Зафиксирован взлом сайта OpenSSL
29 декабря 2013 года
В сети появились сведения о возможном взломе элементов инфраструктуры проекта OpenSSL, в рамках которого развивается популярная свободная библиотека с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. При открытии сайта проекта пользователям выдавалась страница с информацией злоумышленников о совершённом дефейсе.
Следует отметить, что следы дефейса наблюдались около двух часов назад. В настоящий момент сайты www.openssl.org, openssl.net и www.openssl.net отдают информацию в штатном режиме, а сайт openssl.org не отвечает на запросы и указывает на IP почтового сервера. Никакой официальной информации о взломе и деталей возникновения инцидента пока не опубликовано.
В качестве наиболее вероятного сценария атаки можно предположить совершение перенаправления пользователей на хост злоумышленников через подмену данных на уровне DNS. Данные о взломе подтверждены в твиттере турецкой группы TurkGuvenligi, которая была упомянута на странице, отображаемой после проведения дефейса. Группа TurkGuvenligi ранее получила известность совершением атаки на регистраторов доменов, которая привела к перенаправлению сайтов Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register.
Вероятно и в случае с OpenSSL.org атака совершена на стороне регистратора. В пользу данной версии говорит отсутствие упоминаний о дефейсе openssl.net, размещённом на том же виртуальном хосте, что и www.openssl.org. Против данной гипотезы выступает упоминание некоторыми пользователями возможности доступа к остальным страницам сайта при подмене только заглавной страницы (не исключено, что эти страницы могли быть отображены из кэша или отзеркалированы атакующими на подставной хост) и отсутствие вывода предупреждения при доступе к подменённой странице по HTTPS.
Дополнение от 30 декабря: Разработчики OpenSSL подтвердили факт подмены содержимого страницы на сайте через проникновение на сервер инфраструктуры проекта. Сообщается лишь то, что репозитории с кодом не пострадали и были верифицированы на предмет внесения возможных изменений. Подробности пока не приводятся, но будут представлены в специальном отчёте.
Дополнение от 31 декабря: Опубликованы (Архивная копия от 17 июля 2015 на Wayback Machine) первые детали взлома сайта OpenSSL. Сайт проекта был размещён не на отдельном сервере, а в виртуальном окружении одного из хостинг-провайдеров. Атакующие получили доступ к содержимому окружения через эксплуатацию уязвимости в гипервизоре. Уязвимостей в конфигурации окружения проекта OpenSSL не зафиксировано. Никаких изменений, кроме подмены файла index.html, не выявлено.
Дополнение от 3 января: Расследование показало (Архивная копия от 17 июля 2015 на Wayback Machine), что атака выполнена через подбор нестойкого пароля у хостинг-провайдера. Получив доступ к консоли гипервизора, злоумышленники получили полный доступ к виртуальной машине проекта OpenSSL. Ничего не было изменено, кроме файла index.html.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
