The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

30.01.2011 09:52  Опубликован полный отчёт о взломе Sourceforge.net

Администраторы Sourceforge.net представили полный отчёт о взломе сервиса. Содержимое отчёта обобщает список действий, которые были предприняты для блокирования атаки и для обеспечения целостности пользовательских данных. Проведение целенаправленной атаки по взлому Sourceforge.net было обнаружено в среду, в четверг было выявлено, что злоумышленники получили доступ к нескольким серверам, которые сразу были отключены от сети, чтобы блокировать атаку на начальной стадии.

Решение о блокировании было принято для CVS-репозитория, web-интерфейса для просмотра кода (ViewVC), системы загрузки релизов и сервиса интерактивного shell в системе ProjectWeb. В связи с возникновением неподтверждённого опасения утечки пользовательской базы, дополнительно был произведен сброс всех паролей для всех аккаунтов sourceforge.net.

В настоящее время ещё не завершена работа по проверке целостности пользовательских данных и их сверке с резервной копией. Проверка целостности осуществляется как путём сравнения содержимого всех опубликованных релизов, так и на уровне сверки всех коммитов в системе управления исходными текстами. На завершение полного анализа и проверки потребуется ещё несколько дней. Восстановить работу заблокированных сервисов Sourceforge.net планируется только на следующей неделе, после завершения всех инициированных проверок. Сервисы будет восстанавливаться поэтапно, по мере завершения проверки связанных с ними данных. Для обеспечения работы сервисов будут использованы настроенные с нуля системы.

Рассматривая возможные мотивы совершения атаки, наиболее правдоподобным выглядит предположение о намерении поместить вредоносный код в архив с одним из релизов какого-то популярного проекта. Хотя сверка контрольных сумм с резервной копией ещё не завершена, факты подмены релизов пока не выявлены. Тем не менее пользователям рекомендуется повременить с загрузкой программ с Sourceforge.net, так как до завершения проверки нельзя точно утверждать об отсутствии в них троянских вставок. Работу сервиса по загрузке планируется восстановить в первую очередь.

Во время проведения атаки злоумышленники смогли получить root-доступ на одной из платформ, имеющей полномочия генерации SSH-ключей для организации подключения к определённому классу серверов извне. К счастью, сегментирование сетевой инфраструктуры Sourceforge.net ограничило действие сгенерированного ключа достаточно узким кругом машин и не дало распространить влияние на другие классы серверов. Сразу после фиксации факта проникновения поражённые серверы были отключены от сети для проведения детального аудита логов. Параллельно был начат процесс проверки возможной эксплуатации злоумышленниками других серверов и сервисов, а также смены всех внутренних SSH-ключей и паролей.

Анализ взломанных серверов выявил факт подмены SSH-демона на вариант, осуществляющий перехват и сохранение паролей. Попали ли перехваченные пароли в руки злоумышленников неизвестно, но самой модификации SSH-демона стало достаточно, чтобы инициировать процесс смены паролей для всех аккаунтов пользователей сервиса. Для предотвращения подобных инцидентов в будущем, принято решение усилить безопасность инфраструктуры Sourceforge.net и ввести в практику ряд регулярно проводимых профилактических мер.

Так как начальной точкой взлома стал сервис Project Web, позволяющий разработчикам получить доступ к интерактивному shell и выполнению своих скриптов, то решено полностью пересмотреть работу данного сервиса. Новый сервис будет поддерживать более жёсткую изоляцию между пользовательскими аккаунтами и уйдёт от текущей модели shared-хостинга. Текущий вариант сервиса разрабатывался около 10 лет назад с учётом специфики того времени, поэтому обойтись без его существенной переработки не удастся.

Похожая ситуация наблюдается и для CVS-сервиса, который является старейшим в SourceForge.net. Сам по себе CVS уже устарел и, испытывая проблемы с масштабируемостью, не вписывается в текущую инфраструктуру SourceForge.net. Работа сервиса будет восстановлена ближе к концу следующей недели, но уже решено объявить о скором прекращении поддержки CVS и подготовить набор средств для миграции на Subversion или Git.

  1. Главная ссылка к новости (http://sourceforge.net/blog/so...)
  2. OpenNews: Продолжение истории со взломом SourceForge: заблокированы пароли для всех аккаунтов хостинга
  3. OpenNews: Злоумышленникам удалось взломать несколько серверов SourceForge (дополнено)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: SourceForge, seccurity
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 11:13, 30/01/2011 [ответить] [смотреть все]     [к модератору]
  • –4 +/
    Неуловимый Джо в лице открытого для всех SSH и Shell дал о себе знать Предоста... весь текст скрыт [показать]
     
     
  • 2.4, Другой аноним, 12:50, 30/01/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +16 +/
    > Взлом был делом времени.

    Делом одинадцати лет, если быть точным.

     
  • 1.2, Аноним, 11:23, 30/01/2011 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Отвлекающий маневр по защите одея, обнаруженного в одном из популярных на СФ про... весь текст скрыт [показать]
     
  • 1.3, yantux, 11:58, 30/01/2011 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Зачем надо было ломать? Неужели ради только ради троянов? Самое главно, кому это выгодно?
     
     
  • 2.5, тоже Аноним, 12:56, 30/01/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Лабораторная работа по теме Бизнес Конкуренция Вводная фирме, предоставляющ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, pavlinux, 14:58, 30/01/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Google Code чтоля?
     
  • 3.25, Аноним123321, 10:12, 31/01/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    однако -- грамотный инженер понимает что данный инцедент -- только усиливает без... весь текст скрыт [показать]
     
     
  • 4.26, anonymous, 10:54, 31/01/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    обалденная логика.
     
     
  • 5.27, тоже Аноним, 11:12, 31/01/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    А главное - из нее следует, что SF поторопились все заблокировать Нужно было ещ... весь текст скрыт [показать]
     
     
  • 6.29, 0lpa, 12:47, 31/01/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    +1! :-D
     
  • 2.10, gegMOPO4, 15:10, 30/01/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Нет, самое главное -- восстановить работоспособность SourceForge и уберечь от по... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 13:19, 30/01/2011 [ответить] [смотреть все]     [к модератору]  
  • –8 +/
    В рамках проведения атаки, b злоумышленники b смогли получить root-доступ на ... весь текст скрыт [показать]
     
     
  • 2.7, Аноним, 14:34, 30/01/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Энтузиасты не могут быть злоумышленниками?
     
     
  • 3.8, Аноним, 14:40, 30/01/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Если энтузиаст вражеский, то он злоумышленник Ну как разведчик Если он наш то ... весь текст скрыт [показать]
     
     
  • 4.13, User294, 16:08, 30/01/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    > Если энтузиаст вражеский, то он злоумышленник. Ну как разведчик. Если он наш
    > то он разведчик, а если вражеский, то лазутчик, шпион и злоумышленник.)

    ИМХО все несколько иначе. Если некто придет к вам домой и без спроса взломает вашу приставку - он, очевидно, злоумышленник. Равно как и если он проделает то же самое удаленно, по сети. Потому что вы его не просили об этом и не уполномочивали что-то изменять в вашей собственности, а оно было сделано без вашего на то согласия. Что является неправомерной операцией над *чужой* собственностью.

    Если кто-то взломал СВОЮ приставку и даже опубликовал способ взлома в сети - он, очевидно, энтузиаст. Ну, как те кто изучает устройство замков и публикует описание их достоинств и недостатков, рекомендуя или ругая ту или иную модель.

    Реальная разница - в том что злоумышленники ломают *чужую* собственность, к которой они отношения не имеют. Даже если копирасам из сони и не нравится, вы имеете право забивать вашей приставкой гвозди, загрузать на ней все что загрузится, использовать ее как подставку для кофе или что там еще. Потому что вы ее купили и она - ваша, а сони может втирать все что захочет, кого их проблемы волнуют то? В случае с ключами они в принципе могут попробовать втереть что это "торговый секрет" или что-то типа того. Но учтя что оно уже лежит на 23100 сайтах - грош цена блеянию про секреты, будет как с DeCSS. И не ...т.

     
     
  • 5.32, Admincheg, 11:03, 02/02/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    По сути взламывая свою приставку энтузиаст взламывает чужую прошивку всякие... весь текст скрыт [показать]
     
     
  • 6.33, anonymous, 11:07, 02/02/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    по сути, перешивая 171 свою 187 одежду, 171 энтузиаст 187 плюёт на чужой... весь текст скрыт [показать]
     
  • 2.12, User294, 16:00, 30/01/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Да, не надо пожалуйста лицемерия Разница между энтузиастами и злоумышленника... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Пр0х0жий, 19:59, 30/01/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    вздыхает Конечно очевидно же Преступление и наказание и Кижи Инструмент... весь текст скрыт [показать]
     
  • 2.16, filosofem, 19:57, 30/01/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    И где злой умысел здесь ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, anonymous, 23:11, 30/01/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    манагеры сони голодают, их дети попрошайничают на улицах ... весь текст скрыт [показать]
     
     
  • 4.21, filosofem, 00:46, 31/01/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это благодаря конкуренции с XBox 360 Баллмер 8212 вот настоящий злоумышленни... весь текст скрыт [показать]
     
  • 1.22, gogo, 04:52, 31/01/2011 [ответить] [смотреть все]    [к модератору]  
  • +/
    Ибо нефиг пароль с ssh использовать.
    Есть ключи которые перехватить и украсть на порядок труднее.
     
  • 1.23, Аноним, 08:46, 31/01/2011 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Интересно, а что будет, когда взломают какой-нибудь сервис облачных вычислений, ... весь текст скрыт [показать]
     
     
  • 2.24, anonymous, 09:15, 31/01/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Я все больше утверждаюсь во мнении, что любой внешний сервис для компании
    > является достаточно уязвимым, а потому крайне опасным в использовании. Уж лучше
    > свой собственный сервер.

    например, такой, как у касперского. надёжно, защищённо.

     
     
  • 3.30, анонимус, 22:26, 31/01/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ну да ваш сервер будет надежней чем облаком мелкософта....ппц кругом одни хакеры....
     
     
  • 4.31, anonymous, 03:14, 01/02/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > ну да ваш сервер будет надежней чем облаком мелкософта….ппц кругом одни хакеры….

    видимо, сарказм не дошёл, бывает.

    но да: внутренняя сеть фирмы ВСЕГДА будет надёжней, чем неизвестно чьё «облако».

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor