Op zondag 11 november 2012 hebben de ontwikkelaars van open source-besturingssysteem FreeBSD een inbraak ontdekt op hun infrastructuur. Twee servers in de FreeBSD.org-omgeving bleken gecompromitteerd. "Deze machines waren hoofd-nodes voor de building-infrastructuur van legacy packages van derden (third party)", meldt het ontwikkelteam in de onthulling van dit weekend.

Meteen offline gehaald

Zij menen dat de inbraak mogelijk al op 19 september is gepleegd. De betreffende twee machines zijn op 11 november meteen offline gehaald voor analyse. Daarnaast is een groot deel van de overige infrastructuursystemen ook offline gehaald, uit voorzorg. De inbraak is gepleegd via een uitgelekte SSH-sleutel van een developer die rechtmatig toegang had tot de gekraakte machines. Er was volgens het FreeBSD-team géén sprake van een kwetsbaarheid of code-exploit in het besturingssysteem zelf.

"We hebben geen bewijs gevonden van enige modificaties die eindgebruikers in gevaar brengen", stelt het FreeBSD-team gerust. Die claim kunnen de developers maken omdat het open source-besturingssysteem is opgedeeld in twee stukken.

'De basis is veilig'

Ten eerste de basis, die wordt onderhouden door de FreeBSD-gemeenschap. En ten tweede de grote verzameling aan packages van derden, die meekomen in het FreeBSD-project. De essentiële componenten van het besturingssysteem (zoals de kernel, systeemlibraries, compiler, SSH-client en SSH-daemons ofwel -services) bevinden zich in de basis. De nu onthulde inbraak is gepleegd op ontwikkelmachines voor de packages-collectie.

Het basissysteem van FreeBSD is dan ook veilig, bezweren de ontwikkelaars. De inbrekers hebben op geen enkel moment toegang gehad tot die delen van het besturingssysteem. De aanvallers hadden wel voldoende toegang tot de ontwikkelomgeving verkregen om third party packages te kunnen corrumperen. Bewijs daarvan is echter niet gevonden in de diepgaande analyse van de inbraak.

Packages verdacht

Toch gaan de FreeBSD-ontwikkelaars er wel van uit dat er aan de software van derden is gemorreld. Zij zeggen een "extreem conservatief standpunt" in te nemen ten opzichte van de inbraak. Alle packes die zijn aangemaakt en gedistribueerd tussen 19 september en 11 november dit jaar worden nu als verdacht aangemerkt.

De oorspronkelijke broncodebestanden zijn gecontroleerd en veilig bevonden. Beheerders die packages zelf compilen op basis van die source zijn dus veilig. Ruim een jaar geleden is een soortgelijke inbraak bij Linux-ontwikkelsite kernel.org bekendgemaakt. Die vergaande hack is in augustus 2011 gepleegd en eind die maand ontdekt.