Представители проекта Mozilla раскрыли (https://blog.mozilla.org/security/2015/09/04/improving-secur.../) информацию (https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/sec...) о выявленном взломе сервиса отслеживания ошибок Bugzilla, в результате которого атакующие получили доступ к сведениям о 185 ошибках, закрытых для публичного просмотра. Следы активности злоумышленников были выявлены в августе, но непонятно как давно был совершён взлом. Первый неавторизированный вход зафиксирован в сентябре прошлого года, но имеются косвенные признаки, по которым в качестве наиболее вероятной даты называется сентябрь 2013 года.
Всё это время атаковавшие могли контролировать один из привилегированных аккаунтов, имеющий доступ к закрытым обсуждениям, в которых разбираются неисправленные критические уязвимости. Проанализировав возможные последствия взлома, представители Mozilla пришли к выводу, что атаковавшие могли получить сведения о 53 проблемах, описывающих опасные или критические уязвимости, из которых 43 узявимости уже были исправлены на момент их просмотра злоумышленниками, но 10 проблем оставались открыты.Из 10 открытых проблем 2 были исправлены менее чем через 7 дней после утечки, 5 оставались открыты от 7 до 36 дней, оставшиеся уязвимости оставались неисправленными 131, 157 и 335 дней. Все имеющиеся проблемы были устранены в вышедшем 27 августа обновлении Firefox 40.0.3 (http://www.opennet.me/opennews/art.shtml?num=42863). Одна из уязвимостей (в PDF.js), фигурировавших среди неисправленных проблем, в начале августа была использована (http://www.opennet.me/opennews/art.shtml?num=42743) злоумышленниками для распространения вредоносного ПО через рекламные блоки и сбора персональных данных пользователей.
Причиной взлома Bugzilla было пренебрежение правилами безопасности - владелец одного из привилегированных аккаунтов использовал один пароль к учетным записям на разных сайтах, в том числе на одном из сайтов, пользовательская база которого попала в руки злоумышленников в результате взлома. Для предотвращения подобных инцидентов в будущем для всех привилегированных аккаунтов в Bugzilla инициирован процесс смены паролей и переход к обязательному применению двухфакторной аутентификации.URL: https://blog.mozilla.org/security/2015/09/04/improving-secur.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42912
>пренебрежениеВот если бы это было не так, то было бы интересно. Современные системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько, что ломать их бесполезно. Ломать нужно людей.
Да ладно вам, это точно не про Bugzilla. Очень похоже, что взлом через дыру в Bugzilla умолчали и всё списали на утечку пароля пользователя.http://www.opennet.me/opennews/art.shtml?num=40319
03.08.2014 Выявлена возможная утечка хэшей паролей разработчиков Mozillahttp://www.opennet.me/opennews/art.shtml?num=40491
29.08.2014 Проект Mozilla объявил о возможной утечке 97 тысяч аккаунтов тестового сервера Bugzillahttp://www.opennet.me/opennews/art.shtml?num=40766
07.10.2014 В Bugzilla устранена опасная уязвимость, открывшая новый вид атак на web-приложенияОбратим внимание на даты 29.08.2014 и 03.08.2014 в контексте фразы из нынешней новости "Первый неавторизированный вход зафиксирован в сентябре прошлого года". Интересное совпадение, правда?
С сентябрём 2013 хорошо коррелирует эта новость http://www.opennet.me/opennews/art.shtml?num=3717014.06.2013 Служба безопасности Mozilla прокомментировала утечку параметров аккаунтов 50 участников проекта - "Прямой или косвенной информации, свидетельствующей о возможной утечке хэшей паролей пока нет" - теперь есть:-)
> Современные системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько, что ломать их бесполезно.Я думал что таких тупых и наивных людей на этой планете просто нет.. ну, допустим, хотя бы среди осиливших писменность. Но опеннет никогда не перестаёт удивлять притягиванием подобных талантов.
>>пренебрежение
> Вот если бы это было не так, то было бы интересно. Современные
> системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько,
> что ломать их бесполезно. Ломать нужно людей.Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена файлов. 3. Храните копию шифрованных данных в облаке.
EncFS в помощь.
>>>пренебрежение
>> Вот если бы это было не так, то было бы интересно. Современные
>> системы защиты, применяемые в чём-то секретней общественного туалета, наворочены настолько,
>> что ломать их бесполезно. Ломать нужно людей.
> Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена
> файлов. 3. Храните копию шифрованных данных в облаке.
> EncFS в помощь.В облаке с чужим полным физическим доступом, да?
Да. В облаке с полным чужим физическим доступом. Ваши данные, зашифрованные локально. Если вменяемо сделано (с чем у EncFS, насколько я помню, есть проблемы) - то всё вполне надёжно.
> использовал один пароль к учетным записям на разных сайтахНу кто бы сомневался в этих хипстерах.
> к обязательному применению двухфакторной аутентификации.
Правильно. Пусть в мозилла корп остаются только хипстеры, которых к безопасности приучают пи..лями, в стойло. Правда вот мне кажется что безопаснее не станет.
И да, в всех этих планах почему-то не фигурирует "быстренько починить 185 багов". С хрена ли у них вообще 185 критикалов висит???
Потому что они делают какой-то продукт, нет?
Нет. Потому что приоритеты расставлены как в Майкрософте. а надо бы - СНАЧАЛА закрыть эти баги, а потом возвращаться ко всему остальному.
> СНАЧАЛА закрыть эти баги, а потом возвращаться ко всему остальному.Ну так у них приоритет - срубить бабла с юзерей, выгодно продав userbase. При этом надо делать вид что все шоколадно, иначе продажи завянут. На самом деле может и не быть шоколадно - после слива бренда это уже всем пофиг будет. И даже если все развалится, манагеры успеют настрелять себе на яхты и виллы и вовремя сдрапают на другой Титаник.
Проблема в том, что пока ты исправишь все баги, тебя Chrome сожрет.
А так не сожрёт? Лично я после этой новости ни одному человеку мозиллу не порекомендую. Даже seamonkey - поостерегусь.Да и пусть жрёт, в общем-то. Клюнет их жареный петух - глядишь, поменяют позицию. Ну, или другой кто подхватит. Учитывая, что они больше страдают разнообразной ерундой, чем браузер разрабатывают (ага, Daala и свой язык программирования - жуть как необходимы) - ресурсов, видать, не так много надо.
Вы не поверите, но Daala куда более необходима, чем Firefox.
Чего ради? VP9 есть уже сейчас. Но - ок. переименовались бы в Daala Inc. и занимались бы только ею. Но нет - пытаются делать кучу вещей параллельно, с предсказуемым результатом - везде лажа какая-то.
Это принцип Good Enough, его ещё китайцы используют )) В условиях конкурентной борьбы по-другому никак. Другое дело, что это как бы Open-source, какая тут борьба? По-идее можно качественный продукт делать, но видать бабло опять победило.
> Потому что они делают какой-то продукт, нет?Вроде программы делают, а выходит только продукт какой-то... Может потому что критические баги не чинят?
> Потому что они делают какой-то продукт, нет?В последнее время они занимаются маркетинговым булшитом и монетизацией, по моим наблюдениям. И конечно же двухфакторная авторизация заменит хипстоте мозги. Тут один уже писал - мол, а в чем проблема засветить пароль? Я же смсочку получаю! Знаете, если пользователь кpeтин - там и десятифакторная авторизация не поможет.
Не о каких 185 "ВИСЯЩИХ критикалах" речи нет . На момент утечки открыты были только 10 - читаем внимательнее . Перечисленны все о которых МОГЛИ узнать , открытые и исправленные вместе .
> Не о каких 185 "ВИСЯЩИХ критикалах" речи нет . На момент утечки
> открыты были только 10 - читаем внимательнее . Перечисленны все о
> которых МОГЛИ узнать , открытые и исправленные вместе ."Шарик, ты балбес"(С)
Достаточно и одной единственной критической дыры, а их было как минимум десять !
Кого ты тут пытаешься обелить? Рукожопов из Моззилки, которые с 2013 года не знали что они взломаны? Пусть даже их взломали, но иметь такое количество критических ошибок и продолжать заниматься перепилкой интерфейсных рюшечек и запилом чатиков в браузер... это переходит всякие разумные границы.
А как, интересно, ты предлагаешь узнать, что они взломаны, если просто кто-то посторонний просто пользовался учёткой одного из разработчиков? Очередной диванный аналитег?
во-первых, раз уж мозилловцы стоько кричат о безопасности, могли бы у себя вменяемую безопасность поддерживать.Во-вторых - то, что у них вообще месяцами (а то и годами) висели баги, которые они не рисковали обнародовать - уже достаточная причина, чтобы считать их рукожопами. Есть опасный баг? Останови разработку фич, переключи на него ресурсы, сделай хотя бы workaround, выкати, обнародуй информацию о проблеме, пофикси по-нормальному если возможно, а потом вернись к фичам. Это ж азбука.
"Столько" ошибок за один день накопилось что ли ? Сколько у хрома , флеша или , не на ночь говоря , виндусни за один - два года ошибок ? Всё это исправляется . Долго разбирались только с 3 , остальные сразу пофиксили .
ты дурак или прикидываешься? С тем же pdf.js, как только появился баг, угрожающий безопасности, и стало ясно, что за пол-дня его не закрыть - первое, что надо, по уму, делать - делать внеочередной апдейт, блокирующий его на фиг, раз уж у них политика такова, что о безопасности заботятся они, а не местный админ.
> Всё это исправляется . Долго
> разбирались только с 3 , остальные сразу пофиксили .Судя по
https://www.cvedetails.com/top-50-products.php
идут на рекорд – не хватает самую малость, чтобы обогнать ядро по количеству ошибок в целом.
А уж если смотреть на "code execution errors", то лиса – несомненный чемпион, переплюнувший и адобу и жабу и осликов :)
Security through obscurity wins!
у нас бы виновен был сервис отслеживания ошибок
Ну, у кго как...
припрятали дыры и давай пилить псевдофичи, итог очевиден
Ну, тот же Red Hat делает так же… Не хочу разжигать очередную ветку бесполезной беседы по поводу systemd, но тем ни менее.
В редхете багзилла открыта. Может их там несколько, и в закрытых самые злобные баги перечислены, хз.
> В редхете багзилла открыта.Ну-ну:
- https://bugzilla.redhat.com/show_bug.cgi?id=859151
- https://bugzilla.redhat.com/show_bug.cgi?id=858746
- https://bugzilla.redhat.com/show_bug.cgi?id=859931
[...](искал баги безопаности, связанные с systemd)
> Ну, тот же Red Hat делает так же… Не хочу разжигать очередную
> ветку бесполезной беседы по поводу systemd, но тем ни менее.Редхат для начала воротит туеву хучу работы. А так то да, не ошибается тот кто ничего не делает.
>> Ну, тот же Red Hat делает так же… Не хочу разжигать очередную
>> ветку бесполезной беседы по поводу systemd, но тем ни менее.
> Редхат для начала воротит туеву хучу работы.Никак не противоречит сказанному мной.
Что-то мне говорит, что релизы от "мурзилки" сейчас посыпятся как из рога изобилия, прикрывая этим то самое "латание" рассекреченных дыр... ;)
Взлом Bugzilla?
Пароль 123 у разработчика Mozilla
Очень лаконичная беседа!
>Поддерживаю. Могу только добавить напоминание: 1. Шифруйте свои данные. 2. Шифруйте имена файлов. 3. Храните копию шифрованных данных в облаке.EncFS в помощь.
Вот именно через "облако" пароли и пропадают! Лучше уж назначить сложный пароль, чем хранить все в "облаке".
P.S. А зачем шифровать? Вам есть, что скрывать?
> P.S. А зачем шифровать? Вам есть, что скрывать?Ну так вы опубликуйте сюда ваши логины, пароли, паспортные данные, номера кредиток и что там еще. А мы посмотрим - есть вам что скрывать, или нет :)
>> P.S. А зачем шифровать? Вам есть, что скрывать?
> Ну так вы опубликуйте сюда ваши логины, пароли, паспортные данные, номера кредиток
> и что там еще. А мы посмотрим - есть вам что
> скрывать, или нет :)Вы серьезно оба считаете, что шифрование в облаке при физическом доступе к виртуальной машине третьих лиц от чего бы то ни было спасет?
> Вы серьезно оба считаете, что шифрование в облаке при физическом доступе к
> виртуальной машине третьих лиц от чего бы то ни было спасет?Очень зависит от того где делается шифрование и где хранится ключ.
И от кого защищаемся. Если облако Амазона - то скорее всего ФСБ у нему таки доступа не имеет.
> скорее всего ФСБ у нему таки доступа не имеет.Вот это бабушка надвое сказала. Начиная от того что даже они таки могут кой-как сколотить хакерскую группировку для поимения потенциального противника и заканчивая тем что "ворон ворону глаз не выклюет" и поэтому по ряду вопросов можно и договориться, даже и не в лучшие времена. Ну вон какие-нибудь решения интерпола - худо-бедно выполняются же.
>владелец одного из привилегированных аккаунтов использовал один пароль к учетным > записям на разных сайтах, в том числе на одном из сайтов, пользовательская база > которого попала в руки злоумышленников в результате взломаashley madison что-ли? серьёзно?
Mozilla и меня разочаровывали последнее время, уходим на аналог, отечественный лучше бы для поддержки. На возражения могу ответить, что сейчас как раз самое время создать что-то стоящее. Давно пора, не умничать и критиковать, а делать...
Ага пользуйся своим проприетарным Yandex Browser!
> Mozilla и меня разочаровывали последнее время, уходим на аналог, отечественный лучше бы
> для поддержки. На возражения могу ответить, что сейчас как раз самое
> время создать что-то стоящее. Давно пора, не умничать и критиковать, а
> делать...ну сделай, чо. Проект PaleMoon был поднят одним человеком, помогать ему стали потом, когда оно уже было работающим хотя бы на одной платформе.
Предвижу эпикфейл в виду полного отсутствия в Рашке отечественных программистов подобного рода, не занятых по двенадцать часов в день работой на жрат.
Для студента в летние каникулы - объем немножко великоват даже для подобного форка. Не говоря уже о попытках слепить свое с нуля или с какой-нибудь хорошей точки но в далеком прошлом, чтобы не спотыкаться о кривые лицензии.
И именно поэтому нужно создать новое "Министерство по развитию программного обеспечения", поставить туда главой Васильеву, и начать многомиллиардное имортозамещение.