Rootnode zaczyna od nowa z powodu ataku

Rootnode rozesłało swoim użytkownikom informację o ataku, w wyniku którego do sieci wyciekły dane wszystkich (przeszłych i obecnych) użytkowników usługi. W tej samej wiadomości zapowiedziano również zamknięcie usługi (wciąż czekam na potwierdzenie).

Poniżej prezentuję treść rozesłanego ogłoszenia, wciąż czekam na potwierdzenie, ze względu na obawę, że jest to kolejny efekt ataku na serwery Rootnode:

Szanowni użytkownicy,

miało miejsce włamanie na serwery Rootnode wraz z wyciekiem naszej systemowej
bazy danych do Internetu. Baza zawierała dane osobowe wszystkich użytkowników,
zarówno obecnych, jak i byłych.

Sprawę traktujemy poważnie, przeglądamy logi i szukamy śladów. Jeśli tylko
zdobędziemy sensowny materiał dowodowy sprawa zostanie zgłoszona na policję.
Niestety ze wstępnej analizy wynika, że nikłe są szanse na znalezienie sprawcy
a sam atak nastąpił dużo wcześniej niż wyciek danych, co było sprytnym
zagraniem włamywacza.

Zrzut bazy danych został zamieszczony na jednym z serwisów do udostępniania
plików. Zaraz po informacji o włamaniu zostało zgłoszone nadużycie
i po kilku godzinach plik został usunięty.

Udostępnione dane zawierały takie informacje osobowe jak:
imię, nazwisko,
nazwa firmy, NIP
numer telefonu, adres
lista domen,
lista kont pocztowych,
lista płatności i faktur,
hasła (zakodowane) do serwera SSH,
hasła (zakodowane) do kont pocztowych,
hasła (niezakodowane) do kont FTP,
certyfikaty VPN

Nie przechowywaliśmy numerów PESEL użytkowników.

Wchodząc w szczegóły techniczne należy wspomnieć, że baza znajduje się
na osobnym serwerze z dostępem ograniczonym jedynie dla serwerów Rootnode.
Do bazy łączy się program Szatan odpowiedzialny za zarządzanie kontem oraz za
czytanie i zapisywaniem danych do bazy systemowej. Uwierzytelnianie
użytkowników w Szatanie odbywa się za pomocą socketów uniksowych dlatego
konieczne jest działanie demona na maszynie shellowej. Przez to właśnie
uzyskując dostęp do maszyny shellowej można podglądnąć plik konfiguracyjny
Szatana, w którym zapisane są dane dostępowe do systemowej bazy danych.

Prawdopodbnie tym sposobem została wykradziona baza danych. Co więcej
o ostatnim czasie w Linuksie pojawiły się dwie krytyczne dziury, które
umożliwiały łatwy atak na serwer shellowy (memipodder oraz sudo).

W sytuacji takiego ataku należy założyć najbardziej pesymistyczny scenariusz,
że wszystkie serwery zostały skompromitowane. Oznacza to kilka rzeczy:

1. systemy nie nadają się do użytku i muszą zostać przeinstalowane ze
względu na możliwość istnienia backdorów, rootkitów oraz łatwego
wyprowadzania ataków za pośrednictwem tych maszyn.

2. istnieje szansa na pojawienie się szkodliwego kodu w stronach
hostowanych na Rootnode. Taki kod także może służyć do różnego rodzaju
ataków lub do zbierania informacji o użytkownikach.

Zastanawiając się nad sensownością ataku bierzemy pod uwage trzy powody:

1. osobista zemsta wymierzona w Rootnode oraz we mnie
2. nieczyste zagranie ze strony konkurencji
3. dzieciak (script kiddie) wykorzystujący gotowy exploit i udostępniający
dane w ramach trofeum.

W takim środowisku jakim jest Rootnode bardzo trudno jest utrzymać wysoki
poziom bezpieczeństwa, ponieważ oznaczałoby to ograniczenia na każdym kroku.
Niemniej jednak jest mi bardzo przykro z zaistniałej sytuacji, a także
za brak utylizacji starych danych osobowych.
Przepraszam za poniesione straty.

Obecna sytuacja, wasze komentarze i opinie wskazują jednoznacznie, że
pora na zakończenie i zamknięcie projektu Rootnode.

Pozdrawiam serdecznie.

News będzie aktualizowany w wypadu pojawienia się wszelkich informacji zwiewających wątpliwości dotyczące autentyczności wiadomości. Sytuację można monitorować również w serwisie Rootnode status.

AKTUALIZACJA:

Według najświeższych informacji Rootnode startuje od nowa otwierając swoje biuro w Krakowie.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

58 odpowiedzi na „Rootnode zaczyna od nowa z powodu ataku”
  1. Awatar Adam Wicherek
    Adam Wicherek

    Patrząc na rootnodestatus sądzę, że jest to darmowa zasada wg starej zasady "Nie ważne co o Tobie mówią, ważne by mówili.".

  2. Awatar Franek
    Franek

    Mam nadzieję, że nie zamkną projektu.

    1. Awatar Budyń
      Budyń

      Ja mam nadzieję, że zamkną. Najpierw włamywacza, potem szefa tego interesu. Najlepiej, we wspólnej celi…

  3. Awatar Stefan
    Stefan

    Dlaczego na osnews nie ma nawet paru słów wyjaśnienia o czym tak w ogóle jest news. Co to jest ten rootnode?

  4. Awatar spinlock
    spinlock

    Tak to już jest na serwerach shellowych gdzie użytkownicy mogą kompilować i uruchamiać własne programy ryzyko jest o wiele większe.
    Jak korzystałem z rootnode 2 lata temu i przeczesując plik /etc/passwd na głównym serwerze shellowym jak dobrze pamiętam doliczyłem się ponad 200 użytkowników.
    Większość użytkowników rootnode to specjaliści w różnych dziedzinach IT zawsze znajdzie się jakaś czarna owca która wykorzysta jakąś znaną lub nieznaną dziurę w kernelu i podniesie sobie uprawnienia do roota.

  5. Awatar Jay-nuts
    Jay-nuts

    Koniec Rootnode.
    Zawsze przychodzi taki moment, że trzeba wszystko zakończyć

    LUB ROZPOCZĄĆ OD NOWA

    głowa do góry

  6. Awatar Budyń
    Budyń

    Coś pięknego…
    … dzieci zaczęły się bawić w administratorów. Żądały opłat wyższych niż komercyjne na freeshell-u, w zamian za awarie, niedostępność i szczeniackie nazwy dla skrobanych własnych sumptem narzędzi (ile razy mówić, że admin to nie programista !).
    Ewidentnie złamano tu prawo, przechowując w ogóle (a w szczególności – w niezabezpieczony, jak widać, sposób) istotne dane osobowe. Ostoja hackingu i wolności zabawiła się w retencję danych – paradne !
    W mailu jest informacja, że "jeżeli znajdą dowody, to zgłoszą to na policję" – no przepraszam, nikt nie pomyślał że ze względu na dane osobowe MUSZĄ to zgłosić, i wreszcie, że skoro ktoś ich oskubał, to własnymi siłami raczej dowodów nie znajdą.
    Dump bazy lata po sieci, a tam piszą że "prawdopodobnie" wyciekło.
    Normalny admin natychmiast położyłby maszyny, zrobił backup (o ile możliwe), powiadomił właściwe służby…a rootnode, działa sobie w najlepsze.

    1. Awatar Nikodem
      Nikodem

      Popraw mnie jeżeli gdzieś popełniam błąd w rozumowaniu.

      Przesłanki:
      1. Konta na rootnode były płatne
      2. Opłaty były wyższe niż na freeshellu (ten myślnik to tam wstawiłeś do ułatwiania dzielenia wyrazów?)
      3. Freeshell jest serwisem komercyjnym

      Wniosek:
      Rootnode jest/był serwisem komercyjnym. Może źle zarządzanym (jeżeli nie przynosił zysków), ale komercyjnym.

