AGGIORNAMENTO: tramite un post sul blog ufficiale del progetto, il team Linux Mint ha avvertito che pure i dati di accesso al loro forum sono stati trafugati. Tutti gli utenti iscritti devono cambiare i propri dati di accesso allo stesso il prima possibile, per evitare il furto dell’account sul forum di Mint. Consigliamo inoltre di modificare le password di accesso della mail associata all’account sul forum per sicurezza.
Quando si gestisce un sito web, purtroppo, si diventa potenziali vittime di malintenzionati che sfruttando falle (anche piccole) del server potrebbero creare piccoli o grandi danni al sito stesso o a chi ne usufruisce.
Purtroppo questa volta è toccato al sito ufficiale di Linux Mint, come lo stesso Clem Lefebvre – a capo del progetto – annuncia in un post sul blog: le pagine ufficiali del sito sono state compromesse lo scorso Sabato 20 Febbraio 2016, ed i criminali hanno modificato i link di download di Linux Mint 17.3 Cinnamon verso un’immagine di sistema modificata e dannosa.
Se avete scaricato Linux Mint 17.3 Cinnamon – o qualsiasi altra spin del sistema operativo – prima di quella data allora potete stare tranquilli, così come potrete stare tranquilli se avete scaricato un flavor differente (MATE ad esempio) del sistema operativo.
Se invece avete scaricato Linux Mint 17.3 Cinnamon durante la giornata del 20 Febbraio 2016, vi consigliamo caldamente di:
- gettare via il DVD su cui l’avete masterizzata, o
- formattare immediatamente la chiavetta USB su cui l’avete masterizzata, e
- se l’avete installata su disco, formattare il disco o la partizione e procedere immediatamente alla reinstallazione di un’immagine autentica, avendo cura di cambiare qualsiasi password usata durante le sessioni di utilizzo.
Lefebvre spiega comunque nel suo post come verificare la firma MD5 delle immagini per comprendere se le immagini sono originali o contraffatte, sottolineando inoltre che ora il link alla ISO che era stato contraffatto è stato riportato alla normalità, per cui potrete scaricare tranquillamente il sistema operativo.
Il team di Linux Mint dichiara inoltre di essere in possesso di tre nomi, già denunciati alle autorità, dai quali potrebbe essere partito l’attacco.
Ricapitolando: se – e solo se – durante la giornata del 20 Febbraio 2016 avete scaricato Linux Mint 17.3 Cinnamon, dovrete seguire i suggerimenti dati poc’anzi; in tutti gli altri casi potrete stare tranquilli.
notizia dell’ultima ora: sembrerebbe che anche ili forum sia stato compromesso. consigliano di modificare la password così come modificarla eventualmente anche per tutti i siti in cui la si è riutilizzata.
Volete far polemica? ‘Na cagata…
Linux Mint, la distro definitiva, LMDE la più concreta, seguo Linux dagli anni 90, mai una distro mi ha dato tante soddisfazioni, è la perfetta alternativa a m$
Sono cose che capitano, la serietà è l’md5 di verifica e l’immediata presa di posizione di Mint.
non serve a nulla se ti entrano nel sito…potevano benissimo modificare, come hanno fatto per il link di download, anche l’md5 perchè fosse identico a quello della iso corrotta…la serietà è segnare con criptografia le release tramite GPG e provvedere a tappare le falle del sito (che non ha adottato neanche l’https)
l’immagine di sistema modificata e dannosa cosa combinava di bello ?
Lasciava una backdoor aperta nel sistema e qualche bulgaro ti leggeva un po’ di password. Niente di speciale.
Purtroppo sono cose che capitano… sarebbe sempre meglio verificare la hash md5.
non serve a nulla…gli sono entrati dentro al sito e quindi potevano benissimo modificare, come hanno fatto per il link di download, anche l’md5 perchè fosse identico a quello della iso corrotta…
Clem Lefebvre ha confermato di poter tranquillamente usare md5 “Edit by Clem: What really helps here is duplication and the community. We were alerted very fast and we were able to be alerted because people could find contradicting MD5s (AND THAT’S MOSTLY BECAUSE THE MD5s AREN’T JUST IN ONE PLACE, BUT IN MANY). Another thing which is going to help is to buy more servers and separate services even more. That way, if somebody hacks say wordpress, there’s only wordpress on that server and nothing else.”
credo si riferisca al sistema di checksum avviato in automatico da alcune tipologie di download che, naturalmente, non vanno a cercarsi la stringa dell’MD5 dal sito di mint, ma fanno il confronto con delle stringhe in particolari database.
Ma sul sito, una volta che ottieni le capacità di accesso, puoi fare virtualmente quello che vuoi: puoi cambiare un link per una iso, puoi cambiare il colore dei font, puoi anche scrivere “checksum MD5:” con il codice alfanumerico corrispondente a quello della copia corrotta di fianco al link…
naturalmente questa cosa colpisce gli utenti che fanno questo controllo a mano usando il sito come riferimento per questo genere di controllo, e onestamente non so quanti siano.