate da compiti di gestione del server.

Al momento del ritiro dell'hardware, avvenuto verso le 11.30 del 27
giugno in presenza di un tecnico di Inet, sono state riscontrate le
seguenti anomalie:
- - il server (rack di tipo 1U) aveva il coperchio del case chiuso con
  le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti
  anche graffi sullo stesso coperchio, attribuibili all'inserimento e
  all'estrazione dall'armadio rack;
- - il cavo ide di collegamento del cdrom era completamente staccato;
- - le viti di fissaggio delle slitte dei dischi fissi erano mancanti.

E' stato deciso di riprendere ugualmente il server e di riportarlo a
Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo
provider.

Quando ancora si trovavano presso il data-center di Inet, i due
incaricati del Flug hanno preso contatto con i riferimenti del
provider Dada: nelle conversazioni telefoniche con questi riferimenti
(prima commerciale e poi tecnico) è stato confermato lo spostamento
di stanza programmato (spostamento peraltro verificato direttamente
dai due incaricati del Flug, i quali erano presenti anche alla prima
installazione), ma sono state escluse manomissioni dell'hardware.
Inoltre, è stato contattato il membro del Flug che per ultimo era
intervenuto sul server, il quale ha confermato di aver lasciato il
server regolarmente chiuso e con tutto l'hardware regolare.

All'arrivo a Firenze il server è stato riavviato più volte per
problemi con il kernel installato: solo in un secondo momento è 
iniziata l'analisi delle tracce di manomissione.

In seguito ad un'analisi più specifica dell'hardware (in particolare
il controller delle unità di memorizzazione di massa, che non
permette l'installazione e l'uso di dispositivi di memorizzazione non
presenti all'avvio), a fronte di quelle che sono le evidenti
manomissioni dell'hardware sopra elencate, sono state escluse
manomissioni dei dati contenuti negli hard-disk "a caldo" cioè con i
sistema operativo funzionante: di conseguenza se questi dati sono
stati manomessi o anche solo copiati deve essere avvenuto
necessariamente dopo un riavvio del sistema operativo. I riavvii
durante la permanenza ad Inet sono stati tre:
- - al momento della prima installazione (avvenuta nel febbraio 2003),
  compiuta da tre aderenti al Flug;
- - il giorno successivo alla prima installazione, ad opera di un altro
  aderente del Flug  per ovviare a problemi riscontrati con uno degli
  slot della ram;
- - durante lo spostamento degli armadi del provider Dada che ospitavano
  il server, così come annunciato anche nella lista di discussione
  generale del Flug (vedi
  https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html).

Il fatto che gli unici riavvii subiti dal serverone siano quelli
elencati viene fatto risalire dal controllo dell'"uptime", cioè il
tempo di funzionamento ininterrotto così come viene registrato dal
kernel Linux (Questo dato in effetti può essere alterato usando
sistemi piuttosto sofisticati. L'ipotesi che il supposto attaccante
abbia usato questi sistemi per truccare questo dato viene considerata
assolutamente non plausibile perché difficilmente conciliabile con le
evidenti tracce poi lasciate sull'hardware).

Per i primi due interventi sul server risulta assolutamente
accettabile escludere un riassemblaggio inaccurato ad opera degli
aderenti al Flug. Per il terzo risulta difficilmente accettabile
supporre manomissioni accidentali o dovute a ragioni contingenti allo
spostamento: d'altro canto non ci è neanche possibile escluderle dato
che nessun aderente del Flug era presente. Per queste considerazioni
risulta inevitabile concludere che se è stata compiuta una
manomissione dei dati questa deve essere necessariamente avvenuta in
occasione dell'ultimo riavvio, cosa peraltro assolutamente esclusa dai
rappresentanti tecnici di Dada, così come scritto in precedenza.

Da quanto esposto, a fronte dell'evidenza  delle manomissioni
all'hardware, non risultano altrettanto evidenti manomissioni o anche
semplici copie dei dati contenuti sul server: si è però deciso
ugualmente di considerare il server compromesso in toto e di
conseguenza di non reinserirlo subito in rete ma di procedere ad una
installazione ex-novo del software così come viene considerata prassi
normale in casi analoghi. I dati sono stati preservati in attesa di un
controllo da parte dei responsabili dei vari servizi: ad oggi
(mercoledì 3 agosto 2005) è stata completata la riattivazione di tutti
i servizi preesistenti.

L'installazione è avvenuta su due nuovi dischi con caratteristiche
tecniche uguali ai precedenti (i quali sono attualmente in consegna ad
un aderente del Flug in attesa di svolgere analisi forense).

Mercoledì 3 agosto 2005

Si prega di dare massima diffusione.

- -- 
La cassa del Firenze Linux User Group

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFC8RNjmKkKm54HhrkRAnXuAKCME9niKL2DhxTNAhGqxqFcUs2XBgCfZoQx
b6KJz027jhrgd6HiSjJVUzA=
=QDO7
-----END PGP SIGNATURE-----



Maggiori informazioni sulla lista primipassi