Հաքերային matrix.org ենթակառուցվածք

[:ru]

Matrix ապակենտրոնացված հաղորդագրությունների հարթակի մշակողները հայտարարեց սերվերների վթարային անջատման մասին matrix.org и Riot.im (Matrix-ի հիմնական հաճախորդը) նախագծի ենթակառուցվածքի կոտրման պատճառով: Առաջին անջատումը տեղի է ունեցել երեկ երեկոյան, որից հետո սերվերներն անհասանելի են եղել վերականգնվել է, և հավելվածները վերակառուցվում են տեղեկատու աղբյուրներից: Բայց մի քանի րոպե առաջ սերվերներն էին փոխզիջումային երկրորդ անգամ.

Ատակույուշիե տեղադրված է հիմնականի վրա նախագծի էջ մանրամասն տեղեկություններ սերվերի կոնֆիգուրացիայի և տվյալների բազայի առկայության մասին՝ գրեթե հինգուկես միլիոն Matrix օգտագործողների հեշերով: Որպես ապացույց՝ Matrix նախագծի ղեկավարի գաղտնաբառի հեշը հասանելի է հանրությանը: Կայքի կոդը փոխվել է տեղադրված է հարձակվողների GitHub պահոցում (ոչ պաշտոնական մատրիցային պահոցում): Առայժմ երկրորդ հաքի մասին մանրամասներ բացակայում է.

Matrix թիմի առաջին կոտրումից հետո այն հրապարակվեց հաշվետվություն, ինչը ցույց է տալիս, որ կոտրումը կատարվել է չթարմացված Jenkins շարունակական ինտեգրման համակարգում խոցելիության պատճառով: Ջենկինսի սերվեր մուտք գործելուց հետո հարձակվողները խափանել են SSH ստեղները և կարողացել են մուտք գործել այլ ենթակառուցվածքային սերվերներ: Նշվում էր, որ սկզբնական կոդը և փաթեթները չեն ազդել գրոհի վրա։ Հարձակումը չի ազդել նաև Modular.im սերվերների վրա: Բայց հարձակվողները մուտք են գործել հիմնական DBMS, որը պարունակում է, ի թիվս այլ բաների, չգաղտնագրված հաղորդագրություններ, մուտքի նշաններ և գաղտնաբառի հեշեր:

Բոլոր օգտատերերին հանձնարարվել է փոխել իրենց գաղտնաբառերը։ Բայց հիմնական Riot հաճախորդի գաղտնաբառերը փոխելու գործընթացում օգտվողները բախվելով գաղտնագրված նամակագրությունը վերականգնելու համար բանալիների պահուստային պատճեններով ֆայլերի կորստով և անցյալ հաղորդագրությունների պատմություն մուտք գործելու անկարողությամբ:

Հիշեցնենք, որ ապակենտրոնացված հաղորդակցությունների կազմակերպման հարթակը Matrix ներկայացված է որպես նախագիծ, որն օգտագործում է բաց ստանդարտներ և մեծ ուշադրություն է դարձնում օգտատերերի անվտանգության և գաղտնիության ապահովմանը։ Matrix-ն ապահովում է ծայրից ծայր կոդավորում՝ հիմնված իր սեփական արձանագրության վրա, ներառյալ Double Ratchet ալգորիթմը (օգտագործվում է նաև որպես ազդանշանային արձանագրության մաս), աջակցում է նամակագրության պատմության որոնմանը և անսահմանափակ դիտմանը, կարող է օգտագործվել ֆայլեր փոխանցելու, ծանուցումներ ուղարկելու, գնահատելու համար: ծրագրավորողի ներկայությունը առցանց, հեռուստակոնֆերանսների կազմակերպում, ձայնային և տեսազանգերի կատարում: Այն նաև աջակցում է առաջադեմ գործառույթներ, ինչպիսիք են ծանուցումները մուտքագրելը, կարդալու հաստատումը, push ծանուցումները և սերվերի կողմից որոնումը, հաճախորդի պատմության և կարգավիճակի համաժամացումը, նույնացուցիչի տարբեր ընտրանքներ (էլ. էլ., հեռախոսահամար, Facebook հաշիվ և այլն):

Հավելվածը: Опубликовано շարունակվել է երկրորդ հաքի նկարագրությամբ, PGP բանալիների արտահոսքի մասին տեղեկություններով և անվտանգության խնդիրների ակնարկով, որոնք հանգեցրել են կոտրմանը:

Աղբյուրopennet.ru

[En]

Matrix ապակենտրոնացված հաղորդագրությունների հարթակի մշակողները հայտարարեց սերվերների վթարային անջատման մասին matrix.org и Riot.im (Matrix-ի հիմնական հաճախորդը) նախագծի ենթակառուցվածքի կոտրման պատճառով: Առաջին անջատումը տեղի է ունեցել երեկ երեկոյան, որից հետո սերվերներն անհասանելի են եղել վերականգնվել է, և հավելվածները վերակառուցվում են տեղեկատու աղբյուրներից: Բայց մի քանի րոպե առաջ սերվերներն էին փոխզիջումային երկրորդ անգամ.

Ատակույուշիե տեղադրված է հիմնականի վրա նախագծի էջ մանրամասն տեղեկություններ սերվերի կոնֆիգուրացիայի և տվյալների բազայի առկայության մասին՝ գրեթե հինգուկես միլիոն Matrix օգտագործողների հեշերով: Որպես ապացույց՝ Matrix նախագծի ղեկավարի գաղտնաբառի հեշը հասանելի է հանրությանը: Կայքի կոդը փոխվել է տեղադրված է հարձակվողների GitHub պահոցում (ոչ պաշտոնական մատրիցային պահոցում): Առայժմ երկրորդ հաքի մասին մանրամասներ բացակայում է.

Matrix թիմի առաջին կոտրումից հետո այն հրապարակվեց հաշվետվություն, ինչը ցույց է տալիս, որ կոտրումը կատարվել է չթարմացված Jenkins շարունակական ինտեգրման համակարգում խոցելիության պատճառով: Ջենկինսի սերվեր մուտք գործելուց հետո հարձակվողները խափանել են SSH ստեղները և կարողացել են մուտք գործել այլ ենթակառուցվածքային սերվերներ: Նշվում էր, որ սկզբնական կոդը և փաթեթները չեն ազդել գրոհի վրա։ Հարձակումը չի ազդել նաև Modular.im սերվերների վրա: Բայց հարձակվողները մուտք են գործել հիմնական DBMS, որը պարունակում է, ի թիվս այլ բաների, չգաղտնագրված հաղորդագրություններ, մուտքի նշաններ և գաղտնաբառի հեշեր:

Բոլոր օգտատերերին հանձնարարվել է փոխել իրենց գաղտնաբառերը։ Բայց հիմնական Riot հաճախորդի գաղտնաբառերը փոխելու գործընթացում օգտվողները բախվելով գաղտնագրված նամակագրությունը վերականգնելու համար բանալիների պահուստային պատճեններով ֆայլերի կորստով և անցյալ հաղորդագրությունների պատմություն մուտք գործելու անկարողությամբ:

Հիշեցնենք, որ ապակենտրոնացված հաղորդակցությունների կազմակերպման հարթակը Matrix ներկայացված է որպես նախագիծ, որն օգտագործում է բաց ստանդարտներ և մեծ ուշադրություն է դարձնում օգտատերերի անվտանգության և գաղտնիության ապահովմանը։ Matrix-ն ապահովում է ծայրից ծայր կոդավորում՝ հիմնված իր սեփական արձանագրության վրա, ներառյալ Double Ratchet ալգորիթմը (օգտագործվում է նաև որպես ազդանշանային արձանագրության մաս), աջակցում է նամակագրության պատմության որոնմանը և անսահմանափակ դիտմանը, կարող է օգտագործվել ֆայլեր փոխանցելու, ծանուցումներ ուղարկելու, գնահատելու համար: ծրագրավորողի ներկայությունը առցանց, հեռուստակոնֆերանսների կազմակերպում, ձայնային և տեսազանգերի կատարում: Այն նաև աջակցում է առաջադեմ գործառույթներ, ինչպիսիք են ծանուցումները մուտքագրելը, կարդալու հաստատումը, push ծանուցումները և սերվերի կողմից որոնումը, հաճախորդի պատմության և կարգավիճակի համաժամացումը, նույնացուցիչի տարբեր ընտրանքներ (էլ. էլ., հեռախոսահամար, Facebook հաշիվ և այլն):

Հավելվածը: Опубликовано շարունակվել է երկրորդ հաքի նկարագրությամբ, PGP բանալիների արտահոսքի մասին տեղեկություններով և անվտանգության խնդիրների ակնարկով, որոնք հանգեցրել են կոտրմանը:

Source: opennet.ru

[:]