Π½ΠΎΠ²ΡΠ΅ tungkol sa pag-hack ng imprastraktura ng desentralisadong messaging platform na Matrix, tungkol sa kung saan sa umaga. Ang problemang link kung saan nakapasok ang mga umaatake ay ang Jenkins continuous integration system, na na-hack noong Marso 13. Pagkatapos, sa server ng Jenkins, ang pag-login ng isa sa mga administrator, na na-redirect ng isang ahente ng SSH, ay naharang, at noong Abril 4, ang mga umaatake ay nakakuha ng access sa iba pang mga server ng imprastraktura.
Sa ikalawang pag-atake, ang website ng matrix.org ay na-redirect sa isa pang server (matrixnotorg.github.io) sa pamamagitan ng pagbabago ng mga parameter ng DNS, gamit ang susi sa Cloudflare content delivery system na na-intercept sa unang pag-atake. Kapag muling itinayo ang mga nilalaman ng mga server pagkatapos ng unang hack, ang mga administrator ng Matrix ay nag-update lamang ng mga bagong personal na susi at hindi nasagot ang pag-update ng susi sa Cloudflare.
Sa ikalawang pag-atake, ang mga server ng Matrix ay nanatiling hindi nagalaw; ang mga pagbabago ay limitado lamang sa pagpapalit ng mga address sa DNS. Kung napalitan na ng user ang password pagkatapos ng unang pag-atake, hindi na kailangang baguhin ito sa pangalawang pagkakataon. Ngunit kung ang password ay hindi pa nababago, kailangan itong ma-update sa lalong madaling panahon, dahil ang pagtagas ng database na may mga hashes ng password ay nakumpirma na. Ang kasalukuyang plano ay upang simulan ang isang sapilitang proseso ng pag-reset ng password sa susunod na mag-log in ka.
Bilang karagdagan sa pagtagas ng mga password, nakumpirma rin na ang mga GPG key na ginamit upang makabuo ng mga digital na lagda para sa mga pakete sa Debian Synapse repository at ang Riot/Web release ay nahulog sa mga kamay ng mga umaatake. Pinoprotektahan ng password ang mga susi. Ang mga susi ay binawi na sa oras na ito. Ang mga susi ay naharang noong Abril 4, mula noon walang mga update sa Synapse na inilabas, ngunit ang Riot/Web client 1.0.7 ay inilabas (isang paunang pagsusuri ay nagpakita na ito ay hindi nakompromiso).
Nag-post ang attacker ng isang serye ng mga ulat sa GitHub na may mga detalye ng pag-atake at mga tip para sa pagtaas ng proteksyon, ngunit tinanggal ang mga ito. Gayunpaman, ang mga naka-archive na ulat .
Halimbawa, iniulat ng umaatake na dapat ang mga developer ng Matrix two-factor authentication o hindi bababa sa hindi gumagamit ng SSH agent redirection (βForwardAgent yesβ), pagkatapos ay ma-block ang pagtagos sa imprastraktura. Ang pagdami ng pag-atake ay maaari ding ihinto sa pamamagitan ng pagbibigay lamang sa mga developer ng mga kinakailangang pribilehiyo, sa halip na sa lahat ng server.
Bukod pa rito, binatikos ang kasanayan sa pag-iimbak ng mga susi para sa paglikha ng mga digital na lagda sa mga server ng produksyon; dapat maglaan ng hiwalay na nakahiwalay na host para sa mga naturang layunin. Umaatake pa , na kung ang mga developer ng Matrix ay regular na nag-audit ng mga log at nagsusuri ng mga anomalya, mapapansin nila ang mga bakas ng isang hack nang maaga (ang CI hack ay hindi natukoy sa loob ng isang buwan). Isa pang problema pag-iimbak ng lahat ng mga file ng pagsasaayos sa Git, na naging posible upang suriin ang mga setting ng iba pang mga host kung ang isa sa kanila ay na-hack. Access sa pamamagitan ng SSH sa mga server ng imprastraktura limitado sa isang secure na panloob na network, na naging posible upang kumonekta sa kanila mula sa anumang panlabas na address.
