Apachelta vohkittiin salasanat
14.4.2010 13:21 Avoimen lähdekoodin Apache Software Foundation joutui "suoran ja kohdennetun" hyökkäyksen kohteeksi verkossa.
Apache-säätiö varoittaa käyttäjiään salasanamurrosta. Hyökkäys alkoi 5. huhtikuuta ja kohdistui säätiön käyttämään palvelimeen. Sillä ajettiin Jira-nimistä seurantaohjelmistoa, jolla pidetään kirjaa Apachen eri ohjelmistohankkeiden ongelmista ja kehitystoiveista.
Ohjelmisto sijaitsi brutus.apache.org-palvelimella, joka käytti Ubuntu Linux 8.04 LTS -käyttöjärjestelmää.
– Jos olet Apachen isännöimän Jiran, Bugzillan tai Confluencen käyttäjä, hash-muotoinen kopio salasanastasi on vaarantunut, Apache ilmoittaa.
Salasanat olivat salattuja, mutta Apache suosittaa niiden vaihtamista joka tapauksessa. Lisäksi Apachen Jiraan 6.–9.huhtikuuta kirjautuneiden pitää olettaa, että salasana on varastettu. Hyökkääjät olivat muuttaneet kirjautumissivun kalastamaan salasanoja.
Seikkaperäinen
selvitys
Apache on julkaissut avoimuuden hengessä harvinaisen seikkaperäisen selvityksen tapahtumien kulusta. Aluksi hyökkääjät avasivat Jirassa uuden tekaistun virhekyselyn ja laittoivat oheen lyhennetyn verkkolinkin.
Useat järjestelmänvalvojat klikkasivat linkkiä, joka käynnisti cross site scripting -hyökkäyksen (xss). Sen avulla valvojilta varastettiin istunnon evästeet. Samaan aikaan hyökkääjät yrittivät runnoa sisään Jiran kirjautumissivulla kokeillen satoja tuhansia salasanayhdistelmiä.
Yksi menetelmistä onnistui. Sen seurauksena hyökkääjät saivat valjastettua Jiran kirjautumissivun hallintaansa. He lähettivät sähköpostia Apache Infrastructure -tiimin jäsenille pyytäen salasanojen nollaamista.
Jäsenet luulivat, että kyseessä on järjestelmän viaton bugi. He kirjautuivat sisään viesteissä annetuilla tilapäisillä salasanoilla ja muuttivat salasanansa sen jälkeen oikeiksi.
Sama salasana
koitui turmioksi
Yksi näistä salasanoista sattui olemaan sama, kuin erään paikallisen käyttäjän tilissä brutus.apache.orgissa. Tällä käyttäjällä oli lisäksi täydet sudo-oikeudet. Sudo on ohjelma komentojen suorittamiseen toisen käyttäjän oikeuksilla.
Rikolliset saivat Apachen Jira-, Confluence- ja Bugzilla-asennukset sisältävän palvelimen täyteen hallintaansa.
Tapahtuman yksi suuri opetus onkin, että kenenkään ei pitäisi koskaan käyttää samaa salasanaa useassa eri palvelussa. Apachen kohdalla vahinkoa rajoitti se, että kertakäyttösalasanat olivat jo yleisessä käytössä. Jatkossa siitä tehdään pakollista kaikille.
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 7.2. Suomalaiset taitavat tietoturvan hopean arvoisesti
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 7.2. Googlen Terminator-lasit täydentävät todellisuutta
- 7.2. Amazon aikoo perustaa oikean kaupan
- 7.2. Facebook julkaisee uudestaan poistettuja kuvia
- 7.2. Oracle haluaa lisää vakoilukorvausta
- 7.2. Microsoft poistaa start-napin
- 7.2. Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Pc-kauppa kävi vaisusti
- 7.2. Intia perui toimiluvat, Telenor uhkaa lähteä
- 7.2. Äidit käyvät imettämällä Facebookia vastaan
- 7.2. Super Bowl tuotti hurjan Twitter-ennätyksen
- 7.2. Facebook laskee tykkääjät aktiivikäyttäjiksi
- 7.2. Google taklaa mahdottomia ongelmia
- 6.2. Google pyyhki Atlantiksen kartalta
- 6.2. Nokia Lumia saa valkoisen värin
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Järjestelmävika sotki DNA:n lukuja
- 6.2. Suosittu piraattisivusto antautui
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Nokia Lumia saa valkoisen värin
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 6.2. Facebookin kännykkämainokset tulevat maaliskuussa
- 6.2. Apple hakkasi Nokian ennätyksen
- 7.2. Microsoft poistaa start-napin
- 7.2. Googlen Terminator-lasit täydentävät todellisuutta
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 6.2. Nokia Lumia saa valkoisen värin
- 6.2. Apple hakkasi Nokian ennätyksen
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 6.2. Tällaista osuutta Motorola vaatii Applen puhelimista
- 7.2. Microsoft poistaa start-napin
- 6.2. Suosittu piraattisivusto antautui
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 7.2. Pc-kauppa kävi vaisusti
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Yhdysvaltain lääkevirastoa syytetään Gmail-vakoilusta 13:36
- Poliisi sulki suositun tiedostonjakopalvelun Ukrainassa 12:59
- Lisää
Digiyesterday
Viisi vuotta sitten
Elisan lisälaskut syövät kuluttajaturvaa
08.02.2007 Suomen Kuluttajaliiton mukaan kuluttajien oikeusturvassa on Elisan mentävä aukko. Liiton mukaan vaatimukset laskutusvirheiden aiheuttamista lisälaskuista ovat kohtuuttomia kuluttaja-asiakkaille. Liitto myös vaatii, että Elisan on korvattava lisälaskun saaneiden asiakkaiden aiemmat virheelliset puhelinerittelyt.
Kolme vuotta sitten
Lisälaite tekee internetistä kuudennen aistin
08.02.2009 MIT:ssä kehitetty laite tekee koko maailmasta käyttöliittymän.
Taloussanomat
- OECD: Suomessa jopa 300 turhaa kuntaa 16:42
- "Tsunami asuntomarkkinoilla" 12:41
- Komissio teki yllätysiskun Pohjolan sähköpörssiyhtiöön 20:28
- Esitys vuoti Iltalehdelle: Kuusi joukko-osastoa lakkautettava 21:07
- Kreikan neuvottelut venyvät loppumetreillä 21:16
- Kreikan euroero – "Grexitin" todennäköisyys 50 prosenttia 16:34
- Sadalla eurolla omakotitalo ja 1 500 eurolla oma asunto 17:01
- Lentopomo: Päästökaupasta voi seurata kostotoimia 20:02
- Juncker: Euroryhmä ei kokoonnu ennen torstaita 19:43
- Tapiola ja Lähivakuutus sopivat yhdistymisestä 14:56
- » Taloussanomat.fi
Kommentit (14)
Onko jollekulle yllätys, että maailman reikäsimmästä harrastelijavirityksestä pääsee läpi kuka vain haluaa.
Ehkä tämä osoittaa enemmänkin sitä, että mikään järjestelmä ei ole turvassa jos hyökkääjät ovat tosissaan. Toki tässä tapauksessa ei ihan avautunut mikä hyökkääjien motiivi oli kun ainakaan taloudellista hyötyä tästä tuskin on saatu.
JIRA on maailman reikäisin harrastelijaviritys? Kuinka usein näet, että sen tietoturvarei'istä on uutisia? JIRAa kehittää pääasiassa yritys nimeltä Atlassian, joten mistään puhtaasti harrastelijaprojektista ei ole kysymys.
Onko jollekulle yllätys, että maailman reikäsimmästä harrastelijavirityksestä pääsee läpi kuka vain haluaa.
Ja mitä tilalle? Microsoftin reikäiset palvelimetko? Hah, älä naurata! Sitäpaitsi ei nuo ole mitään harrastelijavirityksiä vaan ammattilaistenkin tekemiä. Microsoft on yhä se maailman reikäisin.
Onko jollekulle yllätys, että maailman reikäsimmästä harrastelijavirityksestä pääsee läpi kuka vain haluaa.
Kerro ihmeessä, mikä on se vaihtoehto johon ei pääse sisään tunnuksella ja salasanalla?
1) LUKEKAA UUTINEN.
2) Ymmärrätte että vika oli käyttäjissä jotka käyttivät samoja salasanoja useassa paikassa.
3. Unohdetaan sopivasti, että hyökkäys alkoi järjestelmään syötetystä linkistä joka aloitti xss hyökkäyksen.