Oficjalne stanowisko w sprawie włamania na serwer

0

Wczoraj (tj. 2011-02-28) wyszło na jaw włamanie na serwer hostujący 4programmers.net. W wyniku tego baza danych serwisu (a co za tym idzie hashe haseł) mogła dostać się w ręce atakującego. Hasła hashowane były algorytmem SHA-256, bez soli. Niestety, po analizie sytuacji, okazało się, że osoba odpowiedzialna za atak zmodyfikowała część kodu systemu i mogła przechwycić jawne hasła osób, które logowały się od momentu ataku. Osoba ta pracowała także nad złamaniem haseł za pomocą narzędzia John the ripper.

Nie znamy dokładnej daty ataku - logi systemu zostały usunięte. Ustaliliśmy datę graniczną na 23 lutego, co za tym idzie nic, co było na serwerze od tej daty do chwili obecnej nie może być uznawane za bezpieczne. Wszelkie hasła, które są używane jednocześnie w serwisie 4programmers.net i w innych serwisach nie mogą być uznane za bezpieczne, zalecamy ich natychmiastową zmianę, jeżeli ktoś jeszcze tego nie uczynił.

Nie potrafimy powiedzieć w tej chwili, czy i ewentualnie jak duża część bazy danych została skopiowana.

Atak dotyczył vserwera ludzie.4programmers.net, potem "oberwało" samo 4programmers.net. Atakujący odpalił własne sshd i zmodyfikował istniejące, uzyskał dostęp z prawami roota do systemu.

Wektor ataku jest wciąż analizowany - w tym momencie obstawiamy albo nieaktualną wersję Redmine (już zaktualizowaną) lub stary serwer 4programmers.net (aktualnie wyłączony). Administrator odpowiedzialny za sprawy techniczne pracował nad rozwiązaniem dopóki kryzys nie został zażegnany.

Nie potrafimy w tej chwili powiedzieć, kto stoi za atakiem, ani jakie motywy nim kierowały.

Jedyne, co możemy zrobić w tej sytuacji, to przeprosić Użytkowników serwisu za zaistniałą sytuację i za wszelkie ewentualne problemy jakie wynikły z przechwycenia haseł dostępowych do serwisu.

Chcemy również wyjaśnić dlaczego tak późno pojawia się oficjalne stanowisko. Składa się na to kilka powodów:

  • całą swoją energię od momentu odkrycia włamania skierowaliśmy na walkę z jego skutkami
  • poświęciliśmy ten czas na szukanie przyczyn, które mogły doprowadzić do złamania zabezpieczeń serwera
  • serwis był już zabezpieczony, więc pośpiech w publikacji informacji nie był kluczowy
  • wszystkie osoby, których hasła w postaci jawnej mogły zostać przejęte przez włamywacza, otrzymały e-mail z informacją o zmianie przez nas ich haseł do serwisu wraz z nowym tymczasowym hasłem

Pragniemy również poinformować, iż testowany jest już nowy system przechowywania haseł, z dodaną solą losowo wygenerowaną dla każdego użytkownika. Zmiany powinny pojawić się w serwisie niebawem. Jak wiecie, nowa wersja systemu Coyote jest cały czas w fazie rozwoju i zawsze bardzo uważnie słuchamy Waszych uwag.

0

Nie jest tak źle - w sumie jedyną rzeczą która ma dość negatywny wydźwięk to podany możliwy powód ataku (oględnie nazwany jeden z wątków offtopicowych, poświecony kobiecym piersiom, ech), poza tym jesteśmy dość kompetentnie przedstawieni.

0

A co się stało z postem Kłamczuch, z którego wynikało, że atak był 26 o wszystkim serwis wiedział ??

0

Oczywiście potępiam atak, ale szacun dla kolesia, który tego dokonał. Każdy wie o co chodzi :)

0

no koles musial byc dobry w tym co robi, szacun :

6

Po dogłębnym śledztwie ustaliłem, że włamanie na serwer nastąpiło w ciągu tygodnia od rejestracji użytkownika sehanine. Nie, żeby ona za tym stała, ale wniosek jest prosty - baby przynoszą pecha.

0

haha, no to faktycznie dogłębne śledztwo :P
ale żeby ten post (w moim rozumieniu) miał sens, pytam Administrację - dało się coś nowego ustalić w tej sprawie? i czy zostały podjęte jakieś kroki w zwiększeniu zabezpieczeń? nie, żebym się martwił, ale jest brak informacji w tej sprawie

0

Zostaly wprowadzone dodatkowe zabezpieczenia, m.in. poprawienie uprawnien oraz dodanie mozliwosci zalogowania na dane konto, jedynie z okreslonego adresu IP.

0

Z tymi IP to niezły pomysł, gorzej jeśli ktoś ma zmienne IP - wtedy i tak z tego nie skorzysta, chyba że ustawi sobie IP proxy i przez niego będzie wchodzić.

0

Moze ustawic zakres, stosujac znak * - np. 85.87..

W profilu uzytkownika, mozecie sobie ustalic do 3 IP z ktorych mozna miec dostep do konta na 4programmers.net

1 użytkowników online, w tym zalogowanych: 0, gości: 1