::Винницкий:: ::форум ::

[gwBasic]

СЕГОДНЯ 24/06/2005 В 19:00 ИЗ АРХИВА ВОССТАНОВЛЕНА БОЛЬШАЯ ЧАСТЬ СООБЩЕНИЙ ФОРУМА.


Восстановлено:
Всего восстановлено 5883 сообщения в более чем 200 топиках.
К сожалению, для восстановления без потери части данных чата мог быть использован только архив на февраль месяц 2005 года. Таким образом в части форумов потеряно порядка 4-х месяцев общения.

Хроника событий и их причины:
Нарушение произошло 23/06/2005 в 02:34 ночи.
Нарушителей было несколько - "организатор" и "стрелочники" (в ассортименте). Организатор перехватил sid (а не пароль) на промежутке от админа до сервера чата (то есть перехват информации произошел есть вне сервера). Фактически не было нарушения режима безопастности самого сервера. В последствии он "слил" sid стрелочникам, которые решили "побаловаться" и в частности удалили сообщения на форуме штатными средствами панели модерирования.

Уродам:
Еще раз (для тех кто в танке) сообщаю - действия как организатора так и стрелочников попадают под статью уголовного кодекса. Мое предложение стрелочнику (стрелочникам) - пусть свяжуться со мной (личным сообщением на форум), и помогут в расследовании инциндента. Тогда у них есть реальный шанс получить себе на голову значительно меньше проблем, чем в случае если мы найдем их сами (или их найдут "горячие головы" которые жаждут расправы).
Я даю причастным к инциденту сутки (до 20:00 25/06/2005) для того, чтобы они могли связаться со мной (личным сообщением на форум). По истечении этого строка вся информация о нападении которая у нас есть будет сообщена любому из многочисленных желающих "самостоятельно поискать и разобраться с гадами". Сдавайтесь сами или вас найдут.

Оргвыводы:
1).Админам форума запрещено блоками удалять топики вместо этого будет использована другая технология модерирования (см.админ форум).
2).В процедуру архивирования уже внесены необходимые изменения, что позволит избежать таких серьезных последствий в случае сбоев оборудования либо аналогичных ситуаций (хотя в любом случае, часто архивировать порядка 200МБ нереально).

От себя:
Меня достало, что фактически два рабочих дня вместо того, чтобы заниматься серьезными вещами я занимался разбором этого инциндента и восстановлением данных. Буду признателен за любую информацию, которая позволит обнаружить уродов, которые это сделали.

Реквизиты для связи по поводу произошедшего:
Пишите личные сообщения на форуме мне (gwBasic) или MAGDOG-у.
_________________
Всего доброго. Гиви Бейсик.

[Ёric(vin)]

1 огласи на форум всю информацию что у тя есть о этих умниках, или в чат

2 на щот того что большая часть инфы востановлена то я с тобой могу поспорить так как орден "Говорящих правду" недощитался 53 страниц из 56 написаных

3 на щот того же ордена, нам уже 2 месяца, мы самый активный орден из всех, но до сих пор не легализованы, непорядок
_________________
NOTHING ELSE MATTER

[IrBis]

[MAGDOG]

[IrBis]

К сожалению я не модератор и не могу создать новую тему в FAQ, посему счёл этот топ самым подходящим местом.

Со вчерашнего дня я провёл некоторые тесты своего сид-улавливателя и выяснил, что защитить себя от перехвата сида можно только следующими путями:

1. Отключить в браузере всю графику (самый простой вариант).
2. Поставить у себя Agnitum Outpost Firewall (самый оптимальный вариант).
3. Выходить сразу же после написания сообщения кнопкой "Выход" дабы не дать злоумышленникам воспользоваться сидом. (самый геморный вариант).
4. Не ходить на форум вообще и ждать, когда всё это пофиксят.
_________________
:: If you wanna be rich, you've got to be a bitch.

[Дмитрий НаҐиев]

А Где гарантийя 4т0 так0й 60льше не п0вт0риТся
_________________
http://vk.com/club3252780
http://vkontakte.ru/public24371299 - официал. группа и страница ЧатВИНа.

[gwBasic]

25/06/2005 18:00 ФОРУМ ДОПОЛНИТЕЛЬНО ЗАЩИЩЕН

Как показало расследование, наиболее вероятный способ, которым "угнали" sid у админа - это использование злоумышленниками уязвимости броузера InternetExplorer и Mozilla. Т.е sid отдал не форум, а сам броузер пользователя (добровольно и с песней).

Уязвимость заключается в том порядке, в каким броузер обрабатывает графические данные (картинки).

На форуме выполнены изменения, чтобы сделать невозможными использование подобной узязвимости в пользовательских компьютерах. К сожалению, пока защита выполнена нами по весьма упрощенной схеме - если в сообщении есть картинка, она не выводится а вместо нее показывается ссылка [img] позволяющая оную картинку загрузить в отдельном окне броузера.

Такая защита от уязвимостей броузера не является законченой если картинка будет "с секретом" и вы нажмете на ссылку чтобы ее посмотреть - ваш sid все равно может быть перехвачен. Но теперь по крайней мере у вас есть выбор. Единсвенно надежной защитой является хороший Firewall (например outpost).

Пока не будет сообщено дополнительно, не отрывайте картинки с форума задаваемые тегом [img] полученные от незнакомых людей (либо установите Output Firewall)!


PS:
Спасибо IrBis-у и Random-у за поиск способов атаки.

PPS:
Разрабатывается обновленный вариант защиты, о его вводе в эксплуатацию будет сообщено дополнительно.
_________________
Всего доброго. Гиви Бейсик.

[gwBasic]

[gwBasic]

[gwBasic]

[gwBasic]

КОПИЯ СТАТЬИ ИЗ РАЗДЕЛА "Вопросы и ответы"

ПРАВИЛА БЕЗОПАСТНОГО ПРОСМОТРА [img] ИЗОБРАЖЕНИЙ (и ссылок)

Одним из способов несанкционированного доступа к форуму является похищение номеров сеансов (sid) легальных пользователей. Мы уже обращали внимание на эту проблему (см. статью "Как прапвильно постить ссылки на форуме (проблема sid)").

Как показало исследование, еще одним из методов воровства sid у законных пользователей - это использование злоумышленниками уязвимости броузеров InternetExplorer и Mozilla.

Уязвимость заключается в том порядке, в каким броузер обрабатывает графические данные (картинки). Зломышленник может, вставив в сообщение специально подготовленное изображение расположенное на подконтрольном ему сервере получить sid идентификатор законного пользователя.

На форуме выполнены изменения, чтобы сделать невозможными "невидимое" использование подобной узязвимости в пользовательских компьютерах. Для этого если в сообщении есть картинка, она не выводится сразу, а вместо нее показывается ссылка [img] позволяющая открыть оную картинку загрузить в отдельном окне броузера.

Такая защита от уязвимостей броузера не является законченой. Если картинка будет "с секретом" и вы нажмете на ссылку чтобы ее посмотреть - ваш sid все равно может быть перехвачен. Но теперь по крайней мере у вас есть выбор. Единсвенно надежной защитой является хороший файрвол (мы рекомендуем Agnitum Outpost Firewall).
Аналогичная проблема наблюдается в некоторых броузерах при открытии простых ссылок из сообщений, если адрес на который ссылается ссылка расположен на подконтрольном злоумышленнику сервере.

Пока не будет сообщено дополнительно, не отрывайте картинки с форума задаваемые тегом [img] (и ссылки) полученные от незнакомых людей (либо установите Output Firewall)!

Общие рекомендации:
1.Если у вас не установлен файрвол (мы рекомендуем Agnitum Outpost Firewall) - просто не открывайте картинки заданные тегом [img] (и ссылки) в сообщениях на форуме путем шелкания на них мышкой. Если вы все-таки хотите открыть картинку или ссылку из сообщения (а файрвола нет):
- откройте новое окно броузера
- скорируйте ссылку (в том числе ссылку на картинку) в буфер обмена
--- Правый щелчок мыши на ссылке для вызова контекстного меню
--- Пункт меню "Свойства"
--- В появившемся диалоговом окне выделите мышью значение поля "Адрес" и скопируйте его в буфер обмена (например, нажав Ctrl+Insert).
- в адресную строку нового окна броузера скопируйте ссылку и переходите.

Если вы все же открываете [img] картинки (и ссылки) без файрвола путем простого нажатия мышкой - вы рисковый человек, но если вы все-таки так делаете - то уж лучше жмите "Выход" когда уходите с форума. Это не решит проблему, но у вас есть шанс уто ваш sid еще не успеют использовать :-)

PS:
Подобная проблема существует на большом количестве других форумов, но мы вас честно предупреждаем об опастности, ибо предупрежден - значит вооружен.

PPS:
В работе находится следующая версия механизмов защиты пользователей от подобных атак, о ее вводе в строй будет сообщено дополнительно.
_________________
Всего доброго. Гиви Бейсик.

[_~m@liy7~_]

fixed

[Night DeViL]

млин ...Сергей...так когда же всё-таки восстановят имейджи?

[/random/+]

нихерасе
_________________
router:~# rm -rf /