Como todos, sem dúvida, ouviu até agora, no fim de semana de 24 de maio / 25, site do fórum do Avast foi cortado.
Houve muita suposição, uma boa quantidade de adivinhação e várias acusações de que o software do fórum que Avast estava correndo (Simple Machines Forum) foi o vetor de ataque.
Nós demos uma olhada no que estava disponível publicamente e chegou a nossas próprias conclusões, que não correspondem com o que alguns representantes do Avast estavam reivindicando ou o que havia sido repassado para a mídia. Em resposta a isso, fizemos um post no dia 28 de maio, o que indica a nossa posição sobre o assunto. Sim, esse post não era a resposta mais educadamente formulada, mas que estavam respondendo a ataques contra a integridade do nosso código, a nossa segurança e nossa documentação de mudanças.
Em troca, o Avast entrou em contato conosco e nos forneceu o código do site hackeado, bem como os logs do servidor para o tempo em torno desse fim de semana em maio. Eles pareciam interessados em trabalhar com a gente e nós tivemos alguns de nossos melhores especialistas em fazer um grande esforço e tempo para analisar o código e os dados do servidor. Nós tínhamos planejado para trabalhar com o pessoal da Avast para trabalhar em um comunicado.
Infelizmente, esta foi também a última vez que ouvimos dos representantes Avast. Uma vez que nossos resultados foram apresentados a eles, eles se recusaram a responder a qualquer de nossas tentativas de contatá-los novamente. Dada esta recusa de comunicação e dado o fato de que algumas pessoas ainda estão tentando colocar a culpa em SMF, eu sinto que nós temos que fazer o público análise e, assim, resolver quaisquer preocupações sobre a segurança dos Simple Machines Forum.
Resumo - Podemos encontrar nenhuma evidência de que o hacker explorado qualquer (suposta) vulnerabilidade no software Machines Forum simples.
Mais especificamente, e com maior detalhe:
1 - A partir dos logs do servidor, não há nenhuma evidência de qualquer vulnerabilidade de segurança no código SMF
2 - A partir da nossa análise, é a nossa conclusão de que o "hack", foi o resultado de uma conta de administrador comprometido (embora, para ser claro, sem qualquer prova específica, esta conclusão ainda é suposição, mesmo que seja o melhor palpite). Especificamente, similar ao ataque aqui no simplemachines.org final do ano passado, um administrador reutilizado informações da conta em vários sites, um outro que estava comprometida. Uma vez que o hacker tinha as informações da conta de administrador, ele seria capaz de promover a sua outra conta fictícia para Admin ou até mesmo agir como o registrado em conta.
3 - A partir das datas nas edições de arquivo, parece que o sistema foi realmente comprometida há vários meses, mas não foi notado até que o hacker fez algo óbvio, aqui em maio.
Claro, os logs do servidor de que o tempo não estão disponíveis a partir Avast, por isso não podemos confirmar isso por qualquer método que não seja a data de carimbo no arquivo infectado.
4 - Avast nos disse que eles não "bloquear" as permissões de seus arquivos. Isso é importante, porque até mesmo uma conta de administrador comprometido ainda precisa senhas de FTP (FTP, se está mesmo disponível) para fazer alterações no arquivo, se as permissões de arquivo estavam trancadas.
Agora - Lest pessoas pensam que estamos tentando jogar toda a culpa em outro lugar - Vamos reconhecer que, uma vez que o hacker teve acesso admin, as características de SMF essencialmente deu-lhe acesso total ao sistema. Duas características que fazem de Admin Simple Machines Forum tão simples para as pessoas a usar são o Gerenciador de Pacotes eo Editor de temas. Esses recursos permitem que um administrador para fazer upload de um conjunto pré-embalados de código-instruções que modifica o sistema. Quando usado corretamente, isso permite a personalização rápida e simples de um fórum do site, adicionando novos recursos e melhorar outros. Estas características poderosas, no entanto, também pode permitir que qualquer pessoa com acesso de administrador para carregar e executar um pacote de modificação com intenção maliciosa, se as permissões de arquivo permitem o upload. Reconhecemos isso e trabalhar o nosso melhor para evitar qualquer acesso não autorizado à área administrativa e do gerenciador de pacotes ou editor tema. No entanto, quando o hack vem através de um corte humanos / sociais, como parece ser o caso aqui, há muito pouco que possamos fazer.
O take-away de tudo isto é: não voltar a usar sua senha de administrador em outro lugar e manter as permissões de arquivos seguros - porque se as permissões de arquivos e pastas sejam mantidos adequadamente, os recursos de administração pode fazer nenhum dano real, porque eles não podem gravar quaisquer arquivos sem as permissões do arquivo a ser alterado por alguém com FTP, Painel de controle ou outro acesso ao servidor.
Além disso, SMF v1.1.x e 2.0.x usar um hash SHA1 de criptografia para a senha. Isso significa que, uma vez que o pirata tem a base de dados, existe a possibilidade de que ele possa descobrir as senhas. Embora SHA1 ainda é considerado seguro, é quebrável por meio da força bruta, especialmente tendo em conta o poder de máquinas nos dias de hoje; que levaria algum tempo, mas pode ser feito. (Mais uma vez, isto requer que um hacker já ganhou acesso ao seu banco de dados.) Para a próxima versão 2.1, nós mudamos o armazenamento de senha, criptografia e manipulação - mas note que esta mudança já estava em curso muito antes Avast.
Duas coisas que você pode fazer para se proteger:
a) Nunca use a mesma combinação de nome de usuário / senha em sites.
b) Se você executar um fórum, travar suas permissões de arquivo para baixo. Não deixá-los em chmod 666/777 (que é o que alguns anfitriões necessitam para instalar mods) Se você deve usar essas configurações para instalar um mod ou um tema, em seguida, alterar as permissões de volta a um conjunto mais restritivo (644/755 pelo menos, mas mesmo isso não é efectivamente protegido). Isso leva um pouco mais de trabalho (concessão e remover permissões cada vez que você quiser instalar um mod), mas faz o seu site mais seguro.
Tópico: Avast Forum Hack - Results of Analysis (Lida 9339 vezes)