21 febbraio 2016

ALLERTA: ISO di Linux Mint 17.3 Cinnamon del 20 Febbraio violate con backdoors tramite un reindirizzamento del sito


Clement Lefebvre lancia l'allarme, il sito di Linux Mint è stato violato e le ISO di Linux Mint 17.3 Cinnamon compromesse con una backdoor.

Ma cosa è successo?

Da quello che Clement e il team di Linux Mint è riuscito a capire degli cracker hanno realizzato una versione modifica delle ISO di Linux Mint Cinnamon con una backdoor e sono riusciti a reindirizzare il sito di Linux Mint facendo puntare il download verso queste ISO modificate.

L'allarme coinvolge le ISO scaricate dal sito internet di Linux Mint a partire dal 20 Febbraio e, tutti coloro i quali hanno scaricato tali ISO il 20 Febbraio, sono invitati a cancellare l'ISO e non installare il sistema.

Da una prima analisi le uniche ISO coinvolte sono quelle di Linux Mint 17.3 Cinnamon.

I download tramite collegamento diretto HTTP o via torrent sono invece sicuri.

Come controllare se l'ISO è compromessa?

Se avete ancora il file ISO, potete controllare la sua firma MD5 con il comando "md5sum yourfile.iso" (dove yourfile.iso è il nome della ISO) da un qualsiasi sistema operativo Linux.
Per farlo vi basterà aprire il terminale e posizionarvi nella cartella dove avete scaricato l'ISO. Una volta fatto date da terminale il comando

md5sum nome.iso

Nel mio caso, avendo scaricato la versione a 64 bit sarà

md5sum linuxmint-17.3-cinnamon-64bit.iso


Se invece siete su Windows vi basterà scaricare winMD5Sum



Le firme md5 valide per Linux Mint 17.3 Cinnamon sono:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Se il vostro md5 è diverso dai suddetti allora avete una delle ISO infette.

Potete verificare ulteriormente che l'ISO sia infetta nella sessione live (spegnete il router quando la eseguite). Una volta nella sessione vivo, se vi è un file in /var/lib/man.cy, allora  l'ISO è infetta.


Cosa fare se si ha una ISO infetta?

Eliminate la ISO. Se avete fatto una live USB formattate la pendrive.


Se si è installata questa ISO su un computer?

Mettere il computer non in linea.
Eseguire il backup dei dati personali.
Reinstallare il sistema operativo con una live USB sicura o formattate la partizione.
Modificare le password per i siti web sensibili (per la vostra e-mail in particolare).


Chi è il colpevole?

Le ISO hacked sono hostate su 5.104.175.212 e la backdoor si connette a absentvodka.com.
Entrambi portano a Sofia, in Bulgaria, e al nome di 3 persone che vivono li. Il team di Linux Mint non sa ancora quale ruolo abbiano avuto queste persone, i dettagli potranno emergere sono una volta richiesto l'avvio delle indagini da parte della polizia locale.


ALLERTA 2:

A quanto pare è stato compromesso anche il forum, per maggiori dettagli Linux Mint: compromesso anche il forum, cambiate le password

Nessun commento:

Posta un commento

Licenza
Licenza Creative Commons

Quest' opera è distribuita con licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported. Questo blog non rappresenta una testata giornalistica, in quanto viene aggiornato senza alcuna periodicità. Non può, pertanto, considerarsi un prodotto editoriale, ai sensi della legge n. 62 del 7/03/2001

Disclaimer immagini

Le immagini utilizzate in questo blog appartengono ai loro rispettivi autori e sono utilizzati per scopi educativi, personali e senza scopo di lucro. Ogni eventuale violazione del copyright non è intenzionale, ma se si riconosce un'immagine protetta da copyright, fatemelo sapere qui, e sarò lieto di aggiungere i credits o modificarla o rimuoverla.

Disclaimer images

Images used on this blog belong to their respective authors and are used for educational, personal and no profit purposes. Any eventual copyright infringement is not intentional, but if you recognize a copyrighted image, please let me know here, and I'll happily provide to add the right credits or modify or remove it.