Le serveur de la Free Software Foundation attaqué
Par injections SQL, des identifiants et des mots de passe utilisateurs ont été volés

Le , par Hinault Romaric, Responsable .NET
Le serveur hébergeant le site Gnu.org de la Free Software Foundation a été attaqué.

Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.

Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données.

Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site.

Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque.

Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés.

La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques.

On ne sait toujours pas qui en est à l'origine.

Source : Blog de la Free Software Foundation

Et vous ?

Qui peut être d'après vous à l'origine de cette attaque ?
Vous parait-il possible que ces attaques contre deux grands organismes de l'open source soient liées ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de ogaby ogaby - Membre actif http://www.developpez.com
le 03/12/2010 à 22:00
Mouais... l'historique serait enregistré dans un fichier... bof.
Avatar de jacqueline jacqueline - Membre habitué http://www.developpez.com
le 03/12/2010 à 22:10
Citation Envoyé par kedare  Voir le message
Plus un manque d'organisation du langage qu'une souplesse...

jacqueline: MySQL aussi permet le SSL par échange de clés

Merci de rectifier, mais je ne l'ai pas vu, ça ne m'a pas sauté aux yeux en tous cas..
Avatar de jacqueline jacqueline - Membre habitué http://www.developpez.com
le 03/12/2010 à 22:15
Citation Envoyé par Flaburgan  Voir le message
Et si on stoppait le troll et on repartait dans le sujet :
Que peut-on faire pour éviter que cela se reproduise ? Y a-t-il déjà des personnes chargées de la sécurité ou est-ce les développeurs eux même qui s'en préoccupent ?
Et puis aussi, certe, celle là à réussi, mais combien d'attaques auparavant ont échoué ?

Il y a le CWE, mais ils préchent un peu dans le désert.

Leurs plus fidèles lecteurs doivent être les pirates..
Avatar de ProgVal ProgVal - Membre éclairé http://www.developpez.com
le 04/12/2010 à 8:46
Citation Envoyé par redbullch  Voir le message
sauf si l'historique a été également modifier.

Du moment qu'il a y eu un accès, on ne peut être sûr de rien.

On voit que tu n'utilises pas de gestionnaire de versions.
Si l'historique était modifié, ça se verrait très rapidement, parce que pour les gestionnaires de version, l'historique n'est pas un fichier que l'on abandonne dans un coin, en y écrivant de temps en temps, mais il est utilisé pour un grand nombre d'actions (revert, merge, etc)

Citation Envoyé par Louis Griffont  Voir le message
On nous bassine à tout les coins de sujets traitant de Windows, que le libre est plus sécurisé, et là, on voit que ce n'est peut-être pas aussi certain qu'on voulait bien le dire. C'est tout. Je ne veux pas polémiquer. Je m'interroge (contrairement à d'autres).

Ça n'a rien à voir. Le logiciel libre sera peut-être (j'aurai plutôt dit "probablement", mais c'est hors sujet) plus sécurisé, mais pour une attaque de ce genre, ça n'aurait rien changé, puisque c'est le code source lui-même qui a été accédé, et non pas le logiciel libre.
Par contre, il est vrai, que les entreprises faisant du code privateur gardent en général leur dépôt hors ligne ; mais là, c'est dû à une organisation différente de l'architecture.
Avatar de redbullch redbullch - Membre averti http://www.developpez.com
le 04/12/2010 à 18:03
On voit que tu n'utilises pas de gestionnaire de versions.
Si l'historique était modifié, ça se verrait très rapidement, parce que pour les gestionnaires de version, l'historique n'est pas un fichier que l'on abandonne dans un coin, en y écrivant de temps en temps, mais il est utilisé pour un grand nombre d'actions (revert, merge, etc)

Je trouve naïf de ta part de penser qu'il est impossible de modifier un gestionnaire de versions.

Comme j'aime bien dire : Tout est fichiers
Avatar de Louis Griffont Louis Griffont - Inactif http://www.developpez.com
le 06/12/2010 à 8:52
Citation Envoyé par Hellwing  Voir le message
*sort sa cape de Super-Défenseur-de-Posteurs-Incompris*
Mais ça Louis le sait, on l'a même dit plus haut, que c'est une erreur côté développeur et pas technologie utilisée. Il n'a jamais insinué que c'était un problème de sous-système.
Ce qu'il essaye de dire (du moins je pense) c'est que d'après la news un serveur hébergeant des sources a été "corrompu", à savoir :

HE bien, ça fait du bien de voir que certains savent lire et comprendre, que tous n'ont pas des œillères !
Merci à toi !

Citation Envoyé par ogaby  Voir le message
Supposons que dans le pire des cas les sources ont été modifiées, les développeurs s'en s'aperçoivent rapidement en regardant l'historique du gestionnaire de projet.

Je comprends qu'on puisse se poser la question mais dans la pratique, je pense que les modifs se voient tout de suite.

Je suis d'une nature optimiste, mais pas naïf !
Ça se voit, oui ! Si on les cherche parce que l'on a un doute.
Mais, imagine que l'attaque ne soit détectée que 6 mois/ 1 an plus tard. Ou même pas détectée du tout. Pourquoi aller chercher des modifs dans du code que personne n'a touché, pourquoi remettre en question des choses fiables ?

Citation Envoyé par redbullch  Voir le message
sauf si l'historique a été également modifier.

Du moment qu'il a y eu un accès, on ne peut être sûr de rien.

Exactement !

Citation Envoyé par ogaby  Voir le message
Mouais... l'historique serait enregistré dans un fichier... bof.

Et d'après toi, c'est quoi l'historique ?

Citation Envoyé par ProgVal  Voir le message
On voit que tu n'utilises pas de gestionnaire de versions.
Si l'historique était modifié, ça se verrait très rapidement, parce que pour les gestionnaires de version, l'historique n'est pas un fichier que l'on abandonne dans un coin, en y écrivant de temps en temps, mais il est utilisé pour un grand nombre d'actions (revert, merge, etc)

Et surtout, j'imagine que tout le monde se souvient de ce que contenant l'historique 2/3 ans plus tôt !

Citation Envoyé par redbullch  Voir le message
Je trouve naïf de ta part de penser qu'il est impossible de modifier un gestionnaire de versions.

Comme j'aime bien dire : Tout est fichiers

Avatar de Ev3r10st Ev3r10st - Membre régulier http://www.developpez.com
le 06/12/2010 à 9:31
Le plus impressionnant c'est qu'ils aient pu écrire dans des fichiers.

Les fonctions mysql utilisées (via injection SQL) sont "INTO OUTFILE / DUMPFILE".
Seulement les droits pour cette fonction sont définis à [false] par défaut pour un utilisateur de mysql.
Sauf pour l'utilisateur root.

Le(s) pirate(s) (soyons honnêtes, pas besoin d'être cinquante...) avai(en)t les droits en lecture / écriture de l'utilisateur "mysql" du serveur.

(Dont la possibilité d'écrire des fichiers ".php" qui seraient interprétés par apache si dans l' [include_path])

Pour que mysql ait droit d'écriture de fichier dans un dossier qui ne lui appartient pas, il faut que tout le monde ait les droits d'écriture dans ce dossier (chmod 777)

Manquait plus que l'upload et l'exécution d'un rootkit, et on avait un joli serveur zombie à la FSF.

Bref, du gros berk.
Avatar de ProgVal ProgVal - Membre éclairé http://www.developpez.com
le 06/12/2010 à 18:36
Citation Envoyé par Louis Griffont  Voir le message
Et surtout, j'imagine que tout le monde se souvient de ce que contenant l'historique 2/3 ans plus tôt !

Non, mais comme on fait chaque modification par rapport à la précédente, modifier deux ou trois ans plus tôt, ça implique de toute recalculer. Et je ne sais pas exactement comment ça marche avec Mercurial, mais il parait que c'est très proche de Git, et avec Git, chaque modification a pour ID unique (repris à chaque modification, création de branche, ou fusion de branches) le hash de la modif ; il faudrait donc tout recalculer, ce qui demande une sacrée puissance de calcul...
Avatar de Hellwing Hellwing - Membre chevronné http://www.developpez.com
le 07/12/2010 à 11:09
Citation Envoyé par ProgVal  Voir le message
Non, mais comme on fait chaque modification par rapport à la précédente, modifier deux ou trois ans plus tôt, ça implique de toute recalculer. Et je ne sais pas exactement comment ça marche avec Mercurial, mais il parait que c'est très proche de Git, et avec Git, chaque modification a pour ID unique (repris à chaque modification, création de branche, ou fusion de branches) le hash de la modif ; il faudrait donc tout recalculer, ce qui demande une sacrée puissance de calcul...

Bah possible ou pas, ce détail est connu des pros. Les causal développeurs, et même les gens qui ne touchent pas forcément au domaine du Logiciel Libre (moi, par exemple) mais s'intéressent quand même à l'informatique en général, quand ils lisent cette news, ils ont quand même peur avec tous les "et si" qu'ils se posent.
Avatar de wwiki wwiki - Membre du Club http://www.developpez.com
le 08/12/2010 à 9:52
Je suis dans l'attente de connaître l'origine de ces attaques.

Avatar de SurferIX SurferIX - Membre expérimenté http://www.developpez.com
le 08/12/2010 à 11:16
Citation Envoyé par olivier69  Voir le message
Je sais, mais quand même, pas eux...

Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !

Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles

Meuheueheuhe c'est pareil chez tout le monde, Free ou pas... y'a que vsftpd que je connaisse qui n'a eu jusqu'à aujourd'hui aucune faille connue. Chaque ligne est analysée dans tous les sens possibles, mais à part eux, si vous avez d'autres suggestions...

De toutes les façons le mode de vie pourri d'aujourd'hui (= consommer, consommer, consommer) fait qu'il faut fournir à tout prix même s'il n'y a pas la qualité derrière, alors le FSF fait comme tout le monde... et a des failles... comme tout le monde...
Offres d'emploi IT
Administrateur système et réseaux h/f
Urban Linker - Ile de France - Paris (75000)
(H/F) CHEF DE PROJET SIRH CHEZ EDITEUR
STUDIO RH - Ile de France - Paris - 1er arrondissement
Chef de projet Fonctionnel Retail Chine H/F
ADEPI JOB - Nord Pas-de-Calais - Lille

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil