Włamanie do Rootnode

Zaczęty przez Tobas, 03 Luty 2012, 07:51

Tobas

http://niebezpiecznik.pl/post/rootnode-net-hacked/

Kto korzystał niech natychmiast zmienia hasła i klucze.

Aegis Maelstrom

Auu. Jeśli ludzie z Rootnode tak dbają o bezpieczeństwo (i jeszcze "tłumaczą" hamerykańską nowomowę compromise - czyli narazić na szwank - jako "skompromitować" - chociaż tak naprawdę, jeśli ktokowiek compromised their security to oni sami...  %) ) to niech może opuszczą ten biznes i pójdą się doszkolić...

Z innych bieżących ciekawostek, jeśli ktoś używa Linuksa na poważnie, została ujawniona eskalacja uprawnień od jądra 2.6.39 w górę. Torvalds na prędko rzucił łatkę, ale w opisie nie zamieścił prawdziwego powodu i komunikatu, że to security fix - i zrobiła się drobna chryja. (Artykuł na lwn.net)

Tobas

Szkoda mi trochę Marcina. Postanowił się wycofać, a bądź co bądź adwalił kawał dobrej roboty.

Szanowni użytkownicy,

miało miejsce włamanie na serwery Rootnode wraz z wyciekiem naszej systemowej
bazy danych do Internetu. Baza zawierała dane osobowe wszystkich użytkowników,
zarówno obecnych, jak i byłych.

Sprawę traktujemy poważnie, przeglądamy logi i szukamy śladów. Jeśli tylko
zdobędziemy sensowny materiał dowodowy sprawa zostanie zgłoszona na policję.
Niestety ze wstępnej analizy wynika, że nikłe są szanse na znalezienie sprawcy
a sam atak nastąpił dużo wcześniej niż wyciek danych, co było sprytnym
zagraniem włamywacza.

Zrzut bazy danych został zamieszczony na jednym z serwisów do udostępniania
plików. Zaraz po informacji o włamaniu zostało zgłoszone nadużycie
i po kilku godzinach plik został usunięty.

Udostępnione dane zawierały takie informacje osobowe jak:
imię, nazwisko,
nazwa firmy, NIP
numer telefonu, adres
lista domen,
lista kont pocztowych,
lista płatności i faktur,
hasła (zakodowane) do serwera SSH,
hasła (zakodowane) do kont pocztowych,
hasła (niezakodowane) do kont FTP,
certyfikaty VPN

Nie przechowywaliśmy numerów PESEL użytkowników.

Wchodząc w szczegóły techniczne należy wspomnieć, że baza znajduje się
na osobnym serwerze z dostępem ograniczonym jedynie dla serwerów Rootnode.
Do bazy łączy się program Szatan odpowiedzialny za zarządzanie kontem oraz za
czytanie i zapisywaniem danych do bazy systemowej. Uwierzytelnianie
użytkowników w Szatanie odbywa się za pomocą socketów uniksowych dlatego
konieczne jest działanie demona na maszynie shellowej. Przez to właśnie
uzyskując dostęp do maszyny shellowej można podglądnąć plik konfiguracyjny
Szatana, w którym zapisane są dane dostępowe do systemowej bazy danych.

Prawdopodbnie tym sposobem została wykradziona baza danych. Co więcej
o ostatnim czasie w Linuksie pojawiły się dwie krytyczne dziury, które
umożliwiały łatwy atak na serwer shellowy (memipodder oraz sudo).

W sytuacji takiego ataku należy założyć najbardziej pesymistyczny scenariusz,
że wszystkie serwery zostały skompromitowane. Oznacza to kilka rzeczy:

1. systemy nie nadają się do użytku i muszą zostać przeinstalowane ze
względu na możliwość istnienia backdorów, rootkitów oraz łatwego
wyprowadzania ataków za pośrednictwem tych maszyn.

2. istnieje szansa na pojawienie się szkodliwego kodu w stronach
hostowanych na Rootnode. Taki kod także może służyć do różnego rodzaju
ataków lub do zbierania informacji o użytkownikach.

Zastanawiając się nad sensownością ataku bierzemy pod uwage trzy powody:

1. osobista zemsta wymierzona w Rootnode oraz we mnie
2. nieczyste zagranie ze strony konkurencji
3. dzieciak (script kiddie) wykorzystujący gotowy exploit i udostępniający
dane w ramach trofeum.

W takim środowisku jakim jest Rootnode bardzo trudno jest utrzymać wysoki
poziom bezpieczeństwa, ponieważ oznaczałoby to ograniczenia na każdym kroku.
Niemniej jednak jest mi bardzo przykro z zaistniałej sytuacji, a także
za brak utylizacji starych danych osobowych.
Przepraszam za poniesione straty.

Obecna sytuacja, wasze komentarze i opinie wskazują jednoznacznie, że
pora na zakończenie i zamknięcie projektu Rootnode.

Pozdrawiam serdecznie.

Aegis Maelstrom

Bardzo to smutne.

Sam w pierwszym odruchu zapomniałem, jaki to serwis i objechałem gościa (który się pewnie ostatnio nasłuchał i naczytał, oj naczytał), ale kwestie bezpieczeństwa to dla mnie poważna sprawa.

Pierwsza z podanych przez niego luk to dokładnie ta eksalacja uprawnień, o której wspomniałem wyżej. "Memipodder" to nazwa prostego skryptu na nadanie uprawnień roota, skrypt w wielu śśrodowiskach musi być nieco zmodyfikowany, ale znalazcy błędu również pokazują, jak to zrobić. Co gorsza, wg ich słów atak jest dość długi, ale za to pewny - jeśli było jądro 2.6.39 czy późniejsze bez najnowszej łaty to kaplica. Oprzeć się mógł taki Debian Stable, który ma staare jądro i, jak widać, ta strategia wciąż ma swoje plusy.

Koledzy siedzący dobrze w Linuksie na pewno znają sprawę lepiej ode mnie. Co gorsza, z pobieżnej lektury wychodzi mi, że to nie jedyna ostatnio znaleziona poważna luka w systemach GNU/Linux. :(


Troll81

przynajmniej tam luki są podawane do publicznej wiadomości i w miarę szybko łatane....