Újabb hack- és lopássorozat

2012-03-02

Szerző: Marek Palatinus (slush)

A Linode platformjának egy biztonsági hibája több, mint 3.000 BTC-mbe került (jelen árfolyamon ez közel 12.000 eurót jelent). A Linode egy világszerte igen népszerű felhő- és webszolgáltató vállalat. Március elsején reggel pedig arra ébredtem, hogy az összes bitcoinomat ellopták a backup szerveren tárolt aktív tárcámról. (Biztonsági intézkedésként a kereskedelmi oldalak a pénzük nagy részét offline tartják, mindig csak annyit hagyva egy “aktív tárcában”, amennyi a folyamatos, zökkenőmentes működés biztosításához szükséges.)

Pánikra azonban semmi ok; a Linode hibáját a saját jövedelmemből fedezem (bár ez azt jelenti, hogy most több havi munkám ment pocsékba, és én magam is össze vagyok törve).

Annál is inkább dühítő a dolog, hogy pedig mindent megtettem annak érdekében, hogy a lehetőségekhez mérten maximalizáljam a biztonságot. Ez azonban mind nem számít akkor, ha a felsőbb szintű szolgáltatót hackelik meg. Minden erre áldozott időm és erőfeszítésem hiábavalónak bizonyult.

Ráadásul úgy tűnik, hogy a felhasználói adatbázis is kompromittálódott. És bár a jelszavakat sózott SHA1-gyel tároltam, ettől függetlenül melegen ajánlom mindenkinek, hogy azonnal változtassa meg a jelszavát.

A bukás

Március elsején reggel SMS-es riasztást kaptam arról, hogy vészesen alacsony a bányásztársulásom egyenlege. Nyomban utána is néztem a dolgoknak, és furábbnál furább anomáliák láncolatára bukkantam – majd észrevettem, hogy 3094 BTC hagyta el a társulás tárcáját. Én pedig tehetetlenül ültem és néztem, ahogyan a hálózat megerősíti a tranzakciót.

A naplók alapján még úgy tűnt, hogy a szerver egyáltalán nem kompromittálódott.

Aztán feltűnt, hogy két Linode-os gépem is újraindult nem egészen fél órája, és hogy a root jelszavakat is megváltoztatták. Én is megváltoztattam a jelszavakat, és észrevettem a machinációt a gépeken. Aztán felfedeztem, hogy a Linode Managernél (a Linode webmenedzsmentje) is megváltoztatták a jelszavakat a Host Job listában (a Manageren keresztül végzett legutóbbi tevékenységek listája) is megjelenő jelszóváltoztatás miatt.

Jeleztem az esetet a Linode stábjának, és lekértem tőlük a Manager legutóbbi loginjeinek naplóját. Nem csekély meglepetésemre azt találtam, hogy csak a saját belépési kísérleteim szerepeltek rajta, és hogy a támadás előtti utolsó belépés dátuma 2012 február 8. volt! Jeleztem a Linode-nak, hogy itt valami nagyon nagy baj van, mert én bizony erős jelszót használtam a Linode Managernél (tudván, hogy az alapvetően egy hátsó bejárat a gépeimhez) – és ezt a jelszót csakis ott használtam, sehol máshol.

A levélváltásunk és az adatok részletei itt tekinthetőek meg. Még mindig várom a vizsgálódásuk eredményeit.

A Linode a legfőbb szolgáltatóm, és nagyon sokan bíznak rájuk nagyon komoly üzleteket – ahogyan tettem azt én magam is egészen mostanáig. Ha azonban az emberek azt látják, hogy a Linode megpróbálja eltussolni ezt az ügyet, akkor talán kétszer is meggondolják majd, hogy mennyire bíznak meg bennük.

Természetesen bízom benne, hogy széleskörű tiszteletnek és elismertségnek örvendő hosting-szolgáltatóként kijavítják a hibát, és megtérítik nekem az ő hibájuk miatt keletkezett káromat. Nagyon sokan bíznak bennük, és mindeddig ők maguk is megbízhatónak bizonyultak a legkényesebb ügyekben is. Nagyon remélem, hogy nem akarnak csorbát ejteni a saját jó hírükön.

Annál is inkább, hogy nem én vagyok az egyetlen, akit érintett ez az eset. Felkeresett ugyanis valaki, és jelezte, hogy az ő Linode-gépét is megtámadták, és hogy az ő bitcoinjait is ugyanabba a tárcába ömlesztették, amelyekbe az enyémet is, és kérdezte, hogy tudtam-e erről (mert látta, hogy az 1Mining2 cím az enyém). Hamar rájöttünk, hogy valóban ugyanarról a történetről van szó; jelszóváltoztatás a Managerben, lopott érmék, a Linode stábja pedig állítja, hogy náluk nem történt semmi.

A támadók tehát a jelek szerint találtak és kiaknáztak valamiféle sebezhetőséget a Linode Managerben, és azon keresztül hatoltak be a bitcoind-t futtató Linode-os gépekre (mindketten bitcoind-t használtunk), hogy a lehető legveszélytelenebbül kaszálhassák a lehető legnagyobbat. Más gépek a jelek szerint nem kompromittálódtak, és sem a Twitteren, se máshol nem hallottunk semmi más hasonló esetről. A támadók tehát láthatólag kifejezetten a bitcoinokra utaztak; a namecoinokhoz pl. hozzá sem nyúltak, pedig minden további nélkül elvihették volna azokat is.

Gavin Andersen Bitcoin Faucet-jéből is ellopták a bitcoinokat.

A támadó tárcája alapján úgy tűnik, hogy másokat is érintett ez a hack; ők talán többet tudnak…?

Nincs okom azt feltételezni, hogy magát a társulást is meghackelték volna. Mindenhol megváltoztattam a jelszavakat (főleg az adatbázisnál), új tárcába raktam a pénzt, és most minden tökéletesen működik. A backup gépen nem voltak fenn a társulás szerverének a kulcsai, így azt nem kell újratelepíteni másik gépre. Minden anyagi veszteséget a saját pénzemből fedezek annak érdekében, hogy a felhasználókat ne érintse ez az ostoba eset. Ez kizárólag köztem és a Linode között fog lezajlani.

Friss fejlemények:

A Linode megerősítette, hogy ők voltak a ludasok:

Helló Marek,

A riasztás nyomán sikerült azonosítanunk és ki is javítanunk a hibát. Mint kiderült, egy ügyfélszolgálati interfészen keresztül fértek hozzá a fiókodhoz. A kompromittálódott tanúsítványokat korlátoztuk, és jelenleg is az irányelveink megváltoztatásának részleteit egyeztetjük annak érdekében, hogy ne fordulhasson elő több ilyen eset.

Sajnáljuk ezt az incidenst, és bocsánatot kérünk minden kellemetlenség miatt, amit ez okozott neked. Nagyra értékeljük az üzletedet, és természetesen szeretnénk, ha továbbra is boldog és elégedett ügyfelünkként gondolhatnánk rád. Szólj, ha bármi módon jóvátehetjük ezt a hibánkat.

Üdvözlettel,

Thomas Asaro
Elnökhelyettes

Bitcoinica

Zhou Tong a Bitcoinicától is megerősítette, hogy több, mint 10.000 BTC-t (~50.000 USD) veszített a Linode-os eset kapcsán:

2012. március elsején 6:30-kor (UTC) kiürítették a Linode-nál tárolt, több, mint 10.000 BTC-t tartalmazó aktív tárcánkat. Ugyanaz az eset játszódott le nálunk is, mint más bitcoin-szolgáltatóknál: jogosulatlan hozzáférés a Linode “ügyfélszolgálati interfészén” keresztül.

Az eset természetesen nem lesz hatással az ügyfeleink pénzére. A Bitcoinica magára vállal minden veszteséget, mivel tőlünk loptak, nem pedig a felhasználóinktól. Hasonlóképp biztonságban vannak az ügyfeleink adatai is.

A kompromittálódott szerver egyetlen rendeltetése a bitcoinjainkat tartalmazó “aktív tárca” tárolása volt. Szerencsére ezen kívül semmi mást nem hostoltunk a Linode-nál, az ügyfeleink adatait sem. Mi több, az érintett szerverről a rendszerünkhöz sem lehet hozzáférni. Következésképp nem érintette az eset a jelszavakat, a felhasználóink tevékenységét és semmilyen más adataikat sem.

Forrás: Bitcoin Media

——-

Szerző: Dan Goodin

Legalább 228.000$ dollár értékű bitcoint tulajdonítottak el online rablók a népszerű Linode webhoszt egy sebezhetőségének kiaknázása nyomán. Mint kiderült, összesen 46.703 BTC-nek kelt lába, amiből több, mint 43.000 a Bitcoinica kereskedőplatform tulajdonában állt, jelezte Zhou Tong, a vállalat főfejlesztője és vezérigazgatója.

3.094 BTC-t Marek Palatinus szabadúszó cseh programozótól loptak el. Elmondása szerint egy másik bitcoin-felhasználótól is elloptak 50 BTC-t ugyanezek a támadók. Gavin Andersen is elveszítette mind az 5 BTC-jét, amit egy online fiókjában tárolt.

Néhány órával azután, hogy Palatinus és Andersen hírt adtak a támadásról, a Linode megerősítette, hogy a támadó kifejezetten a szervereiken tárolt bitcoin-tárcákra utazott, miután sikeresen feltört egy ügyfélszolgálati portált.

Mint jelezték, a támadó összesen nyolc felhasználótól lopott bitcoint, valamennyit a Linode Manager-fiókokon keresztül. Természetesen minden érintett felhasználót értesítettek az esetről.

Sem a Linode elnökhelyettese, Thomas Asaro, sem pedig a Linode sajtócsapatának illetékesei nem válszoltak a nekik címzett érdeklődő mailjeinkre. Jelen cikk írásának időpontjában még nem sikerült kideríteni a másik négy áldozat kilétét és az őket ért BTC-veszteség mértékét.

Nem ez az első több százezer dollár értékű bitcoin-lopás. Tavaly júniusban egy veterán felhasználó 500.000$ körüli lopásról beszélt, bár azt az esetet nem lehetett függetlenül ellenőrizni. Az elkövetkező hetek során azonban számos olyan malware is felbukkant, amelyek bitcoin-“bányarabszolgákká” alázták az általuk megfertőzött gépeket.

A kényelem a biztonság ellensége

Saját elmondása szerint Palatinus azért tárolta kódolatlanul a 15.000$ értékű BTC-jét tartalmazó, kompromittálódott “aktív tárcáját” a Linode szerverein, hogy automatikusan bonyolíthassa le a rendszere a kifizetéseket azon keresztül.

Mint mondta, ha valaki nagyobb összegű kifizetést kér, úgy azt neki kézileg kell átutalnia a tárcába; az automatikus rendszer csak a kisebb összegű kiutalásokat intézi. Ami persze így kevésbé kényelmes a felhasználóknak, mivel így a rendszer nem mindent intéz azonnal. Viszont a magasabb összegek nagyobb biztonsági kockázatot is jelentenek.

Elmondása szerint az ellopottnál lényegesen több BTC-t is tárolt kódolt formátumban netre nem csatlakoztatott pendrive-okban.

Andersen elmondta, hogy már dolgozik a Bitcoin keretrendszerének egy olyan frissítésén (többaláírásos tranzakciók), ami nagyrészt megelőzné az ilyesfajta lopásokat. Az új rendszerben a tárcák mindig csak egyet tárolhatnak a bennük lévő érmék elköltéséhez szükséges két titkos kulcs közül. A másik egy külön gépen lenne, egy másik helyszínen, így a kívánt tranzakciókat előbb a másik gépnek is ellenőriznie kell, és nem kerülnek azonnal elutalásra az esetlegesen lopott érmék. Ennek a bevezetésére azonban még várni kell néhány hónapot.

Andersen szerint ezek a lopások már csak azért is igen kellemetlenek, mert elméletben megelőzhetőek lennének; mint mondta, ha már néhány évvel ezelőtt is tudhatta volna, amit most, már más lehetett volna a helyzet – majd rámutatott, nem véletlenül jelzik a bitcoin.org honlapján sem, hogy a Bitcoin még mindig “kísérleti” stádiumában jár.

A Bitcoinica azt tanácsolta a felhasználóinak, hogy ne hasznosítsák újra a régi Bitcoin-címeiket. A saját weboldalukon is csak új, az esettől nem érintett címeket jelenítenek meg mostantól. Kiemelten hangsúlyozták, hogy a régi címek kényelmi célú újrahasznosítása kifejezetten veszélyes, és hogy mindenki tartózkodjon ettől. (Ők először csak “több, mint 10.000 BTC” elvesztéséről beszéltek; Tong csak utóbb árulta el a teljes, 43.554 BTC-s összeget).

Forrás: Ars Technica

A lap szövege Creative Commons Nevezd meg! – Ne add el! – Így add tovább! 3.0 licenc alatt áll, felhasználni csak forrásmegjelöléssel, és ide mutató linkkel szabad.