přejít na obsah přejít na navigaci

Linux E X P R E S, Web OpenSSL byl napaden přes poskytovatele hostingu

Web OpenSSL byl napaden přes poskytovatele hostingu

Bezpečnostní hrozba

Prakticky bez povšimnutí zůstalo napadení webu OpenSSL před několika dny. Útok byl zřejmě veden přes slabá hesla u poskytovatele hostingu.


Projekt OpenSSL se stará o vývoj a údržbu zřejmě nejpoužívanějšího softwaru (knihovny a pomocných nástrojů) pro šifrovanou komunikaci pomocí protokolů SSL/TLS. Hlavní stránka projektu byla 29. prosince 2013 napadena neznámým útočníkem, který vyprázdnil její obsah a podepsal se jako „TurkGuvenligiTurkSec“. Událost zůstala bez větší pozornosti, ačkoliv u projektu tohoto typu jde o velmi významnou událost, která může vyvolávat otázky ohledně bezpečnosti dané technologie. Nicméně kromě změny homepage nedošlo k žádným dalším škodám (například pozměnění zdrojových kódů OpenSSL).

Představitelé projektu nyní vydali prohlášení, podle kterého byl útok veden přes slabá hesla poskytovatele hostingu. Web je umístěn na virtuálním serveru (VPS), který společně s dalšími takovými servery běží na fyzickém serveru poskytovatele (Indit Hosting AB). Útočník získal přístup k řídicí konzoli hypervizoru, odkud mohl zasahovat do jednotlivých virtuálních serverů.

Nahoru

Příspěvky

Web OpenSSL byl napaden přes poskytovatele hostingu
GeBu 4. 01. 2014, 22:51:19
Odpovědět  Odkaz 
Jak je to vlastně s bezpečností virtuálních strojů (tj. strojů běžících u někoho jiného) z pohledu možnosti přístupu provozovatele hypervizora k datům uživatele?

V textu se odkazuje na článek: http://www.linuxexpres.cz/business/virtual-private-server , který začíná: (Virtual Private Server) hosting, ktorý sa dnes presadzuje ako jedno z veľmi bezpečných riešení pre čokoľvek, čo je na webe. Ak spravujete web, FTP server atď., ste bez obmedzení, pretože na VPS ste administrátorom vy. Iba vy.

Přemýšlím na VPS zprovoznit server OpenVPN a nejsem si jestli by se mi pak provozovatel hypervizora nemohl dostat do mé VPNky.
Lukáš Jelínek Re: Web OpenSSL byl napaden přes poskytovatele hostingu
Lukáš Jelínek 4. 01. 2014, 23:14:45
Odpovědět  Odkaz 
Snad všechny webové administrátorské konzole k VPS měly možnost nastavovat rootovská hesla k jednotlivým VPS. Pohodlné pro případě zapomenutí/ztracení, ale také dost nebezpečné. Záškodník si heslo nastaví, otevře si webovou konzoli k VPS a už může pracovat dle libosti. Samozřejmě i bez této možnosti by měl někdy možnost například VPS smazat, ale nedostal by se k datům.

Co se týká přístupu provozovatele, tak při použití běžného nešifrovaného úložiště se samozřejmě technicky k datům dostane (jiná věc je pohled právní, ale o tom teď není řeč). A v podstatě neexistuje žádná stoprocentní metoda, jak mu v tom zabránit, lze to jen ztížit (například šifrováním dat). Pokud je potřeba takovému přístupu bezpodmínečně zamezit, musí se to řešit vlastním železem.
Lukáš Jelínek Re: Re: Web OpenSSL byl napaden přes poskytovatele hostingu
Lukáš Jelínek 4. 01. 2014, 23:15:46
Odpovědět  Odkaz 
"Snad všechny webové administrátorské konzole k VPS měly možnost..." => "Snad všechny webové administrátorské konzole k VPS, které jsem kdy viděl, měly možnost..."

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

Synology High Availability

Pro mnoho podniků a organizací je dnes životně důležitá nepřetržitá dostupnost jejich IT systémů. Výpadky a odstávky totiž způsobují stále větší škody, což vyvíjí tlak na IT oddělení, aby zajistila maximální dostupnost dat a klíčových aplikací.

Pokračování ...



Public Relations

Linux a poker aneb Jde to dohromady?

Dávno jsou pryč doby, kdy se uživatelé Windows smáli těm, kteří preferují jiný operační systém. Dřív bylo samozřejmě náročnější především na Linuxu spustit jakékoliv hry, nicméně v dnešní době to už takový problém není.

Pokračování ...