Krytyczna luka w HyperVM - zaatakowany Vaserve

[Gość pioklo]

Luki dotycza lxadmina a nie hyperVM.

Vaserv zostal zniszczony przez kolesi co sniffowali hasla w ich sieci przez 2 miesiace i wykorzystali tylko hyperVM do wykonania rmfa na kazdym serwerze. Z tego co testowalem to w zaden sposob te bugi ktore sa na lxadmina nie dzialaja w hypervm glownie chodzi o SQL injection przy logowaniu do HyperVM inne tycza sie tylko lxadmina i raczej trzeba miec dostep lokalny do konta zeby wykorzystac te ataki symlinkow i inne.

 

http://forum.lxlabs.com/index.php?t=msg&am...;start=160&

 

Tak ,ze prosze nie panikowac szczegolnie Hitek bo robisz kolego troche za duzo niepotrzebnego szumu.

 

A ten artykul http://nt.interia.pl/internet/wiadomosci/n...entarze,1322050

to juz calkiem pomieszanie z paplataniem ,niektorzy ludzie pisza zeby tylko pisac

[Logout.pl 0]

Luki dotycza lxadmina a nie hyperVM.

Vaserv zostal zniszczony przez kolesi co sniffowali hasla w ich sieci przez 2 miesiace i wykorzystali tylko hyperVM do wykonania rmfa na kazdym serwerze.

 

No tak, ale żeby wykorzystać hypervm do wykonania poleceń na wielu serwerach potrzebowali uprawnień administratora, a więć skąś je wzieli. Może sniffowali w lokalnej i zdobyli w ten sposób hasła, nie da się tego wykluczyć, prawda jest taka, że teraz nikt nie zaryzykuje

utraty danych.

 

Moim zdaniem Twórca Hypervm przetrenował i dodał opcje znacząco obniżające bezpieczeństwo - jak wykonywanie z jednego miejsca dowolnych poleceń na wielu serwerach.

 

Pozdr.

Tom

[BlueMan 69]

Zastanawia mnie tylko jedno - w jaki sposób człowiek, który ogarną cały projekt takiego oprogramowania, popełnił tak wiele błędów w bezpieczeństwie.

 

To tak jakby kucharz gotując zupę pomidorową nie wiedział jak obrać pomidora :|

[Sebak 298]

@BlueMan po co pisać coś, co było już pisane kilka razy. Było, mineło i zostawmy ten temat już w spokoju.

 

PS: Chciałbym zobaczyć podobne aplikacje napisane przez większość tych którzy tak wytykają nieudolność programistyczną właściciela HyperVM. Najłatwiej jest krytykować... Nigdy nie przepadałem za HyperVM, ale to nie oznacza że teraz mam wieszać psy na kims, kto i tak już nie żyje.

[marekxbx 71]

Tak ,ze prosze nie panikowac szczegolnie Hitek bo robisz kolego troche za duzo niepotrzebnego szumu.

 

Hm, takie uwagi proszę zachowaj dla siebie.

 

Dbam o bezpieczeństwo moich klientów, robię dokładnie to samo co dziesiątki, jeśli nie setki poważnych firm na świecie.

[BlueMan 69]

PS: Chciałbym zobaczyć podobne aplikacje napisane przez większość tych którzy tak wytykają nieudolność programistyczną właściciela HyperVM. Najłatwiej jest krytykować...

Kiepskie porównanie.

To, że nie umiem przyżądzić sushi nie znaczy, że się nie znam na ugotowaniu pomidorówki.

 

Jeśli ktoś sprzedaje sushi (wypuszcza oprogramowanie), to najpierw musi umieć posługiwać się nożem i wiedzieć w jakich sytuacjach można się nim przeciąć (gdzie mogą być luki w softcie).

[statnet 1]

Tak ,ze prosze nie panikowac szczegolnie Hitek bo robisz kolego troche za duzo niepotrzebnego szumu.

 

hmm.. w hyperVM i kloxo sa poważne luki bezpieczeństwa, właściciel HyperVM postanowił opuścić biznes, kilka firm oferujących vps oparte o hypervm zostało kompletnie wyczyszczonych z VPSow.. to ja mam pytanie: kiedy zacząć panikować?

[malu 460]

Blueman - co jak co ale "kodzenie" ma się ni jak do "pichcenia".

I jest to mega mega głupie porównanie. Jak już mówimy na forum tematycznym to mówmy wprost. Zarzuć konkretnie co Ci się nie podoba w HyperVM a nie pieprzysz o jakiś surowych rybach...

[MiSi3kK 16]

Pytanie do osób które mają czas zagłębić się w temat trochę bardziej:

 

Czy luki były na tyle powszechne i na tyle poważne, że nie było możliwości wyłączenia części funkcji na pewien czas?

