The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

30.01.2011 09:52  Опубликован полный отчёт о взломе Sourceforge.net

Администраторы Sourceforge.net представили полный отчёт о взломе сервиса. Содержимое отчёта обобщает список действий, которые были предприняты для блокирования атаки и для обеспечения целостности пользовательских данных. Проведение целенаправленной атаки по взлому Sourceforge.net было обнаружено в среду, в четверг было выявлено, что злоумышленники получили доступ к нескольким серверам, которые сразу были отключены от сети, чтобы блокировать атаку на начальной стадии.

Решение о блокировании было принято для CVS-репозитория, web-интерфейса для просмотра кода (ViewVC), системы загрузки релизов и сервиса интерактивного shell в системе ProjectWeb. В связи с возникновением неподтверждённого опасения утечки пользовательской базы, дополнительно был произведен сброс всех паролей для всех аккаунтов sourceforge.net.

В настоящее время ещё не завершена работа по проверке целостности пользовательских данных и их сверке с резервной копией. Проверка целостности осуществляется как путём сравнения содержимого всех опубликованных релизов, так и на уровне сверки всех коммитов в системе управления исходными текстами. На завершение полного анализа и проверки потребуется ещё несколько дней. Восстановить работу заблокированных сервисов Sourceforge.net планируется только на следующей неделе, после завершения всех инициированных проверок. Сервисы будет восстанавливаться поэтапно, по мере завершения проверки связанных с ними данных. Для обеспечения работы сервисов будут использованы настроенные с нуля системы.

Рассматривая возможные мотивы совершения атаки, наиболее правдоподобным выглядит предположение о намерении поместить вредоносный код в архив с одним из релизов какого-то популярного проекта. Хотя сверка контрольных сумм с резервной копией ещё не завершена, факты подмены релизов пока не выявлены. Тем не менее пользователям рекомендуется повременить с загрузкой программ с Sourceforge.net, так как до завершения проверки нельзя точно утверждать об отсутствии в них троянских вставок. Работу сервиса по загрузке планируется восстановить в первую очередь.

Во время проведения атаки злоумышленники смогли получить root-доступ на одной из платформ, имеющей полномочия генерации SSH-ключей для организации подключения к определённому классу серверов извне. К счастью, сегментирование сетевой инфраструктуры Sourceforge.net ограничило действие сгенерированного ключа достаточно узким кругом машин и не дало распространить влияние на другие классы серверов. Сразу после фиксации факта проникновения поражённые серверы были отключены от сети для проведения детального аудита логов. Параллельно был начат процесс проверки возможной эксплуатации злоумышленниками других серверов и сервисов, а также смены всех внутренних SSH-ключей и паролей.

Анализ взломанных серверов выявил факт подмены SSH-демона на вариант, осуществляющий перехват и сохранение паролей. Попали ли перехваченные пароли в руки злоумышленников неизвестно, но самой модификации SSH-демона стало достаточно, чтобы инициировать процесс смены паролей для всех аккаунтов пользователей сервиса. Для предотвращения подобных инцидентов в будущем, принято решение усилить безопасность инфраструктуры Sourceforge.net и ввести в практику ряд регулярно проводимых профилактических мер.

Так как начальной точкой взлома стал сервис Project Web, позволяющий разработчикам получить доступ к интерактивному shell и выполнению своих скриптов, то решено полностью пересмотреть работу данного сервиса. Новый сервис будет поддерживать более жёсткую изоляцию между пользовательскими аккаунтами и уйдёт от текущей модели shared-хостинга. Текущий вариант сервиса разрабатывался около 10 лет назад с учётом специфики того времени, поэтому обойтись без его существенной переработки не удастся.

Похожая ситуация наблюдается и для CVS-сервиса, который является старейшим в SourceForge.net. Сам по себе CVS уже устарел и, испытывая проблемы с масштабируемостью, не вписывается в текущую инфраструктуру SourceForge.net. Работа сервиса будет восстановлена ближе к концу следующей недели, но уже решено объявить о скором прекращении поддержки CVS и подготовить набор средств для миграции на Subversion или Git.

  1. Главная ссылка к новости (http://sourceforge.net/blog/so...)
  2. OpenNews: Продолжение истории со взломом SourceForge: заблокированы пароли для всех аккаунтов хостинга
  3. OpenNews: Злоумышленникам удалось взломать несколько серверов SourceForge (дополнено)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: SourceForge, seccurity
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:13, 30/01/2011 [ответить] [показать ветку] [···]     [к модератору]
  • –4 +/
    Неуловимый Джо в лице открытого для всех SSH и Shell дал о себе знать Предоста... весь текст скрыт [показать]
     
     
  • 2.4, Другой аноним (?), 12:50, 30/01/2011 [^] [ответить]    [к модератору]  
  • +16 +/
    > Взлом был делом времени.

    Делом одинадцати лет, если быть точным.

     
  • 1.2, Аноним (-), 11:23, 30/01/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Отвлекающий маневр по защите одея, обнаруженного в одном из популярных на СФ проектов? Я так понимаю, ни внести изменения в цвс/свн, ни опубликовать новый релиз в данный момент нельзя?
     
  • 1.3, yantux (??), 11:58, 30/01/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Зачем надо было ломать? Неужели ради только ради троянов? Самое главно, кому это выгодно?
     
     
  • 2.5, тоже Аноним (ok), 12:56, 30/01/2011 [^] [ответить]    [к модератору]  
  • +3 +/
    Лабораторная работа по теме "Бизнес. Конкуренция".
    Вводная: фирме, предоставляющей услуги, попытались испортить репутацию.
    Задача: определение предполагаемого заказчика акции.
    Методика решения: составляем список конкурентов фирмы, предлагающих аналогичные (конкурирующие) услуги. Особенно выделяем два подмножества: фирм, чьи услуги объективно уступают данной и фирм, уже известных приверженностью к неэтичным формам конкуренции. Если пересечение этих множеств слишком велико, выделяем фирмы, проявляющие наибольшую активность в этой области и предположительных аутсайдеров отрасли, способных изменить свое положение за счет сильного конкурента.
     
     
  • 3.9, pavlinux (ok), 14:58, 30/01/2011 [^] [ответить]    [к модератору]  
  • +4 +/
    Google Code чтоля?
     
  • 3.25, Аноним123321 (ok), 10:12, 31/01/2011 [^] [ответить]    [к модератору]  
  • +3 +/
    >>>попытались испортить репутацию. <<<

    однако -- грамотный инженер понимает что данный инцедент -- только усиливает безопасность (а следовательно репутацию) относительно SF

    вот например взять для сравнения: SF и какойнить GitHub:

    * в SF уже (всмысле я про _этот_ инцедент) были факты взлома и поэтому сотрудники SF уже имеют соотстветсющий опыт связанный с подобными инцедентами

    * в GitHub небыло фактов взлома, и следовательно GitHub вполне возможно что имеет "детские" проблемы безопасности, подкрепляемые "иллюзией неуезвимости"

     
     
  • 4.26, anonymous (??), 10:54, 31/01/2011 [^] [ответить]    [к модератору]  
  • +/
    обалденная логика.
     
     
  • 5.27, тоже Аноним (ok), 11:12, 31/01/2011 [^] [ответить]    [к модератору]  
  • +3 +/
    А главное - из нее следует, что SF поторопились все заблокировать. Нужно было еще дать товарищам порезвиться и выяснить, как можно скатать весь сервис в трубочку.
    С таким-то опытом их на рынке так зауважают!
     
     
  • 6.29, 0lpa (?), 12:47, 31/01/2011 [^] [ответить]    [к модератору]  
  • +/
    +1! :-D
     
  • 2.10, gegMOPO4 (ok), 15:10, 30/01/2011 [^] [ответить]    [к модератору]  
  • +/
    Нет, самое главное -- восстановить работоспособность SourceForge и уберечь от подобного в будущем.
     
  • 1.6, Аноним (-), 13:19, 30/01/2011 [ответить] [показать ветку] [···]     [к модератору]  
  • –8 +/
    В рамках проведения атаки, b злоумышленники b смогли получить root-доступ на ... весь текст скрыт [показать]
     
     
  • 2.7, Аноним (-), 14:34, 30/01/2011 [^] [ответить]    [к модератору]  
  • +/
    Энтузиасты не могут быть злоумышленниками?
     
     
  • 3.8, Аноним (-), 14:40, 30/01/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    Если энтузиаст вражеский, то он злоумышленник. Ну как разведчик. Если он наш то он разведчик, а если вражеский, то лазутчик, шпион и злоумышленник.)
     
     
  • 4.13, User294 (ok), 16:08, 30/01/2011 [^] [ответить]    [к модератору]  
  • +7 +/
    > Если энтузиаст вражеский, то он злоумышленник. Ну как разведчик. Если он наш
    > то он разведчик, а если вражеский, то лазутчик, шпион и злоумышленник.)

    ИМХО все несколько иначе. Если некто придет к вам домой и без спроса взломает вашу приставку - он, очевидно, злоумышленник. Равно как и если он проделает то же самое удаленно, по сети. Потому что вы его не просили об этом и не уполномочивали что-то изменять в вашей собственности, а оно было сделано без вашего на то согласия. Что является неправомерной операцией над *чужой* собственностью.

    Если кто-то взломал СВОЮ приставку и даже опубликовал способ взлома в сети - он, очевидно, энтузиаст. Ну, как те кто изучает устройство замков и публикует описание их достоинств и недостатков, рекомендуя или ругая ту или иную модель.

    Реальная разница - в том что злоумышленники ломают *чужую* собственность, к которой они отношения не имеют. Даже если копирасам из сони и не нравится, вы имеете право забивать вашей приставкой гвозди, загрузать на ней все что загрузится, использовать ее как подставку для кофе или что там еще. Потому что вы ее купили и она - ваша, а сони может втирать все что захочет, кого их проблемы волнуют то? В случае с ключами они в принципе могут попробовать втереть что это "торговый секрет" или что-то типа того. Но учтя что оно уже лежит на 23100 сайтах - грош цена блеянию про секреты, будет как с DeCSS. И не ...т.

     
     
  • 5.32, Admincheg (ok), 11:03, 02/02/2011 [^] [ответить]    [к модератору]  
  • +/
    По сути взламывая "свою" приставку "энтузиаст" взламывает чужую прошивку (всякие там PS3, только взломали, столько говна полилось). Так что неувязка как бэ. "Энтузиаст" или "Злоумышленник"?
     
     
  • 6.33, anonymous (??), 11:07, 02/02/2011 [^] [ответить]    [к модератору]  
  • +/
    по сути, перешивая «свою» одежду, «энтузиаст» плюёт на чужой труд. так что неувязка как бэ. «энтузиаст» или «неблагодарная свинья»?
     
  • 2.12, User294 (ok), 16:00, 30/01/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    > Не надо такого откровенного лицемерия.

    Да, не надо пожалуйста лицемерия. Разница между *энтузиастами* и *злоумышленниками* совсем не в том чем вы пытаетесь втереть.

    Все гораздо проще. Если я взломал *свой* сервер, приставку, дверной замок или там что еще - я энтузиаст. Я в моем праве делать с моей собственностью все что сочту нужным покуда это не нарушает никаких законов.

    Если я взломал *чужой* сервер/замок/приставку/чтотамблинеще и это не было согласовано с владельцем - я уже злоумышленник, который незаконно воспользовался чужой собственностью. Особенно если использовал результат для поимения бонусов для себя или нанесения вреда кому-то, вместо того чтобы сообщить о проблеме обладателю сервера/приставки/замка/чеготамблинеще и "пройти мимо" вместо вламывания на чужую территорию для поимения бонусов для себя любимого.

    Да, вы только представьте себе! Производство отмычек само по себе - не есть нелегальное занятие. Не является нелегальным изучение устройства замков. Равно как вполне легально вскрыть замок в собственной двери. Или можно вполне легально пригласить того кто вскроет мне замок в моей двери, и вскрывающий не совершит никакого преступления. Преступление будет только когда кто-то без ведома и согласия владельца двери вскроет в ней замок и чего-то сопрет, например.

     
     
  • 3.17, Пр0х0жий (ok), 19:59, 30/01/2011 [^] [ответить]    [к модератору]  
  • +/
    >> Не надо такого откровенного лицемерия.
    > Да, не надо пожалуйста лицемерия. Разница между *энтузиастами* и *злоумышленниками* ...
    > <skip>

    [вздыхает...]
    Конечно очевидно же.
    "Преступление и наказание" и Кижи. Инструмент один и тот же. Цели разные.

     
  • 2.16, filosofem (ok), 19:57, 30/01/2011 [^] [ответить]    [к модератору]  
  • +/
    >энтузиастам удалось подобрать закрытые ключи для формирования корректных цифровых подписей, позволяющих обеспечить запуск на игровой приставке любых приложений и прошивок, без необходимости сертификации данных программ у Sony

    И где злой умысел здесь?

     
     
  • 3.20, anonymous (??), 23:11, 30/01/2011 [^] [ответить]    [к модератору]  
  • +/
    > И где злой умысел здесь?

    манагеры сони голодают, их дети попрошайничают на улицах.

     
     
  • 4.21, filosofem (ok), 00:46, 31/01/2011 [^] [ответить]    [к модератору]  
  • +/
    Это благодаря конкуренции с XBox 360. Баллмер — вот настоящий злоумышленник. Выпустил понимаешь аналогичную консоль, но без аннальных ключей как в PS2 и разрушает честный бизнес добропорядочной Сосони.
     
  • 1.22, gogo (?), 04:52, 31/01/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ибо нефиг пароль с ssh использовать.
    Есть ключи которые перехватить и украсть на порядок труднее.
     
  • 1.23, Аноним (-), 08:46, 31/01/2011 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Интересно, а что будет, когда взломают какой-нибудь сервис облачных вычислений, ... весь текст скрыт [показать]
     
     
  • 2.24, anonymous (??), 09:15, 31/01/2011 [^] [ответить]    [к модератору]  
  • +/
    > Я все больше утверждаюсь во мнении, что любой внешний сервис для компании
    > является достаточно уязвимым, а потому крайне опасным в использовании. Уж лучше
    > свой собственный сервер.

    например, такой, как у касперского. надёжно, защищённо.

     
     
  • 3.30, анонимус (??), 22:26, 31/01/2011 [^] [ответить]    [к модератору]  
  • +/
    ну да ваш сервер будет надежней чем облаком мелкософта....ппц кругом одни хакеры....
     
     
  • 4.31, anonymous (??), 03:14, 01/02/2011 [^] [ответить]    [к модератору]  
  • +/
    > ну да ваш сервер будет надежней чем облаком мелкософта….ппц кругом одни хакеры….

    видимо, сарказм не дошёл, бывает.

    но да: внутренняя сеть фирмы ВСЕГДА будет надёжней, чем неизвестно чьё «облако».

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor