GitHub
Kira-kira seminggu yang lalu, repositori Gentoo Linux GitHub telah dipecah oleh seorang cracker yang kemudian dapat mengendalikan akaun dan memasukkan kod jahat ke distro. Kod ini direka untuk menghapus data pengguna. Pembangun Gentoo dapat mengambil kawalan dengan cepat, tetapi itu membimbangkan kerana ia boleh membuat banyak kerosakan pada pemasangan pengguna akhir. Lebih-lebih lagi, jarang sekali repositori kod cermin sistem operasi diambil alih.
Nasib baik, penyerang tidak dapat menimbulkan banyak kesedihan kepada pengguna kerana mereka hanya mengambil alih cermin untuk fail yang biasanya disimpan di pelayan Gentoo sendiri. Pengguna memuat turun kod dari pelayan rasmi, jadi perkara tidak terlalu berbulu bagi sebilangan besar pengguna Gentoo.
Pengedar kini telah mendedahkan bahawa alasan akaun berada di bawah kawalan pengguna yang tidak dibenarkan adalah kerana kata laluan pentadbir organisasi kurang baik dan mudah diteka. Vektor serangan yang canggih tidak digunakan, dan itu bukan hasil kerja dalaman. Sebaliknya, mudah meneka kata laluan pengguna.
Entri di wiki Gentoo Linux yang kemudian dilaporkan oleh sebilangan laman web berita teknologi menunjukkan bahawa orang itu mempunyai skema kata laluan yang memudahkan meneka bukti kelayakan masuk untuk laman web lain yang dimiliki pengguna ini.
Walaupun beberapa pengulas mengatakan bahawa sistem pengesahan dua faktor mungkin membantu mencegah serangan semacam ini terjadi, menetapkan kata laluan asas sering kali menjadi undangan untuk menyerang. Gentoo akan hadir dengan terperinci dan mereka telah meletakkan satu siri langkah keselamatan baru yang akan mengurangkan risiko kejadian ini di masa depan.
Pengguna akhir, bagaimanapun, tidak mempunyai cara untuk mengesahkan bahawa pokok mereka mempunyai salinan perisian yang bersih. Gentoo juga mengakui bahawa di masa depan mereka perlu memberikan panduan yang lebih jelas dan menerangkan bagaimana mereka dapat mencegah sistem yang dikompromikan daripada melaksanakan kod yang ditambahkan dalam tindakan jahat.
Perkara mungkin jauh lebih buruk bagi pengguna akhir, tetapi pemaju dan pengurus projek Gentoo telah menyatakan bahawa mereka memahami sepenuhnya bahawa serangan yang lebih tenang berpotensi membawa kepada peluang peluang yang lebih lama bagi para cracker.
Teg Gentoo Keselamatan Linux
