Office 365 Business
: 30 Tage gratis mit Promo-Code: OFFICE365TRIAL
Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 30

Thema: Sicherheitsvorfall

  1. #1
    oles@ovh.net
    Guest

    Standard Sicherheitsvorfall

    Guten Tag,

    http://status.ovh.net/?do=details&id=5070

    vor einigen Tagen haben wir festgestellt, dass die Sicherheit unseres Netzwerks am Standort
    Roubaix beeinträchtigt wurde. Unsere internen Untersuchungen haben ergeben, dass es einem
    Hacker gelungen ist, Zugriff auf den E-Mail-Account eines unserer Systemadministratoren zu
    erlangen. Dieser E-Mail Zugang hat es ihm erlaubt, sich Zugriff auf das interne VPN eines
    anderen Mitarbeiters zu verschaffen. Diesen VPN Zugang hat er dann genutzt, um die
    Zugangsdaten eines der für das interne Backoffice zuständigen Systemadministratoren zu
    missbrauchen.

    Bis zu diesem Zeitpunkt basierte die interne Sicherheit auf 2 Überprüfungsebenen:
    - Die Quell-IP: man muss sich entweder an einem der OVH Standorte befinden oder das interne
    VPN verwenden
    - Das persönliche Passwort

    Wir haben nach diesem Zwischenfall folgende Massnahmen ergriffen:
    -----------------------------------------------------------------
    Nach dem Zwischenfall haben wir unverzüglich die internen Sicherheitsregeln verschärft:
    - Die Passwörter aller Mitarbeiter für alle Zugänge wurden geändert.
    - Wir haben ein neues VPN mit sehr restriktiven Zugängen in einem nach den Anforderungen der
    PCI-DSS Norm gesicherten Saal eingerichtet.
    - Der Zugriff auf interne E-Mails ist nun nur noch an einem der OVH Standorte oder vom
    internen VPN aus möglich.
    - Sämtliche Mitarbeiter mit kritischen Zugängen werden auf 3 Überprüfungsebenen umgestellt:
    - Die Quell-IP
    - Das persönliche Passwort
    - Ein persönliches Hardware-Token (YubiKey)

    Bilanz:
    -------
    Während der internen Untersuchungen zu diesem Sicherheitsvorfall haben wir festgestellt, dass
    der Hacker die privilegierten Zugänge wahrscheinlich ausgenutzt hat, um 2 Aktionen
    auszuführen:
    - Die Datenbank unserer Kunden in Europa abzurufen
    - Sich Zugang zum Installationssystem der Server in Québec zu verschaffen

    Die Datenbank der Kunden in Europa enthält die persönlichen Angaben der Kunden: Name, Vorname,
    Kundenkennung, Adresse, Stadt, Land, Telefon, Fax und das verschlüsselte Passwort.
    Die Verschlüsselung des Passworts erfolgt mit "salted" SHA512, um Brute Force Angriffe zu
    verhindern. Es erfordert umfangreiche technische Ressourcen, das Passwort im Klartext
    herauszufinden. Aber es ist möglich. Deshalb empfehlen wir Ihnen, dass Passwort Ihrer
    Kundenkennung umgehend zu ändern.
    Wir werden auch eine E-Mail an alle unsere Kunden versenden, in der wir den Sicherheitsvorfall
    erklären und sie auffordern, ihr Passwort zu ändern.
    Informationen zu Kreditkarten werden nicht bei OVH gespeichert, diese wurden weder abgerufen
    noch kopiert.

    Bezüglich des Auslieferungssystems für die Server in Québec haben wir folgendes Risiko
    ausgemacht: wenn ein Kunde unseren SSH Key nicht von seinem Server entfernt hat bestand die
    Möglichkeit, dass der Hacker sich von unserem System aus mit dem Server verbindet, um das in
    der .p Datei gespeicherte Passwort auszulesen. Der SSH Key kann nicht von einem anderen Server
    aus verwendet werden, sondern ausschliesslich von unserem Backoffice in Québec aus. Bei den
    Kunden, die unseren SSH Key nicht entfernt und das root-Passwort nicht geändert haben, haben
    wir unverzüglich das Passwort der Server im Rechenzentrum BHS geändert, um diese Möglichkeit
    zu unterbinden. Wir werden heute eine E-Mail mit dem neuen Passwort an diese Kunden versenden.
    Der SSH Key wird ab sofort bei allen Servern in Québec und Europa nach deren Auslieferung
    standardmässig gelöscht. Wenn ein Kunde OVH im Rahmen des Supports Zugriff gewähren möchte,
    muss er einen neuen SSH Key installieren.

    Wir werden unser gesamtes Backoffice in den nächsten Monaten an den Anforderungen der PCI-DSS
    Norm ausrichten. Dadurch können wir garantieren, dass ein Hack bestimmter Personen keine
    Auswirkungen auf unsere Datenbanken hat.
    Kurz gesagt, wir waren nicht paranoid genug und heben nun unser Sicherheitslevel drastisch an.
    Das Ziel dabei ist, die Sicherheit Ihrer Daten zu garantieren und uns gegen Industriespionage
    abzusichern, die auf bei OVH arbeitende Personen abzielt.

    Wir haben ausserdem Strafanzeige bei den Justizbehörden gestellt. Um die Arbeit der Ermittler
    nicht zu beeinträchtigen werden wir bis zum Abschluss der Ermittlungen keine weiteren Details
    veröffentlichen.

    Wir entschuldigen uns bei Ihnen für diesen Vorfall.
    Vielen Dank für Ihr Verständnis.

    Mit freundlichen Grüßen

    Octave
    Geändert von Peter (23.07.13 um 08:22 Uhr)

  2. #2

    Standard AW: Sicherheitsvorfall

    Unsere internen Untersuchungen haben ergeben, dass es einem Hacker gelungen ist, Zugriff auf den E-Mail-Account eines unserer Systemadministratoren zu erlangen.
    Der muss ja wahrlich begabt im Bereich der Systemadministration sein.
    Geändert von voloyo (22.07.13 um 16:23 Uhr)

  3. #3
    Member
    Registriert seit
    Mar 2007
    Beiträge
    2.006

    Standard AW: Sicherheitsvorfall

    Mit gut gemachtem Social Engineering, kein Problem, davon ist wohl keiner geschützt. Das wird wohl gezielt eine Attacke gewesen sein, dass hat schon jeden guten getroffen.

  4. #4

    Standard AW: Sicherheitsvorfall

    Zitat Zitat von oles@ovh.net Beitrag anzeigen
    Die Verschlüsselung des Passworts erfolgt mit "salted" SHA512, um Brute Force Angriffe zu verhindern.
    - SHA512 ist ein Hash, keine Verschlüsselung
    - Salt schützt vor Angriffen mit vorausberechneten Hashes bzw. Rainbow Tables, nicht vor Brute Force

  5. #5

    Standard AW: Sicherheitsvorfall

    Und dazu kommt noch, dass Kunden für den Manager standardmässig ein zufälliges und 8-stelliges PW erhalten, welches noch nichteinmal Sonderzeichen enthält, sondern lediglich Groß-, Kleinbuchstaben und Zahlen, also z.B. sowas hier "etM4r2HL". Intel sagt dazu:



    PS: Selbstverständlich ist das nicht mein richtiges PW, es entspricht aber vom Schema her meinem ursprünglichen PW, welches durch OVH zugeteilt wurde. Wer das also nicht ohnehin schon längst geändert hat sollte zügig handeln.

  6. #6

    Standard AW: Sicherheitsvorfall

    Zitat Zitat von pyrolord Beitrag anzeigen
    Intel sagt dazu
    Korrigiere mich, aber Intel macht keine Angaben zu den verwendeten Verfahren. 60 Minuten für SHA512+Salt möchte ich sehen - das ist selbst für aktuelle Systeme sportlich . Natürlich fehlen auch seitens OVH für eine genaue Berechnung angaben (Per User oder systemweiter Salt) - das ist jedoch auch erst interessant wenn es darum geht mehrere Hashes zu bearbeiten.
    Geändert von adlerweb (22.07.13 um 22:02 Uhr)

  7. #7

    Standard AW: Sicherheitsvorfall

    Jetzt weiß ich wieder, weshalb ich die OVH-BackDoor namens Support-Key sofort entfernt habe. Bzw. mir ein System von der Pieke auf selbst hochgezogen habe.

  8. #8

    Standard AW: Sicherheitsvorfall

    Zitat Zitat von timmy Beitrag anzeigen
    Jetzt weiß ich wieder, weshalb ich die OVH-BackDoor namens Support-Key sofort entfernt habe. Bzw. mir ein System von der Pieke auf selbst hochgezogen habe.
    Jap. Der Hack ist die eine Sache, sowas kann passieren und wenn die Lehren draus gezogen werden. Ist ok.
    Doch das mit dem Rootpasswort unter .p im /root und dem Supportkey hab ich noch nie begriffen warum das unbedingt sein musste.
    Immerhin, wird nun geändert, also draus gelernt..passt.


    Gruß Sven
    Hilfen für Admins: http://wiki.nixhelp.de

  9. #9

    Standard AW: Sicherheitsvorfall

    Als ich den Supportkey vor ein paar Wochen als Backdoor und als potentielle Gefahr bezeichnet habe, wurde ich hier noch angefeindet und verlacht. Manche müssen erst aufs Maul fliegen damit sie was lernen ^^

  10. #10

    Standard AW: Sicherheitsvorfall

    Ob das wohl was mit der deutlich gestiegenen Anzahl an bruteforce dictionary Attacken auf mein armes kleines Atömchen neuerdings zu tun hat..?
    Frisst mir quasi die ganze CPU unterm Hintern weg.. Selbst für die paar Kleinigkeiten die drauf laufen. Is doch zum würgen..

Seite 1 von 3 123 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •