Włamanie na serwer projektu Apache

Komuś się wyraźnie nudziło :|

Pozdrawiam!

Nudziło to mało powiedziane.

Kompletnie nic z tego nie pojmuje. Ale ciekawi mnie jak im się chciało to robić.

To brzmi jak McGyver

Niech ktoś mnie przekona, że najsłabszym ogniwem *dowolnego systemu* nie jest człowiek
*
> W tym samym czasie przeprowadzano atak typu brute-force
> mający na celu odgadnięcie hasła do jednego z kont
(...)
> Ci z kolei zaczęli logować się i je przywracać
> na dotychczasowe(!)
(...)
> Okazało się, że jedno z nich pasuje do konta na serwerze
> brutus.apache.org i że posiada ono pełen dostęp
> administracyjny za pomocą sudo.

Swoją szosą: dobrze się to-to czyta

Warto pochwalić Autora (gdy nie istnieje system ocen wpisów :)

@miriwol - niemirowski lubi dziwne słowa, odpuść mu ;)

do mnie tez przyszedl mail z prosba o zmiane hasla, jednak nie mialem czasu na jego zmiane

@roobal - albo komuś się nudziło, albo dostał za to kasę, czy też miał inne niewymierne korzyści. Tak czy inaczej, niezły materiał na scenariusz do filmu ;) Nie chce mi się wierzyć, że to wszystko było od a do z zaplanowane. Część z tych decyzji była chyba spontaniczna i wynikała z sytuacji, w jakiej aktualnie znajdował się włamywacz - tym bardziej należy się szacun za znajomość tematu - nie pochwalam tu samego czynu, lecz wiedza i zdolności włamywacza są na serio godne pochwały...

Czy firma hostingowa to godaddy?

mam tylko nadzieję, że był/li to hakerzy white hat a nie black hat, bo szkoda by było, żeby w jakiś sposób zaszkodzili projektowi apache bardziej niż tylko kompromitując ich zabezpieczenia i wysyłając Confluence na urlop

W ten sposób ktoś sobie załatwił ciekawą posadkę w jakiejś porządnej firmie :)

Nie zebym byl zlosliwy, bo linux ma swoje zalety, ale co teraz powiecie, panstwo ornitolodzy od pingwinow? Czesc z Waszego grona zachowuje sie jak skrajnie przekonani sluchacze pewnego radia. Ciekaw jestem, co na to powiecie.

@command-dos:
Zgadzam się, umiejętności włamywaczy godne podziwu.

od dziś pewnie już mają prace w apache...

"zainstalowali backdoor."

Tak dziurawe to apache jak całe open source :)
A ponoć Linux taki bezpieczny.

Niektórzy dla ciasteczek zrobią wszystko!

Nie wierzę. To znaczy, że Administratorzy projektu Apache musieli korzystać z Internet Explorera zainstalowanego na platformie Windows.

@sWeeT-Dżola ;) | 14.04.2010 9:50 : Od kiedy w szkołach nie uczą czytania ze zrozumieniem

;-) .

@sWeeT-Dżola ;)
kobiety też mają dziury i za to je kochamy

@sWeeT-Dżola ;) | 14.04.2010 9:50 : Muszę jeszcze dodać, że właśnie Mozilla wpadła na pomysł uporania się z tego rodzaju błędami bezpieczeństwa. Czekam na twoją błyskotliwą odpowiedź.

Ataki na Linux są mikroskopijne :D ataki na Windows są niemal co minutę :D nie ma sensu pisać o atakach na Windows bo to jest już nudne, atakowanie Linux to już jest sensacja, ponieważ mało kto atakuje Linux :)

Wystarczy tylko wyłączyć Serwer Apache i już się jest bezpiecznym :D o ile kiedy się nie ma serwera :D

z doświadczenia wiem, że wielu początkujących użytkowników Linuksa nie wie do czego służy dana usługa :)

borzole, smutna, głupia i chamska była twoja wypowiedź. Następnym razem pomyśl, zanim coś napiszesz.

Czemu? Całkiem na poziomie w stosunku do Dżoli.

Ty za to wyglądasz na jakiegoś gbura co się czepia wszystkiego...

SSEE nie ma to jak wnieść coś wartosciowego do dyskusji.

SweetTrolla jak zwykle pisze farmazony. Kiedy ty ostatnio słyszałaś o lukach w Apache?

Odpowiedź Borzole akurat była dowcipna i prawdziwa ;)

@sWeeT-Dżola ;)
Lepsze dziurawe OpenSource niż równie dziurawe aplikacje np. od MS za które trzeba płacić. Więc bardziej opłaca się to za darmo.

Dobry news. Czytałem jak dobry film sensacyjny. Choć zwykły użytkownik windowsa pewnie ni za China nie wyczai o co chodzi.

