Организация Apache Software Foundation обнародовала (https://blogs.apache.org/infra/entry/apache_org_04_09_2010) информацию о проведении неизвестными злоумышленниками атаки, связанной с организацией перехвата паролей разработчиков через подмену формы авторизации для сервисов отслеживания ошибок Atlassian JIRA, Confluence и Bugzilla. Всем пользователям вышеуказанных сервисов, осуществлявших работу в системе с 6 по 9 апреля рекомендуется срочно сменить пароль. Так как злоумышленники получили доступ к базам с хэш-функциями паролей рекомендация о смене пароля также адресована пользователям, использующим простые или словарные пароли.
Хронология взлома выглядит следующим образом: 5 апреля злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на проблемы с открытием некоторых страниц на сайтах Apache и приложили ссылку, демонстрирующую суть проблемы и указывающую на страницу, на которую был добавлен JavaScript-код, осуществляющий перехват сессионных...URL: https://blogs.apache.org/infra/entry/apache_org_04_09_2010
Новость: http://www.opennet.me/opennews/art.shtml?num=26219
Интересная атака.
Технично :)
Казалось бы, взрослые дяди...
Между прочим, очередное подтверждение, что используемая ось не имеет значения. Слабое звено - прокладка между стулом и клавиатурой.
Всего делов то - не лазить по незнакомым сайтам с включённым JS, ну или включить его для нужных доменов и можно нибаяцца никого :-D
Техническая сторона имеет второстепенное значение, поскольку и так в любом ПО есть ошибки, на которых можно хорошо сыграть лишь с помощью людей. Главное и последнее в цепочке — это доверие самих людей к взломщику (к тем ресурсам, которые выглядят как настоящие).В своё время Кевин Митник действовал похожим образом, когда люди сами сообщали ему всю или часть доверенной информации, из кусочков которой он складывал мозаику операций по взлому.
Прям как в кино! Нужно Cпилбергу подкинуть сценарий :-) Классика жанра!
Очень технично и показательно! На таких жуликов приятно смотреть. Особого уважения они заслуживают, если не причиняют людям реального вреда.
Апачевские админы тоже молодцы - следят значит! Другие могли бы и не заметить.
"Жулики" уже лет пять в той же обойме, что и наркоторговля. Не знаю насчёт этих конкретных, но что не цветочки собирать вышли и не круто выпендриться, а бабла срубить -- очень сильно подозреваю.
прочел как хороший детектив =)
Ничего нового, социальная инженерия ещё рулит и будет рулить
ну и в довершении хочется добавить, что данная статья - xss-атака с целью завладеть хешами паролей пользователей, оставивших здесь комментарии, чтобы потом совершить brute-атаку на опеннет с целью получения пароля администратора, с целью получить права на изменение конфигурации, с целью выполнить скрипт в директории, разрешенной на запись. Чтобы потом на каком-нибудь ресурсе было кому чего писать :)
хехе, не жмите на ссылку, по крайней мере в той же сессии браузера ;)
Прикалываишься... В отличии от Апачевских админоф, у нас всегда включён NoScript и AdBlock
можешь ради интереса попытаться поработать с мегапродукцией Atlassian обвешанный этими архиполезными свистелками;-)
>можешь ради интереса попытаться поработать с мегапродукциейВот вы и работайте с мегапродукцией и попутно просирайте ваши пароли, логины, почту в гмыле и что там еще. Нет, если вам нравится бесконтрольное выполнение JS которое в вебприложениях может быть весьма опасно по последствиям - вы в вашем праве прыгать по минному полю без миноискателя ;).
39% из "нас" пользуется дырявой проприетарщиной. 25% оперой и почти 14%... барабанная дробь... Internet Explorer. =)
Приятно, что настолько открыто и подробно об этом написали. Молодцы.
интересно, а цель какая была? коммит трояна в SVN-дерево апача?
А сколько всего в мире было взломано сервисов по такой схеме, наверное и не пересчитать.
Интересно и хронологично расписано, как будто боевые действия на фронте. Нынче армия нужна лишь для того, чтобы совсем нагло не захватили страну, а также для подавления внутренних конфликтов.
Скажите, https://developer.mozilla.org/ тоже кто-то взлому подверг после длительного ДДОСа?
Или опенсорс пал жертвой собственной популярности? =)
ИМХО, неуязвимых систем не бывает так что всё есть опыт - сын ошибок трудных, и гений - парадоксов друг, как говаривал классик
И случай, Бог изобретатель.
Во всех таких сообщениях меня настораживает одно, почему сервис не проверяет с какого ip пришла кука? Если разрешить только с того IP с которого логинились, то проблема перехвата куки перестает нас волновать.Много-ли провайдеров которые меняют IP очень часто? у меня вот интерфейс от интернет банкинга вообще через 15 минут неактивности выкидывает.
"Хронология взлома выглядит следующим образом: 5 апреля злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на проблемы с открытием некоторых страниц на сайтах Apache и приложили ссылку демонстрирующую суть проблемы и указывающую на страницу, на которую был добавлен JavaScript-код, осуществляющий перехват сессионных cookie путем XSS-атаки"Надеюсь просто не верный перевод скорее всего так "приложили ссылку в которую был добавлен JavaScript-код" иначе как без ftp доступа разместить страницу на сайтах Apache ну или "Несколько разработчиков" были настолько не внимательны что перешли посмотреть на сторонний сайт.
>"Хронология взлома выглядит следующим образом: 5 апреля злоумышленники создали в сервисе осмысленное
>уведомление об ошибке "INFRA-259", пожаловавшись на проблемы с открытием некоторых страниц
>на сайтах Apache и приложили ссылку демонстрирующую суть проблемы и указывающую
>на страницу, на которую был добавлен JavaScript-код, осуществляющий перехват сессионных cookie
>путем XSS-атаки"
>
>Надеюсь просто не верный перевод скорее всего так "приложили ссылку в которую
>был добавлен JavaScript-код" иначе как без ftp доступа разместить страницу на
>сайтах Apache ну или "Несколько разработчиков" были настолько не внимательны что
>перешли посмотреть на сторонний сайт.Там про ссылку вида apache.org/?id=<script>alert();</script> при открытии которой на внешнюю страницу отправлялось содержимое сессионной cookie. Сама страница может где угодно быть, примерно как web-счетчики посещений данные о referer-е передают.