Debian Investigation Report after Server Compromises 訳（１）

[Hideki Yamane <henrich@xxxxxxxxxxx>]

　やまね％風邪ひいてるし poは小休止中、です。

　Subject: Debian Investigation Report after Server Compromises
　を訳してみているのですが、査読していただけませんでしょうか？
　
　＃まだ途中ではありますが。全部出来たら英文を取り払ってusers
　　あたりに投げるといいかなーとか勝手に考えています。


------------------------------------------------------------------------
The Debian Project                                http://www.debian.org/
Debian Investigation Report                             press@debian.org
December 2nd, 2003
------------------------------------------------------------------------

------------------------------------------------------------------------
Debian プロジェクト                               http://www.debian.org/
Debian 調査レポート                                     press@debian.org
2003/12/2
------------------------------------------------------------------------


Debian Investigation Report after Server Compromises

Debian によるサーバ侵入後の調査レポート


The Debian administration team and security experts are finally able
to pinpoint the method used to break-in into four project machines.
However, the person who did this has not yet been uncovered.

Debian 管理チームとセキュリティ専門家達はついに4台のプロジェクトマシン
への侵入手法を突き止めることに成功しました。しかし、誰がこれを行ったの
かはまだ明らかになっていません。


The package archives were not altered by the intruder.

侵入者によるパッケージアーカイブの置き換えは為されていません。


The Debian administration and security teams have checked these
archives (security, us, non-us) quite early on in the investigation
and re-installation process.  That's why the project was able to open
up the security archive again and confirm that the stable update
(3.0r2) wasn't compromised.

Debian 管理チームとセキュリティチームはこれらのアーカイブ (security, us, 
non-us) をきわめて早期に調査と再インストール作業のためにチェックを行い
ました。このため、セキュリティアーカイブを再公開し、安定版の更新 (3.0r2) 
が侵入の被害を受けていないことを保証できました。


If the project had anticipated to get compromised at the same time the
stable update was implemented, the involved people would have
postponed it.  However, the updated packages were already installed in
the stable archive and mirror servers at the time the break-ins were
discovered, so it wasn't possible to hold it back anymore.

もし、安定版の更新がされたのと同じ時に侵入されたと Debian プロジェクト
にて予想していた場合、関係者は (リリースを) 延期していたでしょう。しか
し、更新されたパッケージは侵入が発見された時にはすでに安定版のアーカイ
ブとミラーサーバに組み入れられており、戻すことが既に不可能となっていま
した。


Several methods based on different control data were used to verify
the packages and to ensure that the archives weren't altered by the
attacker:

複数のデータを利用して、パッケージの比較照合を行い、アーカイブが攻撃者
によって置き換えがなされていないことを確認しました。

 . externally stored lists of MD5 sums accumulated over the past weeks
   on not compromised machines
 . digitally signed .changes files from external debian-devel-changes
   archives on not compromised machines
 . digitally signed .changes files on the respective archive servers
 . externally stored mirror log files

・外部の侵入されていないマシンに過去数週間分蓄積されていた MD5 sum の
　リスト
・侵入されていない複数のマシンから取得した外部の debian-devel-changes 
　アーカイブ群から取得したデジタル署名済の .changes ファイル
・各アーカイブサーバにあったデジタル署名済の .changes ファイル
・外部に保存されていたミラーのログファイル


Timeline

時系列について

Below is the timeline of discovery and recovery of the compromised
machines.  All times are in UTC.  Some times are only estimates since
our conversation did not contain exact timestamps.

以下が侵入されたマシンの発見と復旧の時系列です。全ての時間はUTCで記述
されています。会話については正確な時刻を記憶していないので、いくつかの
時刻は推定時間となっています。

   Sep 28  01:33  Linus Torvalds releases 2.6.0-test6 with do_brk() fix
   Oct 02  05:18  Marcello Tosatti applies do_brk() boundary check
   Nov 19  17:00  Attacker logs into klecker with sniffed password
   Nov 19  17:08  Root-kit installed on klecker
   Nov 19  17:20  Attacker logs into master with same sniffed password
   Nov 19  17:47  Root-kit installed on master
   Nov 19  18:30  Attacker logs into murphy with service account from master
   Nov 19  18:35  Root-kit installed on murphy
   Nov 19  19:25  Oopses on murphy start
   Nov 20  05:38  Oopses on master start
   Nov 20  20:00  Discovery of Oopses on master and murphy
   Nov 20  20:54  Root-kit installed on gluck
   Nov 20  22:00  Confirmation that debian.org was compromised
   Nov 21  00:00  Deactivation of all accounts
   Nov 21  00:34  Shut down security.debian.org
   Nov 21  04:00  Shut down gluck (www, cvs, people, ddtp)
   Nov 21  08:30  Point www.debian.org to www.de.debian.org
   Nov 21  10:45  Public announcement
   Nov 21  16:47  Developer information updated
   Nov 21  17:10  Shut down murphy (lists)
   Nov 22  02:41  security.debian.org is back online
   Nov 25  07:40  lists.debian.org is back online
   Nov 28  22:39  Linux 2.4.23 released

   Sep 28  01:33  Linus Torvalds が 2.6.0-test6 を do_brk() の修正と共にリリース
   Oct 02  05:18  Marcello Tosatti do_brk() 戻り値チェックを適用
   Nov 19  17:00  攻撃者が盗聴したパスワードを利用し klecker にログイン
   Nov 19  17:08  Root-kit が klecker にインストールされる
   Nov 19  17:20  攻撃者が盗聴したパスワードを利用し master にログイン
   Nov 19  17:47  master に rootkit が インストールされる
   Nov 19  18:30  攻撃者が master から取得したサービスアカウントを利用して murphy にログイン
   Nov 19  18:35  murphy に rootkit が インストールされる
   Nov 19  19:25  murphy にて Oops メッセージが始まる
   Nov 20  05:38  master にて Oops メッセージが始まる
   Nov 20  20:00  master と murphy の Oops メッセージを発見
   Nov 20  20:54  gluck に rootkit をインストールされる
   Nov 20  22:00  debian.org に侵入があった事実を承認
   Nov 21  00:00  全てのアカウントを停止
   Nov 21  00:34  security.debian.org を停止
   Nov 21  04:00  gluck (www, cvs, people, ddtp,debian.org) を停止
   Nov 21  08:30  www.debian.org が www.de.debian.org を指すように変更
   Nov 21  10:45  公式発表
   Nov 21  16:47  開発者情報が更新される
   Nov 21  17:10  murphy を停止 (lists.debian.org)
   Nov 22  02:41  security.debian.org  がオンラインに
   Nov 25  07:40  lists.debian.org がオンラインに
   Nov 28  22:39  Linux 2.4.23 がリリースされる


（以下続く。）
-- 
Regards,

 Hideki Yamane    mailto:henrich @ samba.gr.jp/iijmio-mail.jp