Ciekawi mnie jedno.. Włamanie mnie nie dziwi. Ale jak wykryto włamanie? Bo zdaje się mi, że włamać się jest łatwo, ale wykryć atak zdecydowanie trudno. Mylę się?

Wniosek prosty? Nomen omen, nie siedzieć na koncie administratora? (rozdzielić konta www na zwykłe i adiministacyjne i nie przechowywać danych tych drugich w ciastkach) Zasada bezpieczeństwa 2: zmienić nazwy standardowych aplikacji na inne, np. rm -> srm, su -> ssu, sudo -> ssudo, itp. Prosty zabieg, ale jednak zwiększyć powinien bezpieczeństwo. Bo jak mniemam na serwerach to tak korzystają z tych aplikacji, że można by im nawet ponadawać nazwy typu: ghkuws_rm :)

Atakujący ładną robotę odwalił... Tylko po co to? Tam coś ciekawego jest? Włamanie na Naszą Klasę jest równie celowe, czyli zero celu. Co innego włamać się na stronę znanej firmy oferującej "bezpieczeństwo".

PS. Później się dowiemy, że ataku dokonał jeden z administratorów, bo... bo zapomniał swojego, a wstyd było mu poprosić kolegę o nowe :)

@borzole
"kobiety też mają dziury i za to je kochamy"

Faceci też :) Pójdziesz do "kicia" to sam się o tym przekonasz ;)

"SweetTrolla jak zwykle pisze farmazony. Kiedy ty ostatnio słyszałaś o lukach w Apache? "

Ta była niezła: http://hack.pl/aktualnosci/niezwykla_luka_w_apache.html

Tu mamy następną (09.03.2010): http://www.techit.pl/Aktualnosci/View.aspx?5123.luka+w+serwerze+apache

A tutaj cała kwintesencja dziur: http://httpd.apache.org/security/vulnerabilities_22.html

A kiedy Ty widziałeś ostatnio dziurę w takim IIS?

Luka nie była w narzędziach opensource ( z wyjątkiem systemu JIRA) tylko nieprawidłowa polityka bezpieczeństwa.

@borzole
PLONK

"A kiedy Ty widziałeś ostatnio dziurę w takim IIS?" w grudniu poza tym bierz pod uwage popularnosc
apache ma jakies 54.55%
iis 24.47%
dodatkowo spora czesc dziur tyczy sie modules, ktorych nieuswiadczysz w iis, to chyba logiczne wiecej aplikacji = wiecej mozliwosci luk

PS tylko nie zapodawaj znowu jakis linkow z onetu czy wp ze statystkami, ktore niepokrywaja sie z prawda (mowa o popularnosci iis)

trzeba jeszcze umieć czytać ze zrozumieniem.

Cały atak polegał na wykradnięciu plików cookies, oraz odgadnięciu (za pomocą bruteforce) haseł na serwer.

Jak się zna hasła to nie ważne jaki jest to serwer czy open source, czy MS czy cokolwiek innego. W takim wypadku wszystko jest tak samo dziurawe.

Ot, i przeciętny projekt Open Source

Z jednej strony grupka fascynatów
Z drugiej brak środków na audyty bezpieczeństwa, testy penetracyjne, fuzzing, ...

Brzmi jak scenariusz dobrego filmu :)

@nikt
"Jak się zna hasła to nie ważne jaki jest to serwer czy open source, czy MS czy cokolwiek innego. W takim wypadku wszystko jest tak samo dziurawe."

A ten backdoor to jak działał w tym super bezpiecznym oprogramowaniu?

@ sWeeT-Dżola ;)

Zorbie ci tekstowego demota bo inaczej nie zrozumiesz :)

Włamanie się na Apache, potrzeba dużo czasu i dużo wiedzy.

Włamanie się na rozwiązanie MS, wystarczy przerwa miedzy lekcjami :) ...

@smutasy
zdejmijcie lakierki i pingle, bo tracicie dystans do życia

@ sWeeT-Dżola ;)
ała

Kolejny powód do flejmu. Może redakcja DP łaskawie nie zamieszczałaby newsów o linuksie, ruchu opensource i tym podobnych? Lepiej tę tematykę zostawić serwisom tematycznym traktujących o takich rzeczach gdzie taka nowina zostanie prawidłowo przyjętą i skomentowana.

@n-pigeon
"Włamanie się na rozwiązanie MS, wystarczy przerwa miedzy lekcjami :)"

To może postawie IIS na Windows 7 i zobaczę jak między lekcjami, zapewne w gimnazjum, włamujesz mi do systemu?

