szukaj

30.04.2013 | 21:27

avatar

Adam Haertle

Jak można było przejąć dowolne konto w OVH

OVH to jedna z największych firm hostingowych świata. Przed chwilą przyznała się, że z powodu błędów w implementacji  procesu resetu hasła konta jej klientów mogły zostać przejęte. Ofiarami tego błędu padły trzy serwisy związane z rynkiem BTC.

Dzisiaj opisaliśmy przypadek kopalni BTC Slush’s Mining oraz giełdy Bitcoin-Central, które kilka dni temu padły ofiarą włamania i kradzieży bitcoinów. Obie firmy były klientami OVH, w obu przypadkach właściciele otrzymali informację o nieautoryzowanej zmianie hasła do panelu zarządzania serwerami oraz w obu przypadkach OVH twierdził, że nie ma nic wspólnego z włamaniem. Kilka godzin temu jednak zmienił zdanie.

W emailu wysłanym do wewnętrznej grupy dyskusyjnej @hosting (oraz we wpisie na oficjalnym forum firmy), prezes firmy, Octave Klaba, wyjaśnia, jak doszło do włamań i na czym polegał błąd popełniony przez OVH. W celu autoryzacji resetu hasła skrypt generował ciąg – z założenia losowy – 21 znaków, przesyłanych emailem do właściciela konta w celu potwierdzenia żądania resetu. Ciąg 21 znaków był generowany w oparciu o trzy różne algorytmy, z których każdy odpowiadał za 7 znaków. Mechanizm ten funkcjonował bez problemów od 7 lat – aż do 26go kwietnia, kiedy to wewnętrzna analiza wykazała, że dwa z trzech algorytmów wcale nie generują losowych znaków. Atakujący mógł przewidzieć 14 z 21 znaków unikalnego identyfikatora i metodą brute force odgadnąć brakujące 7.

Dalsza analiza wykazała, że błąd został prawdopodobnie odkryty 23go kwietnia i w ciągu kilku godzin wykorzystany do zaatakowania trzech serwisów internetowych, związanych z rynkiem bitcoinów (nie znamy danych trzeciej ofiary ataku). OVH przeanalizowało logi 3 lata wstecz i twierdzi, że żaden inny klient nie został ofiarą tego błędu. Procedura generowania losowego ciągu została zmieniona i obejmuje teraz dwa algorytmy – rzekomo tym razem prawdziwie losowe – generujące ciąg 64 znaków. OVH prosi również o kontakt poszkodowanych – prawdopodobnie będzie z nimi negocjować odszkodowanie.

Pokonanie mechanizmów resetu hasła OVH pokazuje, że odpowiednio zdeterminowany atakujący jest w stanie pokonać zabezpieczenia nawet największych graczy na rynku usług hostingowych (wcześniej ofiarą podobnego incydentu padła firma Linode). Nie da się ukryć, że motywacja włamywaczy jest wprost proporcjonalna do kursu BTC (i łatwości ukrycia tożsamości ich aktualnego posiadacza). Jeśli zatem prowadzicie serwis związany z BTC, polecamy poważne przemyślenie, co stanie się, jeśli ktoś niepowołany uzyska dostęp do Waszego serwera.

Powrót

Komentarze

  • avatar
    2013.05.01 00:03 Frędzel

    Szyfrowany dysk na dedyku. Po restarcie maszyny w do trybu awaryjnego najgorsze co mogliby zrobic, to zniszczyć dane bo vKVM się nie podłączą do działającego serwera, trzeba go najpierw tym trybie uruchomić. Głośno myślę, bo mamy kilka dedyków w OVH.

    Odpowiedz
  • avatar
    2013.05.01 03:02 Michal

    Tak sie konczy poleganie na partyzanckich hackach. Mogli od poczatku uzywac OpenSSL-owego generatora liczb losowych.

    Odpowiedz
  • avatar
    2013.05.01 04:41 Grzegorz

    „Atakujący mógł przewidzieć 14 z 21 znaków unikalnego identyfikatora i metodą brute force odgadnąć brakujące 7.”

    Czyli atakujący wykonał około 36^7 prób zmiany hasła i nikt tego nie zauważył?
    Trudno w to uwierzyć.
    Ile czasu potrzeba, żeby odpytać serwer prawie 80 mld razy.

    Odpowiedz
    • avatar
      2013.05.03 03:56 ssass

      Zgaduję, że to raczej było 16^7, a to już wydaje się bardzo realne do złamania.

      Odpowiedz
  • avatar
    2013.05.07 19:04 Sebek

    OVH jak zwykle nie pisze całej prawdy. U mnie wystąpiła podobna sytuacja pod koniec lutego. Zaczęło się od tego że 3 razy nastąpiła zmiana hasła do mojego konta. Na początku podejrzewałem że miałem jakiegoś wirusa ale na spokojnie wszystko przeanalizowałem i nie było możliwości abym cokolwiek złapał.
    Na szczęście w moim przypadku szybko się zorientowałem i ustawiłem dostęp dla wybranych IP. Serwery też nie ucierpiały ani nic na nich nie znalazłem podejrzanego.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak można było przejąć dowolne konto w OVH

Komentarze