новые వికేంద్రీకృత మెసేజింగ్ ప్లాట్ఫారమ్ మ్యాట్రిక్స్ యొక్క అవస్థాపన హ్యాకింగ్ గురించి, దీని గురించి ఉదయాన. దాడి చేసేవారు చొచ్చుకుపోయిన సమస్యాత్మక లింక్ జెంకిన్స్ నిరంతర ఇంటిగ్రేషన్ సిస్టమ్, ఇది మార్చి 13న హ్యాక్ చేయబడింది. అప్పుడు, జెంకిన్స్ సర్వర్లో, SSH ఏజెంట్ ద్వారా దారి మళ్లించబడిన నిర్వాహకులలో ఒకరి లాగిన్ అడ్డగించబడింది మరియు ఏప్రిల్ 4న, దాడి చేసేవారు ఇతర ఇన్ఫ్రాస్ట్రక్చర్ సర్వర్లకు ప్రాప్యతను పొందారు.
రెండవ దాడి సమయంలో, మొదటి దాడి సమయంలో అడ్డగించిన క్లౌడ్ఫ్లేర్ కంటెంట్ డెలివరీ సిస్టమ్ APIకి కీని ఉపయోగించి, DNS పారామితులను మార్చడం ద్వారా matrix.org వెబ్సైట్ మరొక సర్వర్కు (matrixnotorg.github.io) దారి మళ్లించబడింది. మొదటి హ్యాక్ తర్వాత సర్వర్ల కంటెంట్లను పునర్నిర్మిస్తున్నప్పుడు, మ్యాట్రిక్స్ నిర్వాహకులు కొత్త వ్యక్తిగత కీలను మాత్రమే అప్డేట్ చేసారు మరియు కీని క్లౌడ్ఫ్లేర్కి అప్డేట్ చేయడం మానేశారు.
రెండవ దాడి సమయంలో, మ్యాట్రిక్స్ సర్వర్లు తాకబడలేదు; మార్పులు DNSలోని చిరునామాలను భర్తీ చేయడానికి మాత్రమే పరిమితం చేయబడ్డాయి. మొదటి దాడి తర్వాత వినియోగదారు ఇప్పటికే పాస్వర్డ్ను మార్చినట్లయితే, దాన్ని రెండవసారి మార్చాల్సిన అవసరం లేదు. పాస్వర్డ్ ఇంకా మార్చబడకపోతే, పాస్వర్డ్ హ్యాష్లతో డేటాబేస్ లీక్ అయినట్లు నిర్ధారించబడినందున, వీలైనంత త్వరగా దాన్ని నవీకరించాలి. మీరు తదుపరిసారి లాగిన్ చేసినప్పుడు బలవంతంగా పాస్వర్డ్ రీసెట్ ప్రక్రియను ప్రారంభించడం ప్రస్తుత ప్రణాళిక.
పాస్వర్డ్ల లీక్తో పాటు, డెబియన్ సినాప్స్ రిపోజిటరీ మరియు రియోట్/వెబ్ రిలీజ్లలోని ప్యాకేజీల కోసం డిజిటల్ సంతకాలను రూపొందించడానికి ఉపయోగించే GPG కీలు దాడి చేసేవారి చేతుల్లోకి వెళ్లినట్లు కూడా నిర్ధారించబడింది. కీలు పాస్వర్డ్తో రక్షించబడ్డాయి. ఈ సమయంలో కీలు ఇప్పటికే ఉపసంహరించబడ్డాయి. ఏప్రిల్ 4న కీలు అడ్డగించబడ్డాయి, అప్పటి నుండి సినాప్స్ అప్డేట్లు ఏవీ విడుదల కాలేదు, కానీ Riot/Web క్లయింట్ 1.0.7 విడుదల చేయబడింది (ఇది రాజీ పడలేదని ప్రాథమిక తనిఖీలో తేలింది).
దాడి చేసిన వ్యక్తి దాడికి సంబంధించిన వివరాలు మరియు రక్షణను పెంచడానికి చిట్కాలతో GitHubపై వరుస నివేదికలను పోస్ట్ చేశాడు, కానీ అవి తొలగించబడ్డాయి. అయితే, ఆర్కైవ్ చేసిన నివేదికలు .
