URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104591
[ Назад ]

Исходное сообщение
"Взлом Bugzilla привёл к утечке информации о критических уязв..."

Отправлено opennews , 04-Сен-15 23:25 
Представители проекта Mozilla раскрыли (https://blog.mozilla.org/security/2015/09/04/improving-secur.../) информацию (https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/sec...) о выявленном  взломе сервиса отслеживания ошибок Bugzilla, в результате которого атакующие получили доступ к сведениям о 185 ошибках, закрытых для публичного просмотра. Следы активности злоумышленников были выявлены в августе, но непонятно как давно был совершён взлом. Первый неавторизированный вход зафиксирован в сентябре прошлого года, но имеются косвенные признаки, по которым в качестве наиболее вероятной даты называется сентябрь 2013 года.


Всё это время атаковавшие могли контролировать один из привилегированных аккаунтов, имеющий доступ к закрытым обсуждениям, в которых разбираются неисправленные критические уязвимости. Проанализировав возможные последствия взлома, представители Mozilla пришли к выводу, что атаковавшие могли получить сведения о 53 проблемах, описывающих опасные или критические уязвимости, из которых 43 узявимости уже были исправлены на момент их просмотра злоумышленниками, но 10 проблем оставались открыты.

Из 10 открытых проблем 2 были исправлены менее чем через 7 дней после утечки, 5 оставались открыты от 7 до 36 дней, оставшиеся уязвимости оставались неисправленными 131, 157 и 335 дней. Все имеющиеся проблемы были устранены  в вышедшем 27 августа обновлении Firefox 40.0.3 (http://www.opennet.me/opennews/art.shtml?num=42863). Одна из уязвимостей (в PDF.js), фигурировавших среди неисправленных проблем, в начале августа была использована (http://www.opennet.me/opennews/art.shtml?num=42743) злоумышленниками для распространения вредоносного ПО через рекламные блоки и сбора персональных данных пользователей.


Причиной взлома Bugzilla было пренебрежение правилами безопасности - владелец одного из привилегированных аккаунтов использовал один пароль к учетным записям на разных сайтах,  в том числе на одном из сайтов, пользовательская база которого попала в руки злоумышленников в результате взлома. Для предотвращения подобных инцидентов в будущем для всех привилегированных аккаунтов в Bugzilla инициирован процесс смены паролей и переход к обязательному применению двухфакторной аутентификации.

URL: https://blog.mozilla.org/security/2015/09/04/improving-secur.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42912


Содержание

Сообщения в этом обсуждении
"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено A.Stahl , 04-Сен-15 23:25 
>пренебрежение

Вот если бы это было не так, то было бы интересно. Современные системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько, что ломать их бесполезно. Ломать нужно людей.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 04-Сен-15 23:38 
Да ладно вам, это точно не про Bugzilla. Очень похоже, что взлом через дыру в Bugzilla умолчали и всё списали на утечку пароля пользователя.

http://www.opennet.me/opennews/art.shtml?num=40319
03.08.2014 Выявлена возможная утечка хэшей паролей разработчиков Mozilla

http://www.opennet.me/opennews/art.shtml?num=40491
29.08.2014  Проект Mozilla объявил о возможной утечке 97 тысяч аккаунтов тестового сервера Bugzilla

http://www.opennet.me/opennews/art.shtml?num=40766
07.10.2014 В Bugzilla устранена опасная уязвимость, открывшая новый вид атак на web-приложения

Обратим внимание на даты 29.08.2014 и 03.08.2014 в контексте фразы из нынешней новости "Первый неавторизированный вход зафиксирован в сентябре прошлого года". Интересное совпадение, правда?


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 04-Сен-15 23:42 
С сентябрём 2013 хорошо коррелирует эта новость http://www.opennet.me/opennews/art.shtml?num=37170

14.06.2013 Служба безопасности Mozilla прокомментировала утечку параметров аккаунтов 50 участников проекта - "Прямой или косвенной информации, свидетельствующей о возможной утечке хэшей паролей пока нет" - теперь есть:-)


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 07:41 
> Современные системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько, что ломать их бесполезно.

Я думал что таких тупых и наивных людей на этой планете просто нет.. ну, допустим, хотя бы среди осиливших писменность. Но опеннет никогда не перестаёт удивлять притягиванием подобных талантов.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Меломан1 , 05-Сен-15 22:19 
>>пренебрежение
> Вот если бы это было не так, то было бы интересно. Современные
> системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько,
> что ломать их бесполезно. Ломать нужно людей.

Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена файлов. 3. Храните копию шифрованных данных в облаке.
EncFS в помощь.



"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 07-Сен-15 21:03 
>>>пренебрежение
>> Вот если бы это было не так, то было бы интересно. Современные
>> системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько,
>> что ломать их бесполезно. Ломать нужно людей.
> Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена
> файлов. 3. Храните копию шифрованных данных в облаке.
> EncFS в помощь.

В облаке с чужим полным физическим доступом, да?


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Crazy Alex , 07-Сен-15 22:41 
Да. В облаке с полным чужим физическим доступом. Ваши данные, зашифрованные локально. Если вменяемо сделано (с чем у EncFS, насколько я помню, есть проблемы) - то всё вполне надёжно.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 04-Сен-15 23:34 
> использовал один пароль к учетным записям на разных сайтах

Ну кто бы сомневался в этих хипстерах.

>  к обязательному применению двухфакторной аутентификации.

Правильно. Пусть в мозилла корп остаются только хипстеры, которых к безопасности приучают пи..лями, в стойло. Правда вот мне кажется что безопаснее не станет.

И да, в всех этих планах почему-то не фигурирует "быстренько починить 185 багов". С хрена ли у них вообще 185 критикалов висит???


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 00:04 
Потому что они делают какой-то продукт, нет?

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Crazy Alex , 05-Сен-15 00:25 
Нет. Потому что приоритеты расставлены как в Майкрософте. а надо бы - СНАЧАЛА закрыть эти баги, а потом возвращаться ко всему остальному.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 02:06 
> СНАЧАЛА закрыть эти баги, а потом возвращаться ко всему остальному.

Ну так у них приоритет - срубить бабла с юзерей, выгодно продав userbase. При этом надо делать вид что все шоколадно, иначе продажи завянут. На самом деле может и не быть шоколадно - после слива бренда это уже всем пофиг будет. И даже если все развалится, манагеры успеют настрелять себе на яхты и виллы и вовремя сдрапают на другой Титаник.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 21:16 
Проблема в том, что пока ты исправишь все баги, тебя Chrome сожрет.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Crazy Alex , 06-Сен-15 03:21 
А так не сожрёт? Лично я после этой новости ни одному человеку мозиллу не порекомендую. Даже seamonkey - поостерегусь.

Да и пусть жрёт, в общем-то. Клюнет их жареный петух - глядишь, поменяют позицию. Ну, или другой кто подхватит. Учитывая, что они больше страдают разнообразной ерундой, чем браузер разрабатывают (ага, Daala и свой язык программирования - жуть как необходимы) - ресурсов,  видать, не так много надо.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 07-Сен-15 14:34 
Вы не поверите, но Daala куда более необходима, чем Firefox.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Crazy Alex , 07-Сен-15 22:39 
Чего ради? VP9 есть уже сейчас. Но - ок. переименовались бы в Daala Inc. и занимались бы только ею. Но нет - пытаются делать кучу вещей параллельно, с предсказуемым результатом - везде лажа какая-то.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено count0krsk , 11-Сен-15 11:48 
Это принцип Good Enough, его ещё китайцы используют )) В условиях конкурентной борьбы по-другому никак. Другое дело, что это как бы Open-source, какая тут борьба? По-идее можно качественный продукт делать, но видать бабло опять победило.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено draw , 05-Сен-15 00:29 
> Потому что они делают какой-то продукт, нет?

Вроде программы делают, а выходит только продукт какой-то... Может потому что критические баги не чинят?


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 01:48 
> Потому что они делают какой-то продукт, нет?

В последнее время они занимаются маркетинговым булшитом и монетизацией, по моим наблюдениям. И конечно же двухфакторная авторизация заменит хипстоте мозги. Тут один уже писал - мол, а в чем проблема засветить пароль? Я же смсочку получаю! Знаете, если пользователь кpeтин - там и десятифакторная авторизация не поможет.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Orsi , 05-Сен-15 02:58 
Не о каких 185 "ВИСЯЩИХ критикалах" речи нет . На момент утечки открыты были только 10 - читаем внимательнее . Перечисленны все о которых МОГЛИ узнать , открытые и исправленные вместе .

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Анончег , 05-Сен-15 05:15 
> Не о каких 185 "ВИСЯЩИХ критикалах" речи нет . На момент утечки
> открыты были только 10 - читаем внимательнее . Перечисленны все о
> которых МОГЛИ узнать , открытые и исправленные вместе .

"Шарик, ты балбес"(С)

Достаточно и одной единственной критической дыры, а их было как минимум десять !

Кого ты тут пытаешься обелить? Рукожопов из Моззилки, которые с 2013 года не знали что они взломаны? Пусть даже их взломали, но иметь такое количество критических ошибок и продолжать заниматься перепилкой интерфейсных рюшечек и запилом чатиков в браузер... это переходит всякие разумные границы.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено VEG , 05-Сен-15 06:00 
А как, интересно, ты предлагаешь узнать, что они взломаны, если просто кто-то посторонний просто пользовался учёткой одного из разработчиков? Очередной диванный аналитег?

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Crazy Alex , 05-Сен-15 16:45 
во-первых, раз уж мозилловцы стоько кричат о безопасности, могли бы у себя вменяемую безопасность поддерживать.

Во-вторых - то, что у них вообще месяцами (а то и годами) висели баги, которые они не рисковали обнародовать - уже достаточная причина, чтобы считать их рукожопами. Есть опасный баг? Останови разработку фич, переключи на него ресурсы, сделай хотя бы workaround, выкати, обнародуй информацию о проблеме, пофикси по-нормальному если возможно, а потом вернись к фичам. Это ж азбука.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Orsi , 05-Сен-15 08:15 
"Столько" ошибок за один день накопилось что ли ? Сколько у хрома , флеша или , не на ночь говоря , виндусни за один - два года ошибок ? Всё это исправляется . Долго разбирались только с 3 , остальные сразу пофиксили .

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Crazy Alex , 05-Сен-15 14:52 
ты дурак или прикидываешься? С тем же pdf.js, как только появился баг, угрожающий безопасности, и стало ясно, что за пол-дня его не закрыть - первое, что надо, по уму, делать - делать внеочередной апдейт, блокирующий его на фиг, раз уж у них политика такова, что о безопасности заботятся они, а не местный админ.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 18:00 
>  Всё это исправляется . Долго
> разбирались только с 3 , остальные сразу пофиксили .

Судя по
https://www.cvedetails.com/top-50-products.php
идут на рекорд –  не хватает самую малость, чтобы обогнать ядро по количеству ошибок в целом.
А уж если смотреть на "code execution errors", то лиса – несомненный чемпион, переплюнувший и адобу и жабу и осликов :)


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 00:19 
Security through obscurity wins!

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 09:57 
у нас бы виновен был сервис отслеживания ошибок

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Crazy Alex , 05-Сен-15 16:46 
Ну, у кго как...

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 10:49 
припрятали дыры и давай пилить псевдофичи, итог очевиден

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Xaionaro , 05-Сен-15 13:42 
Ну, тот же Red Hat делает так же… Не хочу разжигать очередную ветку бесполезной беседы по поводу systemd, но тем ни менее.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 06-Сен-15 08:30 
В редхете багзилла открыта. Может их там несколько, и в закрытых самые злобные баги перечислены, хз.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Xaionaro , 07-Сен-15 21:59 
> В редхете багзилла открыта.

Ну-ну:
- https://bugzilla.redhat.com/show_bug.cgi?id=859151
- https://bugzilla.redhat.com/show_bug.cgi?id=858746
- https://bugzilla.redhat.com/show_bug.cgi?id=859931
[...]

(искал баги безопаности, связанные с systemd)


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 06-Сен-15 09:33 
> Ну, тот же Red Hat делает так же… Не хочу разжигать очередную
> ветку бесполезной беседы по поводу systemd, но тем ни менее.

Редхат для начала воротит туеву хучу работы. А так то да, не ошибается тот кто ничего не делает.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Xaionaro , 07-Сен-15 22:03 
>> Ну, тот же Red Hat делает так же… Не хочу разжигать очередную
>> ветку бесполезной беседы по поводу systemd, но тем ни менее.
> Редхат для начала воротит туеву хучу работы.

Никак не противоречит сказанному мной.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Megabit , 05-Сен-15 14:58 
Что-то мне говорит, что релизы от "мурзилки" сейчас посыпятся как из рога изобилия, прикрывая этим то самое "латание" рассекреченных дыр... ;)

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 15:33 
Взлом Bugzilla?

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 15:52 
Пароль 123 у разработчика Mozilla

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 05-Сен-15 16:44 
Очень лаконичная беседа!

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 06-Сен-15 03:29 
>Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена файлов. 3. Храните копию шифрованных данных в облаке.

EncFS в помощь.

Вот именно через "облако" пароли и пропадают! Лучше уж назначить сложный пароль, чем хранить все в "облаке".

P.S. А зачем шифровать? Вам есть, что скрывать?


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 06-Сен-15 09:34 
> P.S. А зачем шифровать? Вам есть, что скрывать?

Ну так вы опубликуйте сюда ваши логины, пароли, паспортные данные, номера кредиток и что там еще. А мы посмотрим - есть вам что скрывать, или нет :)


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 07-Сен-15 21:11 
>> P.S. А зачем шифровать? Вам есть, что скрывать?
> Ну так вы опубликуйте сюда ваши логины, пароли, паспортные данные, номера кредиток
> и что там еще. А мы посмотрим - есть вам что
> скрывать, или нет :)

Вы серьезно оба считаете, что шифрование в облаке при физическом доступе к виртуальной машине третьих лиц от чего бы то ни было спасет?


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 08-Сен-15 11:17 
> Вы серьезно оба считаете, что шифрование в облаке при физическом доступе к
> виртуальной машине третьих лиц от чего бы то ни было спасет?

Очень зависит от того где делается шифрование и где хранится ключ.



"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Crazy Alex , 09-Сен-15 00:38 
И от кого защищаемся. Если облако Амазона - то скорее всего ФСБ у нему таки доступа не имеет.

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 09-Сен-15 03:33 
> скорее всего ФСБ у нему таки доступа не имеет.

Вот это бабушка надвое сказала. Начиная от того что даже они таки могут кой-как сколотить хакерскую группировку для поимения потенциального противника и заканчивая тем что "ворон ворону глаз не выклюет" и поэтому по ряду вопросов можно и договориться, даже и не в лучшие времена. Ну вон какие-нибудь решения интерпола - худо-бедно выполняются же.


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 06-Сен-15 14:40 
>владелец одного из привилегированных аккаунтов использовал один пароль к учетным > записям на разных сайтах, в том числе на одном из сайтов, пользовательская база > которого попала в руки злоумышленников в результате взлома

ashley madison что-ли? серьёзно?


"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Анатолий , 06-Сен-15 17:11 
Mozilla и меня разочаровывали последнее время, уходим на аналог, отечественный лучше бы для поддержки. На возражения могу ответить, что сейчас как раз самое время создать что-то стоящее. Давно пора, не умничать и критиковать, а делать...

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено Аноним , 06-Сен-15 18:21 
Ага пользуйся своим проприетарным Yandex Browser!

"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено пох , 08-Сен-15 19:46 
> Mozilla и меня разочаровывали последнее время, уходим на аналог, отечественный лучше бы
> для поддержки. На возражения могу ответить, что сейчас как раз самое
> время создать что-то стоящее. Давно пора, не умничать и критиковать, а
> делать...

ну сделай, чо. Проект PaleMoon был поднят одним человеком, помогать ему стали потом, когда оно уже было работающим хотя бы на одной платформе.

Предвижу эпикфейл в виду полного отсутствия в Рашке отечественных программистов подобного рода, не занятых по двенадцать часов в день работой на жрат.
Для студента в летние каникулы - объем немножко великоват даже для подобного форка. Не говоря уже о попытках слепить свое с нуля или с какой-нибудь хорошей точки но в далеком прошлом, чтобы не спотыкаться о кривые лицензии.



"Взлом Bugzilla привёл к утечке информации о критических уязв..."
Отправлено count0krsk , 11-Сен-15 11:55 
И именно поэтому нужно создать новое "Министерство по развитию программного обеспечения", поставить туда главой Васильеву, и начать многомиллиардное имортозамещение.