      Jeżeli nie popełniam błędu we wnioskowaniu to Twoje zacietrzewienie mogę jedynie tłumaczyć niechęcią do wykorzystywania "hackersko-wolknościowego" image'u (tu apostrof jest potrzeby, gdyż "e" się nie wymawia) przez firmę (no po coś te numery identyfikacji podatkowej gromadzili – nieprawdaż?)

      1. Awatar Budyń
        Budyń

        @Nikodem
        Jakie zacietrzewienie ? Stwierdzenie faktów.
        Ja wiem, że fanbojów boli że Open Source (a konkretnie Linux !) znowu zostało skompromitowane, ale fakty są fakty – w sumie, właścicielom serwisu współczuję, bo GIODO zrobi im z 4 liter jesień średniowiecza…

        1. Awatar tomaszkubacki
          tomaszkubacki

          Heh jeśli nie lubisz Open Source jako takiego to będziesz miał smutne i bolesne życie bo będzie go coraz więcej – chociaż nie w takim freetardowskim wydaniu jakby chcieli tu niektórzy.

          1. Awatar pow3rshell
            pow3rshell

            [[Heh jeśli nie lubisz Open Source jako takiego to będziesz miał smutne i bolesne życie bo będzie go coraz więcej]] Kolejny wróżbita czy jakieś konkretne badania ? Może kolega by się podzielił linkami chętnie poczytam 😛

          2. Awatar tomaszkubacki
            tomaszkubacki

            @pow3rshell – zdecydowanie wróżbita – cały czas z kształtu wosku lanego przez klucz wychodzi mi, że na githubie będzie przybywać projektów i cały czas się sprawdza.

          3. Awatar pow3rshell
            pow3rshell

            To że w jednym miejscu przybywa nie oznacza, że w jednym miejscu nie ubywa. Przykładowo solaris ubył z OS, a wraz z nim szereg oprogramowania. Czyli jest tak jak myślałem – kolejny wróżbita

          4. Awatar tomaszkubacki
            tomaszkubacki

            "To że w jednym miejscu przybywa nie oznacza, że w jednym miejscu nie ubywa" –
            A Ty masz jakieś badania prawda ? Bo ja mam wosk który działa.

          5. Awatar pow3rshell
            pow3rshell

            Ja nie opieram się na badaniach, ale nie opowiadam bzdur

          6. Awatar tomaszkubacki
            tomaszkubacki

            ding! ding! ding ! ad personam trolllolo ! a serio to inny wróżbita google mówi np: http://dirkriehle.com/publications/2008-2/the-tot…

          7. Awatar pow3rshell
            pow3rshell

            Deczko starawe "toto" może jakiś nowszy dokument ?

          8. Awatar tomaszkubacki
            tomaszkubacki

            Nie, ale za 100EUR na godzinę nauczę Cię obsługiwać google (mam nadzieje że nie jesteś zbyt pojętny – żebym nie wtopił).

          9. Awatar pow3rshell
            pow3rshell

            Tak jak myślałem – powtarzanie bredni jest teraz modne . "ad personam trolllolo" i kto to mówi 😛

          10. Awatar tomaszkubacki
            tomaszkubacki

            ale jakich bredni ? Wyraziłem truizm że liczba projektów open source stale rośnie – podałem przynajmniej jeden link na poprawcie podałem niezawodną metodę z woskiem (i zaproponowałem że Cię czegoś nauczę za uczciwą cenę).
            Co jest brednią – masz jakieś twarde dane na to że nie rośnie?

          11. Awatar pow3rshell
            pow3rshell

            Dobrze – masz rację 😉 Z mojej strony EOT

          12. Awatar tomaszkubacki
            tomaszkubacki

            ah czyli jednak nie masz tych danych ? Cytując klasyka: "tak myślałem"

          13. Awatar pow3rshell
            pow3rshell

            Jak mam napisać – "Masz rację"? CAPSEM czy po chińsku, ale wtedy byś na pewno byś nie zrozumiał 😛

          14. Awatar qeraj
            qeraj

            Odszedł solaris ale chyba pozostał OpenSolaris (nie wiem, pytam się) ? Do bilansu doliczyłbym że do OpenSource doszedł Android (wspierany przez Googla) 🙂

          15. Awatar pow3rshell
            pow3rshell

            Open Solaris też umarł ( w sensie nie jest dalej rozwijany ) Android nie jest tak do końca OpenSource , Umarł tez ZFS Pool od wersji 28 jest już zamknięty. Tak można się licytować – nie ma to sensu

          16. Awatar tomaszkubacki
            tomaszkubacki

            az milo popatrzec jak sie miotasz 😉

          17. Awatar trasz
            trasz

            Bynajmniej – OpenSolarisa zastąpił Illumos, a ZFS wersji otwartej nadal jest rozwijany w Illumosie oraz FreeBSD. "28", o którym wspominasz, to tylko numer wersji formatu zpoola, nie oprogramowania. Sam mechanizm numerków w Illumosowej wersji ZFS-a został zastąpiony przez feature flags, więc numerek nie będzie co chwila podbijany, bo nie ma już takiej potrzeby.

          18. Awatar pow3rshell
            pow3rshell

            OpenSolaris był rozwijany przez firmę SUN i przez tą samą firmę został zamknięty. Koniec kropka – kiedy wreszcie dotrze to do Ciebie ? Co do Illuminos to forum zieje pustkami tak samo jak forum OpenIndiana .NexantaStor nie jest produktem OS. Feature Flag by Delphix =/= ZFS by ORACLE ( zarówno z nazwy jak i z funkcjonalności ) . Postaw sobie Solarisa 11 ( nie w wersji express tylko w full ) postaw sobie raidz-2 zastosuj "enkrypcje" 😛 i podłącz się teraz FREEBSD 9.0 z ZFS 28 i spróbuj odczytać . Życzę powodzenia. TEST PRZEKLIKANY – Nie działa

            Angielska Wiki tylko to potwierdza :
            [[After Oracle's Solaris 11 Express release, the OS/Net consolidation (the main OS code) was made proprietary and closed-source, and further ZFS upgrades and implementations inside Solaris (such as encryption) are not compatible with other non-proprietary implementations which use previous versions of ZFS.]]

          19. Awatar trasz
            trasz

            Tłumaczyłem ci już: forum zieje pustkami, bo nikt nie używa forum, tylko list mailingowych. Dalej – nie twierdziłem, że "feature flags to to samo co ZFS Oracle'a", cokolwiek miałoby to znaczyć, stwierdziłem natomiast, że ZFS jest nadal rozwijany poza Oraclem. Szyfrowania owszem, nie ma – to był jeden z ostatnich ficzerów zaimplementowanych w Oracle, zanim główni developerzy opuścili tą firmę. RAIDZ2 oczywiście jest.

            Ogólnie, byłoby lepiej, gdybyś więcej uwagi poświęcał źródłom, a mniej własnej wyobraźni.

          20. Awatar pow3rshell
            pow3rshell

            Taak – widać nie przeczytałeś mojego posta do końca – Chodziło mi dostęp do danych szyfrowanych z innego systemu obsługujących ZFS.
            ZFS ma to do siebie , że nie jest kompatybilny w góre( w sumie rzadko co jest )
            BTW zadałem sobie trudu i zapisałem się do Mailing list Ilumosa – ogłoszenia . No i muszę Ci przyznać rację : w 2011 były 3 wiadomości a w 2012 już 2 tak że jak widać w tym roku ruszyli z kopyta 😛

            [[Szyfrowania owszem, nie ma – to był jeden z ostatnich ficzerów zaimplementowanych w Oracle, zanim główni developerzy opuścili tą firmę]] spekulacje, spekulacje

          21. Awatar trasz
            trasz

            https://www.listbox.com/member/archive/182179/=no…

            I proszę, nie kompromituj się już.

          22. Awatar pow3rshell
            pow3rshell

            Jak To powiedział mój przyjaciel : "We will see". Jestem ciekaw czy Ilumos odzyska choć połowę "userlandu" OpenSolarisa

        2. Awatar Nikodem
          Nikodem

          No to tym bardziej nie rozumiem Twojego współczucia. Skoro firma ta nie szanuje obowiązujących przepisów to o co chodzi?

          Gdyby używali np. Windows to byś im już nie współczuł? A może współczujesz wszystkim łamiącym prawo? No może masz taką wrażliwą duszyczkę?

          Sam jednak mam wrażenie, że odczuwasz po prostu schadenfreude, bo nie lubisz Open Source (a konkretnie Linuksa).

          PS. A co do danych osobowych to aby w ogóle wyrokować musiałbyś najpierw zweryfikować czy:
          a) firma obsługująca w ogóle jest zarejestrowana w Polsce
          b) czy zarejestrowała swoją bazę w GIODO (jeżeli nie to jest w ogóle inny paragraf)
          c) czy można im postawić zarzut braku należytych zabezpieczeń (nie – przełamanie zabezpieczeń nie uznaje się automatycznie za brak należytych zabezpieczeń)

          Mnie się akurat nawet a) nie chciało zrobić, więc zakładam, że sam to zrobiłeś. Co prawda potwierdzenie c) przy przytoczonej dozie informacji oznaczałoby, że to Ty dokonałeś włamania, no ale przecież bezpodstawnie byś nie pisał – prawda?

  7. Awatar sprae
    sprae

    Tak to jest jak się ufa szatanowi

  8. Awatar sojeft
    sojeft

    @Budyń: jeżeli był włam przez jakiegoś ichniejszego toola to tylko dlatego, że właśnie tacy jak Ty uważają, że admin to nie programista. Ciekawe skąd takie wielkie myśli czerpiesz? Skątowni? 😀

    1. Awatar Budyń
      Budyń

      Z doświadczenia, z doświadczenia…

      1. Awatar sojeft
        sojeft

        No to współczuję takiego doświadczenia. Dobry admin musi być dobrym programistą. Inaczej jest tylko dobrym 'konfiguratorem' systemu.

      2. Awatar spinlock
        spinlock

        Administatorzy UNIX/Linux wiedzą że pisanie skryptów to nie *programowanie* tylko zwykła *automatyzacja wykonywania powtarzających zadań*.
        *Administatorzy Windows Server* zamiast pisać skrypty wolą milion razy dziennie *machać myszką* i twierdzą że to jest wygodniejsze niż w 5 sekund napisać 5-cio linijkowy skrypt.

        1. Awatar pow3rshell
          pow3rshell

          nie jąkaj się:) i pochwal się swoim doświadczeniem Administratora Windows

          1. Awatar spinlock
            spinlock

            Moje doświadczenie jako administratora Windows jest równe zeru.
            Tego czegoś zwanym Windows nie dotkne nawek kijem przez szmate.

          2. Awatar pow3rshell
            pow3rshell

            To nie wypowiadaj się o tym o czym nie masz pojęcia. BTW ku twojej informacji to windowsem też można zarządzać poprzez konsolkę ( WMIC-PS-CMD)

          3. Awatar spinlock
            spinlock

            A można na Windows postawić serwer shellowy z uprawnieniami do kompilacji i uruchamiania programów na serwerze przez zwykłych użytkowników ?
            BTW wielki szacun dla MS że poszedł po rozum do głowy i stworzył PowerShell (nie widziałem na oczy ale wierze że to dobre narzędzie) ale na Boga nie przywołuj CMD bo to badziewie z czasów MSDOS o którym na samą myśl robi mi się nie dobrze.

          4. Awatar pow3rshell
            pow3rshell

            Sorry ale nie znasz się – Windows 2008 Core masz tylko CMD i PS. Kont shellowych nie tworzy się na Windows bardziej ze względów licencyjnych ( licencja per CAL ) niż technicznych

          5. Awatar k-k-k
            k-k-k

            Pewnie że można. Można w cli, można w gui jeśli ktoś lubi VS na przykład.

          6. Awatar Budyń
            Budyń

            @spinlock
            A czemu nie ?
            Inna sprawa, że wiesz … pod Windows nie jest to potrzebne.
            Acha i Windows ma trochę lepszy system uprawnień 😀

          7. Awatar Darkhog
            Darkhog

            Trochę lepszy? Fajnie, że w Windowsie wystarczy uruchomić system z odpowiedniej płytki i już masz dostęp do konta admina. Taka sztuczka w Linuksie z kontem roota mi się jeszcze nie udała. A próbowałem chyba wszystkich dostępnych local root exploitów i "odzyskiwaczy" haseł (których notasbene tak mało pod Pingwinka wcale nie ma, trzeba tylko wiedzieć gdzie szukać).

            Druga sprawa to to, że zabezpieczenia NTFS są śmiechu warte, daj mi maszynę z C®a$hdows i "zabezpieczonymi" plikami, a wejdę ci do nich z konta gościa, które ma jeszcze mniejsze uprawnienia od konta z ograniczeniami.

          8. Awatar Ja tylko na 15 minut
            Ja tylko na 15 minut

            Czy Ty w ogole potrafisz obsłużyć Linuksa? Bo chyba nie.

            Wystarczy dowolne LiveCD, uruchamiasz je, podmontowujesz "pożądaną" partycję systemową i masz dostęp do niej jako root. Chulaj dusza, piekła nie ma.

            Drugiego akapitu nie komentuję bo Windowsa chyba też nie używasz.To co piszesz to jakieś brednie. Polecam jakąś dobrą książkę "Podstawy obsługi WIndowsa".

          9. Awatar spinlock
            spinlock

            Co to za bezsensowny argument ?
            Rownie dobrze możesz mówić że mając dostęp do komputera z Linuksem możesz wyjąć jego dysk twardy i rozbić go młotkiem i twierdzić że jest to *słabe ogniwo bezpieczeńśtwa* Linuksa 🙂

          10. Awatar Budyń
            Budyń

            @spinlock
            …ale w przypadku Windows, ten argument już nie jest bezsensowny :>

          11. Awatar blablaaa ** n
            blablaaa ** n

            1. Zadajesz sobie sprawę, że dysk można zaszyfrować?
            2. Użytkownik serwisu rootnode nie ma fizycznego dostępu do serwerów (a przynajmniej nie powinien).

          12. Awatar Wizard
            Wizard

            W grubasie naciskasz e i dopisujesz argument jądra init=/bin/sh. Nawet płytki nie trzeba 😉 Tylko o czym tu w ogóle mowa?

          13. Awatar pow3rshell
            pow3rshell

            Taa jak masz odpalonego bitlockera lub nędzny EFS to płytki możesz użyć ale jako podstawki pod kawę

          14. Awatar Budyń
            Budyń

            Chyba logiczne, że mowa o sytuacji w której OS działa.
            W takiej jak piszesz, jedynym ratunkiem nie są uprawnienia, tylko szyfrowanie dysku – pod dowolnym OSem.
            A to że nie potrafiłeś……… cóż, już Ci inni wyjaśnili 😀
            Ale nie przejmuj się linuksiarze tak mają 😀

  9. Awatar Budyń
    Budyń

    @spinlock
    To o czym piszesz świadczy o równie głebokich uprzedzeniach co ignoracji w temacie.

  10. Awatar Piotr
    Piotr

    …bo danych osobowych się nie składuje w komputerze, koniec kropka.

    1. Awatar szarpaj
      szarpaj

      O, to pewnie dlatego w ZUS pracuje 30.000 urzędników… 😀

      1. Awatar morsik
        morsik

        W ofercie do pracy pewnie napisali:
        – Zdolność do zapamiętywania danych osobowych 100 ludzi.

        1. Awatar Darkhog
          Darkhog

          A po co zapamiętywać? Papierek, folderek i szafeczka i jedziem.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *