CERTsrapport/V2013

CERT patchet et alvorlig DKIM-relatert sikkerhetshull i Exim 26. oktober, mest for å være på den sikre siden. Hullet rammet trolig ikke PVV, siden vi ikke bruker DKIM.

En bruker fikk kompromittert kontoen sin i februar, dette ble (som vanlig) oppdaget ved at sudo sendte E-post. CERT bemerker at e-postene til sudo har vist seg å være nyttigere enn tidligere antatt. CERT tar selvkritikk for å ikke ha innsett at e-posten var på grunn av kompromittering, og ytterligere selvkritikk for å ha brukt noen dager på å reagere. CERT bemerker også at vi nok bør sende cronmail til flere driftere, de siste årene har nye driftere utelukkende blitt påmeldt driftslista.

Angrepet er for ferskt til å konkludere, men er etter alt å dømme et kompromittert passord, enten bruteforcet eller sniffet på en annen maskin der tvilling.pvv.ntnu.no var i known_hosts. Angriperene ser ikke ut til å ha gjort annet enn å forsøke å kjøre sudo, og gadd trolig ikke bry seg med boksen når det ikke fungerte.

CERT bemerker at den eneste i CERT som har passordet til loghost er Knut Auvor (knuta). Dette bør nok ordnes vha PGP-distribuering av passordet til øvrige medlemmer av CERT, men har ikke skjedd. Apropos øvrige medlemmer av CERT, CERT er mottakelige for nominasjoner. CERTs hovedkvarter er for tiden i California, og norske korrespondenter ville være kjærkomne.