Geçen hafta Gentoo Linux dağıtımının GitHub hesabı bilgisayar korsanları tarafından ele geçirilmiş ve depoda bulunan bazı yazılımlara zararlı kodlar eklenmişti. Gentoo Linux dağıtımına destek veren geliştiriciler yapmış oldukları inceleme sonucunda bilgisayar korsanlarının GitHub hesabını nasıl kontrol altına aldıklarını, depolarının ve sayfalarının içeriğini nasıl değiştirdiklerini, saldırının etkisini, olayın “temel nedenini” ortaya çıkardılar ve olayla ilgili bir rapor yayınladılar.
Bilgisayar korsanları, yalnızca ele geçirdikleri depolarda içeriği değiştirmekle kalmadılar, aynı zamanda olayın bir sonucu olarak Gentoo geliştiricilerinin GitHub organizasyonuna erişimlerinin kilitlenmesini sağlayarak GitHub’ı toplam beş gün boyunca kullanamamasını sağladılar.
Ne yanlış gitti?
Gentoo geliştiricileri yapmış oldukları inceleme sonrasında, bilgisayar korsanlarının bir Gentoo GitHub hesap yöneticisinin kullanıcı adı parola bilgisini önce başka bir web sayfası hesabında kırdıktan sonra şifre-tahmin yöntemini deneyerek bu kullanıcının Github hesabı için yönetici ayrıcalıkları kazandıklarını ortaya çıkardılar.
Eğer Gentoo, hesaba erişim sağlamak için normal parolanın yanında ek bir parola gerektiren iki faktörlü bir kimlik doğrulama, 2FA, kullanıyor olsaydı şimdi bu olay gerçekleşmemiş olacaktı.
Gentoo olay raporunda “Elde edilen kanıtlarda; saldırganların bir Gentoo yöneticisinin hacklenen başka bir web sayfasındaki parolasına erişim sağladıları ve daha sonra bu parolanın türevleri ile Gentoo GitHub hesabının parolasını tahmin etmeyi denedikleri ve sonra hesaba erişim kazandıkları görülmektedir.” diye yazdı.
Bunun yanı sıra, Gentoo geliştiricileri GitHub Organizasyonunun ayrıntısının bir kopyasını almamışlardı. Dahası! Birçok sistem dosyası Gentoo deposunda saklanıp Github üzerinden yansıtılırken; Sistemd deposu Gentoo’dan yansıtılmamış, doğrudan GitHub’da saklanmış. Normal şartlarda Systemd dosyalarının da kendi sistemlerinde saklanıp, bunun bir yansısının GitHub’ta yansıtılması gerekiyordu.
Ne iyi gitti? (Neyse ki)
Gentoo, projeye düzenlenen saldırının tüm dünyada duyulması konusunda şanslı olduğuna inanıyor. Çünkü hedeflenen bu saldırıyla GitHub hesabının dışındaki tüm geliştiricilerin duyurulan haberler ile uyarılmasını sağlamış oldu.
Bir Gentoo sistem mühendisi, “Saldırı yüksek ses getirdi; tüm geliştiricilerin GitHub erişimlerinin kaldırılması herkesin e-posta almasına neden oldu. Çalınan kimlik bilgisi dikkate alındığında, daha sessiz bir saldırının saldırganlara daha uzun bir fırsat penceresi sağlayacağı düşünülüyoruz.” dedi.
Hem Gentoo hem de Github’ın hızlı haraketi sonucunda, yaklaşık 70 dakikada saldırı engellendi.
Daha önce de söylediğim gibi, ana Gentoo depoları Gentoo tarafından barındırılan bir altyapı üzerinde tutuluyor ve bunu GitHub’a yansıtıyor. Bu nedenle, hesabın özel anahtarları Gentoo tarafından barındırılan altyapıda saklandığından olaylan etkilenmemiştir.
Siber Saldırının Etkisi
Olayın bir sonucu olarak, Gentoo Projesine katkıda bulunan geliştiricilerin geliştirme isteklerini göndermek için ağırlıklı olarak GitHub’u kullanması nedeniyle; saldırı anından projeye soruşturmasının tamamlanıp depolar eski haline gelinceye kadar proje gelişimi ciddi derecede etkilendi.
Saldırganlar ayrıca çeşitli depolarda kullanıcı verilerini yinelemeli olarak silecek olan “rm -rf” gibi komutları eklemeyi ve kullanmayı denediler. Neyse ki, alınan tedbirler gereği, bu kod son kullanıcılar tarafından çeşitli teknik korumalar nedeniyle gerçekleştirilemez.
rm, dosyaları, dizinleri ve benzerlerini silmek için kullanılan bir Unix komutudur. rm -rf ise mevcut dosya sisteminden erişilebilen her dosyanın makineden zorla silinmesi için kullanılan bir Unix komutudur.
Gelecekteki Siber Saldırıları Önlemek İçin Yapılması Gereken Adımlar
Olayı takiben, Gentoo, gelecekte bu tür saldırıları önlemek için eylem planları hazırladı ve bunların birçoğunu hemen uygulamaya koydu. Bu eylemler:
- GitHub Organizasyonunun sık sık yedeklenmesini sağlamak.
- Gentoo’nun GitHub Organizasyonunda varsayılan olarak iki faktörlü kimlik doğrulamayı etkinleştirme, proje havuzlarındaki tüm kullanıcılara gelecek.
- Bir olay müdahale planı üzerinde çalışmak. Özellikle kullanıcıların bir güvenlik olayı hakkındaki bilgi paylaşımları için.
- Kimlik bilgilerinin iptali ile ilgili prosedürlerin sıkılaştırılması.
- Yükseltilmiş ayrıcalıklara sahip kullanıcı sayısının azaltılması, oturum açma denetimlerinin yapılması ve parola yöneticilerini yetkilendiren parola ilkelerinin yayımlanması.
- Gentoo geliştiricileri için donanım tabanlı 2FA desteği
Halen Gentoo saldırısının arkasında kimin veya kimlerin olduğu bilinmemektedir.
Yorum yazabilmek için oturum açmalısınız.