Π½ΠΎΠ²ΡΠ΅ Matrix mezularitza plataforma deszentralizatuaren azpiegitura pirateatzeari buruz, horri buruz goizean. Erasotzaileek sartu zuten lotura problematikoa Jenkins etengabeko integrazio sistema izan zen, martxoaren 13an hackeatu zutena. Orduan, Jenkins zerbitzarian, administratzaileetako baten saioa, SSH agente batek birbideratuta, atzeman zuten, eta apirilaren 4an, erasotzaileek beste azpiegitura zerbitzarietarako sarbidea lortu zuten.
Bigarren erasoan, matrix.org webgunea beste zerbitzari batera birbideratu zen (matrixnotorg.github.io) DNS parametroak aldatuz, lehen erasoan atzemandako Cloudflare edukiak entregatzeko sistemaren APIaren gakoa erabiliz. Lehen hackearen ondoren zerbitzarien edukia berreraikitzean, Matrix-eko administratzaileek gako pertsonal berriak soilik eguneratu zituzten eta Cloudflare-ren gakoa eguneratu gabe geratu ziren.
Bigarren erasoan, Matrix zerbitzariak ukitu gabe geratu ziren; aldaketak DNSko helbideak ordezkatzera mugatu ziren. Erabiltzaileak lehen erasoaren ondoren pasahitza jada aldatu badu, ez dago bigarren aldiz aldatu beharrik. Baina pasahitza oraindik aldatu ez bada, ahalik eta azkarren eguneratu behar da, pasahitz hashekin datu-basearen ihesa baieztatu baita. Oraingo plana saioa hasten duzun hurrengoan pasahitza berrezartzeko behartutako prozesu bat hastea da.
Pasahitzen filtrazioaz gain, Debian Synapse biltegiko paketeen sinadura digitala sortzeko erabiltzen diren GPG gakoak eta Riot/Web bertsioak erasotzaileen esku geratu direla ere baieztatu da. Gakoak pasahitz babestuta zeuden. Dagoeneko giltzak kendu dituzte momentu honetan. Apirilaren 4an atzeman zituzten gakoak, orduz geroztik ez da Synapse eguneratzerik kaleratu, baina Riot/Web bezeroa 1.0.7 kaleratu zen (aldez aurretiko egiaztapen batek erakutsi zuen ez zegoela arriskuan).
Erasotzaileak txosten sorta bat argitaratu zuen GitHub-en erasoaren xehetasunekin eta babesa areagotzeko aholkuekin, baina ezabatu egin ziren. Hala ere, artxibatutako txostenak .
Adibidez, erasotzaileak jakinarazi zuen Matrix-eko garatzaileek egin beharko luketela bi faktoreko autentifikazioa edo gutxienez SSH agentearen birbideraketa ez erabiltzea ("ForwardAgent bai"), orduan azpiegituran sartzea blokeatuko litzateke. Erasoaren areagotzea ere geldi liteke garatzaileei beharrezko pribilegioak soilik emanez, beharrean zerbitzari guztietan.
Gainera, ekoizpen-zerbitzarietan sinadura digitalak sortzeko gakoak gordetzeko praktika kritikatu zen; horretarako ostalari isolatu bereizi bat esleitu behar da. Oraindik erasotzen , Matrix-eko garatzaileek erregistroak aldian-aldian ikuskatu eta anomaliak aztertu izan balituzte, hack baten aztarnak hasieran antzeman zituztela (CI hack-a hilabetez detektatu gabe geratu zen). Beste arazo bat konfigurazio-fitxategi guztiak Git-en gordetzea, eta horri esker, beste ostalari batzuen ezarpenak ebaluatu ahal izan dira horietako bat pirateatu bazen. SSH bidez sartzea azpiegitura zerbitzarietara barne-sare seguru batera mugatuta, kanpoko edozein helbidetatik haietara konektatzeko aukera ematen zuena.
Iturriaopennet.ru
[: eu]Π½ΠΎΠ²ΡΠ΅ Matrix mezularitza plataforma deszentralizatuaren azpiegitura pirateatzeari buruz, horri buruz goizean. Erasotzaileek sartu zuten lotura problematikoa Jenkins etengabeko integrazio sistema izan zen, martxoaren 13an hackeatu zutena. Orduan, Jenkins zerbitzarian, administratzaileetako baten saioa, SSH agente batek birbideratuta, atzeman zuten, eta apirilaren 4an, erasotzaileek beste azpiegitura zerbitzarietarako sarbidea lortu zuten.
Bigarren erasoan, matrix.org webgunea beste zerbitzari batera birbideratu zen (matrixnotorg.github.io) DNS parametroak aldatuz, lehen erasoan atzemandako Cloudflare edukiak entregatzeko sistemaren APIaren gakoa erabiliz. Lehen hackearen ondoren zerbitzarien edukia berreraikitzean, Matrix-eko administratzaileek gako pertsonal berriak soilik eguneratu zituzten eta Cloudflare-ren gakoa eguneratu gabe geratu ziren.
Bigarren erasoan, Matrix zerbitzariak ukitu gabe geratu ziren; aldaketak DNSko helbideak ordezkatzera mugatu ziren. Erabiltzaileak lehen erasoaren ondoren pasahitza jada aldatu badu, ez dago bigarren aldiz aldatu beharrik. Baina pasahitza oraindik aldatu ez bada, ahalik eta azkarren eguneratu behar da, pasahitz hashekin datu-basearen ihesa baieztatu baita. Oraingo plana saioa hasten duzun hurrengoan pasahitza berrezartzeko behartutako prozesu bat hastea da.
Pasahitzen filtrazioaz gain, Debian Synapse biltegiko paketeen sinadura digitala sortzeko erabiltzen diren GPG gakoak eta Riot/Web bertsioak erasotzaileen esku geratu direla ere baieztatu da. Gakoak pasahitz babestuta zeuden. Dagoeneko giltzak kendu dituzte momentu honetan. Apirilaren 4an atzeman zituzten gakoak, orduz geroztik ez da Synapse eguneratzerik kaleratu, baina Riot/Web bezeroa 1.0.7 kaleratu zen (aldez aurretiko egiaztapen batek erakutsi zuen ez zegoela arriskuan).
Erasotzaileak txosten sorta bat argitaratu zuen GitHub-en erasoaren xehetasunekin eta babesa areagotzeko aholkuekin, baina ezabatu egin ziren. Hala ere, artxibatutako txostenak .
Adibidez, erasotzaileak jakinarazi zuen Matrix-eko garatzaileek egin beharko luketela bi faktoreko autentifikazioa edo gutxienez SSH agentearen birbideraketa ez erabiltzea ("ForwardAgent bai"), orduan azpiegituran sartzea blokeatuko litzateke. Erasoaren areagotzea ere geldi liteke garatzaileei beharrezko pribilegioak soilik emanez, beharrean zerbitzari guztietan.
Gainera, ekoizpen-zerbitzarietan sinadura digitalak sortzeko gakoak gordetzeko praktika kritikatu zen; horretarako ostalari isolatu bereizi bat esleitu behar da. Oraindik erasotzen , Matrix-eko garatzaileek erregistroak aldian-aldian ikuskatu eta anomaliak aztertu izan balituzte, hack baten aztarnak hasieran antzeman zituztela (CI hack-a hilabetez detektatu gabe geratu zen). Beste arazo bat konfigurazio-fitxategi guztiak Git-en gordetzea, eta horri esker, beste ostalari batzuen ezarpenak ebaluatu ahal izan dira horietako bat pirateatu bazen. SSH bidez sartzea azpiegitura zerbitzarietara barne-sare seguru batera mugatuta, kanpoko edozein helbidetatik haietara konektatzeko aukera ematen zuena.
Iturria: opennet.ru
[]