ALLERTA: ISO di Linux Mint 17.3 Cinnamon del 20 Febbraio violate con backdoors tramite un reindirizzamento del sito

Febbraio 21, 2016 Marco Giannini

Clement Lefebvre lancia l’allarme, il sito di Linux Mint è stato violato e le ISO di Linux Mint 17.3 Cinnamon compromesse con una backdoor.

Ma cosa è successo?

Da quello che Clement e il team di Linux Mint è riuscito a capire degli cracker hanno realizzato una versione modifica delle ISO di Linux Mint Cinnamon con una backdoor e sono riusciti a reindirizzare il sito di Linux Mint facendo puntare il download verso queste ISO modificate.

L’allarme coinvolge le ISO scaricate dal sito internet di Linux Mint a partire dal 20 Febbraio e, tutti coloro i quali hanno scaricato tali ISO il 20 Febbraio, sono invitati a cancellare l’ISO e non installare il sistema.

Da una prima analisi le uniche ISO coinvolte sono quelle di Linux Mint 17.3 Cinnamon.

I download tramite collegamento diretto HTTP o via torrent sono invece sicuri.

Come controllare se l’ISO è compromessa?

Se avete ancora il file ISO, potete controllare la sua firma MD5 con il comando “md5sum yourfile.iso” (dove yourfile.iso è il nome della ISO) da un qualsiasi sistema operativo Linux.

Per farlo vi basterà aprire il terminale e posizionarvi nella cartella dove avete scaricato l’ISO. Una volta fatto date da terminale il comando

md5sum nome.iso

Nel mio caso, avendo scaricato la versione a 64 bit sarà

md5sum linuxmint-17.3-cinnamon-64bit.iso

Se invece siete su Windows vi basterà scaricare winMD5Sum

Le firme md5 valide per Linux Mint 17.3 Cinnamon sono:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

Se il vostro md5 è diverso dai suddetti allora avete una delle ISO infette.

Potete verificare ulteriormente che l’ISO sia infetta nella sessione live (spegnete il router quando la eseguite). Una volta nella sessione vivo, se vi è un file in /var/lib/man.cy, allora l’ISO è infetta.

Cosa fare se si ha una ISO infetta?

Eliminate la ISO. Se avete fatto una live USB formattate la pendrive.

Se si è installata questa ISO su un computer?

Mettere il computer non in linea.
Eseguire il backup dei dati personali.
Reinstallare il sistema operativo con una live USB sicura o formattate la partizione.
Modificare le password per i siti web sensibili (per la vostra e-mail in particolare).

Chi è il colpevole?

Le ISO hacked sono hostate su 5.104.175.212 e la backdoor si connette a absentvodka.com.
Entrambi portano a Sofia, in Bulgaria, e al nome di 3 persone che vivono li. Il team di Linux Mint non sa ancora quale ruolo abbiano avuto queste persone, i dettagli potranno emergere sono una volta richiesto l’avvio delle indagini da parte della polizia locale.