Vdor v strežnike Domovanja in Domenca
10 naročnikov
10 naročnikov
Pozdravljeni, včeraj sem dobil obvestilo Domovanja, da je v torek 6.9. pri njih prišlo do poskusa vdora. Mogoče, kdo ve, kaj več o tem napadu?
Prilagam še kopijo obvestila:
Spoštovani,
zaradi varnostnih razlogov smo ponastavili vaše geslo za dostop do uporabniških strani. Dostop do uporabniških strani Domovanje.com lahko ponovno pridobite, tako da s klikom na naslednjo povezavo zahtevate ponastavitev gesla in sledite navodilom, ki jih boste prejeli po elektronski pošti.
Predlagamo vam, da v skladu z varnostno prakso ne izberete istega gesla in preverite, če ste isto kombinacijo elektronskega naslova in gesla uporabili tudi na kakšni drugi spletni storitvi in geslo spremenite tudi tam.
Zakaj takšna prošnja?
V torek, 6. septembra, smo zaznali poskus vdora, kjer je napadalec prek naše spletne strani skušal dostopati do podatkov v naši bazi podatkov. Naši tehniki so takoj po identifikacij zaprli vektor napada ter pričeli z analizo incidenta. Po opravljeni začetni analizi smo včeraj, v četrtek 8. septembra, ugotovili, da obstaja možnost, da je napadalec dostopal do uporabniških podatkov naših naročnikov, med drugim tudi do uporabniških imen in šifrirane oblike gesel.
Kljub temu, da še ni potrjeno, da je napadalec pridobil podatke, smo se odločili, da v skladu z varnostnimi priporočili, sprejmemo vse ukrepe s katerimi bi preprečili potencialno škodo. O incidentu smo tudi obvestili SI-CERT in ga prosili za pomoč pri nadaljnji raziskavi incidenta in iskanju storilca.
Vse spletne strani in e-pošta naših strank se nahajajo na drugih strežnikih in po ugotovitvah dosedanje analize niso bili predmet napada.
Naši strokovnjaki trenutno izvajajo nadaljnjo analizo incidenta. Poleg vseh varnostnih ukrepov, ki so nam že sedaj omogočili zaznati ta poskus vdora, bomo seveda vseskozi uvajali nove ukrepe in aktivnosti. Varnost in pravilno ukrepanje v primeru incidentov nam je pomembna vrednota in želimo biti vzgled vsem ostalim ponudnikom v regiji.
Ekipa Domovanje.com
21 odgovorov
Pozdravljen,
trenutno imamo toliko informacij, kolikor smo jih zapisali. Takoj ko smo ugotovil, da obstaja možnost, da je napadalec prišel do podatkov smo fokus iz analize preusmerili v preprečevanje potencialne škode. Analiza se zdaj nadaljuje. Nove informacije objavljamo na http://www.domovanje-status.si
Če prav razmem so bila gesla shranjena v SHA-1 nesoljeni obliki.
Mimogrede: če prav razumem, je za resetiranje gesel potreben samo link s številko uporabnika, potem se pa izpiše "mail poslan na x@x.com". Kak zlobnež bi lahko pobral vse emaile uporabnikov.
phpseo:
Če prav razmem so bila gesla shranjena v SHA-1 nesoljeni obliki.
Da, gesla so bila shranjena v nesoljeni obliki.
phpseo:
Mimogrede: če prav razumem, je za resetiranje gesel potreben samo link s številko uporabnika, potem se pa izpiše "mail poslan na x@x.com". Kak zlobnež bi lahko pobral vse emaile uporabnikov.
Izpiše se le, da je bil mail poslan. Res je včeraj nekaj minut po tem, ko smo poslali obvestila izpisovalo tudi email, vendar smo zelo hitro odpravili. Na žalost smo v naglici in želji, da bi poslali v petek še pred koncem delovnika, spregledali dejstvo, da smo šli live s predzadnjo verzijo.
Same napake. Na strani domovanje-status.si sem opazil dva datuma napada 6.8 in 6.9. V obvestilu pa piše, da je bil napad 6.9, kaj potem sta bila dva napada al je samo tiskarski škrat? Mogoče imate podatek iz kje je bil napad?
Hvala za opozorilo, sem popravil typo. Napad je bil iz več različnih IPjev, ki smo jih predali SI-CERTu.
Zakaj ste dovolili, da je prišlo do napada?
Varnost jemljemo zelo resno. V podjetju imamo vpeljana pravila in postopke z namenom zagotavljati čim višjo stopnjo varnosti.
vir: http://www.domovanje-status.si/domovanje/
Postopke kot so zunanji pentesti/security auditi/pregledi kode?
ucimzar:
phpseo:
Če prav razmem so bila gesla shranjena v SHA-1 nesoljeni obliki.Da, gesla so bila shranjena v nesoljeni obliki.
Uporaba unsalted gesel z sha1 je skoraj diametralno nasprotje jemanje varnosti resno
Glej, ne vem, če obstaja dober odgovor na to vprašanje/trditev. Ali si želim, da bi določene planirane spremembe in aktivnosti premaknili naprej po planu ter danes ne bi bili v tej situaciji? Seveda si, a to ne spremeni realnosti. Naš fokus je na tem, da čim bolje in hitro reagiramo v trenutni situaciji.
aaaccc:
Zakaj ste dovolili, da je prišlo do napada?
Varnost jemljemo zelo resno. V podjetju imamo vpeljana pravila in postopke z namenom zagotavljati čim višjo stopnjo varnosti.vir: http://www.domovanje-status.si/domovanje/
Postopke kot so zunanji pentesti/security auditi/pregledi kode?
phpseo:
Če prav razmem so bila gesla shranjena v SHA-1 nesoljeni obliki.Da, gesla so bila shranjena v nesoljeni obliki.
Uporaba unsalted gesel z sha1 je skoraj diametralno nasprotje jemanje varnosti resno
Tole je NSA level v primerjavi z avant.si, ki ti pošlje kar stari pass na mail, če forgot pass prbiješ :)
@spicey: Hvala za skrb. :)
Stanje v našem sistemu je bilo do včeraj sicer sledeče:
- gesla in ostali podatki v bazi so v vsakem primeru že zakodirani, tako da je sama podatkovna baza praktično neuporabna brez PHP datotek;
- pri nas je bilo geslo vidno samo preko "salt" ključa oz. se preko le-tega odkodira, da je lahko sploh vidno;
- gesla torej v bazi niso bila v plaintext obliki.
Ker se seveda zavedamo, da to ni dovolj, smo po urniku imeli to namen dokončno popraviti v oktobru, skupaj z objavo novih spletnih strani, naprednejšega preverjalnika 300+ domen in prenovo zalednega sistema.
Glede na omenjeno, smo z implementacijo boljšega ravnanja z gesli pohiteli in danes objavili novo verzijo le-tega.
NOVO STANJE:
1) Na e-mail dobiš samo še povezavo za resetiranje gesla, saj do starega ni mogoče več priti.
SLIKA #1: 
2) Obrazec za spremembo gesla:
SLIKA #2: 
V kratkem bo dodana tudi možnost 2FA, ki jo bo lahko aktiviral / deaktiviral vsak uporabnik samostojno, tako kot npr. SSH/SFTP dostop.
@suprpp: Lepo, ampak kaj ma to veze z gostovanjem Domovanje/Domenca? Sol na rano, samohvala ... ali sem kaj spregledal? Ali je Domovanje kupilo Neoserver :) pa še v njihovem imenu se piše?