14:49
1/3/2011

Włamanie na 4programmers.net

Z licznych wiadomości nadesłanych na naszą skrzynkę kontaktową wynika, ze popularny wśród programistów serwis internetowy 4programmers.net padł ofiarą włamania.

Atak, o którym niewiele wiadomo…

Wczoraj strona główna serwisu była nieosiągalna, a na oficjalnym profilu serwisu 4programmers.net na Facebooku można było przeczytać

W związku z włamaniem na serwer, prosimy o profilaktyczną zmianę swoich haseł do profilu w serwisie 4programmers.net

Dziś kilkanaście osób podesłało nam e-maila, jakiego otrzymali od administracji 4programmers.net:

Witaj $foo,

W związku z włamaniem na serwer 4programmers.net, prosimy o profilaktyczną zmianę hasła
do swojego konta: $bar.

Formularz logowania: http://4programmers.net/Logowanie
Formularz zmiany hasła: http://4programmers.net/User/Psw
Formularz przypominania hasła: http://4programmers.net/User/Password

Przepraszamy za trudności,
pozdrawiamy

Serwis 4programmers.net

W listach do Niebezpiecznika zwracaliście uwagę na to, że nigdzie nie opisano szczegółów związanych z atakiem i że ciężko jest się dowiedzieć co dokładnie się stało, jakie dane zostały wykradzione i czy należy się tym przejmować.

Sprawna komunikacja ważnym elementem bezpieczeństwa

Na forum serwisu toczy się dyskusja, z której wynika, że hasła były przechowywane jako skróty sha256 (bez salta), ale jak twierdzi Adam Boduch, administrator 4programmers.net — włamywacz tak zmodyfikował kod źródłowy serwisu, że wpisywane przez użytkowników hasła trafiły do niego w jawnej postaci.

4programmers.net

4programmers.net

Powyższą dyskusję na forum polecam do poczytania wszystkim osobom odpowiedzialnym w firmach za komunikację i bezpieczeństwo — zobaczie co się dzieje, jeśli o włamaniu informuje się w sposób zdawkowy, nieprzekonujący i nierozwiewający wszelkich wątpliwości — użytkownicy 4programmers.net ciągle nie wiedzą gdzie była luka, kim był atakujący oraz czy dziura została załatana, a przede wszystkim, przez jaki czas w systemie znajdował się backdoor? Mamy nadzieję, że administracja serwisu zna odpowiedzi na te pytania, ale ich nie podaje do publicznej wiadomości bo jest tak pochłonięta analizą powłamaniową, że na nic innego nie ma czasu ;)

Aktualizacja 2.03.2011, 13:03
Administracja 4programmers.net opublikowała bardziej szczegółowe oświadczenie.

Przeczytaj także:


40 komentarzy

Dodaj komentarz
  1. Po włamaniu na filmweb zacząłem używać KeePass’a… Jakoś się już nie przejmuję takimi atakami :D

    • co ci naprawde da ten program :P

    • @BSL – domyślam się, że misgrey nie mówi o samym przechowywaniu haseł, a o tworzeniu losowych. Bez programu jak KeePass niemożliwym byłoby stosowanie osobnych, wygenerowanych haseł dla każdego serwisu/strony (bez zapominania ich). Tak więc, jeśli nie stosuje się “jednego (loginu i hasła) by wszystkimi rządzić”, to fakt, że ktoś zdąbędzie login/pass po takim włamie nie jest niczym strasznym.

    • @ihateheadcrabs
      ee…? To ja muszę gdzieś zapisywać moje wszystkie hasła? Damn, nie wiedziałem i do każdego serwisu używam różnych haseł, które (hasla, nie serwisy) od czasu do czasu zmieniam, a nie spisuję ich nigdzie :/
      Teraz to wszystkie (albo tylko niektóre?) zapomnę :(

    • Nie rozumiem za bardzo… :D KeePass generuje mi losowe hasła do każdej strony, dlatego jeśli na którejś z nich będzie włamanie, to niczego nie muszę się obawiać bo zmieniam hasło tylko na niej, a nie dziesiątkach innych, na których mam zarejestrowane konta.

    • Oczywiście różne hasła dla różnych serwisów sie ceni. Ale są takie serwisy, gdzie trzymasz prywatne dane, prawda? Na przykład elektroniczne skrzynki pocztowe. Nie wydaje Ci się, że, gdy Twoje dane osobowe trafią w niepowołane ręce, możesz odczuwać co najmneij pewien dyskomfort?

  2. pomyslowy sposob na poznanie zahashowanych passów ;0 ciekawe jak dlugo tam siedzial ten backdoor i co się stało że wkoncu go odkryli

  3. @fifu
    A jak Twoje serwisy działają w 100% prawidłowo to sprawdzasz co miesiąc kody źródłowe na serwie czy przypadkiem nie pojawił się z nikąd bonusowy kod? ;) Przypuszczam, że nikt tego nie robi (bo od tego są logi serwera, które można sfałszować ;))

  4. Przyjmują zasadę jak działa to nie ruszać ;-)

  5. @misgrey: ty tak na serio, czy trollujesz?

  6. Ale co ten miesiąc mogli by porównać pliki z tymi w backupie

  7. Ale te docinki to mogliście zostawić dla siebie. :0

  8. Również dostałem maila z prośbą o zmianę hasła ;p

  9. @misgrey to żeś teraz poleciał po bandzie ;)

  10. spoko. do każdego forum, maila, konta na profilu społecznościowym mam inne hasło. :)

  11. Czy wy też macie wrażenie, że odkąd zaczęli linkować niebezpiecznika na wykop więcej trolli i pokemonów się tu wypowiada?

    • Właśnie bardzo podobna refleksja mnie naszła… ;-)

    • Daj nicki, będziemy ciąć, moderować, ubijać, plonkować, killfile’ować ;)

    • wypraszam sobie. wchodzę na niebezpiecznika od ponad pół roku!:)

  12. Najlepsze w tym wszystkim jest (nie)działanie administracji. Brak oficjalnego stanowiska, mętne tłumaczenia i zaprzeczanie sobie nie świadczą dobrze o profesjonalizmie jakoby największego polskiego forum dla programistów.

  13. Znaczy że rozdzielanie kodu od treści jest jeszcze bardziej przydatne niż do tej pory myślałem, bo można zrobić md5($źródła) i łatwo wykryć który plik został zmieniony.

    Niby takie proste i oczywiste, a dopiero teraz sobie to uświadomiłem.

  14. Może dziury długo nie mogli załatać, a informacja o tym co rozpruto/co naprawiają naraziłaby serwis na kolejne ataki? Łatwo jest gdybać i wymyślać teorie, jak się nie zna całego obrazka.

    • Sergi: właśnie o to chodzi, że oświadczenie “Wszystko jest już pod kontrolą” lub “Serwis przechodzi gruntowną naprawę, szczegóły podamy w późniejszym terminie, aby nie ułatwiać pracy kolejnym amatorom włamań” lub “cokolwiek innego tłumaczącego co się stało” jest lepsze niż nic, bo ucina gdybanie ;) [i zauważ proszę, że w tekście nie gdybamy na temat tego co się stało]

    • Rozumiem, ale nie piję do artykułu, tylko do komentarzy wszystkich znawców i specjalistów, co to z niejednego racka RAIDy wyciągali ;)

  15. A w stopce serwisu widnieje nazwa CMSa + jego wersja, no chyba, że podana wersja ma zmylić atakującego, i tak naprawdę jest inna…

    • A co za roznica czy napisali czy nie, skoro to ich autorski CMS i z gory wiadomo ktorej wersji uzywaja?

  16. Wydaje mi się że admini zadziałali w następujący sposób:
    1. Usunięcie zmiany w kodzie
    2. Wysłanie prośby o zmianie hasła
    3. Analiza źródła problemu i usunięcie dziury
    4. Publikacja informacji wyjaśniającej

    Tak więc wygląda, że są na etapie pkt 3.

  17. Też dostałem takiego “zabawnego” maila…

  18. Rzeczywiście od czasu publikacji linków na wykopie poziom komentarzy spada poniżej normy…

    • Ano… za komuny to byly dobre czasy….

  19. Dominik Podgórski: dobrnęliśmy do punktu 4.
    Cóż można rzec – zdarza się najlepszym. Zrobimy co możemy by sytuacja się nie powtórzyła.

    • Nie mówię, że nie… ważne, że już posprzątane. Ważne, aby wyciągnąć z tej nauki odpowiednie wnioski.

      Pozdrawiam :)

  20. Szkoda, że nie wszyscy są tak otwarci i przejrzyści w dzieleniu się swoimi doświadczeniami jak zespół Apache’a: https://blogs.apache.org/infra/entry/apache_org_04_09_2010

  21. A mi wpadl taki oto pomysl:
    1. Ktos sie wlamuje na strone
    2. Dodaje zlosliwy kod, ktory loguje wprowadzane hasla
    3. Wysyla maila z informacja o wlamaniu i prosi o zmiane hasel
    Wynik: w rezultacie poznaje oba hasla: stare i nowe :)

  22. Włamanie miało miejsce 26 lutego i wiedziała o tym cała administracja!

    Teraz twierdzą, że wyszło to na jaw 28 lutego

    http://forum.4programmers.net/Spolecznosc/175507-oficjalne_stanowisko_w_sprawie_wlamania_na_serwer

    To ciekawe, że ja już słyszałem to od ludzi tam pracujących 26 lutego, że był włam i wszystko zataili!

    • W configu który siedzi na SVN nie ma żadnych intymnych informacji. Może najpierw sprawdź zanim zrobisz szum?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: