Nuvem de armazenamento: Menor custo e aumentar o tempo de atividade
Ubuntu Forums está de volta ao normal depois de um ataque de corte sério que expôs os nomes de usuário, endereços de email e senhas com hash de 1,8 milhões de usuários de código aberto.
Pai empresa Canonical restaurados os fóruns na terça-feira, bem como a publicação de um resumo detalhado do que correu mal e as grandes medidas tomadas para reforçar a segurança.
Canonical culpa da violação em uma "combinação de contas individuais comprometidos e as definições de configuração em vBulletin, o software aplicativo Forums".
Apenas os fóruns e não o popular distribuição Linux Ubuntu nem qualquer serviço ou Ubuntu Canonical, ou seja, o Ubuntu One e Launchpad, foram afetados. "Nós temos reparado e endureceu o Ubuntu Forums, e como as configurações problemáticas são o comportamento padrão no vBulletin, estamos trabalhando com a equipe vBulletin para mudar e / ou melhor documento essas configurações", uma declaração pela Canonical em seu blog oficial explica.
O blog continua a dar conta tintim por tintim de como o hack de alto perfil foi realizado:
Às 16:58 UTC em 14 de julho de 2013, o atacante foi capaz de fazer logon em uma conta de moderador de propriedade de um membro da comunidade Ubuntu.Esta conta moderador tinha permissão para postar anúncios para os fóruns. Anúncios no vBulletin, o software Forums, pode ser permitido para conter HTML não filtrada e fazê-lo por padrão.
O atacante postou um anúncio e, em seguida, enviou mensagens privadas para três administradores do fórum (também membros da comunidade Ubuntu), alegando que houve um erro no servidor na página de anúncio e pedir aos administradores do fórum para dar uma olhada.
Um dos administradores do fórum rapidamente olhou para a página de anúncio, não viu nada de errado e respondeu à mensagem privada a partir do atacante dizendo isso. 31 segundo depois que o administrador do Fórum olhou para a página do anúncio (e antes de o administrador ainda teve tempo para responder a mensagem privada), o atacante logado como que o administrador do Fórum.
Com base no exposto e conversas com a equipe de suporte vBulletin, acreditamos que o atacante adicionado um ataque XSS no anúncio eles postaram que enviou os cookies de todos os visitantes da página para o atacante.
Uma vez que o atacante ganhou acesso de administrador nos fóruns eles foram capazes de adicionar um gancho através do painel de controle do administrador. Ganchos em vBulletin são código PHP arbitrário que pode ser feito para rodar em cada carregamento da página. O atacante instalado um gancho que lhes permite executar PHP arbitrário passou em um argumento de string de consulta. Eles usaram esse mecanismo para explorar o meio ambiente e também para carregar e instalar dois kits shell PHP amplamente disponíveis. O atacante usou esses kits de shell para carregar e executar um código PHP personalizado para descarregar a tabela 'user' para um arquivo no disco que, em seguida, transferido.
O atacante retornou em 20 de julho para enviar a página de desfiguração.
Post-mortem do ataque da Canonical conclui que o hacker (s) teria ganho pleno acesso ao banco de dados Forums. Este acesso foi usado para baixar a tabela "user", que continha nomes de usuários, endereços de email e senhas salgados e hash (usando MD5) para 1,82 milhões de usuários.
A auditoria conclui que o hacker (s) não foi capaz de ganhar qualquer acesso a quaisquer outros serviços ou Ubuntu Canonical. O repositório de código Ubuntu e mecanismo de atualização também foram além do alcance do hacker / s, a investigação conclui.
A empresa de código aberto admite que ainda não tenha chegado ao fundo de como o atacante ganhou acesso à conta de moderador utilizado para iniciar o ataque ou que tipo de cross-site scripting ataque foi posteriormente posta em jogo. "O anúncio de que o atacante postou foi eliminado por um dos administradores do fórum para que não sabemos exatamente o ataque XSS foi usado", disse.
O compromisso inicial passou despercebido e não foi até o Ubuntu Forums foram desfiguradas no sábado 20 de julho que o site foi retirado offline. Um usuário do Twitter com o perfil @ Sputn1k_ posteriormente assumiu a responsabilidade pela desfiguração.
Sputn1k_ posteriormente disse que ele não tinha planejado para quebrar as credenciais ubuntuforums.org roubados em uma declaração que sugere devilment puro e, talvez, um desejo de expor falhas de segurança ou ganhar direito de se gabar estavam por trás do hack.
Se eu entrar em um site, na maioria das vezes não há nenhum intenções maliciosas real. Pegue o banco de dados, deixe uma mensagem. É isso aí. Eu não gosto de coisas sobre-fazer. Pode causar algum tempo de inatividade, mas o que se era o "syr14n c3b3r 4rmy" (não que os seus cérebros com morte cerebral têm o poder de fazer qualquer coisa), e eles não têm intenções maliciosas, e eles fizeram vazar o banco de dados e usá-lo para seu próprio benefício?
Ataques XSS (cross-site scripting) são uma classe comum de vulnerabilidade site que permite que (potencialmente malicioso) conteúdo de um site hacker controlada para ser apresentado aos surfistas como se viesse de um site vulnerável que estão visitando. O ardil na maioria das vezes surge em ataques de phishing mas tem outras aplicações, bem como, como o Fórum Ubuntu corte ilustra graficamente.
O post de Canonical passa a fornecer uma descrição detalhada de medidas tomadas para reforçar a segurança e defender contra ataques futuros.
Toda a explicação é um modelo de abertura e clareza que conclui com um pedido de desculpas sobre o vazamento de dados e tempo de inatividade que veio como resultado da violação.
Embora os usuários foram incomodados pela infração - o que os deixou sem acesso aos fóruns durante uma semana e obrigou-os a mudar suas senhas - o processo de restauração foi concebido de modo que há dados (mensagens, mensagens privadas, etc) seriam perdidos durante a recuperação de desastres processo. ®
via Alimentar (Feed)
Nenhum comentário:
Postar um comentário