ఉదాహరణకు, దాడి చేసేవారు మ్యాట్రిక్స్ డెవలపర్లు తప్పక నివేదించారు రెండు-కారకాల ప్రామాణీకరణ లేదా కనీసం SSH ఏజెంట్ దారి మళ్లింపు ("ఫార్వర్డ్అజెంట్ అవును") ఉపయోగించకపోతే, అవస్థాపనలోకి ప్రవేశించడం నిరోధించబడుతుంది. డెవలపర్లకు కాకుండా అవసరమైన అధికారాలను మాత్రమే ఇవ్వడం ద్వారా దాడి యొక్క తీవ్రతను కూడా ఆపవచ్చు అన్ని సర్వర్లలో.
అదనంగా, ప్రొడక్షన్ సర్వర్లలో డిజిటల్ సంతకాలను సృష్టించడానికి కీలను నిల్వ చేసే విధానం విమర్శించబడింది; అటువంటి ప్రయోజనాల కోసం ప్రత్యేక వివిక్త హోస్ట్ను కేటాయించాలి. ఇంకా దాడి చేస్తున్నారు , మ్యాట్రిక్స్ డెవలపర్లు క్రమం తప్పకుండా లాగ్లను ఆడిట్ చేసి, క్రమరాహిత్యాలను విశ్లేషించి ఉంటే, వారు ప్రారంభంలోనే హ్యాక్ జాడలను గమనించి ఉంటారు (CI హ్యాక్ ఒక నెల పాటు గుర్తించబడలేదు). మరో సమస్య Gitలో అన్ని కాన్ఫిగరేషన్ ఫైల్లను నిల్వ చేయడం, ఇతర హోస్ట్లలో ఒకటి హ్యాక్ చేయబడితే వాటి సెట్టింగ్లను మూల్యాంకనం చేయడం సాధ్యపడుతుంది. SSH ద్వారా ఇన్ఫ్రాస్ట్రక్చర్ సర్వర్లకు యాక్సెస్ సురక్షితమైన అంతర్గత నెట్వర్క్కు పరిమితం చేయబడింది, ఇది ఏదైనా బాహ్య చిరునామా నుండి వాటికి కనెక్ట్ చేయడం సాధ్యపడింది.
మూలంopennet.ru
[: en]новые వికేంద్రీకృత మెసేజింగ్ ప్లాట్ఫారమ్ మ్యాట్రిక్స్ యొక్క అవస్థాపన హ్యాకింగ్ గురించి, దీని గురించి ఉదయాన. దాడి చేసేవారు చొచ్చుకుపోయిన సమస్యాత్మక లింక్ జెంకిన్స్ నిరంతర ఇంటిగ్రేషన్ సిస్టమ్, ఇది మార్చి 13న హ్యాక్ చేయబడింది. అప్పుడు, జెంకిన్స్ సర్వర్లో, SSH ఏజెంట్ ద్వారా దారి మళ్లించబడిన నిర్వాహకులలో ఒకరి లాగిన్ అడ్డగించబడింది మరియు ఏప్రిల్ 4న, దాడి చేసేవారు ఇతర ఇన్ఫ్రాస్ట్రక్చర్ సర్వర్లకు ప్రాప్యతను పొందారు.
రెండవ దాడి సమయంలో, మొదటి దాడి సమయంలో అడ్డగించిన క్లౌడ్ఫ్లేర్ కంటెంట్ డెలివరీ సిస్టమ్ APIకి కీని ఉపయోగించి, DNS పారామితులను మార్చడం ద్వారా matrix.org వెబ్సైట్ మరొక సర్వర్కు (matrixnotorg.github.io) దారి మళ్లించబడింది. మొదటి హ్యాక్ తర్వాత సర్వర్ల కంటెంట్లను పునర్నిర్మిస్తున్నప్పుడు, మ్యాట్రిక్స్ నిర్వాహకులు కొత్త వ్యక్తిగత కీలను మాత్రమే అప్డేట్ చేసారు మరియు కీని క్లౌడ్ఫ్లేర్కి అప్డేట్ చేయడం మానేశారు.
