Взлом инфраструктуры Devuan оказался неудачной шуткой разработчиков проекта

1 апреля 2019 года

Сайт проекта Devuan, развивающего форк Debian GNU/Linux без системного менеджера systemd, оказался захвачен неизвестными злоумышленниками. В настоящее время при попытке открытия сайта выполняется проброс на страницу devuan.org/pwned.html ( копия) с заявлением злоумышленников и предложением использовать Gopher для обращения к web-ресурсам проекта. Разработчикам пока не удаётся восстановить доступ к серверу после взлома, но утверждается, что атака не коснулась репозитория пакетов.

Сообщается, что скорее всего серверы pkgmaster и amprolla, на которых размещался основной репозиторий, а также хосты pkgmaster.devuan.org, packages.devuan.org и deb.devuan.org, не были затронуты атакой (следов чужого присутствия на них пока не выявлено), так как размещались в отдельной инфраструктуре. Кроме того, для контроля целостности применяются цифровые подписи, поэтому в случае попытки установки поддельных пакетов на стороне пользователя утилита apt выдаст ошибку (если атакующие не получили доступ к ключам для создания цифровых подписей). В настоящее время предпринята попытка верификации, пересборки пакетов на основе эталонных исходных текстов и сравнения состояния зеркал.

Инцидент не походит на первоапрельский розыгрыш, а скорее является чьей-то злой шуткой над разработчиками Devuan, так как в обсуждении проблемы в списке рассылки информация преподносится серьёзно и слишком велик риск потерять репутацию при подобных розыгрышах. Кроме того, первые сообщения о дефейсе сайта в списках рассылки проекта появились ещё вечером 31 марта. Разработчикам Devuan злоумышленники, представляющиеся группой "Green Hat Hackers", направили письмо с предложением для возвращения доступа к серверу решить задачу с простыми числами, закодированную в последней строке послания ("BOTH 7779847 AND 1554080659 ARE PRIME NUMBERS"). Задача уже решена - выявлено, что при выполнении команд "date -u -d @7779847" и "date -u -d @1554080659" выводится "1 апреля".

Дополнение 1: Разработчики Devuan признались, что это был розыгрыш. Примечательно, что уведомление о шутке было размещено спустя 12 часов после дефейса. До объявления о розыгрыше разработчики на полном серьёзе обсуждали возникшую проблему, а владельцы зеркал не были уведомлены о планируемой шутке. Первые сообщения о возникшей проблеме датированы 31 марта и шутка блокировала работу web-инфраструктуры проекта, в том числе выведены из строя git.devuan.org и bugs.devuan.org.

Дополнение 2: Шутка возымела обратный эффект и пользователи Devuan теперь обсуждают вариант, что после возвращения контроля за серверами под видом шутки разработчики пытаются скрыть информацию о реальном взломе. Кроме того, высказывается недовольство, что пользователям пришлось попусту потратить своё время на откат последних обновлений (в том числе с устранением уязвимостей), которые потенциально могли быть скомпрометированы.