×

Únorový pražský sraz OpenAltu se koná 15. 2. 2018 a tentokrát se vydáme na návštěvu do jednoho pražského datacentra. Sejdeme se v 17:50 v severovýchodní části nástupiště tramvajové zastávky Koh-I-Noor . Po exkurzi se přesuneme do restaurace U Pštrosa ( Moskevská 49 ), kde probereme tradiční témata (svobodný software a hardware, DIY, CNC, SDR, 3D tisk…) a tentokrát bude k vidění i IoT brána od The Things Network.

Společnost Feral Interactive zabývající se vydáváním počítačových her pro operační systémy macOS a Linux oznámila , že pro macOS a Linux vydají hru Rise of the Tomb Raider ( Wikipedie ). Ta byla pro Windows vydána v lednu 2016.

Desktopovému týmu Ubuntu by se hodilo více informací o desktopech uživatelů Ubuntu. V diskusním listu ubuntu-devel byl k diskusi předložen návrh řešení a seznam odesílaných informací. Ve výchozím stavu by mělo být odesílaní informací povoleno. Uživatel by měl mít možnost odesílaní kdykoli jednoduše zakázat [ reddit ].

Abclinuxu - vyjádření k útokům

dnes 11:17 | Přečteno: 890× | plky | | poslední úprava: dnes 11:17

Kdo útočil

Sice to chvíli trvalo, ale je to tu.

Bohužel jeden z dlouholetých členů abclinuxu : petrfm, který se ke svým útokům veřejně hlásil. Ve svých nově vzniklých vláknech a komentářích vyhrožoval zničením portálu, generoval vulgární příspěvky a o majitelích portálu rozhlašoval výmysl, že jsou zadluženi a portál skončí. V dřívějších komentářích se nebál být rasistický a jeho komentáře podněcovaly k nenávisti vůči skupině osob nebo k omezování jejich práv a svobod dle § 356 odst. 1 trestního zákoníku.

Jak probíhal útok

Útočník využíval slabého antispam zabezpečení při vkládání anonymních příspěvků. K útoku používal skript, kde volal curl. Zpočátku šel útok z různých IP v ČR. Po jejich zablokování se naštval ještě více a začal využívat tor síť. Celou věc jsem chtěl vyřešit smírně, ale s tím útočník nesouhlasil.

Jsem jediný správcem serverů a v době útoku jsem byl na služební cestě v Polsku s omezenými možnostmi. V hotelu, kde jsme byli ubytováni, byl blokovaný veškerý provoz kromě http, takže jsem fungoval jen přes hotspot v telefonu. Odvolal jsem účast na společné večeři a chvíli jsem se snažil blokovat provoz a zjišťovat, zda by tomuto útoku šlo zabránit nějak jinak, než jen opravou kódu (nejsem programátor a abc nemá vývojáře). Nakonec jsem přepl portál do read-only režimu, což je režim údržby a šel spát s tím, že ráno to dořeším (řekněme, že už v době řešení problému jsem měl lehčí spánkový deficit a chtěl jsem aspoň 3h spát) a tak nějak jsem doufal, že útočník vystřízliví. Samozřejmě proběhla i komunikace s vlastníky portálu.

Ráno jsem přepl portál do write režimu a řešil s majiteli opravu kódu. Mezitím si toho útočník všiml a započal znovu ládovat blbosti do poradny a jinam. Opět jsem tedy přepl portál do read-only režimu, jelikož to bylo v tu chvíli jediné, co jsem mohl (stále služebka a nutnost vyřídit požadavky ze strany zaměstnavatele). Podařilo se mi domluvit s Lubošem a majitelé portálu odsouhlasili jeho hodinou sazbu za služby. Luboš navrhl jako řešení naimplementovat reCaptchu, s čímž jsme souhlasili.

Útočník to ale nevzdal a využil několik XSS zranitelností portálu. Opět byla majiteli odsouhlasena cen. nab. a Luboš začal opravovat XSS. Mezitím jsem na Nginx nasadil zákaz jen POSTů ze všech tor exit nodů. Ano, mohl jsem to udělat dávno, moje blbost. Každopádně tak nějak jsem nedoufal, že to moc pomůže, odhodlání útočníka bylo celkem velké a nic mu nebránilo v tom přejít od toru na veřejné proxyny, což se později skutečně uskutečnilo. Vzhledem k tomu, že XSS mělo vliv na domovskou stránku, jsem chtěl získat aspoň trochu času.

Šlo i jinak zabránit útoku?

Mezitím na rootu vznikl thread ve foru "Co se děje s ABCLinuxu?", kde se útočník plácá po ramenou.

Samozřejmě tam bylo spousta chytrých hlav. Návrhy jako omezit počet POSTů z jedné IP apod. Že prý 1 post za minutu není problém smáznout a udržet portál v běhu. Dotyčnému zjevně nedochází, že mít paralelní volání, tj. posílat z více IP je celkem easy věc a pak to není 1x post/min, ale klidně stovky i více. Iptables tedy není řešením. Další možnost by bylo blokování postů z IP útočníka. Nebo blokovat user agenta, kterého využívá (ze začátku byl jasný, používal curl a netajil se tím, pak buď ho změnil, nebo to zkoušel ručně z web browseru). Možností je více, ale všechno to je jen dočasné, než se útočník rozkouká a je to pak jen o tom, kdo má víc volného času. Jediná věc, kterou jsem měl v případě XSS udělat a neudělal bylo nasadit filtrování provozu na nginx, protože v případně toho XSS by to bylo jednoduché na identifikaci. Stačilo by něco jako třeba popisují zde :

How To Block Exploits, SQL Injections, File Injections, Spam, User Agents, Etc.

Takže ano, selhal jsem, POST z exit nodů toru jsem měl zakázat hned a chvíli se pak s útočníkem přetahovat na proxynách a v případě XSS jsem mohl nasadit filtr na nginx, aby nedošlo k postu scriptů.

Každopádně finální řešení je oprava kódu, kterou Luboš zvládl rychle. Implementace reCaptchi byla fakturována na 2h a oprava XSS na 1h. Portál nebyl plně funkční cca 30h (myslím, že to začalo někdy kolem 15h a poslední XSS oprava byla někdy druhý den večer kolem 21h).

reCAPTCHA

reCaptcha má několik možností/verzí. Na serveru je použita verze 2 s tím, že je nastavena minimální úroveň zabezpečení. Vzhledem k tomu, že nechci uživatele moc prudit, tak jsem nastavil nejnižší úroveň (v případě problémů to jde vždy zvýšit). Při této úrovni by mělo jít naimplementovat i nojs podporu. Ještě to promyslíme.

Tento druh zabezpečení by v případě zapnutých cookies a js. neměl chtít opakovaně proklikávat obrázky. Tzn., že když jednou proklikám, pak už stačí jen zaškrtávat checkbox. Pro takové uživatele je to pak jednodušší řešení, než má root, nebo než tu bylo předtím na abc. Pro uživatele s vypnutými cookies to tak dobré není, resp. je to horor.

Samozřejmě zaznívaly dotazy, proč se neprovedla podobná implementace jako má "root.cz". Myslím si, že proti botům je to ok, ale pokud někdo cíleně útočí, tak není takový problém podobnou ochranu překonat. Vzhledem k tomu, že jsme nevěděli, jak moc je útočník odhodlaný, tak jsme šli cestou, kterou jsme šli.

Nějaké screenshoty web interface reCAPTCHA :



Proč probíhal útok?