@Zeri
redakcja nie dba o poziom ani o nic z tych rzeczy, wiecej newsow, wiecej ludzi wejdzie, a do tego jak zaczna flame to jeszcze jest szansa na to ze sie zarejestruja.
Ogolnie chodzi o pieniadze :] wiecej ludzi = wieksza kasa, jakosc schodzi na drugi plan (co swietnie widac po prezentowanych tu tresciach i nie mowie tu tylko o komentarzach)

@ sWeeT-Dżola ;)
backdoor ogólnie nazwa techniki umożliwiającej ponowne dostanie się do przejętego systemu.

Może to być program napisany specjalnie na dany system (więc na IIS też można takie coś napisać).

Może to być dodatkowe konto z uprawnieniami administratora.

Możliwości jest dużo. Zależy od wiedzy i umiejętności włamywaczy (a te sądząc z opisu nie były małe).

@ sWeeT-Dżola ;)

Skąd pewność że jeszcze się nie włamałem :) ? Mam przy sobie tylko netbooka, ale miałem okienko bo biologi nie było, więc czasu było sporo :P

sWeeT-Dżola ;)

Zapewne jeszcze w tym tygodniu pojawi się news o włamaniu na rozwiązanie Microsoftu, proszę Cię nie uciekaj wtedy i wypowiedz się na ten temat w komentarzach.

Tak właśnie wyglądają włamania na serwery. I tak im szybko poszło, niektóre to kwestia nawet kilku miesięcy.

@sWeeT-Dżola ;) - w Windowsie wystarczyłoby samo kliknięcie na linka, bez tych wszystkich akrobacji.
Na ten IIS w Windows 7 to nie byłby problem, bo haker po prostu przechwyciłby hasło na najsłabiej zabezpieczonym komputerze (może jakiś keylogger), może wyciągnął z BIOSu, administrator zazwyczaj używa tego samego hasła do wszystkich komputerów, może też w Gadu-Gadu, na konto pocztowe Może hasło jest na karteczce przylepionej do monitora, może w górnej szufladzie biurka, może loguje się zdalnie bez szyfrowania, może podać się za nowego informatyka i poprosić o hasło, może zdobyć słabiej zabezpieczone konto i podnieść swoje uprawnienia, itd. Możliwości jest mnóstwo.

"A ten backdoor to jak działał w tym super bezpiecznym oprogramowaniu?"

›Sweet Dżola
Backdoor to nie program wykorzystujący luki tylko luka.
Luki wykorzystują exploity.
W każdym programie (poza portable w niksach - tu można posłużyć się szpiegami) można zrobić lukę, nawet w hello world jeśli zainstalujesz je z dostępem do praw admina (windows) lub na prawach admina (*nix via root).
Taki program możesz ustawić tak aby podczas instalacji zmienił Ci hasło i otworzył dany port.

Programujesz trochę? Widać że nie...

Co do brute-force, nie ma na świecie oprogramowania odpornego na ludzką zawziętość, tym bardziej w erze botnetu.
Samo włamanie nie miało miejsca z powodu luki w apaczu tylko z lekkomyślności lub łatwowierności administratora.
Brute-force to siłowe łamanie hasła poprzez ciągłe próby - na to nie ma sposobu.

No chyba że jakieś szyfrowane sesje ale jakoś też nie jestem pewien... Odszyfrowywanie też byłoby chyba męczące...

@gothmori
"Brute-force to siłowe łamanie hasła poprzez ciągłe próby - na to nie ma sposobu."

A CAPTCHA?

Buahahaha
Widzę już tych hakierów. Może któryś się włamie do mnie?

""""Następnie podali link do tinyurl.com, który przekierowywał na stronę wykorzystującą podatność na atak XSS (cross-site scripting). Gdy link został kliknięty przez kilku administratorów projektu Apache, ich ciasteczka sesyjne został przechwycone przez atakujących""""

Zapewne administratorzy korzystali z przeglądarki IE lub Firefoks, które są podatne na tego typu ataki :)

"A CAPTCHA?"

Logować się do serwera WWW przy captcha? O.O
Wybacz ale to było śmieszne...
No ok... człowiek może przepisać literki i cyferki ale aplikacje?
Nie myślisz chyba że ataki brute-force przeprowadza się przez przeglądarkę internetową O.O
captha też już jest złamana, istnieje jakiś programik który potrafi odczytywać znaczki, zdaje się że niedawno było o tym na DP.

Chociaż żeby nie wyszło że jestem zły tenteges i że z powodu mojej antypatii neguję Cię na całej linii to muszę się zgodzić że captcha to dobre rozwiązanie do aplikacji webowych. ;)

Brute-force - trzecie błędne logowanie blokuje dostęp dla loginu na godzinę(lub więcej), w windowsach to jest nie wiem dlaczego Apache tego nie ma

"Brute-force - trzecie błędne logowanie blokuje dostęp dla loginu na godzinę(lub więcej), w windowsach to jest nie wiem dlaczego Apache tego nie ma"

Dla wszystkich ip? Jeśli nie, to masz botnet a jeśli tak to byle dureń może wkurzać admina i uniemożliwiać mu logowanie w nieskończoność...

są skuteczne sposoby na bruteforce, stosowane z powodzeniem w kartach bankomatowych, w serwisach bankowych, na kartach sim itp. Po n-krotnym wpisaniu błędnego hasła - konto/usługa przestaje być dostępna do czasu wyjaśnienia (przeprowadzenia innej weryfikacji).

Ale jak to było wcześniej powiedziane - wykorzystano tutaj lukę w samym systemie zabezpieczeń a nie w systemie komputerowym.

mozna z tego zdarzenia wysnuc dwa wnioski:

cale to bezpieczenstwo systemow nie ma zadnego znaczenia - wlamac mozna sie do 'dziurawego windows' czy 'superbezpiecznego linux'

skakanie sobie do oczu zwolennikow linuxa i ms to zwyczajna dziecinada

@3540910 (niezalogowany) | 14.04.2010 11:07 : Popularność nie ma nic do rzeczy. Przecież Windows jest najbardziej popularnym systemem na desktopie, a i tak łatają mniej dziur, a większość ukrywają.

@piszczyk4U43 (niezalogowany) | 14.04.2010 11:20 : O czym ty teraz piszesz? Bo chyba nie o serwerze Apache?

@sWeeT-Dżola ;) | 14.04.2010 11:30 : Masz pojęcie o czym piszesz? To nie był backdoor zostawiony przez twórców oprogramowania, lecz przez ludzi, co wykradli ciasteczka. Patrząc na procentową ilość instalacji antywirusów i procentowy udział komputerów w Bootnetach różnych, to naprawdę, Linuksy bardziej kochają backdoory/konie trojańskie od Windowsów.

@sWeeT-Dżola ;) | 14.04.2010 11:46 : Jakie oprogramowanie na tym serwerze zainstalujesz?

~nikt

" Po n-krotnym wpisaniu błędnego hasła - konto/usługa przestaje być dostępna do czasu wyjaśnienia (przeprowadzenia innej weryfikacji)."

Kiedyś pojawiła się luka w wordpresie umożliwiająca reset hasła. Script-kiddies dokonywały tego ataku dla zabawy. Nie uważasz że w przypadku komputera podpiętego do sieci mogłoby być analogicznie? Znaczy, zamiast wpisywania kilku znaków w pasek adresu (tak jak to miało miejsce w przypadku wp), wpisanie np. 3 razy błędnego hasła aby uniemożliwić/utrudnić adminowi dostęp do systemu.
Karta SIM czy bankomatowa to inne zjawisko - nie można zablokować karty nie posiadając jej.

@MaRa | 14.04.2010 12:14 : Właśnie o tym pisałem - powodem ataku może być podatność dowolnego systemu i dowolnej przeglądarki internetowej. Idąc drogą rozumowania Sweet-dżola, to zapewne był to Microsoft Windows 7 i Internet Explorer 8, ponieważ nie odczuwam sympatii do tego czegoś. Tyle w temacie.

Sytuacja podobna do włamywania się na routery z postawionym Linuksem. Też nie wykazano żadnej specyficznej podatności(nie ma oprogramowania idealnego, a założenie, iż możliwość np. odgadnięcia hasła jest podatnością, to każdy system byłby do niczego ze względów bezpieczeństwa), a za to temat był trąbiony miesiącami.

@gothmori

Racja. To może trochę napsuć krwi zwykłym użytkownikom.

Napisałem mojego posta zanim przeczytałem twojego.

@notgnucy - ataki często wykorzystują nie luki w oprogramowaniu, ale luki w konfiguracji. Nie da się z góry przewidzieć każdego scenariusza. Każdy komputer w sieci może być w miarę bezpieczny, lecz niebezpieczeństwo tkwi w połączeniu ich ze sobą, bo haker wykorzysta słaby punkt każdego z nich by dostać się na lepiej zabezpieczone.
Nawet luką może być gniazdko wewnętrznej sieci komputerowej w sali konferencyjnej firmy, haker uda serwisanta i podłączy access point, zyska dostęp do sieci. A firma może wydać dziesiątki tysięcy na firewalle.

widzę że tu same hakiery i szpecjalici od zabezpieczeń się wypowiadają...

Po prostu jak film akcji... :P

Wszystko precyzyjnie zostalo opisane jak nigdy ciekawe dlaczego. Aby powiedziec ze darmowy Apache jest gorszy od Windows web servera? Kto za tym stoi tak bardzo beszczelny ze chce za wszelka cene oczernic open source.

Jak tak czytam tu i tam to open source system jest kiepski i ff slabiutki i portale spolecznosciowe niebezpieczne i w ogole internet jes niebezpieczny bo kazdy ma dostep.

Pozdrawiam wszystkich czytelnikow,
Slawek

bardzo inteligentnie ich rozłożyli :(
swoja drogą skompromitowali nie tylko linuksa ale także freebsd i solarisa
tylko co tu do gadania mają systemy jak zwiedli ludzie :(

do wszystkich, którzy uważaja, że linux i całe open source jest dziurawe: to, że kod waszego windowsa jest zamknięty nie uprawnia was do mówienia o nim, że nie jest dziurawy, a tym samym do błędnego oceniania linuksa. Im więcej widdzisz tym więcej możesz naprawić, a im więcej osób to widzi tym "cos" staje sie lepsze :)

@sWeeT-Dżola ;)
Koleś- ile dostajesz za sianie zamętu? Swoją drogą ciekawa akcja propagandowa Microsoftu- opłacać komentatorów udających kobiety zakochane w ich technologiach. Btw- więcej konsekwencji w komentarzach.

hehe juz sie hieny Linuxowe zbiegly. jak to wczesniej ladnie pisaliscie. napluja wam w twarz a wy wmawiacie ze to deszcz.

A cala prawda jest taka ze kady soft ma luki i jest tylko kwestia checi, wiedzu i czasu oraz brakiem kontroli z drugiej strony aby kazdy system padl. nie musi to byc tylko Apache, IIS tez mozna ubic. Ale jak slysze dzieciaki co wypisuja ze IIS-a sobie na przerwie zhakuja to juz mnie bawi ich poziom niewiedzy.

No i zaczęło się, teraz zacznie się, że apache do kitu że brak innych rzeczy. Ale jak administratorzy są kiepscy to nawet najbardziej zabezpieczony serwer padnie. Tyczy się to zarówno apache jak i IIS. No ale do niektórych to nie trafia.
Firmy wydają miliardy $ na zabezpieczenia, a użytkownicy co robią? Naklejają kartkę z hasłem na monitorze. Zawsze najsłabszym ogniwem jest człowiek.
Także co niektórzy powinni się wyluzować.

Czemu ta cała historia wygląda mi na pomieszanie social engineering i braku procedur bezpieczeństwa (wymaganie mocnych haseł, blokowanie wielokrotnych prób logowania). Nie widzę w tym żadnego wykorzystania żadnych luk, a i hakerom na przykład nie udało się podwyższyć uprawnień :)

Czyli wychodzi na to że natrudzili się tyle na nic (chociaż może przynajmniej zwrócą uwagę innym o dbanie o pewne procedury).

@StawikPiast

Możesz zachować trochę kultury pisząc tutaj?

Użytkownicy linuksa/windowsa nie zawsze są dojrzałymi umysłowo użytkownikami i nie oznacza to że masz obrażać resztę za odsetek "pryszczatych" jeszcze w podstawówce czy gimnazjum.

@sWeeT-Dżola ;)
Wow, no patrz, jest luka.
http://secunia.com/advisories/product/1438/
http://di.com.pl/news/29908,0,Kolejna_luka_w_Microsoft_IIS.html
http://www.heise-online.pl/newsticker/news/item/Luka-bezpieczenstwa-w-Microsoft-...
Ale zaraz oczywiście doradzisz wszystkim przejście na ISS 7.
C.D.N.

@sWeeT-Dżola ;)
W poprzednim odcinku: Szefie, który przycisk wcisnąć? F13 eee Wróć. To nie to.
Aha. Więc sprawdźmy twoje linki:
http://hack.pl/aktualnosci/niezwykla_luka_w_apache.html 28.02.2007
Cytat z tego newsa: "Błąd występuje tylko w wersji 1.3.34-4 dla dystrybucji Debian. Nie znaleziono go w żadnej innej edycji Apache’a."
http://www.techit.pl/Aktualnosci/View.aspx?5123.luka+w+serwerze+apache
"Administratorzy korzystający z serwera Apache powinni dokonać aktualizacji do wersji 2.2.15 w której usunięto tę oraz inne luki."
The end.

@tomimaki
Ale zauważ, iż na 100% luki co wyżej podałeś zostały załatane... Takie argumenty są mało istotne, ponieważ prawie każde oprogramowanie ma jakąś lukę. Szczególnie oprogramowanie tak zaawansowane.

Chodziło mi oczywiście o luki w IIS.

Nie będę cytował, bo szczerze mówiąc to mi się nie chce.. będę punktami wyrzucał..:
1.Ale co wy chrzanicie o linuksie, jak tu mowa o Apache? Przecież Apache można też swobodnie postawić na Windowsie..
W artykule na dobrychprogramach nie ma nic o linuksie, pierwsze co pojawiło się w komentarzach..
2. [łączy się z 1] Owszem, na blogu Apache jest wspomniane "Our JIRA instance was hosted on brutus.apache.org, a machine running Ubuntu Linux 8.04 LTS", ale luka była w JIRA a nie w Apache!.. JIRA z kolei jest firmy Atlassian..
3. Skąd 'dorwali' roota do serwera brutus.apache.org? Ktoś miał takie samo hasło do JIRA jak i do konta z dostępem do sudo..
4.Na blogu Apache nie ujawniono jak włamywacze uzyskali dostęp do JIRA ('On April 6th, one of these methods was successful. ' - 6 kwietnia, jedna z tych metod [bruteforce / skradzione cookies] zadziałały) - nie wiemy czy ciastka były takie użyteczne, ja podejrzewam raczej bruteforce - proste, krótkie hasło - łatwe do złamania..
5. Captcha - zależy jakie, większość można złamać nawet napisanymi własnoręcznie narzędziami czy takimi znalezionymi w necie! Uważany za najlepszy/najbezpieczniejszy tego typu system, reCAPTCHA, został złamany chociażby przez 4chan (i to rok temu!) - http://musicmachinery.com/2009/04/27/moot-wins-time-inc-loses/ - tu jest to dosyć dokładnie opisane :) )
Skanery i OCR -> najlepsze metody..
6. IIS dziury ma, chociażby jedna z grudnia - 4 miechy.. [na Secunii np. opisana]
Poza tym, w OpenSource jest łatwiej znaleźć dziury - można sobie kod przejrzeć, a w takim IIS to trzeba 'próbować' itp....

Lepiej korzystać z bezpiecznych rozwiązań MS.

To był potwór ciasteczkowy. Musiał spróbować dla odmiany dobrych ciasteczek , bo tych windowsowych ma po dziurki w nosie. :-)

"Lepiej korzystać z bezpiecznych rozwiązań MS."

sorry, ale takich nie ma

Pierwszy akapit to opis typowego zagrania socjotechniki :-) Dla niewtajemniczonych polecam lekturę Mitnicka "Sztuka podstępu".

Najsłabszym ogniwem każdej platformy jest "człowiek" :-) słabe hasła, klikanie bez zastanowienia, brak umiejętności przewidywania i logicznego myślenia... ale sama akcja przeprowadzona BARDZO zaradnie i zapewne szybko... :)

BenderBendingRodriguez napisał(a):
[[[Możesz zachować trochę kultury pisząc tutaj?]]]

Nawet zabawne. ;)
Oczywiście dla osób, które wiedzą, jakim chamstwem potrafił popisywać się autor powyższego apelu.

@Obin
Ta luka w ISS 6.0 nie jest załatana. Ale mniejsza z tym. Wszystko jest łatane, zawsze znajdą się jakieś nowe luki i tak w koło Macieju.

Najlepszym zabezpieczeniem na ataki z sieci jest odłączenie komputera od sieci :) Czy to jest OpenSource czy od firmy pokroju MS to bez znaczenia. Jak mogą wejść dane z sieci do kompa to mogą przejść i ataki. Bezpieczeństwo MS polega na tym, że od 2001 ciągle wydają łatki na znany i lubiany OS. Ale lepiej działać na tym niż na jakiejś wiecznej becie linuxa.

To pewnie był Lukasz_18 ze swoim kompem za 4900

@pk - nie wysilaj się - tego nie zrozumie nawet 5% komentujących tutaj...

@sWeeT-Dżola

Zauważ, że to Ci administratorzy zawiedli. Popadli w rutynę. Nie zachowali bezpieczeństwa. Kto będąc na koncie o wysokich uprawnieniach klika w link podesłany przez kogoś obcego? Aż tak bezpiecznie się czuli? Czemu odnawiają hasła na Identyczne? Czemu Administrator używał identycznego hasła jak na innym serwerze gdzie miał wysokie uprawnienia? Czemu używają haseł na tyle prostych, że da się je złamać metodą Brute-Force? Nawet duży botnet przy próbie łamania trudnego hasła musi to robić jakiś czas - wzrasta ryzyko wykrycia ataku (wzmożony ruch). I zawiodło oprogramowanie innej firmy - podatne na ataki XSS. I jak widać Apache jest bezpiecznym systemem bo mimo tego, że włamali się do innych usług to pozostali na zwykłych uprawnieniach - nie udało im się ich podnieść. To, że nie zauważyli dodatkowego skryptu uruchomionego to tylko pokazuje jak popadli w rutynę i nie sprawdzali pewnych spraw. Poza tym czemu jeden z userów który ma admina na innych usługach po otrzymaniu maila z info o resecie hasła nie zaczął czegoś podejrzewać? Czyżby system ot tak sam z siebie czasami resetował wszystkim hasła?

@ roobertos "Najsłabszym ogniwem każdej platformy jest człowiek"

Nie wiem, czy to nie jest przypadkiem cytat z książki, którą podawałam (nie znam treści na pamięć) ale jest to słuszna uwaga, ponieważ zasadniczo Ci co się włamują to nie siedzą nad hasłami, tylko po nitce do kłębka dochodzą do celu przez drugiego człowieka. W tym wypadku - jak zauważa Mitnick - winę ponosi brak edukacji i uświadamiana pracowników w myśleniu nad konsekwencjami podawania nawet całkiem niewinnych informacji komuś obcemu.

To akurat że między Linuksem i Windowsem nie ma różnicy w kwestii bezpieczeństwa to się nie zgodzę.
Do obu można się włamać - to fakt.
Ale do Linuksa nie włamie się byle głąb.
Wiadomo że system na poziomie użytku firmowego będzie posiadał zabezpieczenia (przynajmniej tak powinno być, zapewne nie jest) i 12letni dzieciak się nie wtryngoli.
W przypadku nieświadomego kowalskiego i desktopa, tak słodko już nie jest.
Linux Ubuntu czy Mandriva na desktopie, w swej początkowej, standardowej konfiguracji obecnie oferują znacznie większe bezpieczeństwo niż windows.
Sama ilość wirusów, mówi wszystko.
Co mnie obchodzi że to nisze... Linux jest na routerach i serwerach, wykorzystują go również wielkie korporacje.
Niszowość jest tu wysoce dyskusyjna.

W windowsie toksyczne w kwestiach bezpieczeństwa są licencje i brak wglądu w kod źródłowy.
Wolne systemy dzięki swojej licencji w kwestii bezpieczeństwa są o wiele lepsze.
W ich przypadku można zatrudnić fachowców którzy bez zgody producenta mogą ominąć lukę zmieniając jakieś mechanizmy lub pisząc własną łatkę.
Luki chyba we wszystkich wolnych systemach operacyjnych (albo znacznej większości) łatane są nie wg. cyklu tylko tuż po napisaniu i przetestowaniu łatki.

Microsoft zabrania ingerować w swoje oprogramowanie, łatki wydaje cyklami i ignoruje to co się dzieje w świecie "targu wirusów".

Złamać można to i to... Natomiast gdy w MS windows lub w oprogramowaniu Microsoft pojawi się krytyczna luka, trzeba modlić się o cud że do końca miesiąca nikt jej nie wykorzysta a korporacja zdecyduje się wydać właśnie w następnym miesiącu łatkę. Nie można zatrudnić programisty który sam by nad tym czuwał niezależnie od korporacji.
Otwarty kod daje również możliwość dostosowania systemu do własnych potrzeb. Jedna z wielkich i najbardziej innowacyjnych korporacji wykorzystuje bardzo mocno możliwości Linuksa. Chodzi tutaj o google - to samo mówi za siebie...

Ostatnio na forum RubasznyRumcajs pisał o dystrybucjach, które bardziej stawiają na bezpieczeństwo. Wiem, że chyba Fedora tak robi, natomiast nie wiem jakie jeszcze inne dystrybucje Linuksa są "bardziej" bezpieczne od tych popularnych. Czy to znaczy, że Ubuntu czy Mint mniej stawiają na bezpieczeństwo? Pytam, bo nie wiem i zastanawia mnie ten fakt.

›Karolinah

To akurat jest dyskusyjna kwestia.
Fedora nie zalicza się do kanonów tych tzw. "bezpiecznych".
Często się ją tak ocenia z powodu RedHata.

To że jedne są bezpieczniejsze od drugich to po części mit po części prawda.
RedHat korzysta z baaaaaaaaaaardzo sprawdzonych i zaktualizowanych pakietów. Dzięki czemu działa niesamowicie stabilnie i ryzyko luki jest znacznie mniejsze niż w przypadku świeżego softu.

Sama fedora to dystrybucja wdrożeniowa RedHata dostosowana bardziej z myślą na desktop - tu w tej kwestii dużo dyskusji się pojawia ale tak jest.

Nie tylko RedHat zalicza się do tych "bezpieczniejszych", jest też darmowe distro CentOS oparte na redhacie czy debian stable... Ubuntu również w pewnym momencie w przypadku LTS'ów dojrzewa do podobnego określenia, najczęściej w wersji X.XX.1
Kiedyś również pojawiło się distro oparte na RedHacie wydane przez Oracle ale nie doczekało się kontynuacji.
Zasada tu jest prosta: aktualizujemy i czekamy aż wszystkie luki wyjdą na jaw i zostaną bardzo przetestowane i dopiero wdrażamy i zapewniamy dalej wsparcie.
RedHat cieszy się tego typu opinią najbardziej, ponieważ oni najdłużej zwlekają z wdrażaniem pakietów - tak mi się przynajmniej wydaje.

*i PROGRAMY zostaną bardzo przetestowane

Dziękuję za wyjaśnienie. Fedora chyba zmyliła mnie SELinuksem. RH jest akurat komercyjny, a wersja enterprise to chyba na serwery bodajże. Ostatnio czytałam o CentOSie. Chyba każda komercyjna dystrybucja ma taki "poligon" darmowy tak jak SUSE i OpenSUSE, MDV Xtreme i free/one. Chociaż tak jak już ktoś napisał, na każdy system idzie się włamać, nie ma idealnego rozwiązania. W tym wypadku mowa o apache, to tak samo. Nie ma idealnych zabezpieczeń.

›Karolinah

"Chyba każda komercyjna dystrybucja ma taki "poligon" darmowy tak jak SUSE i OpenSUSE, MDV Xtreme i free/one."

Fedory poligonem bym nie nazwał.
W Fedorze dąży się do stabilności tylko że na bieżąco.
W RH czeka się aż wszystko co możliwe się ustabilizuje i poprawi.
Jeśli coś nie sprawiło problemów i tak trafi z opóźnieniem.
Poza tym w myśli takiego Debiana czy RH Twój firefox jest niestabilny mimo że jest wydany jako stabilny.
U mnie za testowy uważany jest firefox 3.5.8.
To takie przeczekanie wszystkich łat.

Wracając do poligonu, tu odebrałem to jako "bierzcie i przetestujcie a my popatrzymy". Ale wówczas można by pomyśleć że Fedora bazuje również na niesprawdzonych i niestabilnych pakietach a tak nie jest. RH tak jakby dziedziczy pewne rzeczy po fedorze.

Co do SUSE i Mandrivy to tu już jest zupełnie inaczej.
Te distra od swoich darmowych odpowiedników różnią się wsparciem.
Płatne mają gwarantowane komercyjne wsparcie na zawołanie.
W przypadku mandrivy mamy jeszcze płatne oprogramowanie, jak jest w SUSE, nie wiem...
Na pewno OpenSUSE i Mandriva to to samo co ich płatne odpowiedniki jeśli chodzi o wolne oprogramowanie.
A Fedora, nie jest "poligonem".
Jeśli chodzi o SELinuxa to dostępny jest on dla wszystkich dystrybucji.

Fedora, ona też ulega betatestom i ma wersje testowe.
Gdy distro nie posiada znanych krytycznych, uporczywie utrudniających użytkowanie lub niebezpiecznych błędów trafia do odbiorcy.

@sWeeT-Dżola ;): "A CAPTCHA?"
Weż się oducz pisać człowieku i nie załamuj. Oducz przynajmniej do czasu jak populacja "wirów" na niksy osiągnie 10% tej na Windy.


@roobal & ddluk: Cóż, uniks nie windows, uprawnienia same się nie podniosą.



Może i admin jest najsłabszym ogniwem ale, jak widać, potrafi się pozbieraćm zaś ten atak był tak niedyskretny, że to raczej jakaś demonstracja siły była (dla mnie udany atak to ten wykryty po kwartale).

@ gothmori dlatego napisałam poligon w cudzysłowie :-)

Słuchajcie, czytam wasze wpisy i zastanawiam się jakim cudem ludzie z zainteresowania lub hobby opisują daną sytuację, nie mając do końca pojęcia, jak wygląda "przepis kulinarny" na zjedzenie apache'a, bądź dowolnego serwera na systemach Unix'owych. "Wypadek" u Apache'a nie miał nic wspólnego z włamaniem, a jedynie z wykorzystaniem odpowiednich narzędzi dla uzyskania celu. To, że gotując wodę na herbatę, użyjemy czajnika, to nie znaczy, że jesteśmy hacker'ami. Prosze Was ...

@Karolinah
> W tym wypadku - jak zauważa Mitnick - winę ponosi brak
> edukacji i uświadamiana pracowników w myśleniu
> nad konsekwencjami podawania nawet całkiem
> niewinnych informacji komuś obcemu
Mitnick się myli
Winę ponosi brak wpojenia zachowań asertywnych

to też się z tym wiąże.

Za takie włamania i kradziesz haseł, kodów itp. powinno się obcinać obie ręce.

A tak sie dzieje dlatego że zamiast firmy programistyczne interesować się ludzmi znających hakerkę, wolą ich ścigać. Ja uważam że to osoby majace dar za ktory są prześladowani i zamias podobne firmy to wykozystać to wolą ganiać ich za pomocą policji. Bo co stoi na przeszkodzie że może ta osoba nie posiada wykształcenia nie, jeden technik informatyki by chciał mieć taką wiedzę jak oni mają.