Helsingin yliopistoon hyökättiin vanhaan Linux-aukkoon
15
(Päivitetty 18.8.2009 klo 22:21. Korjattu linkki Secunian haavoitustiedotteeseen sekä tietoja hyökkäyksen ja päivitysten ajankohdasta.)
Tietomurto Helsingin yliopistolla on johtanut ylläpidossa kiireiseen jatkoselvitysten urakkaan. 3500 yliopiston opiskelijan ja työntekijän salasanat vaihdetaan. Hyökkääjä käytti hyväksi keväällä paljastunutta Linux-haavoittuvuutta.
Tietomurrosta kertoi Ylen uutiset. Tietomurto tapahtui jo kesällä, mutta se tuli julkisuuteen nyt salasanojen vaihtourakan yhteydessä.
Yliopiston tietotekniikkaosasto tiedottaa salasanojen vaihtamisesta sivuillaan.
Tietojenhallintopäällikkö Mika Kivilompolo Helsingin yliopistolta kertoo Tietokoneelle, että hyökkääjä oli hyvin hiljainen, eikä vaikuta aiheuttaneen vahinkoa palvelimilla. Kivilompolon mukaan ei näytä siltä, että mitään tietoja olisi tuhottu tai varastettu.
Kivilompolon murron taustalla epäillään olevan pitkä ketju uhreja eri maissa. Suomessa murtoa on yritetty myös CSC-tietotekniikkakeskukseen.
Yliopiston tietotekniikkaosastolla kerätään parhaillaan teknisiä todisteita, ja asiasta tehdään piakkoin rikosilmoitus poliisille.
Hyökkääjä iski vanhaan haavoittuvuuteen
Ylläpidon tiedotteen mukaan tietomurto toteutettiin kaappaamalla yliopiston ulkopuolelta suojaamaton yksityinen ssh-avain ja hyödyntämällä sen avulla paikallista käyttöjärjestelmän haavoittuvuutta. Murtautuja sai haltuunsa ylläpito-oikeuksia sekä käyttäjien salasanoja ja yksityisiä ssh-avaimia
Ylläpidosta kerrotaan Tietokone-lehdelle, että tietoturva-aukko oli huhtikuussa 2009 julkistettu niin sanottu udev-haavoittuvuus, jonka avulla hyökkääjä voi kaapata palvelimella ylläpitäjän eli root-oikeudet.
Avointa lähdekoodia ja Linuxia seuraava Justin Madlrish kirjoitti asiasta blogissaan keväällä.
Tietoturvayhtiö Secunian kuvauksen mukaan haavoittuvuudelle alttiina ovat olleet monet Linjux-jakelut. Haavoittuvuus koskee nimenomaan Linux-kerneliä (ydintä) 2.6.
Helsingin yliopiston tietojenkäsittelytieteenlaitoksen tietotekniikkapäällikkö Petri Kuhvonen sanoo, että aukko ei kuitenkaan ollut vanha silloin, kun varastetun ssh-avaimen avulla hyökättiin yliopiston koneisiin. Se tapahtui mitä ilmeisimmin jo 21. huhtikuuta. Kuhvosen mukaan haavoittuvuus paikattiin silloin välittömästi.
Salasanojen keräilijä oli onnistuttu kuitenkin asentamaan ennen korjausta, ja se löydettiin vasta heinäkuussa.
Helsingin yliopiston palvelimilla hyökättiin päivittämättömään Linux-kernel 2.6 -haavoittuvuuteen myös keväällä 2008.
