Και εγώ αυτό πιστεύω, ίσα ίσα για να λένε ότι έκαναν "κάτι".
ΥΓ Και εμένα μου ήρθε το email
Learner έγραψε:ubuntuforums.org
Learner έγραψε:Και χρησιμοποιώ το gmail εκεί. Γμτ. Νομίζω πως μετά από 10 χρόνια χρήσης, ίσως ήρθε η ώρα να το αλλάξω.. αν και το gmail έχει πολύ καλό spam filter.
Τι θέλανε και βγήκαν στα Social Media ;
Όπως έχει γραφτεί σε προηγούμενη ανακοίνωση, υπήρξε μια παραβίαση ασφαλείας στα Forums του Ubuntu. Αυτό που ακολουθεί είναι μια αυτοψία της παραβίασης, καθώς και τι ενέργειες γίνανε από την ομάδα IS της Canonical για διορθώσεις. Συνοπτικά, η βασική αιτία ήταν ένας συνδυασμός ενός παραβιασμένου ατομικού λογαριασμού και των ρυθμίσεων της vBulletin, του προγράμματος που χρησιμοποιούν το ubuntu Forums. Δεν υπήρξε παραβίαση του Ubuntu ως λειτουργικό σύστημα ή οιονδήποτε άλλων υπηρεσιών της Canonical ή του Ubuntu. Έχουμε διορθώσει και έχουμε κάνει ασφαλέστερα το ubuntu Forums και καθώς οι προβληματικές ρυθμίσεις του vBulletin είναι οι default(προ-επιλεγμένες) ρυθμίσεις, συνεργαζόμαστε με το προσωπικό της vBulletin για να αλλάξουμε ή/και να τεκμηριώσουμε καλύτερα αυτές τις ρυθμίσεις.
Τι συνέβη
Στις 16:58 UTC (ώρα Ελλάδος=19:58) στις 14 Ιουλίου 2013, ο επιτιθέμενος κατάφερε να συνδεθεί στο Forum μέσω ενός λογαριασμού ενός συντονιστή.
Αυτός ο λογαριασμός συντονιστή (μέλος της κοινότητας Ubuntu) είχε δικαιώματα να ανεβάσει ανακοινώσεις στο Forum. Οι ανακοινώσεις αυτές μπορούσαν να περιέχουν αφιλτράριστο κώδικα HTML, μια λειτουργία που στις προ-επιλεγμένες ρυθμίσεις το vBulletin επιτρέπει.
Ο επιτιθέμενος δημοσίευσε μια ανακοίνωση και έπειτα έστειλε προσωπικό μήνυμα σε τρεις διαχειριστές του Forum (επίσης μέλη της κοινότητας Ubuntu), ισχυριζόμενος ότι υπήρχε ένα σφάλμα διακομιστή στην σελίδα της ανακοίνωσης και ζήτησε από τους διαχειριστές να το κοιτάξουν.
Ένας από τους διαχειριστές κοίταξε αμέσως την σελίδα της ανακοίνωσης και είδε πως δεν υπάρχει κάποιο σφάλμα και απάντησε στο προσωπικό μήνυμα του επιτιθέμενου. 31 δευτερόλεπτα μετά, αφού ο διαχειριστής είχε κοιτάξει την σελίδα της ανακοίνωσης (και πριν καν προλάβει να απαντήσει στο προσωπικό μήνυμα) ο επιτιθέμενος είχε συνδεθεί με τον λογαριασμό του διαχειριστή αυτού.
Βασισμένοι στα παραπάνω και μετά από συζητήσεις με το προσωπικό της vBulletin, πιστεύουμε ότι ο επιτιθέμενος πρόσθεσε ένα επιθετικό XSS στην σελίδα της ανακοίνωσης, το οποίο έστελνε όλα τα cookies όποιου επισκεπτόταν την σελίδα πίσω στον επιτιθέμενο.
Όταν ο επιτιθέμενος απέκτησε δικαιώματα διαχειριστή στο Forum είχε την ικανότητα(το δικαίωμα) να προσθέσει ένα hook στον πίνακα διαχείρισης. Τα hooks στην vBulletin είναι αυθαίρετος PHP κώδικας ο οποίος μπορεί να τρέχει σε κάθε φόρτωση σελίδας. Ο επιτιθέμενος εγκατέστησε ένα hook που του επέτρεπε να εκτελεί αυθαίρετο PHP κώδικα ο οποίος και πέρασε σε ένα query sting argument (φανταστείτε στην URL διεύθυνση του Forum). Χρησιμοποίησαν αυτόν τον μηχανισμό για να εξερευνήσουν το περιβάλλον, καθώς και για να ανεβάσουν και να εγκαταστήσουν δυο ευρέως διαθέσιμα PHP shell kits. Ο επιτιθέμενος χρησιμοποίησε αυτά τα shell kits για να ανεβάσει και να τρέξει ένα προσαρμοσμένο κώδικα PHP με τον οποίο κατάφερε να “πετάξει” τον πίνακα χρήστη (user table) σε ένα αρχείο στον δίσκο το οποίο στην συνέχεια κατέβασαν (downloaded).
Ο επιτιθέμενος επέστρεψε στις 20 Ιουλίου για να ανεβάσει την σελίδα παραβίασης.
Σε τι θα μπορούσε ο επιτιθέμενος να έχει πρόσβαση.
Ο επιτιθέμενος είχε πλήρη πρόσβαση στο περιβάλλον της vBulletin ως διαχειριστής και πρόσβαση ως ο χρήστης 'www-data' στους servers του Ubuntu Forums.
Αφού είχε δικαιώματα διαχειριστή στο περιβάλλον της vBulletin, αυτό σημαίνει πως μπορούσε(μπορούσαν) να διαβάσει και να γράψει (read & write) σε οποιονδήποτε πίνακα στην βάση δεδομένων του Forum.
Χρησιμοποίησαν αυτήν την πρόσβαση (read & write) στον πίνακα 'χρήστη' για να τον κατεβάσουν, ο οποίος περιείχε όλα τα usernames, τα e-mails και τους κωδικούς χρηστών. Οι κωδικοί χρηστών είναι salted & hashed (χρησιμοποιήθηκε MD5). Ο αριθμός αυτών, 1.82 εκατομμύρια κωδικοί.
Σε τι δεν θα μπορούσε ο επιτιθέμενος να έχει πρόσβαση
Πιστεύουμε ότι ο επιτιθέμενος δεν μπορούσε να αποκτήσει πρόσβαση root (μέσω του χρήστη 'www-data' ) στους servers του Forum.
Πιστεύουμε ότι ο επιτιθέμενος δεν μπορούσε να αποκτήσει πρόσβαση στην βάση δεδομένων του Forum μέσω SQL remote access στους servers του Forum.
Πιστεύουμε ότι ο επιτιθέμενος δεν απέκτησε καθόλου πρόσβαση στα front end των servers του Forum
Πιστεύουμε ότι ο επιτιθέμενος δεν απέκτησε πρόσβαση σε καμία άλλη υπηρεσία της Canonical ή του Ubuntu.
Γνωρίζουμε πως ο επιτιθέμενος δεν μπόρεσε να αποκτήσει πρόσβαση σε κανέναν κώδικα που αφορά το Ubuntu ή σε κάποιο αποθετήριο ή μηχανισμό αναβάθμισης (update).
Τι δεν γνωρίζουμε
Δεν γνωρίζουμε πως (με ποιο τρόπο) ο επιτιθέμενος απέκτησε πρόσβαση στον λογαριασμό του συντονιστή απ' όπου και ξεκίνησε την επίθεση.
Η ανακοίνωση που δημοσίευσε ο επιτιθέμενος διαγράφηκε από έναν διαχειριστή του Forum, οπότε και δεν γνωρίζουμε ακριβώς τι περιείχε το XSS και πως χρησιμοποιήθηκε για την επίθεση.
Τι κάναμε
Πριν επαναφέρουμε τα Forums online, κάναμε μια σειρά από αλλαγές οι οποίες ως στόχο είχαν τον καθαρισμό από την συγκεκριμένη επίθεση και την πρόληψη από μελλοντικές επιθέσεις.
Ο καθαρισμός
Στείλαμε προσωπικά e-mails σε όλους τους χρήστες των Forums ενημερώνοντας τους για την παραβίαση ασφαλείας και ότι πρέπει να έχουν υπόψιν τους πως ο κωδικός τους ίσως είχε ανακτηθεί από τον επιτιθέμενο. Τους συμβουλέψαμε να αλλάξουν τον κωδικό σε οποιεσδήποτε άλλες υπηρεσίες αν αυτός ήταν ίδιος με τον κωδικό που χρησιμοποιούσαν στο ubuntu Forums.
Πήραμε αντίγραφα ασφαλείας από τους servers που τρέχουν vBulletin και μετά τους διαγράψαμε εντελώς, τους καθαρίσαμε και τους ξαναχτίσαμε από την αρχή.
Μετατρέψαμε όλους τους κωδικούς χρηστών σε τυχαίους (randomised)
Κάναμε επαναφορά (reset) όλους τους κωδικούς του συστήματος και της βάσης δεδομένων.
Εισάγαμε χειροκίνητα τα δεδομένα στην καινούρια βάση δεδομένων μετά από έλεγχο ασφαλείας που κάναμε σε κάθε table ξεχωριστά.
Επιπρόσθετη ασφάλεια
Αφαιρέσαμε την ικανότητα αλλαγής η προσθήκης νέου hook , εκτός και αν γίνει μέσω root access στην βάση δεδομένων.
Απενεργοποιήσαμε την δημοσίευση οποιουδήποτε HTML κώδικα στα Forums, εκτός των διαχειριστών.
Από εδώ και στο εξής τα Forums χρησιμοποιούν το SSO (Single Sign On) για πιστοποίηση χρηστών.
Από εδώ και στο εξής οι ανενεργοί λογαριασμοί συντονιστών και διαχειριστών θα λήγουν αυτόματα.
Καθορίσαμε ένα apparmor προφίλ στην vBulletin
Κοιτάξαμε ξανά και προσθέσαμε επιπλέον ασφάλεια στα firewalls στους servers των Forums.
Προσθέσαμε επιπλέον ασφάλεια και καταστήσαμε δυσκολότερο την αλλαγή PHP στον server, για να κλείσουμε κάποιες “τρύπες” που είχε ανοίξει ο επιτιθέμενος
Πλέον απαιτείται η χρήστη HTTPS για τον πίνακα ελέγχου διαχειριστών και συντονιστών, επίσης είναι διαθέσιμο οπουδήποτε αλλού, προαιρετικά.
Βελτιώσαμε τις διαδικασίες κλιμάκωσης για τα μέλη της κοινότητας Ubuntu (Ubuntu Members) που ευγενικά προσφέρουν τον χρόνο τους στην διαχείριση και τον συντονισμό των Forums.
Θα συνεχίσουμε να συνεργαζόμαστε με το προσωπικό της vBulletin για να συζητήσουμε αλλαγές στις προ-επιλεγμένες ρυθμίσεις οι οποίες μπορεί να βοηθήσουν άλλους να αποφύγουν παρόμοιες καταστάσεις παραβίασης. Το προσωπικό υποστήριξης της vBulletin ήταν εξυπηρετικό και βοήθησε με αυτό το συμβάν.
Τέλος, θα θέλαμε να ζητήσουμε συγνώμη για την παραβίαση ασφαλείας και της διαρροή δεδομένων καθώς και τον χρόνο που ήμασταν offline. (downtime).