новые د غیر متمرکز پیغام رسولو پلیټ فارم میټریکس د زیربنا هیک کولو په اړه، د کوم په اړه په سهار کې. ستونزه لرونکې اړیکه چې له لارې برید کونکي ننوتل د جینکنز دوامداره ادغام سیسټم و ، کوم چې د مارچ په 13 هیک شوی و. بیا، په جینکنز سرور کې، د یو مدیر ننوتل، د SSH اجنټ لخوا لیږل شوي، مداخله وشوه، او د اپریل په 4، برید کونکو نورو زیربناوو سرورونو ته السرسی ترلاسه کړ.
د دویم برید په جریان کې، د matrix.org ویب پاڼه د DNS پیرامیټونو په بدلولو سره بل سرور (matrixnotorg.github.io) ته لیږدول شوی، د Cloudflare منځپانګې رسولو سیسټم API ته د کیلي په کارولو سره د لومړي برید په جریان کې مداخله شوې. کله چې د لومړي هیک وروسته د سرورونو مینځپانګې بیا رغول ، د میټریکس مدیرانو یوازې نوي شخصي کیلي تازه کړل او د کلاوډ فلیر ته د کیلي تازه کول یې له لاسه ورکړل.
د دوهم برید په جریان کې، د میټریکس سرورونه ناڅاپه پاتې شول؛ بدلونونه یوازې په DNS کې د پتې ځای په ځای کولو پورې محدود وو. که چیرې کارونکي دمخه د لومړي برید وروسته پاسورډ بدل کړی وي ، نو د دوهم ځل بدلولو ته اړتیا نشته. مګر که پاسورډ لا نه وي بدل شوی، نو دا باید ژر تر ژره تازه شي، ځکه چې د پټنوم هشونو سره د ډیټابیس لیک تایید شوی. اوسنی پلان دا دی چې بل ځل چې تاسو لاګ ان شئ د جبري پاسورډ بیا تنظیم کولو پروسه پیل کړئ.
د پاسورډونو د لیک سربیره، دا هم تایید شوې چې د GPG کلیدونه د Debian Synapse ذخیره کې د کڅوړو لپاره د ډیجیټل لاسلیکونو رامینځته کولو لپاره کارول کیږي او Riot/Web ریلیزونه د برید کونکو په لاس کې دي. کیلي د پټنوم خوندي شوي. کیلي لا دمخه په دې وخت کې لغوه شوي. کیلي د اپریل په 4 کې مداخله شوې وه، له هغه وخت راهیسې هیڅ Synapse تازه نه دي خپاره شوي، مګر د Riot/Web مراجع 1.0.7 خپور شوی (لومړنۍ چک وښودله چې دا جوړ شوی نه و).
برید کونکي په GitHub کې د برید توضیحاتو او د محافظت زیاتولو لارښوونو سره یو لړ راپورونه پوسټ کړل ، مګر دوی حذف شوي. په هرصورت، آرشیف شوي راپورونه .
د مثال په توګه، برید کونکي راپور ورکړی چې د میټریکس پراختیا کونکي باید دوه فکتور تصدیق کول یا لږترلږه د SSH اجنټ ریډائریکشن نه کارول ("ForwardAgent yes")، بیا به زیربنا ته د ننوتلو مخه ونیول شي. د برید تېښته هم د پراختیا کونکو ته یوازې د اړینو امتیازاتو په ورکولو سره مخه نیول کیدی شي. په ټولو سرورونو کې.
سربیره پردې، د تولید سرورونو کې د ډیجیټل لاسلیکونو رامینځته کولو لپاره د کیلي ذخیره کولو تمرین انتقاد شوی و؛ د دې اهدافو لپاره یو جلا جلا کوربه باید تخصیص شي. لا هم برید کوي ، که چیرې د میټریکس پراختیا کونکو په منظم ډول لاګونه پلټلي او تحلیلونه یې تحلیل کړي وي ، نو دوی به په پیل کې د هیک نښې لیدلي وي (د CI هیک د یوې میاشتې لپاره کشف شوی نه و). بله ستونزه په Git کې د ټولو ترتیباتو فایلونو ذخیره کول، کوم چې دا ممکنه کړې چې د نورو کوربه تنظیماتو ارزونه وکړي که چیرې یو یې هیک شوی وي. د زیربنا سرورونو ته د SSH له لارې لاسرسی د خوندي داخلي شبکې پورې محدود، کوم چې دا ممکنه کړې چې له هر بهرني ادرس څخه دوی سره وصل شي.
سرچینهopennet.ru
[: en]новые د غیر متمرکز پیغام رسولو پلیټ فارم میټریکس د زیربنا هیک کولو په اړه، د کوم په اړه په سهار کې. ستونزه لرونکې اړیکه چې له لارې برید کونکي ننوتل د جینکنز دوامداره ادغام سیسټم و ، کوم چې د مارچ په 13 هیک شوی و. بیا، په جینکنز سرور کې، د یو مدیر ننوتل، د SSH اجنټ لخوا لیږل شوي، مداخله وشوه، او د اپریل په 4، برید کونکو نورو زیربناوو سرورونو ته السرسی ترلاسه کړ.
د دویم برید په جریان کې، د matrix.org ویب پاڼه د DNS پیرامیټونو په بدلولو سره بل سرور (matrixnotorg.github.io) ته لیږدول شوی، د Cloudflare منځپانګې رسولو سیسټم API ته د کیلي په کارولو سره د لومړي برید په جریان کې مداخله شوې. کله چې د لومړي هیک وروسته د سرورونو مینځپانګې بیا رغول ، د میټریکس مدیرانو یوازې نوي شخصي کیلي تازه کړل او د کلاوډ فلیر ته د کیلي تازه کول یې له لاسه ورکړل.
د دوهم برید په جریان کې، د میټریکس سرورونه ناڅاپه پاتې شول؛ بدلونونه یوازې په DNS کې د پتې ځای په ځای کولو پورې محدود وو. که چیرې کارونکي دمخه د لومړي برید وروسته پاسورډ بدل کړی وي ، نو د دوهم ځل بدلولو ته اړتیا نشته. مګر که پاسورډ لا نه وي بدل شوی، نو دا باید ژر تر ژره تازه شي، ځکه چې د پټنوم هشونو سره د ډیټابیس لیک تایید شوی. اوسنی پلان دا دی چې بل ځل چې تاسو لاګ ان شئ د جبري پاسورډ بیا تنظیم کولو پروسه پیل کړئ.
د پاسورډونو د لیک سربیره، دا هم تایید شوې چې د GPG کلیدونه د Debian Synapse ذخیره کې د کڅوړو لپاره د ډیجیټل لاسلیکونو رامینځته کولو لپاره کارول کیږي او Riot/Web ریلیزونه د برید کونکو په لاس کې دي. کیلي د پټنوم خوندي شوي. کیلي لا دمخه په دې وخت کې لغوه شوي. کیلي د اپریل په 4 کې مداخله شوې وه، له هغه وخت راهیسې هیڅ Synapse تازه نه دي خپاره شوي، مګر د Riot/Web مراجع 1.0.7 خپور شوی (لومړنۍ چک وښودله چې دا جوړ شوی نه و).
برید کونکي په GitHub کې د برید توضیحاتو او د محافظت زیاتولو لارښوونو سره یو لړ راپورونه پوسټ کړل ، مګر دوی حذف شوي. په هرصورت، آرشیف شوي راپورونه .
د مثال په توګه، برید کونکي راپور ورکړی چې د میټریکس پراختیا کونکي باید دوه فکتور تصدیق کول یا لږترلږه د SSH اجنټ ریډائریکشن نه کارول ("ForwardAgent yes")، بیا به زیربنا ته د ننوتلو مخه ونیول شي. د برید تېښته هم د پراختیا کونکو ته یوازې د اړینو امتیازاتو په ورکولو سره مخه نیول کیدی شي. په ټولو سرورونو کې.
سربیره پردې، د تولید سرورونو کې د ډیجیټل لاسلیکونو رامینځته کولو لپاره د کیلي ذخیره کولو تمرین انتقاد شوی و؛ د دې اهدافو لپاره یو جلا جلا کوربه باید تخصیص شي. لا هم برید کوي ، که چیرې د میټریکس پراختیا کونکو په منظم ډول لاګونه پلټلي او تحلیلونه یې تحلیل کړي وي ، نو دوی به په پیل کې د هیک نښې لیدلي وي (د CI هیک د یوې میاشتې لپاره کشف شوی نه و). بله ستونزه په Git کې د ټولو ترتیباتو فایلونو ذخیره کول، کوم چې دا ممکنه کړې چې د نورو کوربه تنظیماتو ارزونه وکړي که چیرې یو یې هیک شوی وي. د زیربنا سرورونو ته د SSH له لارې لاسرسی د خوندي داخلي شبکې پورې محدود، کوم چې دا ممکنه کړې چې له هر بهرني ادرس څخه دوی سره وصل شي.
سرچینه: opennet.ru
[:]