GitHub
Khoảng một tuần trước, kho lưu trữ GitHub của Gentoo Linux đã bị một kẻ bẻ khóa, kẻ này sau đó có thể chiếm quyền kiểm soát tài khoản và chèn mã độc vào các bản phân phối. Mã này được thiết kế để xóa dữ liệu người dùng. Các nhà phát triển của Gentoo có thể giành lại quyền kiểm soát khá nhanh, nhưng điều này đáng lo ngại vì nó có thể gây ra nhiều thiệt hại cho cài đặt của người dùng cuối. Hơn nữa, khá hiếm khi toàn bộ kho lưu trữ mã phản chiếu của hệ điều hành được tiếp quản.
May mắn thay, những kẻ tấn công không thể gây ra nhiều đau buồn cho người dùng vì chúng chỉ chiếm quyền nhân bản cho các tệp thường được lưu trữ trên máy chủ của Gentoo. Người dùng tải xuống mã từ các máy chủ chính thức, vì vậy mọi thứ không thực sự phức tạp đối với phần lớn người dùng Gentoo.
Bản phân bổ hiện đã tiết lộ rằng lý do tài khoản nằm dưới sự kiểm soát của người dùng trái phép là vì mật khẩu của quản trị viên tổ chức quá kém và dễ đoán. Các vectơ tấn công tinh vi đã không được sử dụng và nó không phải là kết quả của một công việc bên trong. Thay vào đó, việc đoán mật khẩu của người dùng chỉ đơn giản là dễ dàng.
Một mục nhập trên wiki Gentoo Linux sau đó được một số trang tin tức công nghệ báo cáo cho thấy rằng người này có một sơ đồ mật khẩu giúp dễ dàng đoán được thông tin đăng nhập của các trang web khác mà người dùng cụ thể này có tài khoản.
Trong khi một số nhà bình luận đã đề cập rằng hệ thống ủy quyền hai yếu tố có thể đã giúp ngăn chặn loại tấn công này xảy ra, việc đặt mật khẩu cơ bản thường là một lời mời cho cuộc tấn công. Gentoo đang rất cập nhật thông tin chi tiết và họ đã đưa ra một loạt các biện pháp bảo mật mới để giảm nguy cơ điều này xảy ra trong tương lai.
Tuy nhiên, người dùng cuối thực sự không có cách nào để xác minh rằng cây của họ có các bản sao phần mềm sạch. Gentoo cũng thừa nhận rằng trong tương lai họ cần đưa ra hướng dẫn rõ ràng hơn và giải thích cách họ có thể ngăn các hệ thống bị xâm nhập thực thi mã được thêm vào trong các cam kết độc hại.
Mọi thứ có thể còn tồi tệ hơn nhiều đối với người dùng cuối, nhưng các nhà phát triển và quản lý dự án của Gentoo đã tuyên bố rằng họ hoàn toàn hiểu một cuộc tấn công yên tĩnh hơn sẽ có khả năng dẫn đến cơ hội lâu hơn cho những kẻ bẻ khóa.
Thẻ Gentoo Bảo mật Linux
