přejít na obsah přejít na navigaci

Linux E X P R E S, Web OpenSSL byl napaden přes poskytovatele hostingu

Web OpenSSL byl napaden přes poskytovatele hostingu

Bezpečnostní hrozba

Prakticky bez povšimnutí zůstalo napadení webu OpenSSL před několika dny. Útok byl zřejmě veden přes slabá hesla u poskytovatele hostingu.


reklama

Projekt OpenSSL se stará o vývoj a údržbu zřejmě nejpoužívanějšího softwaru (knihovny a pomocných nástrojů) pro šifrovanou komunikaci pomocí protokolů SSL/TLS. Hlavní stránka projektu byla 29. prosince 2013 napadena neznámým útočníkem, který vyprázdnil její obsah a podepsal se jako „TurkGuvenligiTurkSec“. Událost zůstala bez větší pozornosti, ačkoliv u projektu tohoto typu jde o velmi významnou událost, která může vyvolávat otázky ohledně bezpečnosti dané technologie. Nicméně kromě změny homepage nedošlo k žádným dalším škodám (například pozměnění zdrojových kódů OpenSSL).

Představitelé projektu nyní vydali prohlášení, podle kterého byl útok veden přes slabá hesla poskytovatele hostingu. Web je umístěn na virtuálním serveru (VPS), který společně s dalšími takovými servery běží na fyzickém serveru poskytovatele (Indit Hosting AB). Útočník získal přístup k řídicí konzoli hypervizoru, odkud mohl zasahovat do jednotlivých virtuálních serverů.

Nahoru

(Jako ve škole)
Průměr: 1,67 | Hodnotilo: 3
 

Top články z OpenOffice.cz

Příspěvky

Web OpenSSL byl napaden přes poskytovatele hostingu
GeBu 4. 01. 2014, 22:51:19
Odpovědět  Odkaz 
Jak je to vlastně s bezpečností virtuálních strojů (tj. strojů běžících u někoho jiného) z pohledu možnosti přístupu provozovatele hypervizora k datům uživatele?

V textu se odkazuje na článek: http://www.linuxexpres.cz/business/virtual-private-server , který začíná: (Virtual Private Server) hosting, ktorý sa dnes presadzuje ako jedno z veľmi bezpečných riešení pre čokoľvek, čo je na webe. Ak spravujete web, FTP server atď., ste bez obmedzení, pretože na VPS ste administrátorom vy. Iba vy.

Přemýšlím na VPS zprovoznit server OpenVPN a nejsem si jestli by se mi pak provozovatel hypervizora nemohl dostat do mé VPNky.
Lukáš Jelínek Re: Web OpenSSL byl napaden přes poskytovatele hostingu
Lukáš Jelínek 4. 01. 2014, 23:14:45
Odpovědět  Odkaz 
Snad všechny webové administrátorské konzole k VPS měly možnost nastavovat rootovská hesla k jednotlivým VPS. Pohodlné pro případě zapomenutí/ztracení, ale také dost nebezpečné. Záškodník si heslo nastaví, otevře si webovou konzoli k VPS a už může pracovat dle libosti. Samozřejmě i bez této možnosti by měl někdy možnost například VPS smazat, ale nedostal by se k datům.

Co se týká přístupu provozovatele, tak při použití běžného nešifrovaného úložiště se samozřejmě technicky k datům dostane (jiná věc je pohled právní, ale o tom teď není řeč). A v podstatě neexistuje žádná stoprocentní metoda, jak mu v tom zabránit, lze to jen ztížit (například šifrováním dat). Pokud je potřeba takovému přístupu bezpodmínečně zamezit, musí se to řešit vlastním železem.
Lukáš Jelínek Re: Re: Web OpenSSL byl napaden přes poskytovatele hostingu
Lukáš Jelínek 4. 01. 2014, 23:15:46
Odpovědět  Odkaz 
"Snad všechny webové administrátorské konzole k VPS měly možnost..." => "Snad všechny webové administrátorské konzole k VPS, které jsem kdy viděl, měly možnost..."

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Lukáš Jelínek

Lukáš Jelínek

Šéfredaktor LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře a podniká v oblasti informačních technologií. Ve volném čase rád fotografuje, natáčí a stříhá video a také se věnuje (v Čechách poměrně málo známému) powerkitingu.


  • Distribuce: Debian, Kubuntu
  • Grafické prostředí: KDE
  • Hodnocení autora: ***

| proč linux | blog


CIO Agenda 2016