Mellékleteink: HUP | Gamekapocs
Keres
Komoly security line-up az idei SYSADMINDAY-en: FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig!

Biztonság: Google-ultimátum és két támadás

Gálffy Csaba, 2013. május 30. 13:05
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Hét napos ultimátumot adott a szoftverházaknak a Google, mielőtt nyilvánosságra hozza az aktívan támadott sérülékenységek leírását. Közben súlyos adatszivárgás áldozata lett a drupal.org, a Ruby on Rails foltozatlan verzióit pedig új támadáshullám érte.

Drupal: mindent vittek

Valószínűleg az nginx webszerver hibáját kihasználva jutottak be támadók a Drupal.org infrastruktúrájára, ahonnan gyakorlatilag az összes mozdítható felhasználói adatot elvitték. A Drupal motor kódjához azonban nem fértek hozzá, az továbbra is biztonságos.

A Drupal bejelentése szerint a drupal.org és a groups.drupal.org tartományokat is sikerült a támadóknak hatalmukba keríteniük, a szerverekre kártevőt telepítettek és az adatbázisokról másolatot készítettek. Az üzemeltetők szerint a felhasználói neveket, email-címeket, a felhasználó országára vonatkozó adatot, valamint a hash-elt jelszavakat is elemelték. Kártyainformációkat az oldal nem tárolt, így legalább a felhasználók pénze nincs közvetlen veszélyben. Az adatszivárgást követően az oldal alaphelyzetbe állította az összes jelszót és értesítette a felhasználókat.

A vizsgálat szerint a támadók nem fértek hozzá a Drupal motor kódjához, azt nem tudták módosítani, így a letöltések továbbra is biztonságosnak tekinthetőek. Az üzemeltetők a biztonság kedvéért validálták a tárolt kódot és a letöltéseket, változásra utaló jeleket nem találtak. Ennek megfelelően a Drupal motort használó üzemeltetőknek nincs tennivalójuk, nincs telepítendő frissítés, nem kerültek veszélybe a Drupal-alapú oldalak.

A bejelentés szerint az OSU Open Source Lab, ahol a drupal.org lakik, biztonságosabb alapokon építették újra az infrastruktúrát, biztonságosabb, GRSEC-kernelt használva a legtöbb kiszolgálón. A Drupal projekt archívumát (például régi események leírását, stb.) statikus kiszolgálásra állítják át a magasabb biztonság érdekében.

Ruby: botnet a kiszolgálókból

A Ruby on Rails év eleji hibáját kihasználó támadássorozatra lettek figyelmesek biztonsági szakértők. A sérülékenységet még januárban javították, a neten azonban még mindig kiszolgálók ezrei futtatják a hibás verziót. Egy új támadás ezt használja ki, a biztonsági résen keresztül támadó kódot telepít a kiszolgálókra és botnetbe szervezi azokat. Jeff Jamoc biztonsági kutató eredményei szerint a támadók egy új cron feladatot indítanak, amely letölti és telepíti a bot kliensét. A malware ezt követően IRC-en hallgat utasításokra, például további kód letöltésére és telepítésére, önmagában egyelőre ártalmatlan.

Ezt az utasítást igyekszik beszúrni a támadás.

Google: hét napot kaptok

Hét nap után nyilvánosságra fogja hozni a kritikus, élesben kihasznált biztonsági hibákat a Google. Az aktívan kihasznált, felhasználók széles rétegeit érintő sérülékenységek a Google szerint extrém sebességű javítást igényelnek, ehhez a hét napos határidőt tartja megfelelőnek a vállalat, ezt követően pedig nyilvánosságra hozza a hiba pontos leírását. A lépés gyakorlatilag ultimátum a lassan mozgó szoftvercégek számára, az aktív támadás alatt álló hibákat a jövőben de facto ennyi idő alatt kell majd javítani.

A Google biztonsági mérnökei rendszeresen találnak sérülékenységeket más szoftverházak termékeiben is, ezt a bevett eljárások szerint jelentik a fejlesztőnek és vállalják, hogy 60 napon keresztül nem hozzák nyilvánosságra a részleteket. Ha azonban a Google azt észleli, hogy a hibát aktívan használják támadásokhoz, ez a határidő hét napra rövidül. A lépéstől azt várja a vállalat, hogy a nagyon lassan javító szoftverházak kicsit felgyorsulnak, és ha nem is adnak ki azonnal javítást, de közzéteszik a támadások elkerüléséhez szükséges lépéseket (szolgáltatások lekapcsolása-letiltása). A Google szerint a támadók által ismert és kihasznált sebezhetőségek minden nap felhasználókat hoznak veszélybe, tesznek ki széles vagy célzott támadásoknak.

A lépés háttere lehet, hogy Tavis Ormandy, a Google egyik szoftvermérnöke két hete nyilvánosságra hozott egy Windows 7-et és 8-at érintő jogosultságkiterjeszéses biztonsági hibát, mindössze néhány nappal azután, hogy a hiba létéről értesítette a redmondiakat. A szakmai közösség egy része ezt felelőtlennek tartotta, Ormandy szerint viszont a Microsoft ellenségesen viselkedik a biztonsági kutatókkal, ezért hozta nyilvánosságra a hiba műszaki részleteit. A Google új házirendje gyakorlatilag a Microsoftnak ad igazat a kérdésben és megerősíti a 60 napos határidőt a ki nem használt hibák esetében.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig: Veres-Szentkirályi András (Silent Signal), Balázs Zoli (MRG Effitas), Marosi-Bauer Attila (Hacktivity) és sokan mások. A standupot Felméri tolja.