Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
OpenSSL.org shackowane dzięki…słabym hasłom
Po kilku fragmentarycznych i niepełnych wyjaśnieniach wiemy już, że atak na openssl.org nastąpił poprzez słabe hasła dostępowe w infrastrukturze hostingodawcy, co dało atakującym dotęp do konsoli zarządczej hypervisora. Fakt ten właśnie potwierdzili sami zainteresowani – na stronach projektu openssl:
The OpenSSL server is a virtual server which shares a hypervisor with other customers of the same ISP. Our investigation found that the attack was made through insecure passwords at the hosting provider, leading to control of the hypervisor management console, which then was used to manipulate our virtual server.
Jak się kolejny raz okazuje, mimo dobrze opracowanej teorii wbrew pozorom nie jest łatwo wdrożyć bezpieczną politykę haseł.
–ms
Bullshit. TORowicze piszą zupełnie coś innego (turasy się pochwaliły wykryciem podatności w systemie, chcą ją opchnąć za 160BTC). Wyciekła też jakaś dokumentacja i baza maili, ale nie chciało mi się tego sprawdzać. Dopiero wróciłem z sylwestra :D
„Jeżeli ruchasz się z zabezpieczeniem własnej roboty, które pęknie, zwal wszystko na hosta”.