FreeHAL@Home, krótka opowieść o zabezpieczeniach serwera
Piszemy tego posta zaniepokojeni zabezpieczeniami serwera, na którym uruchomiony jest projekt FreeHAL@Home, oraz podejściem jego administratora do tematu bezpieczeństwa.
Kilka dni temu jeden z członków naszej drużyny (SereK) znalazł "dziurę" na stronie projektu - plik z danymi potrzebnymi do zalogowania się do bazy SQL dostępny był dla każdego, kto tylko wiedział jaki adres podać. Brak zabezpieczeń ze strony serwera SQL pozwalał na swobodne przeglądanie niemal całej bazy danych, nie tylko części wykorzystywanej przez projekt. O problemie poinformowaliśmy administratora i - po usunięciu problemu - opublikowaliśmy informację o tym fakcie z poczuciem dobrze wykonanego obowiązku.
Jak na razie wszystko w porządku, prawda? Znalazca błędu zaskoczył nas już po dwóch dniach, informując iż dziura nadal istnieje, a plik nadal jest dostępny, tym razem poprzez inną domenę prowadzącą do tego samego serwera WWW. Ponownie poinformowaliśmy administratora i ponownie dostęp do pliku został zablokowany (lecz, co dziwne, hasło nie zostało zmienione).
Kolejna rozmowa z (nie)szczęśliwym znalazcą wywołała w nas niemiłe uczucie déjà vu - ów nieszczęsny plik *.xml nadal jest dostępny dla świata i nadal przechowywane w nim jest aktualne hasło. Jeżeli ktoś chce, nadal może zdobyć niemal dowolną część bazy danych, musi tylko znaleźć odpowiednią domenę... Co nie jest wcale trudną sprawą, wystarczy Google i przejrzenie wiki na stronie Berkeley University. Z informacji jakie posiadamy, w chwili obecnej z serwerów FreeHAL można "wyciągnąć" zarówno stare, jak i nowe hasło.
W chwili pisania niniejszego postu, w bazie projektu zapisanych było prawie cztery tysiące użytkowników (z czego część nie posiadała żadnych punktów, stąd ich nieobecność na stronach ze statystykami) wraz z ich adresami email oraz hasłami. Nie namawiamy nikogo do bojkotowania projektu ani innych drastycznych działań. Każdy powinien sam zastanowić się, co chce dalej zrobić z tą informacją. Nie szukamy taniego rozgłosu ani milionów odwiedzin na naszej stronie. Nie chcemy po prostu czekać, aż kolejny błąd zostanie łaskawie poprawiony przez administratora projektu. Próbowaliśmy w miarę dyskretnie, ale jak widać się nie da. Może trochę zamieszania zmobilizuje twórców FreeHALa do podjęcia tematu zabezpieczeń.
http://boinc.fatumtech.net/images/freehal-sql.png
FatumTech BOINC Team
http://boinc.fatumtech.net/
---------------------------------------------------------------------
FreeHAL@Home, a brief story about server security.
As we're writing this post, we're worried about security of the server where the project is based, as well as admin's attitude towards this issue.
Couple of days ago one of the team members (SereK) found a breach on the project's website - a file with data needed to successfully log in to SQL database was available for everyone and it allowed everyone to browse through basically all of the database, not only the one used by this project. We informed the admin about the problem and - after it was solved - we released a statement on our website about the fact feeling that we have done the right thing.
Everything seems fine so far, right? SereK surprised us only two days later, claiming, that the breach still exists and the file is still available, this time through different domain directing to the same WWW server. We informed the admin again, and the file access was blocked (however, what's important, the password was not changed).
Another conversation with the breach finder triggered déjà vu feelings - this *.xml file is still available for the world and still contains the current password. If somebody wants, he could still get basically any part of the database access he wants, all he's got to do is find the proper domain... Which is not that difficult, all you have to do is go to boinc wiki on Berkley University website. As far as we know, currently you can retrieve both old and new password from FreeHAL servers.
At the time of writing this post, in the database of the project there were nearly four thousand users (of which part of them have no credit thus they aren't visible on the stats websites) with their emails and passwords. We are not calling for any kind of action like boycotting the project. Everyone should think about this, what he wants to do next with this information. We are not looking for popularity or a million hits on our website. We just don't want to wait for the admin to fix another error... We tried discreetly, but it didn't seem to work. Maybe a little bit of a fuss will force FreeHAL's creators to actually take care of security issues.
http://boinc.fatumtech.net/images/freehal-sql.png
FatumTech BOINC Team
http://boinc.fatumtech.net/
---------------------------------------------------------------------
Powyższa wiadomość została umieszczona również na forum BOINCstats oraz na naszej stronie: TUTAJ.
Piszemy tego posta zaniepokojeni zabezpieczeniami serwera, na którym uruchomiony jest projekt FreeHAL@Home, oraz podejściem jego administratora do tematu bezpieczeństwa.
Kilka dni temu jeden z członków naszej drużyny (SereK) znalazł "dziurę" na stronie projektu - plik z danymi potrzebnymi do zalogowania się do bazy SQL dostępny był dla każdego, kto tylko wiedział jaki adres podać. Brak zabezpieczeń ze strony serwera SQL pozwalał na swobodne przeglądanie niemal całej bazy danych, nie tylko części wykorzystywanej przez projekt. O problemie poinformowaliśmy administratora i - po usunięciu problemu - opublikowaliśmy informację o tym fakcie z poczuciem dobrze wykonanego obowiązku.
Jak na razie wszystko w porządku, prawda? Znalazca błędu zaskoczył nas już po dwóch dniach, informując iż dziura nadal istnieje, a plik nadal jest dostępny, tym razem poprzez inną domenę prowadzącą do tego samego serwera WWW. Ponownie poinformowaliśmy administratora i ponownie dostęp do pliku został zablokowany (lecz, co dziwne, hasło nie zostało zmienione).
Kolejna rozmowa z (nie)szczęśliwym znalazcą wywołała w nas niemiłe uczucie déjà vu - ów nieszczęsny plik *.xml nadal jest dostępny dla świata i nadal przechowywane w nim jest aktualne hasło. Jeżeli ktoś chce, nadal może zdobyć niemal dowolną część bazy danych, musi tylko znaleźć odpowiednią domenę... Co nie jest wcale trudną sprawą, wystarczy Google i przejrzenie wiki na stronie Berkeley University. Z informacji jakie posiadamy, w chwili obecnej z serwerów FreeHAL można "wyciągnąć" zarówno stare, jak i nowe hasło.
W chwili pisania niniejszego postu, w bazie projektu zapisanych było prawie cztery tysiące użytkowników (z czego część nie posiadała żadnych punktów, stąd ich nieobecność na stronach ze statystykami) wraz z ich adresami email oraz hasłami. Nie namawiamy nikogo do bojkotowania projektu ani innych drastycznych działań. Każdy powinien sam zastanowić się, co chce dalej zrobić z tą informacją. Nie szukamy taniego rozgłosu ani milionów odwiedzin na naszej stronie. Nie chcemy po prostu czekać, aż kolejny błąd zostanie łaskawie poprawiony przez administratora projektu. Próbowaliśmy w miarę dyskretnie, ale jak widać się nie da. Może trochę zamieszania zmobilizuje twórców FreeHALa do podjęcia tematu zabezpieczeń.
http://boinc.fatumtech.net/images/freehal-sql.png
FatumTech BOINC Team
http://boinc.fatumtech.net/
---------------------------------------------------------------------
FreeHAL@Home, a brief story about server security.
As we're writing this post, we're worried about security of the server where the project is based, as well as admin's attitude towards this issue.
Couple of days ago one of the team members (SereK) found a breach on the project's website - a file with data needed to successfully log in to SQL database was available for everyone and it allowed everyone to browse through basically all of the database, not only the one used by this project. We informed the admin about the problem and - after it was solved - we released a statement on our website about the fact feeling that we have done the right thing.
Everything seems fine so far, right? SereK surprised us only two days later, claiming, that the breach still exists and the file is still available, this time through different domain directing to the same WWW server. We informed the admin again, and the file access was blocked (however, what's important, the password was not changed).
Another conversation with the breach finder triggered déjà vu feelings - this *.xml file is still available for the world and still contains the current password. If somebody wants, he could still get basically any part of the database access he wants, all he's got to do is find the proper domain... Which is not that difficult, all you have to do is go to boinc wiki on Berkley University website. As far as we know, currently you can retrieve both old and new password from FreeHAL servers.
At the time of writing this post, in the database of the project there were nearly four thousand users (of which part of them have no credit thus they aren't visible on the stats websites) with their emails and passwords. We are not calling for any kind of action like boycotting the project. Everyone should think about this, what he wants to do next with this information. We are not looking for popularity or a million hits on our website. We just don't want to wait for the admin to fix another error... We tried discreetly, but it didn't seem to work. Maybe a little bit of a fuss will force FreeHAL's creators to actually take care of security issues.
http://boinc.fatumtech.net/images/freehal-sql.png
FatumTech BOINC Team
http://boinc.fatumtech.net/
---------------------------------------------------------------------
Powyższa wiadomość została umieszczona również na forum BOINCstats oraz na naszej stronie: TUTAJ.