_______ -

> Recent Entries
> Archive
> Friends
> User Info

April 12th, 2019


Previous Entry Add to Memories Tell A Friend Next Entry
08:22 pm
тут вашу моднейшую замену жаберу похекали

Разработчики платформы для децентрализованного обмена сообщениями Matrix
объявили об экстренном отключении серверов Matrix.org и Riot.im (основной
клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение
состоялось вчера вечером, после чего работа серверов была восстановлена, а
приложения пересобраны из эталонных исходных текстов. Но несколько минут назад
серверы были скомпрометированы второй раз.

Атакующие разместили на главной странице проекта детальные сведения о
конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с
половиной миллионов пользователей Matrix. В качестве доказательства в открытом
доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта
размещён в репозитории атакующих на GitHub (не в официальном репозитории
matrix). Подробности о втором взломе пока отсутствуют.

После первого взлома командой Matrix был опубликован отчёт, в котором указано,
что взлом был совершён через уязвимость в необновлённой системе непрерывной
интеграции Jenkins. После получения доступа к серверу с Jenkins атакующие
перехватили ключи SSH и получили возможность доступа к другим серверам
инфраструктуры. Было заявлено, что исходный код и пакеты не пострадали в
результате атаки. Атака также не затронула серверы Modular.im. Но атакующие
получили доступ к основной СУБД, в которой размещены в том числе
незашифрованные сообщения, токены доступа и хэши паролей.


...

Напомним, что платформа для организации децентрализованных коммуникаций Matrix
преподносится как проект, использующий открытые стандарты и уделяющий большое
внимание обеспечению безопасности и приватности пользователей. Matrix
обеспечивает сквозное (end-to-end) шифрование на базе собственного протокола,
использующего в том числе алгоритм Double Ratchet (также используемого как
часть протокола Signal), поддерживает поиск и неограниченный просмотр истории
переписки, может использоваться для передачи файлов, отправки уведомлений,
оценки присутствия разработчика в online, организации телеконференций,
совершения голосовых и видео звонков. Поддерживаются также такие расширенные
возможности как уведомление о наборе текста, подтверждение прочтения,
push-уведомления и поиск на стороне сервера, синхронизация истории и состояния
клиентов, различные варианты идентификаторов (email, номер телефона, учётная
запись в Facebook и т.п.).


https://www.opennet.ru/opennews/art.shtml?num=50501
https://twitter.com/matrixdotorg/status/1116304867683905537
https://www.linux.org.ru/news/security/14929384

Дополнение: Опубликовано продолжение с описанием второго взлома, информацией об
утечке PGP-ключей и обзором проблем с безопасностью, которые привели к взлому.


...

Атакующий разместил на GitHub серию отчётов с подробностями атаки и советами по
увеличению защиты, но они были удалены. Тем не менее, в архиве отчёты
сохранились. Например, взломщик сообщил, что разработчикам Marix следовало
использовать двухфакторную аутентификацию или хотя бы не использовать
перенаправление SSH-агентом ("ForwardAgent yes"), тогда проникновение в
инфраструктуру было бы блокировано. Эскалацию атаки также можно было остановить
предоставляя разработчикам только необходимые привилегии, а не полный
root-доступ на всех серверах.

Дополнительно раскритикована практика хранения ключей для создания цифровых
подписей на рабочих серверах, для подобных целей следовало бы выделить
отдельный изолированный хост. Ещё атакующий сообщил, что если бы разработчики
Matrix регулярно проводили аудит логов и анализировали аномалии, они бы
заметили следы взлома на раннем этапе (взлом CI оставался незамеченным целый
месяц). Ещё одной проблемой было хранение всех файлов конфигурации в Git, что
позволяло оценить настройки других хостов при взломе одного из них. Доступ по
SSH к серверам инфраструктуры не был ограничен защищённой внутренней сетью, что
позволяло подключиться к ним с любого внешнего адреса.


https://www.opennet.ru/opennews/art.shtml?num=50502

(3 comments | Leave a comment)

Comments:


[User Picture]
From:[info]sadkov
Date:April 12th, 2019 - 05:38 pm
(Link)
>.opennet.ru

this shitty site haven't changed for like 25 years. The same stupid interface. Russians fail even at web design.
From:(Anonymous)
Date:April 12th, 2019 - 06:58 pm
(Link)
>для децентрализованного обмена сообщениями
>БД с хэшами почти пяти с половиной миллионов пользователей Matrix

федерация, ога
российская, с единым реестром всея всего
From:(Anonymous)
Date:April 13th, 2019 - 07:13 am
(Link)
Нужно так:
"атакующие получили доступ к основной СУБД, в которой размещены в том числе
незашифрованные сообщения, токены доступа и хэши паролей

Matrix обеспечивает сквозное (end-to-end) шифрование на базе собственного протокола"

> Go to Top
LJ.Rossia.org