Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Submitter: StM

Apache.org, de website van de Apache Software Foundation, is vrijdag korte tijd offline gehaald. Systeembeheerders hadden ontdekt dat hackers met behulp van een vermoedelijk gestolen ssh-sleutel een server waren binnengedrongen.

De onbekende hackers hadden hun pijlen gericht op de webserver waarop ApacheCon draait. Deze server wordt gehost door een extern hostingbedrijf. Het account en de bijbehorende ssh-sleutel die door de hackers werden gebruikt, deden dienst voor het uitvoeren van automatische backups naar minotaur.apache.org, een server die draait op FreeBSD 7 en onder andere gebruikt wordt voor het accountbeheer van ontwikkelaars van het opensource-project. Ondanks dat de aanvallers er niet in slaagden om de rechten van dit account te vergroten, plaatsten zij wel diverse kwaadaardige cgi-scripts en bestanden op de server. Door het sync-mechanisme werden deze bestanden automatisch naar andere webservers van Apache.org gekopieerd.

Toen het Apache Infrastructure Team op vrijdag bemerkte dat er via http-requests geprobeerd werd om de geparkeerde cgi-scripts op afstand aan te roepen, gingen de alarmbellen af. Uit voorzorg werd besloten om alle servers direct offline te halen. Nadat uit een eerste onderzoek bleek dat een Europese webserver buiten schot was gebleven, werd al het verkeer naar Apache.org tijdelijk naar deze machine gerouteerd. Vervolgens zijn de systeembeheerders begonnen met een grootschalige schoonmaakoperatie.

Een aantal servers van de opensource-organisatie is nog steeds offline, maar webservers die voor het publieke deel van Apache.org worden gebruikt, zouden grotendeels weer in de lucht zijn. De gebruikte ssh-key om de servers van Apache.org binnen te dringen, is mogelijk gestolen, maar nader onderzoek moet meer duidelijkheid geven. Volgens het Apache Infrastructure Team lijkt het er op dat er geen eindgebruikers direct zijn getroffen door de hack. Wel wordt aangeraden om de digitale handtekeningen van Apache-software de komende tijd extra goed te controleren.

Moderatie-faq Wijzig weergave

Reacties (45)

Dit is niet de eerste hackpoging op Apache. Ik zie (als committer) regelmatig interne mailings van het Infrastructure Team over hackpogingen in alle soorten en maten.

Maar het Infrastructure is echt een goede club. Dat kun je in die mailings wel zien. Ze houden alles goed in de gaten, er wordt proactief gemonitored, etc... Totaal niet te vergelijken met de bedrijven die ik voor mijn gewone werk zie (o.a. banken). Je kunt zien dat Infrastructure een techneutenhart heeft.

Aan de andere kant, ook de Apache community is een trust netwerk. Ik ben er (los van mijn bijdragen aan de community en codebase) binnengekomen via een ex-collega die Chairman is (en dus status/merit heeft), waardoor mijn integriteit redelijk gecontroleerd is.
Maar je houdt nooit iemand tegen die verkeerde intenties heeft. Iemand kan zich een jaar voor een project inzetten en goede patches aanleveren, maar zich als committer misdragen en misschien wel schade aanrichten. Gelukkig hebben committers beperkte rechten en worden misdragingen relatief snel opgemerkt (voordeel van open development). Als iets dergelijks uitkomt, lig je er gewoon uit.

Al met al durf ik te zeggen dat Apache zijn zaakjes goed op orde heeft, maar uiteindelijk blijft het beheer van SSH keys, passwords, etc. mensenwerk en daarmee de zwakste schakel. Daar doe je als beheerorganisatie niet veel aan.
Maar dit geldt voor iedere grote partij die zich op het internet begeeft.
ja dat ze goed bezig zijn zie je wel. want zonder een sleutel waren ze nooit zo ver gekomen... wel benieuwd hoe ze eraan gekomen zijn: sociaal hacking of een botnet aan het werk gezet om een sleutel ergens uit te kunnen destilleren?
Hoewel deze hack eigenlijk zoveel was als de diefstal van een key (hoe?), liijkt me de impact toch niet te oderschatten. Apache.org is zowat het "voorbeeld", het "uithagbord" van de apache-software. Schade aan het vertrouwen van systeembheerders kunnen ze missen als kiespijn! Bovendien host deze site de "officiŽle" apache software; het zou kunnen uitdraaien op een www-crisis als zou blijken dat die niet koosjer meer is!!!
Ik denk dat het ook vandaar is dat er zo' uitgebreide communicatie gebeurt over het hoe en waarom; dat is de enige manier om de apache software (en het vertrouwen erin)buiten schot te houden ;)

[Reactie gewijzigd door the_stickie op 30 augustus 2009 12:23]

Als ik je wachtwoord jat en ik log in op jouw computer en doe allemaal dingen, is Windows dan de schuldige?

Mocht software al aan te wijzen zijn, dan is het hun sshserver die het probleem is. De apache software staat hier helemaal buiten. Eerder is het gewoon een slordige medewerker (laptop of smartphone kwijtgeraakt), een corrupte medewerker of hebben de hackers daadwerkelijk de key gejat (fysiek overgenomen van een computer)... legio voorbeelden te bedenken waar software niet aan te wijzen is als schuldige.
Tja, maar het gevolg kan wel uitwerken naar een backdoor in de apache source-code.

En als dat zo blijkt te zijn, dan heeft de apache foundation toch echt wel een gigantisch pr-probleem...

Ongeacht waar de fout in 1e instantie door kwam, de gevolgen gaan op een heel ander vlak spelen...
Hoezo ? De source is toch open, iedereen kan het inzien dus er kan best gecheckt worden wat er veranderd zou zijn.
Hoeveel % van de mensen die Apache tarball downloadt en installeert (wat bijvoorbeeld alle gebruikers van Gentoo Linux en FreeBSD servers laten doen door de package manager) gaan alle source doorlezen bij elke update?

Dat doe je niet als eindgebruiker.
Hoeveel % van de mensen die Apache tarball downloadt en installeert (wat bijvoorbeeld alle gebruikers van Gentoo Linux en FreeBSD servers laten doen door de package manager) gaan alle source doorlezen bij elke update?
Dat hoeft ook niet, er zijn altijd mensen die de source in de gaten houden, op z'n minst de developers die er aan werken. Het hoeft maar 1 iemand op te vallen en die kan dan alarm slaan.
De meeste distro's werken met hun eigen patches etc. Dit alleen houd al in dat de meeste distro-bakkers (voor serieuze server-distro's) de code doorspitten. Ik schat niet direct een groot gevaar in voor gebruikers.
FYI, Apache Software Foundation heeft meer software dan webserver software. Andere bekende software van ASF:
- Ant
- Maven
- Hadoop
- Lucene
- SpamAssassin
- Tomcat
- Xalan
- Xerces

En zo nog tientallen andere veel gebruikte software pakketten.
Apache.org is zowat het "voorbeeld", het "uithagbord" van de apache-software. Schade aan het vertrouwen van systeembheerders kunnen ze missen als kiespijn! Bovendien host deze site de "officiŽle" apache software; het zou kunnen uitdraaien op een www-crisis als zou blijken dat die niet koosjer meer is!!!
En als er een virus / hack / crack voor Windows is leidt dat tot wat voor crisis dan? We are all doomed? Dit soort berichten in verschillende vorm is er regelmatig. Het leidt echt alleen tot slechte pr hoor, verder leidt het helemaal nergens toe...
Hopelijk is de apache software niet aangetast want zoals hierboven al gezegd werd moest er een update komen en webservers updaten zou dat een gigantisch geÔnfecteerd netwerk zijn.

Wat ik me wel afvraag, hoe kwamen ze aan de ssh-key? Hoe hebben ze die kunnen stelen, staat nergens beschreven en vind ik wel altijd interessant hoe ze aan zo'n dingen komen =).

Edit; zelf is mijn website ook down, de support is vandaag niet online dus ik kan hen niet vragen hoe het komt. (paradox-productions.net)

[Reactie gewijzigd door wouterds op 30 augustus 2009 12:37]

@ Paradoxj,

Zoals al eerder gezegd, apache heeft geen 'auto-update' functionaliteit in de webserver zitten. Als apache al automatisch geupdate word door systeembeheerders dan is dat eigenlijk altijd via het package systeem in van linux / *bsd

Dus zomaar een gigantisch botnet krijgen door dit truckje gaat niet werken

En daarnaast iedere systeembeheerder die een kritische server beheert en het de automatische updates van zijn server aanzet, of het nu Windows / *nix / wathever is moet eens heel goed nadenken waar die mee bezig is.
admin ww zelfde als fok-userdatabase :*) :Y)
Ja, want die zaken hebben echt raakvlakken met elkaar.. |:(

Overigens wel een slimme hack/crack.. Ik neem aan dat men wel wist van de sync feature van de webservers onderling. Dat met de reeds bekende ssh key doet mij vermoeden dat het haast gebeurd moet zijn i.s.m. iemand binnen de organisatie.

Veel lof trouwens voor de sysadmins daar die bemerkt hebben dat er http requests de kant van de cgi scripts op gingen.. Kan mijzelf voorstellen dat dat ook niet iets is waar je elke dag op monitort, access naar UFO objects op je webserver.
Kan mijzelf voorstellen dat dat ook niet iets is waar je elke dag op monitort, access naar UFO objects op je webserver.
Daar heb je intrusion detection systemen voor.

http://en.wikipedia.org/wiki/Intrusion_detection_system

Altijd geluk hebben natuurlijk met een geautomatiseerde detectie van "ongewenst gedraag".
Respect voor de admins overigens die dit door hadden. Ik weet menig beheerder die dit nooit doorgehad zou hebben...

Je zou bijna denken dat ze bij Apache iets van webservers afweten :D

[Reactie gewijzigd door Freeaqingme op 30 augustus 2009 15:21]

Gelukkig valt de software in kwestie (Apache HTTP Server draaiende op FreeBSD 7) en de kundigheid van de beheerders van deze servers niets te verwijten. Tegen het ontvreemden van SSH-sleutels valt softwarematig weinig te beginnen.

Het enige punt van kritiek is dat de sleutel niet in handen van de groep had mogen vallen, maar ik denk dat ze bij de Apache Foundation in de toekomst hier stricter mee om zullen gaan.
ongeveer 80% van de webserver draait apache; wat als je die broncode kunt aanpassen met evil code ... dan heb je een mooi netwerkje van servers (!) [indien geupdate]

[Reactie gewijzigd door himlims_ op 30 augustus 2009 12:17]

Apache is opensource, meeste grote hosters zullen zelf de bron code compileren. Daarbij zou het direct opvallen als er malafide code in het versie beheer (svn/cvs/git) van apache zou opduiken.

Daarnaast gaat het hier om het sync mechanisme van de clusters waar op de apache websites en apachecon op gehost worden. De apache webserver (ik doel hier op httpd) zelf heeft geen auto update mechanisme zoals je deze bij veel end-user software ziet zoals virus scanners of Windows.

Dus nee er is nooit een gevaar geweest dat we een botnet van apache powered websites zouden krijgen.

[Reactie gewijzigd door codeneos op 30 augustus 2009 13:01]

Is het niet een beetje naÔeve om te denken dat alle gebruikers hun bron zelf compileren en alle code doorlezen. Malafide code zal heus wel compileren. In versie beheer valt het wel op, maar je kan op apache.org ook gewoon src zip en binaries downloaden.

[Reactie gewijzigd door Cobalt op 30 augustus 2009 13:28]

Nee, maar je kan niet zomaar even code toevoegen zonder dat het opvalt bij de versie beheer software. (SVN, CVS of whatever).
Alle wijzigingen zullen echt wel bekeken worden door een aantal mensen. Als die het gek vinden is het er zo weer uit. (En waarschijnlijk kan dit alleen in een unstable tak, welke niet echt gebruitk zullen worden door hosters.)
Als je echt goed bent dan edit je direkt de repository zodat je geen changelog achterlaat. Voordat je commit doe je eerst een update als developer en wordt de trojan gewoon naar de developer gesynchroniseerd. Aangezien de code als in SVN stond kun je ervanuitgaan dat dit klopt et. voila. Uiteraard als je echt paranoia bent dan doe je eerst een cvs diff om te zien wat de update gaat doen, maar ik ken niemand die altijd zo paranoia is.
Blijft overigens onwaarschijnlijk dat als je de httpd repo modificeert niemand het doorheeft. De kans dat het opgemerkt wordt is in ieder geval vele malen groter dan als iets dergelijks bij een closed-source produkt gebeurt.
Hoezo bij closed source heb je precies dezelfde repositories en zijn er net zo veel (of op vergelijkbare schaal) developers die gebruik maken van zo`n repository.

Het heeft imho _niets_ te maken met closed of open source.
Het verschil is dat bij closed source alleen de developers toegang hebben tot de broncode, een relatief kleine groep dus. Bij open-source software hebben zowel de developers als alle eindgebruikers toegang tot de broncode.

Ondanks dat lang niet iedere eindgebruiker van source zal compileren, laat staan een diff doen, is dit toch een veel grotere groep en dus ook een grotere kans om malafide modificaties op te merken.
Ik denk dat er niet zo gek veel closed source projecten zijn waar zo veel ontwikkelaars aan werken als aan de Apache httpd ;).
Blijft natuurlijk dat je nou niet direct kan zeggen dat als er 50 ontwikkelaars aan een project werken (die nu ook nog eens "gewaarschuwd" zijn), of dat er nou een paar duizend aan werken, dat een source wijziging minder snel opvalt.
4980 keer de melding dat er een foute wijziging is, is ook overbodig ;).
Beter gezegd, lang niet elke systeembeheerder kan code lezen. Ze maken scriptjes om hun leven makkelijker te maken maar het zijn geen programmeurs met diepgaande kennis van taal X.
Apache is opensource ja. Ze hebben tarballs op de download plaatsen staan. Pas de tarballs aan, pas de checksum bestanden aan, liefst met terugzetten van originele datum, en alleen de mensen die controleren tegen checksums die destijds in de announcement mailtjes stonden komen erachter dat er iets niet klopt, en dan is slechts een klein deel daarvan nog zo slim om ook daadwerkelijk te controleren waarom de checksum niet klopt.
Squirrelmail is een tijdje geleden ook gehackt, heeft een tijdje geduurd tot men erachter was dat er een aantal plugins waren voorzien van password sniffers.
Heb je het artikel uberhaut gelezen?

staat duidelijk in dat ze bezig waren met het 'hacken' (cracken eigenlijk maar ok..)

Van de accountbeheer wat instaat voor de automatische updates.

Wat dat betekend is, als ze daar ingeraakt waren, dat elke server die automatisch de updates binnenhaalde vb een trojan/spyware... had kunnen binnen halen.
Dat verklaart nog steeds niet wat ze nu echt WILLEN?

Zombie netwerk? Betalingsgegevens? Paswoorden?
Alle drie - waarvan de middelste natuurlijk 't doel, en de andere twee de middelen.
Er staat duidelijk "automatische backups" en niet "automatisch updates".
Weer die hackers, wat willen ze?
Hakkeuuhhhh! ;)

[Reactie gewijzigd door HoeZoWie op 31 augustus 2009 16:24]

Oh, je bedoelt jouw interpretatie van wat een hacker/cracker is.... het gaat hier gewoon om hackers........
Even Google'n voordat je iets typt:
De term computerkraker, vaak aangeduid in jargon als cracker of black hat hacker
En ook http://nl.wikipedia.org/wiki/Hacker Lees dan gelijk het 2de kopje even door. Het is dus niet mijn interpretatie, maar die van zo'n beetje de hele gemeenschap, ga dus eerst maar eens zoeken voordat je weer zo'n poging tot sarcasme post.

@ Mizitras, dat zal ik denk ik ook eens doen ja, maar ik dacht dat als ik het hier post er misschien wel sneller zou kunnen blijken of er wat mensen het met me eens zijn. Vind het in ieder geval wel raar dat als er toch wel vaak weer discussies zijn over hackers en crackers de redactie daar niet handig op inspeelt om het gelijk goed te doen.
Nee, niet zijn interpretatie, maar de globale / algemene: nl. black hat = cracker, white hat = hacker.
In de volksmond is een hacker iemand die zich zonder toestemming toegang verschaft tot een systeem, ongeacht de reden dat men dit doet. Dat een groep mensen liever heeft dat hackers als goed worden gezien en voor slecht gedrag de term cracker hebben geponeerd en dit geheel als 'globale/algemene' definitie hebben verheven doet hier niets aan af.
OffTopic: / Grapje
Ik kwam laatst een Tracker tegen... -
een tracker ??? bedoel je niet een cracker of een hacker?
Nee ik kwam laatst een Tracker tegen!
een tracker, hmmm, wat is dat ??

Dat was ooit eerst een hobby-ende Hacker,
heeft van zijn hobby zijn werk gemaakt,
kreeg niet de juiste baan in de IT/ICT-Security
en is daardoor beland in de Cyber-Space Criminaliteit,
belande op het 'foute pad' en is sinds dien opgejaagd door Global Goverment,
en is nu een vluchtende Cracker, die uiteindelijk
Assiel aanvraagt in een ander neutraal land, een Tracker!
:)

Tracker = 'Tracing Hacker die Trekt'

[Reactie gewijzigd door HoeZoWie op 31 augustus 2009 16:23]

Je kan via het forum een suggestie doen om, bij eventuele foute woorden, dit te corrigeren. Niet de plaats om te discussiŽren over het inhoudelijke, laat dat wel duidelijk zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True