„GitHub“
Maždaug prieš savaitę į „Gentoo Linux“ „GitHub“ saugyklą įsilaužė krekeris, kuris tada sugebėjo kontroliuoti paskyrą ir įterpti kenkėjišką kodą į skyrelius. Šis kodas buvo skirtas ištrinti vartotojo duomenis. „Gentoo“ kūrėjai sugebėjo gana greitai perimti kontrolę, tačiau tai buvo susirūpinę, nes tai galėjo padaryti daug žalos galutinių vartotojų diegimams. Be to, gana retai perimama visos operacinės sistemos veidrodinių kodų saugykla.
Laimei, užpuolikai negalėjo sukelti daug sielvarto vartotojams, nes jie perėmė tik failų, kurie paprastai saugomi paties „Gentoo“ serveriuose, veidrodį. Vartotojai atsisiunčia kodą iš oficialių serverių, todėl didžioji dauguma „Gentoo“ vartotojų viskas nebuvo labai plaukuota.
Distribucija dabar atskleidė, kad paskyrą kontroliavo neįgaliotas vartotojas, nes organizacijos administratoriaus slaptažodis buvo prastas ir lengvai atspėtas. Įmantrūs atakos vektoriai nebuvo naudojami, ir tai nebuvo vidinio darbo rezultatas. Greičiau buvo lengva atspėti vartotojo slaptažodį.
Įrašas „Gentoo Linux“ wiki, kurį tada pranešė daugybė technologijų naujienų svetainių, rodo, kad asmuo turėjo slaptažodžių schemą, leidžiančią lengvai atspėti prisijungimo duomenis kitose svetainėse, kuriose šis vartotojas turėjo paskyras.
Kai kurie komentatoriai minėjo, kad dviejų veiksnių autorizacijos sistema galėjo padėti išvengti tokio tipo išpuolių, tačiau pagrindinio slaptažodžio nustatymas dažnai yra kvietimas atakai. „Gentoo“ labai laukia detalių ir pateikė daugybę naujų saugumo priemonių, kurios turėtų sumažinti šio įvykio riziką ateityje.
Tačiau galutiniai vartotojai iš tikrųjų neturėjo galimybės patikrinti, ar jų medyje yra švarios programinės įrangos kopijos. „Gentoo“ taip pat pripažįsta, kad ateityje jiems reikia pateikti aiškesnes gaires ir paaiškinti, kaip jie gali užkirsti kelią pažeistoms sistemoms vykdyti kodą, pridėtą kenkėjiškuose įsipareigojimuose.
Galutiniams vartotojams viskas galėjo būti daug blogiau, tačiau „Gentoo“ kūrėjai ir projektų vadovai pareiškė, kad jie visiškai supranta, kad tylesnė ataka būtų galėjusi sukelti ilgesnį krekerių galimybių langą.
Žymos „Gentoo“ „Linux“ sauga