 

Bo jeśli była to wina dodatkowych funkcji to nie powinno być problemu z podmianą metod/kawałków kodu aby zablokować dziury na jakiś czas.

 

Osobiście uważam, że jeśli tak sporym projektem zajmuje się tylko jedna osoba, to błędy znajdą się na 100%. Ciężko pisać tyle kodu i w pewnym momencie czegoś nie przeoczyć. Nawet jeśli jest świetnym programistą.

[3lv1s 0]

BlueMan ma zdecydowaną rację. Jeżeli ktoś nie zna się na bezpieczeństwie od strony developerki to po cholerę bierze się za produkcją komercyjnego softu? To tak jakby ktoś kto się nie zna na bezpieczeństwie linuxa stawiał produkcyjne serwery - niestety wiele jest takich magików na rynku.

 

Hitek: Skoro tak dbasz o bezpieczeństwo swoich klientów i wszystkim wszech i wobec oznajmiasz jacy to jesteście wspaniali to napisz wszystkim kiedy ostatni raz robiłeś jakiś audyt bezpieczeństwa (profesjonalny oczywiście). Myśle (i to pewnie nie tylko ja), że takie małe projekty jak Wasz (zwłaszcza kończone oraz wdrażane na szybko jak pokazują posty) mogą mieć większe znamiona podatności na ataki niż nawet HyperVM.

[BlueMan 69]

Myśle (i to pewnie nie tylko ja), że takie małe projekty jak Wasz (zwłaszcza kończone oraz wdrażane na szybko jak pokazują posty) mogą mieć większe znamiona podatności na ataki niż nawet HyperVM.

I tak, i nie.

Jeśli autorskie oprogramowanie nie ma otwartego źródła, to cracker/haker może strzelać na oślep w najczęstrze luki i nie pwenie znajdzie luki.

 

Jeśli jakiś soft jest otwarty to wtedy można dokładnie przeanalizować jego kod i wiedzieć gdzie sa jego słabe i mocne strony i uderzyć w czułe miejsce.

 

@MiSi3kK - przejrzyj sobie ten dokument http://www.milw0rm.com/exploits/8880 - 24 wypunktowane sposoby różnych ataków. To nie są dodatkowe funkcjonalności, a na prawdę jedna wielka luka

[3lv1s 0]

I tak, i nie.

Jeśli autorskie oprogramowanie nie ma otwartego źródła, to cracker/haker może strzelać na oślep w najczęstrze luki i nie pwenie znajdzie luki.

 

Jeśli jakiś soft jest otwarty to wtedy można dokładnie przeanalizować jego kod i wiedzieć gdzie sa jego słabe i mocne strony i uderzyć w czułe miejsce.

 

Po części masz racje, trzeba jednak zwrócić uwagę na to, że jeżeli soft jest OpenSource to oprócz dostępu do kodu przez osoby niepowołane dostęp maja także osoby, które większość luk mogą usunąć i wiedzą co robią. W ten sposób nad projektem pracują setki programistów (a czasami i tysiące) a nie Franek z Lolkiem.

Natomiast realizacja projektów zamkniętych w zamkniętym kręgu developerów i to bez przeprowadzania audytów może pozostawić podatność nawet na proste ataki. Nie bez przyczyny w dużych i zamkniętych projektach programistycznych znaczną część projektu zajmują testy i audyty bezpieczeństwa wewnętrznego i zewnętrznego (już na etapie wstępnego projektowania).

[marekxbx 71]

@3lv1s nie zamierzam z Tobą w ogóle na ten temat dyskutować. Jeśli chcesz się lansować swoją wiedzą, masz potrzebę dowartościowania się, lansuj się dalej, ale bardzo proszę, nie rób tego na nas :-)

 

Występuje realne zagrożenie w korzystaniu z HyperVM, ponadto fakt ignorowania przez 17 dni (o ile to prawda) informacji o lukach bezpieczeństwa wskazuje jednoznacznie, że czas było z tym panelem skończyć.

 

Zostawianie otwartego niebezpiecznego panelu było by przejawem totalnego zlekceważenia sytuacji.

 

To jest ostatnie moje słowo w tej dyskusji, taka była nasza decyzja, podyktowana była dbaniem o bezpieczeństwo danych naszych klientów. EOT.

[ksk 67]

Co do bezpieczeństwa w hitme to bym się lekko zastanawiał nad tą kwestią. A porządny audyt by się przydał nie ma co

[www.ionic.pl 535]

Co do bezpieczeństwa w hitme to bym się lekko zastanawiał nad tą kwestią. A porządny audyt by się przydał nie ma co

 

Każdej aplikacji takowy się przydaje.

Na moje oko trzebaby dać sobie siana z wytykaniem tego i tamtego, Hitme wzięło sprawę w swoje ręce a to jest tylko na +.