Jak można było przejąć dowolne konto w OVH

dodał 30 kwietnia 2013 o 21:27 w kategorii Włamania, Wpadki  z tagami:
Jak można było przejąć dowolne konto w OVH

OVH to jedna z największych firm hostingowych świata. Przed chwilą przyznała się, że z powodu błędów w implementacji  procesu resetu hasła konta jej klientów mogły zostać przejęte. Ofiarami tego błędu padły trzy serwisy związane z rynkiem BTC.

Dzisiaj opisaliśmy przypadek kopalni BTC Slush’s Mining oraz giełdy Bitcoin-Central, które kilka dni temu padły ofiarą włamania i kradzieży bitcoinów. Obie firmy były klientami OVH, w obu przypadkach właściciele otrzymali informację o nieautoryzowanej zmianie hasła do panelu zarządzania serwerami oraz w obu przypadkach OVH twierdził, że nie ma nic wspólnego z włamaniem. Kilka godzin temu jednak zmienił zdanie.

W emailu wysłanym do wewnętrznej grupy dyskusyjnej @hosting (oraz we wpisie na oficjalnym forum firmy), prezes firmy, Octave Klaba, wyjaśnia, jak doszło do włamań i na czym polegał błąd popełniony przez OVH. W celu autoryzacji resetu hasła skrypt generował ciąg – z założenia losowy – 21 znaków, przesyłanych emailem do właściciela konta w celu potwierdzenia żądania resetu. Ciąg 21 znaków był generowany w oparciu o trzy różne algorytmy, z których każdy odpowiadał za 7 znaków. Mechanizm ten funkcjonował bez problemów od 7 lat – aż do 26go kwietnia, kiedy to wewnętrzna analiza wykazała, że dwa z trzech algorytmów wcale nie generują losowych znaków. Atakujący mógł przewidzieć 14 z 21 znaków unikalnego identyfikatora i metodą brute force odgadnąć brakujące 7.

Dalsza analiza wykazała, że błąd został prawdopodobnie odkryty 23go kwietnia i w ciągu kilku godzin wykorzystany do zaatakowania trzech serwisów internetowych, związanych z rynkiem bitcoinów (nie znamy danych trzeciej ofiary ataku). OVH przeanalizowało logi 3 lata wstecz i twierdzi, że żaden inny klient nie został ofiarą tego błędu. Procedura generowania losowego ciągu została zmieniona i obejmuje teraz dwa algorytmy – rzekomo tym razem prawdziwie losowe – generujące ciąg 64 znaków. OVH prosi również o kontakt poszkodowanych – prawdopodobnie będzie z nimi negocjować odszkodowanie.

Pokonanie mechanizmów resetu hasła OVH pokazuje, że odpowiednio zdeterminowany atakujący jest w stanie pokonać zabezpieczenia nawet największych graczy na rynku usług hostingowych (wcześniej ofiarą podobnego incydentu padła firma Linode). Nie da się ukryć, że motywacja włamywaczy jest wprost proporcjonalna do kursu BTC (i łatwości ukrycia tożsamości ich aktualnego posiadacza). Jeśli zatem prowadzicie serwis związany z BTC, polecamy poważne przemyślenie, co stanie się, jeśli ktoś niepowołany uzyska dostęp do Waszego serwera.