We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Mūsų backoffice saugumas


oles@ovh.net
04-30-2013, 04:30 PM
Sveiki,

Norėdami pakeisti savo kliento ID slaptažodį, turite apsilankyti OVH svetainėje ir pateikti tam tikro ID slaptažodžio keitimo užklausą. Jūsų kliento ID el. paštu nusiunčiamas unikalus URL, kurį reikia paspausti. Šis URL sudarytas iš 21 atsitiktinai sugeneruoto simbolio. Šie simboliai generuojami remiantis 3 atsitiktiniais algoritmais, kurių kiekvienas generuoja 7 simbolius. El. laišką gavęs klientas gali paspausti URL ir atkurti naują savo ID slaptažodį. Klientui el. paštu nusiunčiamas patvirtinimas, kad slaptažodis buvo pakeistas. Visuose OVH siunčiamuose pranešimuose nurodomas užklausą pateikusio asmens IP adresas.
Ši procedūra buvo pradėta įgyvendinti prieš mažiau nei 7 metus ir nuo to laiko nepasikeitė.

Balandžio 26 d. atkreipėme dėmesį į 21 simbolio generavimo problemą. Dvi atsitiktinės funkcijos iš trijų, panaudotų šiam kodui, atsitiktinai negeneravo tikros sekos. Galėjome pateikti ID slaptažodžio keitimo užklausą, vėliau atlikti brute force paiešką, kad surastume „unikalų“ URL, išsiųstą kliento ID el. paštu. Balandžio 26 d., 11:03:14, vienas mūsų programuotojų parodė šios problemos akivaizdumą ir 12:54:13 ją išsprendė. Problemos kilmė susijusi su rand() funkcijos naudojimu, toje kodo dalyje, kuri nebuvo pataisyta kitų kodo dalių lygmeniu, aktyvuojant vykdomo scenarijaus atmintinę. Ankstesnė 3 simbolių sekų funkcija, generuojanti 21 simbolį, buvo pakeista 2 tikromis atsitiktinėmis funkcijomis, generuojančiomis 64 simbolius.

Iš karto pradėjome vykdyti paiešką mūsų duomenų bazėse, kad patikrintume, ar šia spraga buvo naudotasi ir jei taip, kada. Šiam tikslui peržiūrėjome jūsų ID slaptažodžių keitimo istoriją per pastaruosius 3 metus. Turime CNIL autorizavimą archyvuoti ir naudoti visus mūsų backoffice įrašus 10 metų, kaip tik tokiems atvejams.

Radome 3 galiojančius ir naudojamus identifikatorius, kurių slaptažodis buvo pakeistas brute force.
Visais 3 atvejais tai buvo ataka, nukreipta į "bitcoin" bendruomenę, naudojančią OVH paslaugas. Įsilaužėlis aptiko spragą balandžio 23 d. 22h00 ir atliko nemažai testų, kad per valandą įdiegtų savo metodą. 23h00 įdiegus metodą, „nuhakintas“ 1-asis ID, o kitą dieną – du kiti ID, tos pačios "bitcoin" bendruomenės. Mes susisiekėme su šiais klientais, bet susirašinėdami negavome pakankamai informacijos, kad galėtume konstatuoti spragą. Mūsų programuotojai visiškai nepriklausomai padėjo išspręsti problemą, ir tik po to pradėjome nustatinėti ryšį tarp šios pataisytos spragos ir minėtų 3 klientų. Žinoma, galime iš to pasimokyti, kaip reikia bendrauti su klientais tokiais atvejais.

Mums prireikė šiek tiek laiko komunikacijai, kadangi labai greitai pastebėjome, jog visa tai paveikė tik 3 identifikatorius, bet mums dar kartą reikėjo viską patikrinti, kad įsitiktume, jog buvo paveikti tikrai trys "bitcoin" bendruomenės klientai. Šiandien užbaigėme tyrimus, kuriuos atliekame jau 3 metus, ir galime reziumuoti, kad tai neturėjo jokios įtakos kitiems klientams. Artimiausiu metu užbaigsime iki 10 metų trukmės tyrimus, kad aptiktume URL brute force slaptažodžio keitimo atvejus, bet tikimybė nulinė.

Nors visa tai beveik nepaveikė mūsų klientų, mano nuomone, turime jus informuoti apie šį saugumo incidentą, kurį turėjome spręsti praėjusią savaitę. Įdiegėme code-review visose ankstesnėse OVH dalyse, kurios nebuvo keičiamos keletą metų, kad patikrintume, ar nebuvo kito poveikio. Dabar sprendžiame, kaip pagerinti OVH ir klientų komunikaciją panašiais atvejais, žinant, kad 2 klientai iš trijų yra mūsų filialų klientai.

Apibendrinimas:

Taip, turėjome saugumo spragą, leidusią per pakankamai sudėtingą procedūrą panaudoti brute force, pakeisti ID slaptažodį. Mes patariame klientams, naudojantiems konfidencialias paslaugas, apriboti prieigą prie tvarkytuvo ir leisti vartotojui jungtis tik iš tam tikrų IP.

Taip, dėl šios saugumo spragos buvo paveikti trys "bitcoin" bendruomenės klientai. Labai svarbu skaityti visus el. laiškus, kuriuos OVH siunčia automatiškai, ypač el. laiškus dėl slaptažodžio keitimo, kurio jūs neinicijavote, ir el. laiškus, patvirtinančius slaptažodžio keitimą. Tokiais atvejais patartina iš karto kreiptis į mūsų pagalbą 24/24, kuri užblokuos jūsų paskyrą tol, kol situacija taps aiškesnė.

Ne, nebuvo jokios mūsų klientų duomenų bazės vagystės.

Ne, nebuvo jokio poveikio kitiems klientams.

Mes nuoširdžiai atsiprašome dėl šių 3 paveiktų klientų ir patariame jiems kreiptis į mūsų komercinę pagalbą (prancūzų k.).

Draugiški linkėjimai,
Octave