Menu

Pokaż wiadomości

Ta sekcja pozwala Ci zobaczyć wszystkie wiadomości wysłane przez tego użytkownika. Zwróć uwagę, że możesz widzieć tylko wiadomości wysłane w działach do których masz aktualnie dostęp.

Pokaż wiadomości Menu

Wiadomości - Graf Zero

#1
Nieskategoryzowane / Odp: FreeHAL@home
16 Kwiecień 2009, 23:35
FreeHAL@Home, krótka opowieść o zabezpieczeniach serwera

Piszemy tego posta zaniepokojeni zabezpieczeniami serwera, na którym uruchomiony jest projekt FreeHAL@Home, oraz podejściem jego administratora do tematu bezpieczeństwa.

Kilka dni temu jeden z członków naszej drużyny (SereK) znalazł "dziurę" na stronie projektu - plik z danymi potrzebnymi do zalogowania się do bazy SQL dostępny był dla każdego, kto tylko wiedział jaki adres podać. Brak zabezpieczeń ze strony serwera SQL pozwalał na swobodne przeglądanie niemal całej bazy danych, nie tylko części wykorzystywanej przez projekt. O problemie poinformowaliśmy administratora i - po usunięciu problemu - opublikowaliśmy informację o tym fakcie z poczuciem dobrze wykonanego obowiązku.

Jak na razie wszystko w porządku, prawda? Znalazca błędu zaskoczył nas już po dwóch dniach, informując iż dziura nadal istnieje, a plik nadal jest dostępny, tym razem poprzez inną domenę prowadzącą do tego samego serwera WWW. Ponownie poinformowaliśmy administratora i ponownie dostęp do pliku został zablokowany (lecz, co dziwne, hasło nie zostało zmienione).

Kolejna rozmowa z (nie)szczęśliwym znalazcą wywołała w nas niemiłe uczucie déjà vu - ów nieszczęsny plik *.xml nadal jest dostępny dla świata i nadal przechowywane w nim jest aktualne hasło. Jeżeli ktoś chce, nadal może zdobyć niemal dowolną część bazy danych, musi tylko znaleźć odpowiednią domenę... Co nie jest wcale trudną sprawą, wystarczy Google i przejrzenie wiki na stronie Berkeley University. Z informacji jakie posiadamy, w chwili obecnej z serwerów FreeHAL można "wyciągnąć" zarówno stare, jak i nowe hasło.

W chwili pisania niniejszego postu, w bazie projektu zapisanych było prawie cztery tysiące użytkowników (z czego część nie posiadała żadnych punktów, stąd ich nieobecność na stronach ze statystykami) wraz z ich adresami email oraz hasłami. Nie namawiamy nikogo do bojkotowania projektu ani innych drastycznych działań. Każdy powinien sam zastanowić się, co chce dalej zrobić z tą informacją. Nie szukamy taniego rozgłosu ani milionów odwiedzin na naszej stronie. Nie chcemy po prostu czekać, aż kolejny błąd zostanie łaskawie poprawiony przez administratora projektu. Próbowaliśmy w miarę dyskretnie, ale jak widać się nie da. Może trochę zamieszania zmobilizuje twórców FreeHALa do podjęcia tematu zabezpieczeń.

http://boinc.fatumtech.net/images/freehal-sql.png

FatumTech BOINC Team
http://boinc.fatumtech.net/

---------------------------------------------------------------------

FreeHAL@Home, a brief story about server security.

As we're writing this post, we're worried about security of the server where the project is based, as well as admin's attitude towards this issue.

Couple of days ago one of the team members (SereK) found a breach on the project's website - a file with data needed to successfully log in to SQL database was available for everyone and it allowed everyone to browse through basically all of the database, not only the one used by this project. We informed the admin about the problem and - after it was solved - we released a statement on our website about the fact feeling that we have done the right thing.

Everything seems fine so far, right? SereK surprised us only two days later, claiming, that the breach still exists and the file is still available, this time through different domain directing to the same WWW server. We informed the admin again, and the file access was blocked (however, what's important, the password was not changed).

Another conversation with the breach finder triggered déjà vu feelings - this *.xml file is still available for the world and still contains the current password. If somebody wants, he could still get basically any part of the database access he wants, all he's got to do is find the proper domain... Which is not that difficult, all you have to do is go to boinc wiki on Berkley University website. As far as we know, currently you can retrieve both old and new password from FreeHAL servers.

At the time of writing this post, in the database of the project there were nearly four thousand users (of which part of them have no credit thus they aren't visible on the stats websites) with their emails and passwords. We are not calling for any kind of action like boycotting the project. Everyone should think about this, what he wants to do next with this information. We are not looking for popularity or a million hits on our website. We just don't want to wait for the admin to fix another error... We tried discreetly, but it didn't seem to work. Maybe a little bit of a fuss will force FreeHAL's creators to actually take care of security issues.

http://boinc.fatumtech.net/images/freehal-sql.png

FatumTech BOINC Team
http://boinc.fatumtech.net/

---------------------------------------------------------------------

Powyższa wiadomość została umieszczona również na forum BOINCstats oraz na naszej stronie: TUTAJ.
#2
Nieskategoryzowane / Odp: FreeHAL@home
12 Kwiecień 2009, 23:17
Może zaciekawi Was błąd w zabezpieczeniach FreeHAL. Przez pewien czas można było "na pałę" wejść do ich bazy sql'a. Z publikacją informacji o tym problemie czekaliśmy do momentu, gdy zostanie naprawiony. Teraz już baza, przynajmniej pod tym względem, jest bezpieczna. Dziurę znalazł kolega z naszego teamu, SereK.

Więcej tutaj: boinc.freehal.org - luka w zabezpieczeniach
#4
Dzińdybry  ;D

/też miałem wczoraj problem z BOINCstats i sygnaturką/
#5
wszystkim dzieciom należy się dzisiaj po browarku!  8)
#6
Cytat: Pigu w 31 Maj 2008, 15:00
nie sądzę

zgadza się - to ja wygrywam ;D
#7
Cytat: Gave w 27 Styczeń 2008, 22:36
Na podstawie małego researcha powiedziałbym...

Pozwoliłem sobie wykorzystać treść tego posta do opisu projektu na naszej stronie. Mam nadzieję że nie masz nic przeciwko, lecz jeśli sobie tego nie życzysz to usunę (http://boinc.fatumtech.net/readarticle.php?article_id=4). W sumie to nie wiem jak wygląda kwestia wykorzystywania treści postów...

PS: wiem że powinienem najpierw zapytać, ale chciałem na szybko uzupełnić informacje.
#8
Jeśli będzie wielkie "kaboom" to i tak pewnie nie zdążymy się nad tym zastanowić. :D Z drugiej strony wytaczać proces CERNowi? Ja bym zaczął pozwy od państw posiadających broń atomową...
#9
BOINC / Odp: boinc.berkeley.edu
18 Marzec 2008, 00:46
Nareszcie działa :D
#10
BOINC / Odp: boinc.berkeley.edu
16 Marzec 2008, 01:14
Nie udało mi się połączyć przez kilka różnych serwerów proxy. Zmieniałem wersję językową przeglądarki (i przeglądarki), lecz system operacyjny w każdym wypadku był polskojęzyczny. Oczywiście przez stronę Anonymouse.org wszystko działa dobrze. Na dzisiaj koniec śledztwa.