Pinagmulanopennet.ru
[: En]Π½ΠΎΠ²ΡΠ΅ tungkol sa pag-hack ng imprastraktura ng desentralisadong messaging platform na Matrix, tungkol sa kung saan sa umaga. Ang problemang link kung saan nakapasok ang mga umaatake ay ang Jenkins continuous integration system, na na-hack noong Marso 13. Pagkatapos, sa server ng Jenkins, ang pag-login ng isa sa mga administrator, na na-redirect ng isang ahente ng SSH, ay naharang, at noong Abril 4, ang mga umaatake ay nakakuha ng access sa iba pang mga server ng imprastraktura.
Sa ikalawang pag-atake, ang website ng matrix.org ay na-redirect sa isa pang server (matrixnotorg.github.io) sa pamamagitan ng pagbabago ng mga parameter ng DNS, gamit ang susi sa Cloudflare content delivery system na na-intercept sa unang pag-atake. Kapag muling itinayo ang mga nilalaman ng mga server pagkatapos ng unang hack, ang mga administrator ng Matrix ay nag-update lamang ng mga bagong personal na susi at hindi nasagot ang pag-update ng susi sa Cloudflare.
Sa ikalawang pag-atake, ang mga server ng Matrix ay nanatiling hindi nagalaw; ang mga pagbabago ay limitado lamang sa pagpapalit ng mga address sa DNS. Kung napalitan na ng user ang password pagkatapos ng unang pag-atake, hindi na kailangang baguhin ito sa pangalawang pagkakataon. Ngunit kung ang password ay hindi pa nababago, kailangan itong ma-update sa lalong madaling panahon, dahil ang pagtagas ng database na may mga hashes ng password ay nakumpirma na. Ang kasalukuyang plano ay upang simulan ang isang sapilitang proseso ng pag-reset ng password sa susunod na mag-log in ka.
Bilang karagdagan sa pagtagas ng mga password, nakumpirma rin na ang mga GPG key na ginamit upang makabuo ng mga digital na lagda para sa mga pakete sa Debian Synapse repository at ang Riot/Web release ay nahulog sa mga kamay ng mga umaatake. Pinoprotektahan ng password ang mga susi. Ang mga susi ay binawi na sa oras na ito. Ang mga susi ay naharang noong Abril 4, mula noon walang mga update sa Synapse na inilabas, ngunit ang Riot/Web client 1.0.7 ay inilabas (isang paunang pagsusuri ay nagpakita na ito ay hindi nakompromiso).
Nag-post ang attacker ng isang serye ng mga ulat sa GitHub na may mga detalye ng pag-atake at mga tip para sa pagtaas ng proteksyon, ngunit tinanggal ang mga ito. Gayunpaman, ang mga naka-archive na ulat .
Halimbawa, iniulat ng umaatake na dapat ang mga developer ng Matrix two-factor authentication o hindi bababa sa hindi gumagamit ng SSH agent redirection (βForwardAgent yesβ), pagkatapos ay ma-block ang pagtagos sa imprastraktura. Ang pagdami ng pag-atake ay maaari ding ihinto sa pamamagitan ng pagbibigay lamang sa mga developer ng mga kinakailangang pribilehiyo, sa halip na sa lahat ng server.
Bukod pa rito, binatikos ang kasanayan sa pag-iimbak ng mga susi para sa paglikha ng mga digital na lagda sa mga server ng produksyon; dapat maglaan ng hiwalay na nakahiwalay na host para sa mga naturang layunin. Umaatake pa , na kung ang mga developer ng Matrix ay regular na nag-audit ng mga log at nagsusuri ng mga anomalya, mapapansin nila ang mga bakas ng isang hack nang maaga (ang CI hack ay hindi natukoy sa loob ng isang buwan). Isa pang problema pag-iimbak ng lahat ng mga file ng pagsasaayos sa Git, na naging posible upang suriin ang mga setting ng iba pang mga host kung ang isa sa kanila ay na-hack. Access sa pamamagitan ng SSH sa mga server ng imprastraktura limitado sa isang secure na panloob na network, na naging posible upang kumonekta sa kanila mula sa anumang panlabas na address.
Pinagmulan: opennet.ru
[:]