2005: Attacco al Serverone

Resoconto dettagliato delle compromissioni individuate al server del Firenze Linux User Group
FLUG, 3 agosto 2005

Lunedì 27 giugno 2005 due aderenti del Flug si sono recati alla sede milanese del provider Inet per riprendere il server del Flug, là ospitato negli spazi del provider Dada con il quale esisteva un contratto di housing da circa 6 anni. Questo cambiamento di provider era stato programmato da alcuni giorni sulla base di una proposta di sponsorizzazione (da concretizzarsi con l’housing del server) giunta al Flug da un altro provider fiorentino.
Vedi: https://lists.firenze.linux.it/pipermail/flug/2005-June/009578.html

Con questo server il Flug offre servizi come liste di posta elettronica alla comunità di appassionati al software libero di Firenze. Inoltre ospita simili servizi per conto di altri gruppi simili al Flug di altre città; per fare questo il server non contiene alcun tipo di dato sensibile eccettuati quelli necessari al funzionamento dei servizi stessi (come la chiave privata del server ssh, i certificati ssl per il server web e le chiavi private del remailer Antani). Unica eccezione è la posta elettronica personale dei pochi aderenti al Flug autorizzati all’accesso diretto al server, autorizzazioni giustificate da compiti di gestione del server.

Al momento del ritiro dell’hardware, avvenuto verso le 11.30 del 27 giugno in presenza di un tecnico di Inet, sono state riscontrate le seguenti anomalie:

  1. Il server (rack di tipo 1U) aveva il coperchio del case chiuso con le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti anche graffi sullo stesso coperchio, attribuibili all’inserimento e all’estrazione dall’armadio rack.
  2. Il cavo ide di collegamento del cdrom era completamente staccato.
  3. Le viti di fissaggio delle slitte dei dischi fissi erano mancanti.

È stato deciso di riprendere ugualmente il server e di riportarlo a Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo provider.

Quando ancora si trovavano presso il data-center di Inet, i due incaricati del Flug hanno preso contatto con i riferimenti del provider Dada: nelle conversazioni telefoniche con questi riferimenti (prima commerciale e poi tecnico) è stato confermato lo spostamento di stanza programmato (spostamento peraltro verificato direttamente dai due incaricati del Flug, i quali erano presenti anche alla prima installazione), ma sono state escluse manomissioni dell’hardware.
Inoltre, è stato contattato il membro del Flug che per ultimo era intervenuto sul server, il quale ha confermato di aver lasciato il server regolarmente chiuso e con tutto l’hardware regolare.

All’arrivo a Firenze il server è stato riavviato più volte per problemi con il kernel installato: solo in un secondo momento è iniziata l’analisi delle tracce di manomissione.

In seguito ad un’analisi più specifica dell’hardware (in particolare il controller delle unità di memorizzazione di massa, che non permette l’installazione e l’uso di dispositivi di memorizzazione non presenti all’avvio), a fronte di quelle che sono le evidenti manomissioni dell’hardware sopra elencate, sono state escluse manomissioni dei dati contenuti negli hard-disk “a caldo” cioè con i sistema operativo funzionante: di conseguenza se questi dati sono stati manomessi o anche solo copiati deve essere avvenuto necessariamente dopo un riavvio del sistema operativo. I riavvii durante la permanenza ad Inet sono stati tre:

  1. Al momento della prima installazione (avvenuta nel febbraio 2003), compiuta da tre aderenti al Flug.
  2. Il giorno successivo alla prima installazione, ad opera di un altro aderente del Flug per ovviare a problemi riscontrati con uno degli slot della ram.
  3. Durante lo spostamento degli armadi del provider Dada che ospitavano il server, così come annunciato anche nella lista di discussione generale del Flug.

Vedi: https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html

Il fatto che gli unici riavvii subiti dal serverone siano quelli elencati viene fatto risalire dal controllo dell'”uptime”, cioè il tempo di funzionamento ininterrotto così come viene registrato dal kernel Linux. Questo dato in effetti può essere alterato usando sistemi piuttosto sofisticati. L’ipotesi che il supposto attaccante abbia usato questi sistemi per truccare questo dato viene considerata assolutamente non plausibile perché difficilmente conciliabile con le evidenti tracce poi lasciate sull’hardware.

Per i primi due interventi sul server risulta assolutamente accettabile escludere un riassemblaggio inaccurato ad opera degli aderenti al Flug. Per il terzo risulta difficilmente accettabile supporre manomissioni accidentali o dovute a ragioni contingenti allo spostamento: d’altro canto non ci è neanche possibile escluderle dato che nessun aderente del Flug era presente. Per queste considerazioni risulta inevitabile concludere che se è stata compiuta una manomissione dei dati questa deve essere necessariamente avvenuta in occasione dell’ultimo riavvio, cosa peraltro assolutamente esclusa dai rappresentanti tecnici di Dada, così come scritto in precedenza.

Da quanto esposto, a fronte dell’evidenza delle manomissioni all’hardware, non risultano altrettanto evidenti manomissioni o anche semplici copie dei dati contenuti sul server: si è però deciso ugualmente di considerare il server compromesso in toto e di conseguenza di non reinserirlo subito in rete ma di procedere ad una installazione ex-novo del software così come viene considerata prassi normale in casi analoghi. I dati sono stati preservati in attesa di un controllo da parte dei responsabili dei vari servizi: ad oggi (mercoledì 3 agosto 2005) è stata completata la riattivazione di tutti i servizi preesistenti.

L’installazione è avvenuta su due nuovi dischi con caratteristiche tecniche uguali ai precedenti, i quali sono attualmente in consegna presso un aderente del Flug in attesa di svolgere analisi forense.

Indietro