Útočník požadoval kompletní smazání všech svých postů, jak účtu, tak komentářů. Blogy, údaje o uživateli a vše okolo si může uživatel sám promazat/změnit. Jediné, co uživatel nemůže je změnit obsah článků, komentářů a userid. Admin pak nemůže odstranit účet ani smazat komentáře, na které je navázána diskuse. Jediné, co by šlo smazat, je obsah komentářů, ale tím by se zase porušila integrita diskuse jako takové (reakce na promazaný komentář by nedávaly smysl apod.). Další věcí je třeba wiki a její historie. Tento problém je jak ve FAQ, tak už se to několikrát řešilo, např :

2009 - Jak zrušit účet na abclinuxu.cz?



Útok měl za účel poškodit portál/provozovatele, proto jsem navrhl majitelům, aby podali trestní oznámení. A tady se všechno vyjasnilo. Trestní oznámení už podal někdo před námi a provozovatelé byli požádáni o spolupráci s PČR. A trestní oznámení bylo podáno ohledně mnohem závažnějšího důvodu. To jest celé, podle mně to dotyčný věděl a snažil se za sebou zahladit stopy stůj co stůj (resp. je to pro mně uvěřitelnější scénář, než že mu jen ruplo v bedně). Koneckonců, ten, kdo podal trestní oznámení to následně i napsal zde v diskusi : XSS na Abclinuxu.

Proč neměl ban už dávno?

Svoboda, svoboda, svoboda. To jest celé. Postupně se kvůli jeho vulgaritám musela častěji a častěji nastavovat cenzura/skrytí jeho komentářů, ale stále tu byly některé, které byly ok. Toto postupně narůstalo až to vygradovalo do onoho útoku. Následně dostal onen vytoužený ban. Aktuálně si myslím, že se dotyčný skrývá pod přezdívkou robotekemil.

Závěr

Abclinuxu vždy upřednostňovalo v maximální možné míře svobodu a tak to také zůstane.

Na závěr bych chtěl poděkovat Lubošovi za ochotu a rychlost nasazení oprav.

Hodnocení: 100 % špatné • dobré

Komentáře

Zdar Max

Vložit další komentář

dnes 11:49

Re: Abclinuxu - vyjádření k útokům dnes 11:49 filbar | skóre: 36 | blog: Denicek_programatora | OstravaRe: Abclinuxu - vyjádření k útokům

dnes 11:54

Re: Abclinuxu - vyjádření k útokům dnes 11:54 goldenfish | skóre: 38 | blog: aqarium | PrahaRe: Abclinuxu - vyjádření k útokům

dnes 12:12

Re: Abclinuxu - vyjádření k útokům dnes 12:12 gb34 | blog: blog2 Re: Abclinuxu - vyjádření k útokům

dnes 12:21

Re: Abclinuxu - vyjádření k útokům dnes 12:21 Grunt | skóre: 22 | blog: Expresivní zabručení | LanžhotRe: Abclinuxu - vyjádření k útokům

dnes 12:57

Re: Abclinuxu - vyjádření k útokům dnes 12:57 xkomczax | skóre: 51 | blog: proste_blog Re: Abclinuxu - vyjádření k útokům

dnes 14:44 K

Re: Abclinuxu - vyjádření k útokům dnes 14:44 KRe: Abclinuxu - vyjádření k útokům

dnes 15:02

Re: Abclinuxu - vyjádření k útokům dnes 15:02 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní ČechyRe: Abclinuxu - vyjádření k útokům

dnes 15:06

Re: Abclinuxu - vyjádření k útokům dnes 15:06 Heron | skóre: 51 | blog: root_at_heron | OlomoucRe: Abclinuxu - vyjádření k útokům

dnes 21:29

Re: Abclinuxu - vyjádření k útokům dnes 21:29 m1c4a1 | skóre: 2 | KobylniceRe: Abclinuxu - vyjádření k útokům

dnes 22:14

Re: Abclinuxu - vyjádření k útokům dnes 22:14 Jendа | skóre: 74 | blog: Výlevníček | JO70FBRe: Abclinuxu - vyjádření k útokům

Založit nové vlákno • Nahoru