mboost-dp1

Flickr - bongo vongo

Apache Foundation-servere kompromiteret

- Via ThreatPost - , redigeret af Net_Srak , indsendt af arne_v

I starten af april blev der hos Apache Foundation, der står bag en række store open source-projekter, registreret en ny besked på en af deres servere, det skulle vise sig at være en fælde.

I beskeden, der var udformet som et spørgsmål om hjælp til et konkret problem i JIRA, var der et tinyurl.com-link, som senere viste sig at indeholde et XSS-angreb (Cross Site Script). Ved at udnytte en svaghed i serveren lykkedes det ukendte personer at stjæle sessions-cookien fra de, der klikkede på linket, heriblandt flere JIRA-administratorer.

Ved hjælp af bruteforce-angreb lykkedes det at knække adgangskoden for en administrator-konto og så fortsatte angrebet. Over en periode på fire dage, fra den 6. til den 9. april, lykkedes det angriberne at logge alle, som loggede ind på JIRA-siden i det tidsrum, og stjæle deres adgangskoder.

Derudover lykkedes det at få adgang til hele brugerdatabasen inkl. adgangskoder, der dog er beskyttet af en 512 bit SHA-hash. Simple adgangskoder vil dog kunne knækkes forholdsvist nemt, hvorfor Apache Foundation har opfordret alle brugere til at ændre deres kode.

Det viste sig også, at en af brugerne anvendte samme bruger og adgangskode på en anden server, der hoster Apache installationerne af JIRA, Confluence og Bugzilla, hvorfor den også blev kompromitteret.

Apache Software Foundation har nu få lukket hullerne og erkender, der var flere svagheder i deres sikkerhed, men også at brugen af engangskodeord på de fleste servere forhindrede det i at kunne have gået meget værre.





Gå til bund
Gravatar #1 - Slettet Bruger [2647387163]
15. apr. 2010 10:51
Ville jo tilnærmest være umuligt at sikre sig mod ALT.

Selv fysiske fængsler kunne man forestille sig det hele være nemt at holde banditterne inde.. men nooo
Gravatar #2 - Seth-Enoch
15. apr. 2010 15:00
Hvor hurtigt går det egentligt når man bruteforcer sådan et kodeord? Hvor mange forsøg kan man lave i sekundet? Enten kan det gøres sindsygt hurtigt, eller også har ham administratoren haft et lorte password.

#1
Fængsler kan godt laves så folk ikke kan bryde ud. Problemet er så bare, at så mister folk lysten, viljen, håbet osv.. Det sagde de ihvertfald i et engelsk dokumentar jeg så på tv for læænge siden.
Gravatar #3 - buchi
15. apr. 2010 19:36
#2 på min computer kan jeg køre omkring 800000000 (800mio) forsøg i sekundet på md5 hashes.

Hvis det har haft bare lidt resourcer til rådighed ligger de nok på 10 eller 100 mia forsøg i sekundet.
Gravatar #4 - Hubert
15. apr. 2010 20:15
Seth-Enoch (2) skrev:


#1
Fængsler kan godt laves så folk ikke kan bryde ud. Problemet er så bare, at så mister folk lysten, viljen, håbet osv.. Det sagde de ihvertfald i et engelsk dokumentar jeg så på tv for læænge siden.


Foruden risikoen for situationer hvor personalet bliver taget som gisler og deslige. De indsatte bliver alt andet lige desperate og så har vi balladen.
Gravatar #5 - Conlon
15. apr. 2010 20:41
Var jeg den eneste der tænkte Uplink: Hacker Elite da jeg læste overskriften?
Gravatar #6 - Windcape
15. apr. 2010 23:27
Seth-Enoch (2) skrev:
Hvor mange forsøg kan man lave i sekundet? Enten kan det gøres sindsygt hurtigt, eller også har ham administratoren haft et lorte password.
http://en.wikipedia.org/wiki/Rainbow_table
Gravatar #7 - BetaLyte
16. apr. 2010 19:06
#5
Lige præcis! =D

Gravatar #8 - knasknaz
17. apr. 2010 08:23
Det var nu alligevel et underligt website at vælge at hacke. Der må være nogen der virkelig keder sig derude...
Gravatar #9 - arne_v
17. apr. 2010 12:25
#8

Jeg tror at der er lidt prestige i det.
Gravatar #10 - arne_v
18. apr. 2010 14:48
buchi (3) skrev:
på min computer kan jeg køre omkring 800000000 (800mio) forsøg i sekundet på md5 hashes.


800 millioner kalkulationer på 4 core af 3.2 GHz er 16 clock cycles per MD5 beregning.

Hvad f..... har du kode det i????
Gravatar #11 - arne_v
18. apr. 2010 14:52
#6

Så vidt jeg ved dækker rainbow tables for MD5 stadigvæk kun ikke alt for lange passwords med ikke alt for mange tilladte tegn.
Gravatar #12 - arne_v
18. apr. 2010 14:52
#MD5

Og idag bør man ikke bruge MD-5.

SHA-256 må være minimum.
Gravatar #13 - Hubert
18. apr. 2010 20:54
arne_v (11) skrev:
#6

Så vidt jeg ved dækker rainbow tables for MD5 stadigvæk kun ikke alt for lange passwords med ikke alt for mange tilladte tegn.


Det afgører man vel selv?
Gravatar #14 - arne_v
18. apr. 2010 21:15
#13

De offentlige tabeller.

Hvis man har et antal ledige PB og et par millioner computere kan man generere sine egne større tabeller.
Gravatar #15 - Hubert
18. apr. 2010 21:29
arne_v (14) skrev:
#13

De offentlige tabeller.

Hvis man har et antal ledige PB og et par millioner computere kan man generere sine egne større tabeller.


http://www.freerainbowtables.com

Er leveringsdygtige i tabeller med special tegn.

Men ja det kræver en del at lave sine egne tabeller. Men det er jo blot engang det skal gøres.
Gravatar #16 - arne_v
18. apr. 2010 21:47
Hubert (15) skrev:

http://www.freerainbowtables.com

Er leveringsdygtige i tabeller med special tegn.


http://www.freerainbowtables.com/en/tables/md5/

har kun en med special tegn. Men kun op til 7 i længden og uden uppercase bogstaver.

Hubert (15) skrev:

Men ja det kræver en del at lave sine egne tabeller. Men det er jo blot engang det skal gøres.


Ja. Men man skal nok have en ret god grund for at bruge de mængder computer ressourcer.
Gravatar #17 - Hubert
18. apr. 2010 21:53
arne_v (16) skrev:

Ja. Men man skal nok have en ret god grund for at bruge de mængder computer ressourcer.


Hæh ja det er ikke lige noget man laver på en søndag på sin hjemme deskop maskine.
Gravatar #18 - arne_v
19. apr. 2010 21:35
JBoss er blevet ramt af samme hack:

http://in.relation.to/15204.lace
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login