Red Hat waarschuwt voor een inbraak in zijn computersystemen. Aanvallers zijn daarbij in staat geweest om software toe te voegen aan de online updatebibliotheek voor klanten.

De softwaremaker bezweert dat de inbrekers geen malware aan de distributie hebben toegevoegd. Dat zou het meest zorglijke scenario zijn, omdat de malware dan als automatische update over alle Red Hat servers zou zijn verspreid.

Digitale handtekening onbetrouwbaar

Omdat het bedrijf aangeeft dat de programmatuur van een digitale handtekening is voorzien, lijkt het erop dat de hackers toegang hebben gehad tot de sleutel om een aantal OpenSSH pakketten te tekenen.

Red Hat heeft inmiddels een script vrijgegeven dat vervalste update pakketten moet detecteren. Uit het testscript blijkt dat er gerommeld is met de code van de toegangsprogrammatuur.

Volgens David van Enckevort, Red Hat-gecertificeerd en Unix Expert bij internetbedrijf Netco Security, is het ook mogelijk dat de sleutel niet is gekraakt en dat de pakketten mogelijk geautomatiseerd worden getekend. Zijn bedrijf standaardiseerde vele honderden servers op Red Hat.

Juist het gebrek aan openheid speelt Van Enckevort nu parten. "Ik kan niet beoordelen of de handtekening nog te vertrouwen is en gewoonlijk zou je verwachten dat het bedrijf nieuwe sleutels aanmaakt", verzucht hij. "Als je de handtekeningen niet kunt vertrouwen dan is het twijfelachtig of de controles die je uitvoert, zin hebben." Inmiddels heeft hij hiervoor een storingsmelding ingediend.

Vertrouwen in sleutel

Voor Red Hat is de hack geen reden om de sleutel in te trekken en een nieuwe uit te geven. Dat is doorgaans wel gebruikelijk bij dit soort situaties. "Op basis van ons huidige onderzoek blijven we vertrouwen hebben in de beveiliging van de mogelijkheden om softwarepakketten te ondertekenen", laat Kerrin Catallozzi, woordvoeder van Red Hat, tegenover Webwereld weten.

Dat stelt Van Enckevort echter nog niet tevreden. "Het punt is dat de handtekening bij mij vertrouwen moet wekken en niet bij Red Hat. Na een hack neemt mijn vertrouwen in een handtekening die eerder deze week nog misbruikt is alleen maar af."

Fedora en CentOS

Van Enckevort vermoedde de problemen al afgelopen dinsdag toen duidelijk werd dat voor de gratis Linux-distributie Fedora alle programmatuur offline was gehaald en later bleek dat de complete infrastructuur was vervangen. Dat leidde toen al tot speculaties over een hack. Het team achter het project besloot woensdag een nieuwe digitale sleutel voor het maken van handtekeningen aan te maken.

Gebruikers van CentOS, een Linux-distributie die van Red Hat is afgeleid, vroegen zich op een mailinglijst direct af of ook zij mogelijk getroffen waren. Zij doen onderzoek. Ondertussen is er voor de OpenSSH-software een urgente update.

Bron: Webwereld Bron: Techworld