Skocz do zawartości
Dariusz Cieślak

Krytyczna luka w HyperVM - zaatakowany Vaserve

Polecane posty

Gość pioklo

Luki dotycza lxadmina a nie hyperVM.

Vaserv zostal zniszczony przez kolesi co sniffowali hasla w ich sieci przez 2 miesiace i wykorzystali tylko hyperVM do wykonania rmfa na kazdym serwerze. Z tego co testowalem to w zaden sposob te bugi ktore sa na lxadmina nie dzialaja w hypervm glownie chodzi o SQL injection przy logowaniu do HyperVM inne tycza sie tylko lxadmina i raczej trzeba miec dostep lokalny do konta zeby wykorzystac te ataki symlinkow i inne.

 

http://forum.lxlabs.com/index.php?t=msg&am...;start=160&

 

Tak ,ze prosze nie panikowac szczegolnie Hitek bo robisz kolego troche za duzo niepotrzebnego szumu.

 

A ten artykul http://nt.interia.pl/internet/wiadomosci/n...entarze,1322050

to juz calkiem pomieszanie z paplataniem ,niektorzy ludzie pisza zeby tylko pisac

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Luki dotycza lxadmina a nie hyperVM.

Vaserv zostal zniszczony przez kolesi co sniffowali hasla w ich sieci przez 2 miesiace i wykorzystali tylko hyperVM do wykonania rmfa na kazdym serwerze.

 

No tak, ale żeby wykorzystać hypervm do wykonania poleceń na wielu serwerach potrzebowali uprawnień administratora, a więć skąś je wzieli. Może sniffowali w lokalnej i zdobyli w ten sposób hasła, nie da się tego wykluczyć, prawda jest taka, że teraz nikt nie zaryzykuje

utraty danych.

 

Moim zdaniem Twórca Hypervm przetrenował i dodał opcje znacząco obniżające bezpieczeństwo - jak wykonywanie z jednego miejsca dowolnych poleceń na wielu serwerach.

 

Pozdr.

Tom

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zastanawia mnie tylko jedno - w jaki sposób człowiek, który ogarną cały projekt takiego oprogramowania, popełnił tak wiele błędów w bezpieczeństwie.

 

To tak jakby kucharz gotując zupę pomidorową nie wiedział jak obrać pomidora :|

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@BlueMan po co pisać coś, co było już pisane kilka razy. Było, mineło i zostawmy ten temat już w spokoju.

 

PS: Chciałbym zobaczyć podobne aplikacje napisane przez większość tych którzy tak wytykają nieudolność programistyczną właściciela HyperVM. Najłatwiej jest krytykować... Nigdy nie przepadałem za HyperVM, ale to nie oznacza że teraz mam wieszać psy na kims, kto i tak już nie żyje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Tak ,ze prosze nie panikowac szczegolnie Hitek bo robisz kolego troche za duzo niepotrzebnego szumu.

 

Hm, takie uwagi proszę zachowaj dla siebie.

 

Dbam o bezpieczeństwo moich klientów, robię dokładnie to samo co dziesiątki, jeśli nie setki poważnych firm na świecie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
PS: Chciałbym zobaczyć podobne aplikacje napisane przez większość tych którzy tak wytykają nieudolność programistyczną właściciela HyperVM. Najłatwiej jest krytykować...
Kiepskie porównanie.

To, że nie umiem przyżądzić sushi nie znaczy, że się nie znam na ugotowaniu pomidorówki.

 

Jeśli ktoś sprzedaje sushi (wypuszcza oprogramowanie), to najpierw musi umieć posługiwać się nożem i wiedzieć w jakich sytuacjach można się nim przeciąć (gdzie mogą być luki w softcie).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Tak ,ze prosze nie panikowac szczegolnie Hitek bo robisz kolego troche za duzo niepotrzebnego szumu.

 

hmm.. w hyperVM i kloxo sa poważne luki bezpieczeństwa, właściciel HyperVM postanowił opuścić biznes, kilka firm oferujących vps oparte o hypervm zostało kompletnie wyczyszczonych z VPSow.. to ja mam pytanie: kiedy zacząć panikować?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Blueman - co jak co ale "kodzenie" ma się ni jak do "pichcenia".

I jest to mega mega głupie porównanie. Jak już mówimy na forum tematycznym to mówmy wprost. Zarzuć konkretnie co Ci się nie podoba w HyperVM a nie pieprzysz o jakiś surowych rybach...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pytanie do osób które mają czas zagłębić się w temat trochę bardziej:

 

Czy luki były na tyle powszechne i na tyle poważne, że nie było możliwości wyłączenia części funkcji na pewien czas?

 

Bo jeśli była to wina dodatkowych funkcji to nie powinno być problemu z podmianą metod/kawałków kodu aby zablokować dziury na jakiś czas.

 

Osobiście uważam, że jeśli tak sporym projektem zajmuje się tylko jedna osoba, to błędy znajdą się na 100%. Ciężko pisać tyle kodu i w pewnym momencie czegoś nie przeoczyć. Nawet jeśli jest świetnym programistą.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

BlueMan ma zdecydowaną rację. Jeżeli ktoś nie zna się na bezpieczeństwie od strony developerki to po cholerę bierze się za produkcją komercyjnego softu? To tak jakby ktoś kto się nie zna na bezpieczeństwie linuxa stawiał produkcyjne serwery - niestety wiele jest takich magików na rynku.

 

Hitek: Skoro tak dbasz o bezpieczeństwo swoich klientów i wszystkim wszech i wobec oznajmiasz jacy to jesteście wspaniali to napisz wszystkim kiedy ostatni raz robiłeś jakiś audyt bezpieczeństwa (profesjonalny oczywiście). Myśle (i to pewnie nie tylko ja), że takie małe projekty jak Wasz (zwłaszcza kończone oraz wdrażane na szybko jak pokazują posty) mogą mieć większe znamiona podatności na ataki niż nawet HyperVM.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Myśle (i to pewnie nie tylko ja), że takie małe projekty jak Wasz (zwłaszcza kończone oraz wdrażane na szybko jak pokazują posty) mogą mieć większe znamiona podatności na ataki niż nawet HyperVM.
I tak, i nie.

Jeśli autorskie oprogramowanie nie ma otwartego źródła, to cracker/haker może strzelać na oślep w najczęstrze luki i nie pwenie znajdzie luki.

 

Jeśli jakiś soft jest otwarty to wtedy można dokładnie przeanalizować jego kod i wiedzieć gdzie sa jego słabe i mocne strony i uderzyć w czułe miejsce.

 

@MiSi3kK - przejrzyj sobie ten dokument http://www.milw0rm.com/exploits/8880 - 24 wypunktowane sposoby różnych ataków. To nie są dodatkowe funkcjonalności, a na prawdę jedna wielka luka :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
I tak, i nie.

Jeśli autorskie oprogramowanie nie ma otwartego źródła, to cracker/haker może strzelać na oślep w najczęstrze luki i nie pwenie znajdzie luki.

 

Jeśli jakiś soft jest otwarty to wtedy można dokładnie przeanalizować jego kod i wiedzieć gdzie sa jego słabe i mocne strony i uderzyć w czułe miejsce.

 

Po części masz racje, trzeba jednak zwrócić uwagę na to, że jeżeli soft jest OpenSource to oprócz dostępu do kodu przez osoby niepowołane dostęp maja także osoby, które większość luk mogą usunąć i wiedzą co robią. W ten sposób nad projektem pracują setki programistów (a czasami i tysiące) a nie Franek z Lolkiem.

Natomiast realizacja projektów zamkniętych w zamkniętym kręgu developerów i to bez przeprowadzania audytów może pozostawić podatność nawet na proste ataki. Nie bez przyczyny w dużych i zamkniętych projektach programistycznych znaczną część projektu zajmują testy i audyty bezpieczeństwa wewnętrznego i zewnętrznego (już na etapie wstępnego projektowania).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@3lv1s nie zamierzam z Tobą w ogóle na ten temat dyskutować. Jeśli chcesz się lansować swoją wiedzą, masz potrzebę dowartościowania się, lansuj się dalej, ale bardzo proszę, nie rób tego na nas :-)

 

Występuje realne zagrożenie w korzystaniu z HyperVM, ponadto fakt ignorowania przez 17 dni (o ile to prawda) informacji o lukach bezpieczeństwa wskazuje jednoznacznie, że czas było z tym panelem skończyć.

 

Zostawianie otwartego niebezpiecznego panelu było by przejawem totalnego zlekceważenia sytuacji.

 

To jest ostatnie moje słowo w tej dyskusji, taka była nasza decyzja, podyktowana była dbaniem o bezpieczeństwo danych naszych klientów. EOT.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co do bezpieczeństwa w hitme to bym się lekko zastanawiał nad tą kwestią. A porządny audyt by się przydał nie ma co

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Co do bezpieczeństwa w hitme to bym się lekko zastanawiał nad tą kwestią. A porządny audyt by się przydał nie ma co

 

Każdej aplikacji takowy się przydaje.

Na moje oko trzebaby dać sobie siana z wytykaniem tego i tamtego, Hitme wzięło sprawę w swoje ręce a to jest tylko na +.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×