|
April 12th, 2019
08:22 pm тут вашу моднейшую замену жаберу похекали
Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили об экстренном отключении серверов Matrix.org и Riot.im (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение состоялось вчера вечером, после чего работа серверов была восстановлена, а приложения пересобраны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы второй раз.
Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта размещён в репозитории атакующих на GitHub (не в официальном репозитории matrix). Подробности о втором взломе пока отсутствуют.
После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры. Было заявлено, что исходный код и пакеты не пострадали в результате атаки. Атака также не затронула серверы Modular.im. Но атакующие получили доступ к основной СУБД, в которой размещены в том числе незашифрованные сообщения, токены доступа и хэши паролей.
...
Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает сквозное (end-to-end) шифрование на базе собственного протокола, использующего в том числе алгоритм Double Ratchet (также используемого как часть протокола Signal), поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.).
https://www.opennet.ru/opennews/art.shtml?num=50501 https://twitter.com/matrixdotorg/status/1116304867683905537 https://www.linux.org.ru/news/security/14929384
Дополнение: Опубликовано продолжение с описанием второго взлома, информацией об утечке PGP-ключей и обзором проблем с безопасностью, которые привели к взлому.
...
Атакующий разместил на GitHub серию отчётов с подробностями атаки и советами по увеличению защиты, но они были удалены. Тем не менее, в архиве отчёты сохранились. Например, взломщик сообщил, что разработчикам Marix следовало использовать двухфакторную аутентификацию или хотя бы не использовать перенаправление SSH-агентом ("ForwardAgent yes"), тогда проникновение в инфраструктуру было бы блокировано. Эскалацию атаки также можно было остановить предоставляя разработчикам только необходимые привилегии, а не полный root-доступ на всех серверах.
Дополнительно раскритикована практика хранения ключей для создания цифровых подписей на рабочих серверах, для подобных целей следовало бы выделить отдельный изолированный хост. Ещё атакующий сообщил, что если бы разработчики Matrix регулярно проводили аудит логов и анализировали аномалии, они бы заметили следы взлома на раннем этапе (взлом CI оставался незамеченным целый месяц). Ещё одной проблемой было хранение всех файлов конфигурации в Git, что позволяло оценить настройки других хостов при взломе одного из них. Доступ по SSH к серверам инфраструктуры не был ограничен защищённой внутренней сетью, что позволяло подключиться к ним с любого внешнего адреса.
https://www.opennet.ru/opennews/art.shtml?num=50502
|
Comments:
| From: | sadkov |
Date: | April 12th, 2019 - 05:38 pm |
---|
| | | (Link) |
|
>.opennet.ru
this shitty site haven't changed for like 25 years. The same stupid interface. Russians fail even at web design.
From: | (Anonymous) |
Date: | April 12th, 2019 - 06:58 pm |
---|
| | | (Link) |
|
>для децентрализованного обмена сообщениями >БД с хэшами почти пяти с половиной миллионов пользователей Matrix
федерация, ога российская, с единым реестром всея всего
From: | (Anonymous) |
Date: | April 13th, 2019 - 07:13 am |
---|
| | | (Link) |
|
Нужно так: "атакующие получили доступ к основной СУБД, в которой размещены в том числе незашифрованные сообщения, токены доступа и хэши паролей
Matrix обеспечивает сквозное (end-to-end) шифрование на базе собственного протокола"
|
|