هک شدن سرویس دهنده های میزبانی

دیروز ایمیلی به کاربرهای یک سرویس دهنده وی بی ان رسید با این مضمون که ما به دلایلی مجبوریم کلیه اطلاعات کاربری شما رو در اختیار مقامات امنیتی آمریکا قرار بدیم. سرویس دهنده بلافاصله واکنش نشون داد و گفت که ایمیل تقلبی بوده. ولی چطور یه نفر ایمیل همه کاربرها رو داشته؟

مقصر خود سرویس دهنده است و مشکل امنیتی البته در نرم افزار WHMCS که مورد استفاده سرویس دهنده های میزبانی اینترنت و وی پی اسه برای کنترل کاربرها و سیستم فروش و پشتیبانی و غیره.

هفته گذشته یک مشکل امنیتی در این نرم افزار عمومی شد. مشکل در بخشی از اسکریپت ثبت داده ها بوده که ورودی رو بررسی نمی کرده برای کاراکترهای خاص و دستورات اس کیو ال. بذارید یه نگاهی بهش بندازیم

<?php
function update_query($table, $array, $where) {
    #[...]
    if (substr($value, 0, 11) == 'AES_ENCRYPT') {
        $query .= $value.',';
        continue;
    }
    #[...]
    $result = mysql_query($query, $whmcsmysql);
 }
?>

<?php

function update_query($table, $array, $where) {

#[...]

if (substr($value, 0, 11) == 'AES_ENCRYPT') {

$query .= $value.',';

continue;

}

#[...]

$result = mysql_query($query, $whmcsmysql);

}

می بینید که توی این دستور شرطی چک می کنه که آیا ۱۱ کارکاکتر اول ورودی AES_ENCRYPT است یا نه. کافیه اطلاعات ورودی با این String شروع بشه و بقیه اش یه کد باشه برای تزریق، اینجوری اون کد بدون هیچ محدودیتی در دیتابیس اجرا می شه.

بلافاصله بعد از اعلام این نقص، آپدیت برای این نرم افزار اومد که خب فاصله ارائه پچ و آپدیت تا زمان نصبش در همه استفاده کننده ها، به هکرها فرصت می ده که به کارشون برسن.

برای هک کردن ستفاده کننده ها از این نرم افزار کافیه که کاربر سایت باشید و از طریق هر صفحه ای که تغییری در دیتابیس می ده، کد خودتون رو اجرا کنید. طی بررسی هایی که انجام شده یکی از روش های انجام این هک استفاده از فرم ثبت نامه. می دونیم که با فرم ثبت نام ما یه سری ورودی رو به سمت دیتابیس می فرستیم.

یک گروه امنیتی با ایجاد یک هانی پات* تونسته یکی از روش های مورد استفاده هکرها رو به دست بیاره. بذارید کدها رو ببینیم

First Name: 'USERX' to 'AES_ENCRYPT(1,1), firstname= (SELECT GROUP_CONCAT(id,0x3a,username,0x3a,email,0x3a,password SEPARATOR 0x2c20) FROM tbladmins)'
Last Name: 'LASTNAME' to '1'
Company Name: 'COMPANYNAME' to '1'
Address 1: 'USA' to '1'

First Name: 'USERX' to 'AES_ENCRYPT(1,1), firstname= (SELECT GROUP_CONCAT(id,0x3a,username,0x3a,email,0x3a,password SEPARATOR 0x2c20) FROM tbladmins)'

Last Name: 'LASTNAME' to '1'

Company Name: 'COMPANYNAME' to '1'

Address 1: 'USA' to '1'

در خط اول می بینیم که هکر به جای firstname یک کد رو به دیتابیس تزریق کرده که بتونه باهاش نام کاربری، ایمیل و پسورد هش شده موجود در جدول tbladmins رو به دست بیاره. همونجور که از اسمش می تونید حدس بزنید، این جدول حاوی اطلاعات کاربری ادمین هاست.

چه باید کارد:

اگر سرویس دهنده اید سریعا WHMCS رو آپدیت کنید و اگر کاربرید از سرویس دهنده بخواید که این کار رو بکنه چون اطلاعاتتون در خطره.

همچنین Cloudflare که محصولاتی برای بالا بردن امنیت سرورها داره در Web Application Firewall (WAF) تمهیداتی در نظر گرفته برای جلوگیری از این حمله حتی اگر WHMCS به روز نشده باشه که می تونید از سایت خودشون اطلاعات کامل رو بخونید.

منبع و منبع و منبع و منبع

امنیت

لاوابیت چگونه تعطیل شد؟

پس از افشاگریهای ادوارد اسنودن و زوم کردن تمامی دستگاه های اطلاعاتی آمریکا روی این فرد و حواشیش، فشارها به سرویس دهنده ایمیل لاوابیت که اسنودن ازش استفاده می کرد بیشتر شد.

لاوابیت یک سرویس دهنده ایمیل امن بود که با رمز گذاری ایمیل های رد و بدل شده، امکان فضولی دولت ها رو نمی داد. قبلا در مورد تعطیل شدن لاوابیت نوشتم و الان هم اگر سایتش رو ببینید اعلامیه این سرویس دهنده برای خاموش کردن سیستمش رو می تونید بخونید.

زمانی که خبر تعطیلی این سرویس شنیده شد همه نگاه ها به سمت سازمان های نظارتی آمریکا رفت، هر چند لادار لویسون، مدیر و خالق این سرویس توضیح دقیقی نداد. حال بعد از چندماه اسنادی از دادگاه فاش شده که نشون می ده دقیقا چه روندی طی شد تا به پایان لاوابیت رسید.

دادگاه از لاوابیت خواسته که کلیدهای خصوصی SSL رو در اختیارش بذاره و این سرویس دهنده نیز مخالفت کرده و گفته که کار غیرقابل قبول و نادرستیه چرا که امکان بازرسی ایمیل های کاربران رو به مقامات می ده. در واقع دادگاه عملا (و به زبان ساده) از لاوابیت خواسته که اطلاعات کاربرها رو در اختیارش بذاره.

در نظر بگیرید که با داشتن سرتیفیکیت ها و کلید های خصوصی، سازمان های نظارتی می تونن علیه کاربران لاوابیت حمله MiTM * رو صورت بدن.

به هر صورت لاوابیت مجبور بود که اطلاعات خواسته شده رو تحویل بده. با اینحال کار برای کاربرانش تموم شده نبود چرا که لویسون در اقدامی جسورانه، کلیدهای رمزگذاری رو به صورت پرینت شده با فونت های ناخوانا در ۱۱ صفحه به مقامات تحویل داد.

موضوع دوباره به دادگاه کشیده شد تا جمله “تحویل دادن” رو دوباره تعریف کنند. این بار حکم این شد: “تحویل دادن اطلاعات در فرمتی که قابل خواندن به وسیله کامپیوتر و استفاده بلافاصله باشد.” و برای جلوگیری از وقت کشی، به ازا هر روز دیرکرد در تحویل اطلاعات ۵ هزار دلار جریمه تعیین شد.

لویسون دیگه نمی تونست مقاومت کنه و این شد که دو روز تحویل اطلاعات رو به تاخیر انداخت و ۱۰ هزار دلار جریمه شد تا وقت داشته باشه و سرویس رو تعطیل کنه که جلوی MiTM رو بگیره.

* MiTM مخفف اصطلاح Man in The Middle است که به روشی گفته می شه که کسی (غیر از سرویس دهنده اصلی) ترافیک ارسالی کاربران رو می گیره، بررسی می کنه و به طرف دوم می فرسته و مجددا ترافیک برگشتی از طرف دوم رو می گیره، رمز گشایی می کنه، می خونه و دوباره رمز گذاری می کنه و به کاربر اول می فرسته. عکس زیر رو ببینید:

منبع

امنیت

پردازنده های جهنمی

پردازنده های وی پرو اینتل یک چیپ ۳G مخفی دارند که امکان دسترسی مخفیانه به پردازنده و کنترل سخت افزار رو از راه دور می ده.

این تکنولوژی از سال ۲۰۱۱ و از زمانی که اینتل تکنولوژی نسخه سوم ضد دزدی خودش رو به کار برد، وجود داره و تنها در نسخه های جدید نیست. آنچنانکه گفته می شود به کار بردن این چیپ پس از فعال شدن معماری Sandy Bridge بوده. شروع استفاده از این معماری در پروسسورهای اینتل به سال ۲۰۰۹ برمی گرده و اولین پردازنده با این معماری نیز سال ۲۰۱۱ به بازار ارائه شده و این یعنی کلیه پردازنده های i3/i5/i7 بعد از این تاریخ احتمالا دارای این چیپ مخفی هستند.

این تکنولوژی شامل یک پردازنده دوم درون پردازنده اصلی و یک سیستم عامل توکار هم هست و با استفاده از منبع تغذیه فانتوم* حتی زمانی که کامپیوتر خاموشه می تونه وارد عمل بشه.

اینتل ادعا کرده که هدف این تکنولوژی بالا بردن امنیت و همچنین راحتی کار پشتیبانه و ادمین های شبکه است چرا که می تونن کامپیوترهایی که به مشکل برخورده اند رو حتی اگه به شبکه متصل نباشند بررسی کنند. در ویدئوی منتشر شده وسیله خود اینتل علاوه بر این موارد، اشاره شده که امکان دور زدن رمزگذاری هارد نیز وجود داره.

این تکنولوژی با توجه به توانایی هایی که داره یعنی به کار افتادن بدون نظارت پردازنده اصلی و رد و بدل دیتا به وسیله سخت افزارهایی که سیستم عامل اصلی کنترلی روشون نداره می تونه یک کابوس برای امنیت دیجیتال و حریم خصوصی باشه. نه اطلاعات هارد می تونه امن باشه، نه میکروفون و وبکم کامپیوتر. همچنین می تونه وسیله ای باشه برای دولت ها برای به دام انداختن مخالفاشون. اف بی آی می تونه برای مثال از همین طریق روی کامپیوتر مخالفان سیاسی “پورن کودکان” بریزه و با علت هایی غیر سیاسی اونها رو دستگیر و تخریب کنه.

جیم استون، نویسنده وبسایت Popular Resistance، در پایان نوشته ای که در مورد این موضوع داشته می گه:

“پردازنده های Vpro Core پایانی است بر توهم حریم خصوصی. اگر فکر می کنید که رمزگذاری، نورتون و یا هرچیز دیگه ای حریم خصوصی شما رو تضمین می کنه، حتی کانکت نشدن به اینترنت، دوباره درموردش فکر کنید. یک شبح در کامپیوتر شماست.”

با توجه به اینکه تا امروز اطلاعات خیلی دقیقی در مورد جزییات این تکنولوژی و اینکه از چه زمانی دقیقا اجرا شده و کیا ازش خبر داشتن اعلام نشده نمی شه با اطمینان کامل در مورد عمق قضیه (که در صورت درست بودن موارد گفته شده تا الان می شه اسمش رو فاجعه گذاشت) حرفی زد.

منبع و منبع و منبع

* برقی که همیشه توی سیستم وجود داره حتی وقتی خاموشه. کمی در موردش مطالعه کردم ولی چون آَنایی کامل باهاش ندارم به آوردن اسمش بسنده کردم.

Scriptics

Category Archives: امنیت

هک شدن سرویس دهنده های میزبانی

لاوابیت چگونه تعطیل شد؟

پردازنده های جهنمی