Biztonság: Google-ultimátum és két támadás
Hét napos ultimátumot adott a szoftverházaknak a Google, mielőtt nyilvánosságra hozza az aktívan támadott sérülékenységek leírását. Közben súlyos adatszivárgás áldozata lett a drupal.org, a Ruby on Rails foltozatlan verzióit pedig új támadáshullám érte.
Drupal: mindent vittek
Valószínűleg az nginx webszerver hibáját kihasználva jutottak be támadók a Drupal.org infrastruktúrájára, ahonnan gyakorlatilag az összes mozdítható felhasználói adatot elvitték. A Drupal motor kódjához azonban nem fértek hozzá, az továbbra is biztonságos.
A Drupal bejelentése szerint a drupal.org és a groups.drupal.org tartományokat is sikerült a támadóknak hatalmukba keríteniük, a szerverekre kártevőt telepítettek és az adatbázisokról másolatot készítettek. Az üzemeltetők szerint a felhasználói neveket, email-címeket, a felhasználó országára vonatkozó adatot, valamint a hash-elt jelszavakat is elemelték. Kártyainformációkat az oldal nem tárolt, így legalább a felhasználók pénze nincs közvetlen veszélyben. Az adatszivárgást követően az oldal alaphelyzetbe állította az összes jelszót és értesítette a felhasználókat.
A vizsgálat szerint a támadók nem fértek hozzá a Drupal motor kódjához, azt nem tudták módosítani, így a letöltések továbbra is biztonságosnak tekinthetőek. Az üzemeltetők a biztonság kedvéért validálták a tárolt kódot és a letöltéseket, változásra utaló jeleket nem találtak. Ennek megfelelően a Drupal motort használó üzemeltetőknek nincs tennivalójuk, nincs telepítendő frissítés, nem kerültek veszélybe a Drupal-alapú oldalak.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A bejelentés szerint az OSU Open Source Lab, ahol a drupal.org lakik, biztonságosabb alapokon építették újra az infrastruktúrát, biztonságosabb, GRSEC-kernelt használva a legtöbb kiszolgálón. A Drupal projekt archívumát (például régi események leírását, stb.) statikus kiszolgálásra állítják át a magasabb biztonság érdekében.
Ruby: botnet a kiszolgálókból
A Ruby on Rails év eleji hibáját kihasználó támadássorozatra lettek figyelmesek biztonsági szakértők. A sérülékenységet még januárban javították, a neten azonban még mindig kiszolgálók ezrei futtatják a hibás verziót. Egy új támadás ezt használja ki, a biztonsági résen keresztül támadó kódot telepít a kiszolgálókra és botnetbe szervezi azokat. Jeff Jamoc biztonsági kutató eredményei szerint a támadók egy új cron feladatot indítanak, amely letölti és telepíti a bot kliensét. A malware ezt követően IRC-en hallgat utasításokra, például további kód letöltésére és telepítésére, önmagában egyelőre ártalmatlan.
Ezt az utasítást igyekszik beszúrni a támadás.
Google: hét napot kaptok
Hét nap után nyilvánosságra fogja hozni a kritikus, élesben kihasznált biztonsági hibákat a Google. Az aktívan kihasznált, felhasználók széles rétegeit érintő sérülékenységek a Google szerint extrém sebességű javítást igényelnek, ehhez a hét napos határidőt tartja megfelelőnek a vállalat, ezt követően pedig nyilvánosságra hozza a hiba pontos leírását. A lépés gyakorlatilag ultimátum a lassan mozgó szoftvercégek számára, az aktív támadás alatt álló hibákat a jövőben de facto ennyi idő alatt kell majd javítani.
A Google biztonsági mérnökei rendszeresen találnak sérülékenységeket más szoftverházak termékeiben is, ezt a bevett eljárások szerint jelentik a fejlesztőnek és vállalják, hogy 60 napon keresztül nem hozzák nyilvánosságra a részleteket. Ha azonban a Google azt észleli, hogy a hibát aktívan használják támadásokhoz, ez a határidő hét napra rövidül. A lépéstől azt várja a vállalat, hogy a nagyon lassan javító szoftverházak kicsit felgyorsulnak, és ha nem is adnak ki azonnal javítást, de közzéteszik a támadások elkerüléséhez szükséges lépéseket (szolgáltatások lekapcsolása-letiltása). A Google szerint a támadók által ismert és kihasznált sebezhetőségek minden nap felhasználókat hoznak veszélybe, tesznek ki széles vagy célzott támadásoknak.
A lépés háttere lehet, hogy Tavis Ormandy, a Google egyik szoftvermérnöke két hete nyilvánosságra hozott egy Windows 7-et és 8-at érintő jogosultságkiterjeszéses biztonsági hibát, mindössze néhány nappal azután, hogy a hiba létéről értesítette a redmondiakat. A szakmai közösség egy része ezt felelőtlennek tartotta, Ormandy szerint viszont a Microsoft ellenségesen viselkedik a biztonsági kutatókkal, ezért hozta nyilvánosságra a hiba műszaki részleteit. A Google új házirendje gyakorlatilag a Microsoftnak ad igazat a kérdésben és megerősíti a 60 napos határidőt a ki nem használt hibák esetében.