GitHub
For cirka en uge siden blev Gentoo Linux GitHub-arkivet brudt ind af en krakker, som derefter var i stand til at tage kontrol over en konto og indsætte ondsindet kode i distroerne. Denne kode er designet til at slette brugerdata. Gentoos udviklere var i stand til at genoptage kontrollen ret hurtigt, men det var bekymrende, fordi det kunne have gjort en stor skade på slutbrugerinstallationer. Desuden er det ret sjældent, at et helt operativsystems spejlkodedepot bliver overtaget.
Heldigvis var angriberne ikke i stand til at forårsage meget sorg for brugerne, da de kun overtog et spejl for filer, der normalt er gemt på Gentoos egne servere. Brugere downloader kode fra de officielle servere, så tingene blev ikke rigtig hårede for et overvældende flertal af Gentoo-brugere.
Distro'en har nu afsløret, at årsagen til, at kontoen kom under kontrol af en uautoriseret bruger, var, at en organisationsadministrators adgangskode var dårlig og let at gætte. Sofistikerede angrebsvektorer blev ikke brugt, og det var ikke resultatet af et internt job. Det var snarere let at gætte brugerens adgangskode.
En post på Gentoo Linux-wiki, som derefter blev rapporteret af en række tekniske nyhedssider, antyder, at personen havde et adgangskodeskema, der gjorde det let at gætte loginoplysninger for andre websteder, som denne bruger havde konti for.
Mens nogle kommentatorer har nævnt, at et tofaktors godkendelsessystem muligvis har bidraget til at forhindre denne form for angreb, er indstilling af en grundlæggende adgangskode ofte en invitation til angreb. Gentoo er meget imødekommende med detaljer, og de har sat en række nye sikkerhedsforanstaltninger, der skal reducere risikoen for, at dette sker i fremtiden.
Slutbrugere havde dog ikke rigtig en måde at kontrollere, at deres træ havde rene kopier af software. Gentoo indrømmer også, at de i fremtiden er nødt til at angive klarere vejledning og forklare, hvordan de kan forhindre kompromitterede systemer i at udføre kode tilføjet i ondsindede forpligtelser.
Ting kunne have været langt værre for slutbrugere, men Gentoos udviklere og projektledere har udtalt, at de fuldt ud forstår, at et mere støjsvagt angreb potentielt kunne føre til et længere mulighedsvindue for crackere.
Mærker Gentoo Linux-sikkerhed