రెండవ దాడి సమయంలో, మ్యాట్రిక్స్ సర్వర్లు తాకబడలేదు; మార్పులు DNSలోని చిరునామాలను భర్తీ చేయడానికి మాత్రమే పరిమితం చేయబడ్డాయి. మొదటి దాడి తర్వాత వినియోగదారు ఇప్పటికే పాస్వర్డ్ను మార్చినట్లయితే, దాన్ని రెండవసారి మార్చాల్సిన అవసరం లేదు. పాస్వర్డ్ ఇంకా మార్చబడకపోతే, పాస్వర్డ్ హ్యాష్లతో డేటాబేస్ లీక్ అయినట్లు నిర్ధారించబడినందున, వీలైనంత త్వరగా దాన్ని నవీకరించాలి. మీరు తదుపరిసారి లాగిన్ చేసినప్పుడు బలవంతంగా పాస్వర్డ్ రీసెట్ ప్రక్రియను ప్రారంభించడం ప్రస్తుత ప్రణాళిక.
పాస్వర్డ్ల లీక్తో పాటు, డెబియన్ సినాప్స్ రిపోజిటరీ మరియు రియోట్/వెబ్ రిలీజ్లలోని ప్యాకేజీల కోసం డిజిటల్ సంతకాలను రూపొందించడానికి ఉపయోగించే GPG కీలు దాడి చేసేవారి చేతుల్లోకి వెళ్లినట్లు కూడా నిర్ధారించబడింది. కీలు పాస్వర్డ్తో రక్షించబడ్డాయి. ఈ సమయంలో కీలు ఇప్పటికే ఉపసంహరించబడ్డాయి. ఏప్రిల్ 4న కీలు అడ్డగించబడ్డాయి, అప్పటి నుండి సినాప్స్ అప్డేట్లు ఏవీ విడుదల కాలేదు, కానీ Riot/Web క్లయింట్ 1.0.7 విడుదల చేయబడింది (ఇది రాజీ పడలేదని ప్రాథమిక తనిఖీలో తేలింది).
దాడి చేసిన వ్యక్తి దాడికి సంబంధించిన వివరాలు మరియు రక్షణను పెంచడానికి చిట్కాలతో GitHubపై వరుస నివేదికలను పోస్ట్ చేశాడు, కానీ అవి తొలగించబడ్డాయి. అయితే, ఆర్కైవ్ చేసిన నివేదికలు .
ఉదాహరణకు, దాడి చేసేవారు మ్యాట్రిక్స్ డెవలపర్లు తప్పక నివేదించారు రెండు-కారకాల ప్రామాణీకరణ లేదా కనీసం SSH ఏజెంట్ దారి మళ్లింపు ("ఫార్వర్డ్అజెంట్ అవును") ఉపయోగించకపోతే, అవస్థాపనలోకి ప్రవేశించడం నిరోధించబడుతుంది. డెవలపర్లకు కాకుండా అవసరమైన అధికారాలను మాత్రమే ఇవ్వడం ద్వారా దాడి యొక్క తీవ్రతను కూడా ఆపవచ్చు అన్ని సర్వర్లలో.
అదనంగా, ప్రొడక్షన్ సర్వర్లలో డిజిటల్ సంతకాలను సృష్టించడానికి కీలను నిల్వ చేసే విధానం విమర్శించబడింది; అటువంటి ప్రయోజనాల కోసం ప్రత్యేక వివిక్త హోస్ట్ను కేటాయించాలి. ఇంకా దాడి చేస్తున్నారు , మ్యాట్రిక్స్ డెవలపర్లు క్రమం తప్పకుండా లాగ్లను ఆడిట్ చేసి, క్రమరాహిత్యాలను విశ్లేషించి ఉంటే, వారు ప్రారంభంలోనే హ్యాక్ జాడలను గమనించి ఉంటారు (CI హ్యాక్ ఒక నెల పాటు గుర్తించబడలేదు). మరో సమస్య Gitలో అన్ని కాన్ఫిగరేషన్ ఫైల్లను నిల్వ చేయడం, ఇతర హోస్ట్లలో ఒకటి హ్యాక్ చేయబడితే వాటి సెట్టింగ్లను మూల్యాంకనం చేయడం సాధ్యపడుతుంది. SSH ద్వారా ఇన్ఫ్రాస్ట్రక్చర్ సర్వర్లకు యాక్సెస్ సురక్షితమైన అంతర్గత నెట్వర్క్కు పరిమితం చేయబడింది, ఇది ఏదైనా బాహ్య చిరునామా నుండి వాటికి కనెక్ట్ చేయడం సాధ్యపడింది.
మూలం: opennet.ru
[]