Författare Ämne: Forumets säkerhet 2018-02-18  (läst 3433 gånger)

Rickard95

  • Användare
  • ***
  • Antal inlägg: 494
    • HNoll
Forumets säkerhet 2018-02-18
« skrivet: tis 20 feb 2018, 06:29:19 »
Hallå :)

Jag är intresserad av en genomgång av det som inträffade igår på forumet. Att jag och många fler varit inloggade i andras namn känns väl sådär. Känslig information eller av privat karaktär som kan finnas i våra pm, har den varit tillgänglig för andra?

Mvh Rickard
www.hnoll.se
"Rickard93" på Tradera.

sintra

  • Stammis
  • ****
  • Antal inlägg: 840
SV: Forumets säkerhet 2018-02-18
« Svar #1 skrivet: tis 20 feb 2018, 06:43:13 »
Vad hände igår, förutom att jag bara fick "404" då jag försökte komma in på forumet?

MattsP

  • Användare
  • ***
  • Antal inlägg: 277
    • Matts Hobbysida
SV: Forumets säkerhet 2018-02-18
« Svar #2 skrivet: tis 20 feb 2018, 08:00:14 »
Jag såg ut att vara inloggad som Arstuga ibland och nohab ibland, men det var fortfarande bara mina uppgifter och pm som visades. Vilket kändes lite betryggande.

/Matts

kasoe

  • Stammis
  • ****
  • Antal inlägg: 1.278
    • Habo Hobby & Tågspecialisten
SV: Forumets säkerhet 2018-02-18
« Svar #3 skrivet: tis 20 feb 2018, 08:27:41 »
Tror inte det var någon större säkerhetsmiss, det bara såg ut som man var någon annan. Så funkade det för mig, så fort jag klickade på något så "var jag mig själv" igen... Senare så hamnade man på inloggningssidan så fort man klickade på något, sen blev det 404...

Även om man blev uppfattad som någon annan så funkade inte forumet så jag är inte så oroad, men visst vore det intressant att veta vad som hänt. Hackat? Då upphör ovan att gälla...

Men oavsett ovan, kalasbara att forumet är igång igen! :)

Hälsar,
Anders Ö
Bygger främst N och 0-16.5, kikar på 1/G/16mm skala. Rekommenderar
Habo Hobby & Tågspecialisten - södra Sveriges största hobbybutik

Administratör

  • Administrator
  • *****
  • Antal inlägg: 648
    • http://www.svensktmjforum.se
SV: Forumets säkerhet 2018-02-18
« Svar #4 skrivet: tis 20 feb 2018, 08:34:03 »
Hej!

Igår blev det något fel på sessionshanteringen på forumet. Det gjorde att man till synes kunde bli inloggad som någon annan. Vem du blev inloggad som var helt slumpmässigt, förutom att det alltid var någon som också var inloggad eller varit inloggad nyss. Om man klickade på foruminlägg, eller olika länkar, exempelvis "Visa inlägg sedan ditt senaste besök", "Visa alla olästa inlägg", etc så blev man plötsligt inloggad som ytterligare någon annan, eller som sig själv igen, eller så loggades man ut.

Det har rapporterats några fall där detta gjort att man kunnat läsa andras personliga meddelanden. På grund av detta valde vi att stänga ner forumet så fort vi blev medvetna om problemet.

Problemet måste ha legat hos vår webbleverantör. I morse gjorde vi forumet tillgängligt igen, och allt verkar nu fungera normalt. Trots att vi inte ändrat något i forumet. Vi hoppas att det ska fortsätta fungera felfritt framöver. Vi ska naturligtvis kolla med vår leverantör och se om de vet vad som orsakade problemet.

Mvh Admin

cgn1954

  • Användare
  • ***
  • Antal inlägg: 178
SV: Forumets säkerhet 2018-02-18
« Svar #5 skrivet: tis 20 feb 2018, 13:04:29 »
Vem är leverantör?
Mvh /CGN

foffe_87

  • Användare
  • ***
  • Antal inlägg: 151
    • http://jaxne.com
SV: Forumets säkerhet 2018-02-18
« Svar #6 skrivet: tis 20 feb 2018, 14:36:14 »
Om det är bekräftat att det var sessionshanteringen kan det ju mycket väl vara så att det var servern som hade något fel i denna hantering och något som leverantören får se över.
Men om leverantören inte känner till något fel med detta så är det lämpligt att se över om den version av SMF som körs har några säkerhetsbrister som kunnat låta obehöriga komma in och ställa till det. Ser att det finns nyare versioner tillgängligt. Det är då också lämpligt att se över tidsstämplar på filer på servern och se ifall någon har ändrats vid en tidpunkt den inte borde blivit det.
Modulbyggare med svenskt i N-Re, epok V (-VI).
Dioramabyggare i flera skalor.
www.jaxne.com - DJ / Musikproducent  / Liveartist

Rickard95

  • Användare
  • ***
  • Antal inlägg: 494
    • HNoll
SV: Forumets säkerhet 2018-02-18
« Svar #7 skrivet: tis 20 feb 2018, 14:56:44 »
Hallå :)


Det har rapporterats några fall där detta gjort att man kunnat läsa andras personliga meddelanden. På grund av detta valde vi att stänga ner forumet så fort vi blev medvetna om problemet.

Mvh Admin

Det var ju inte bra. Nu tror jag inte någon skada är skedd men det känns ändå otrevligt/olustigt att någon kan/har kunnat läsa det som skrivs i förtroende mellan olika parter. Jag fick dock höra av en person att detta problem uppstått tidigare. När, var och hur vet jag ej. Med facit i hand så känns det bäst att föra privata konversationer via mail i fortsättningen om de mot all förmodan är av känsligare art.
Tack för infon :up:

Mvh Rickard
www.hnoll.se
"Rickard93" på Tradera.

BenWah46

  • Veteran
  • *****
  • Antal inlägg: 2.516
SV: Forumets säkerhet 2018-02-18
« Svar #8 skrivet: tis 20 feb 2018, 20:27:22 »
Jag anar att forumet ligger på one.com. Vad jag förstår är det möjligt att köra mediawiki därifrån. One.com är väl  inte sämre än de flesta vettiga serverhotellen och framför  allt verkar det inte ligga i fåran för någon snabb sammanslagning och uppköp. Det större fel jag kan erinra mig är när det var översvämmat i Köpenhamn för ett par år sedan. Då gick det inte att köra förrän vattnet sjunkit undan.

PM-funktionen bör väl inte vara en ersättare för egen e-post utan just för att föra vidare diskussioner som man kanske inte vill publicera direkt. OM den skulle ha högre säkerhet än så så kostar det bara pengar eller merarbete för administraören/-rna. Man måste ändå se forumet för vad det är: ett trevligt (för det mesta)utbyte av åsikter och erfarenheter inom MJ-hobbyn). Det är inte ett högsäkerhetssystem för kritiska affärsförbindelser. Skriver man något elakt om någon som på så sätt av misstag kommer i dagen får man väl stå sitt kast. Begränsningarna kanske man kan skriva en rad om någonstans i PM-funktionen så att ingen missförstår alltför lätt.

Däremot är det vanebildande med SvMJF och forumet jämte Wikin har samlat på sig en hel del information som inte släpas ihop på ett och samma ställe så lätt och ingen vill väl förlora tillgången till allt det som skrivits, visats och sagts under åren. Så ett bra backupsystem skadar ju inte, dvs ett som är fysiskt fristående och körs då och då så att det inte blir alltför stora hål om något skulle gå på tok. Men det räcker väl med ett bra USB-minne.
Bengt W
H0 2R DCC

Arstuga

  • Veteran
  • *****
  • Antal inlägg: 2.603
    • http://arstuga.se/jvg.htm
SV: Forumets säkerhet 2018-02-18
« Svar #9 skrivet: tis 20 feb 2018, 22:18:16 »
Nix, inte One, men jag har just nu lyckats glömma vilket annat webbhotell det är... Men det finns det ju dom som vet. Per Lind t.ex, som står för fiolerna. ;)

Jag anar att forumet ligger på one.com. ...
Hälsningar
Stefan Nilsson
HemsidaModelljärnvägsmagasinet • H0 - S9 - 0e - LGB

ulwen

  • Stammis
  • ****
  • Antal inlägg: 984
  • H0 - 3R, N-skala DCC - Allt svenskt
    • Min hemsida
SV: Forumets säkerhet 2018-02-18
« Svar #10 skrivet: tis 20 feb 2018, 22:22:03 »
Det var Surftown som var översvämmat och det är där SvMJF är hostat.
One.com var aldrig drabbat då deras serverhallar ligger på helt andra ställen.
H0 - 3R, Digitalt N - Digitalt. Svenska förebilder.

PerH

  • Stammis
  • ****
  • Antal inlägg: 1.091
SV: Forumets säkerhet 2018-02-18
« Svar #11 skrivet: tis 20 feb 2018, 22:41:28 »
En IP-koll visar att vår leverantör är Surftown, ett Danskt företag med datacenter i Köpenhamn.
Kallar man sig för Surftown så är det ju inte konstigt att man fyller sitt datacenter med vatten? ;)
Läs mer om Surftowns vatenskada

One.com som Bengt pratar om ligger dock inhyrda i Interxions datacenters i Stockholm.

Håller med föregående talare som rekommenderade att uppdatera forumet till nyaste versionen, det är inte omöjligt att just php-config filen haft ett säkerhetshål så sessionshanteringen kunnat modifierats.

När man ändå kikar på uppgradering så ta tag i wikin samtidigt, dumt om den försvinner. Fortfarande ganska gott om tid, men oftast blir det stressigt då man glömt det till det är kniven mot strupen.
Svenskt epok V-VI, H0 2R DCC m Z21/Mgp och TC(g)

kasoe

  • Stammis
  • ****
  • Antal inlägg: 1.278
    • Habo Hobby & Tågspecialisten
SV: Forumets säkerhet 2018-02-18
« Svar #12 skrivet: ons 21 feb 2018, 07:26:59 »
Citera
När man ändå kikar på uppgradering så ta tag i wikin samtidigt, dumt om den försvinner.

Där pågår arbete vet jag med bestämdhet...

Hälsar,
Anders Ö

Bygger främst N och 0-16.5, kikar på 1/G/16mm skala. Rekommenderar
Habo Hobby & Tågspecialisten - södra Sveriges största hobbybutik

Boris

  • Användare
  • ***
  • Antal inlägg: 191
SV: Forumets säkerhet 2018-02-18
« Svar #13 skrivet: ons 21 feb 2018, 17:40:26 »
Att skicka känslig info via e-post är inte så himla säkert det heller
Tågtokig typograf.

Bygge pågår av hemmabana.

nohab

  • Stammis
  • ****
  • Antal inlägg: 1.910
    • www.mj-magasinet.se
SV: Forumets säkerhet 2018-02-18
« Svar #14 skrivet: ons 21 feb 2018, 18:12:35 »
Nej precis, okrypterad e-post är ungefär som vykort, alla som hanterar det på vägen kan läsa det...
/Nicke
MJ-Magasinet
Stå på dig! annars gör någon annan det (Blandaren)

hakang

  • Stammis
  • ****
  • Antal inlägg: 1.862
    • http://hakang.zmn.se/
SV: Forumets säkerhet 2018-02-18
« Svar #15 skrivet: ons 21 feb 2018, 19:53:53 »
Nej precis, okrypterad e-post är ungefär som vykort, alla som hanterar det på vägen kan läsa det...

Definitionen på 'adressat': Den sista personen som läser ett vykort...
Web sites are rather like bathrooms. You can get a drink there but you better figure out if you are drinking from the toilet or from the sink...

nohab

  • Stammis
  • ****
  • Antal inlägg: 1.910
    • www.mj-magasinet.se
SV: Forumets säkerhet 2018-02-18
« Svar #16 skrivet: tor 22 feb 2018, 08:25:32 »
:)
/Nicke
MJ-Magasinet
Stå på dig! annars gör någon annan det (Blandaren)

Per Lind

  • Stammis
  • ****
  • Antal inlägg: 1.775
SV: Forumets säkerhet 2018-02-18
« Svar #17 skrivet: tor 22 feb 2018, 12:56:24 »
19/10 gäller nuvarande betalning till så det är ingen överhängande brådska att byta webbhotell.
Lämpligt vore väl att få både Forumet som Wikin på samma kostnad?
-Per
Stoppa plågsamma särskrivningar - Ord som uttalas ihop skrivs ihop!
------------------------------
H0 2R Spårvägar och DB/ÖBB som huvudtema. Pacific Electric.

kasoe

  • Stammis
  • ****
  • Antal inlägg: 1.278
    • Habo Hobby & Tågspecialisten
SV: Forumets säkerhet 2018-02-18
« Svar #18 skrivet: tor 22 feb 2018, 13:19:06 »
Citera
Lämpligt vore väl att få både Forumet som Wikin på samma kostnad?

För att inte starta fler spekulationer och initiativ kring Wikin...
Jag upprepar att jag med bestämdhet vet att arbete kring att "rädda" wikin pågår med bra fart och kraft.

När jag kikade in så upptäckte jag att jag själv ingick i admin-gruppen och det pågår idag kontakter mellan alla admin (en har ännu inte svarat...) och vi kikar på export/import av Wikin. Webhotell och annat finns på plats.

Kostnaden är också löst även om vi kanske kikar på att göra någon sorts "Donationsknapp" så de som vill kan slänga in en tia eller två till stöd för att den ska fortleva.

Så jag tror att jag talar för hela admin-gruppen när jag säger att:
Arbete pågår, Wikin kommer fortleva i stort sett i samma format men på annan plats!

Hälsar,
Anders Ö
Bygger främst N och 0-16.5, kikar på 1/G/16mm skala. Rekommenderar
Habo Hobby & Tågspecialisten - södra Sveriges största hobbybutik

haba

  • Veteran
  • *****
  • Antal inlägg: 2.777
SV: Forumets säkerhet 2018-02-18
« Svar #19 skrivet: fre 23 feb 2018, 00:01:49 »
Eftersom sådan här forummjukvara ofta är skriven av folk som inte kan det där med säkerhet så där superbra, så finns det alltid zillioner med buggar  i det hörnet av Internetvärlden. Så den som står för forummjukvaran (om det nu tex är hostingprovidern) måste vara snabb på att uppgradera till senaste version annars så står man snart med byxorna nere. Som tur är MJ-fora inte särskild attraktiva att attackera eftersom det finns få "smaskiga" saker att ta reda på. Inte många blir upprörda på lokbilder i bara mässingen.

Harald.

Spirit

  • Användare
  • ***
  • Antal inlägg: 232
SV: Forumets säkerhet 2018-02-18
« Svar #20 skrivet: fre 23 feb 2018, 08:17:53 »
Inte många blir upprörda på lokbilder i bara mässingen.

Jodå!! Tänk om det sitter några nitar fel, då tar det hus i helsike!  :lol:

Skämt åsido, jag jobbar just nu med IT-säkerhet. Det är inget vidare att tänka i banan att det inte finns smaskiga saker att ta reda på, hackning sker ofta i andra syften än att få information.

Sen att forumutvecklare skulle vara värre än andra mjukvaruutvecklare stämmer inte. Men det är, precis som du säger, oerhört viktigt att den som står för mjukvaran är pigg med uppdateringar. Nya exploits dyker upp hela tiden.
« Senast ändrad: fre 23 feb 2018, 08:41:55 av Spirit »

haba

  • Veteran
  • *****
  • Antal inlägg: 2.777
SV: Forumets säkerhet 2018-02-18
« Svar #21 skrivet: fre 23 feb 2018, 19:50:07 »
Skämt åsido, jag jobbar just nu med IT-säkerhet. Det är inget vidare att tänka i banan att det inte finns smaskiga saker att ta reda på, hackning sker ofta i andra syften än att få information.
Jo, men om man "endast" kan bli en annan identitet i ett forum så är det lite minde allvarligt än om man kan tex kamma hem alla personers lösenord.

Sen att forumutvecklare skulle vara värre än andra mjukvaruutvecklare stämmer inte.
Jag tycker inte PHP hjälper och mycket sånt är skrivet i PHP.

Men det är, precis som du säger, oerhört viktigt att den som står för mjukvaran är pigg med uppdateringar. Nya exploits dyker upp hela tiden.

;-)

Harald.

foffe_87

  • Användare
  • ***
  • Antal inlägg: 151
    • http://jaxne.com
SV: Forumets säkerhet 2018-02-18
« Svar #22 skrivet: mån 26 feb 2018, 11:37:37 »
Jo, men om man "endast" kan bli en annan identitet i ett forum så är det lite minde allvarligt än om man kan tex kamma hem alla personers lösenord.

Men ifall det var så att någon lyckades modifiera filer på servern så finns möjligheten att den som gjort det kunnat läsa ut data ur databasen. Förhoppningsvis sparas lösenord krypterat så att ifall de hamnar i orätta händer är det svårt att få ut något av det, men tyvärr finns det fortfarande många system som sparar lösenord i klartext.

Jag tycker inte PHP hjälper och mycket sånt är skrivet i PHP.
Vad hjälper inte PHP med? PHP är mig veterligen inte osäkrare än något annat alternativ. Allt handlar om att den som skriver koden ser till att förhindra alla kända och tänkbara sätt som obehöriga kan ta sig in. Sedan vad för applikation och vilket språk det är skrivet i spelar ingen roll så länge det inte finns brister i kärnan som sedan hanterar koden.
Modulbyggare med svenskt i N-Re, epok V (-VI).
Dioramabyggare i flera skalor.
www.jaxne.com - DJ / Musikproducent  / Liveartist

haba

  • Veteran
  • *****
  • Antal inlägg: 2.777
SV: Forumets säkerhet 2018-02-18
« Svar #23 skrivet: ons 28 feb 2018, 05:41:35 »
Men ifall det var så att någon lyckades modifiera filer på servern..

Det har det väl inte varit frågan om enligt beskrivningen ovan.

Vad hjälper inte PHP med?
Att skriva sin kod strukturerad.

Kolllade lite snabbt lite commits. PHP inbjuder till sånt här:
 https://github.com/SimpleMachines/SMF2.1/commit/038abd54bf3e7dddd718d3886926382fb8ed71e6

Man måste hålla tungan extremt rätt i mun när $arr har ingen typ, till exempel skall det vara $key eller $key2 i innersta substr?

Man kan säkert skriva bra kod i PHP. Man kan även skriva kod utan pekarfel i C. Men språken hjälper ju inte precis till.

Sedan vad för applikation och vilket språk det är skrivet i spelar ingen roll så länge det inte finns brister i kärnan som sedan hanterar koden.
Fel tänkt. Här handlar det om fel inom applikationen. Kärnan håller ju inte isär olika användare på ett forum. Det är forumkoden. Kärnan har väldigt lite med säkerheten mellan användare i ett forum att göra eftersom alla dessa haneras av forumkoden i en databas och inte som olika datoranvändare (logins) på sjäva datorn.

Harald.



foffe_87

  • Användare
  • ***
  • Antal inlägg: 151
    • http://jaxne.com
SV: Forumets säkerhet 2018-02-18
« Svar #24 skrivet: ons 28 feb 2018, 11:30:05 »
Det har det väl inte varit frågan om enligt beskrivningen ovan.
Inget definitivt besked har lämnats. Det som sades var att det troligen var fel hos leverantören gällande sessionshantering. Men det finns fortfarande liten sannolikhet att obehöriga gjort åverkan. Sessionshanteringen hanteras ju främst av servern, men om obehörig vill få access i systemet kan ju sessionshanteringen ha satts ur spel i PHP-koden. Det som hände var ju att sessionsvariabler lokalt i datorn för besökare ej hade betydelse utan man kom in i en annan session än den förväntande. Tills dess att vi får information om att det faktiskt var fel på server hos leverantör kan man inte utesluta andra möjligheter även om sannolikheten kankse är låg.

Att skriva sin kod strukturerad.

Kolllade lite snabbt lite commits. PHP inbjuder till sånt här:
 https://github.com/SimpleMachines/SMF2.1/commit/038abd54bf3e7dddd718d3886926382fb8ed71e6

Man måste hålla tungan extremt rätt i mun när $arr har ingen typ, till exempel skall det vara $key eller $key2 i innersta substr?

Man kan säkert skriva bra kod i PHP. Man kan även skriva kod utan pekarfel i C. Men språken hjälper ju inte precis till.
Självklart kan man skriva bra kod så väl i PHP som andra språk, även om strukturen blir enklare i andra språk. Det jag ville ha sagt är att PHP i sig inte är något problem. Att hålla en bra struktur handlar om att vara väl insatt i det språk man skriver. Men så länge man vet hur man hantera det språk man skriver är inte språken i sig några problem om man har kunskapen om eventuella falluckor att undvika. Men jag är medveten om att vissa språk är enklare än andra så jag förstår hur du menar.

Fel tänkt. Här handlar det om fel inom applikationen. Kärnan håller ju inte isär olika användare på ett forum. Det är forumkoden. Kärnan har väldigt lite med säkerheten mellan användare i ett forum att göra eftersom alla dessa haneras av forumkoden i en databas och inte som olika datoranvändare (logins) på sjäva datorn.
Det jag syftar på med kärnans inblandning är att även om all användarhantering hanteras av forumkoden så anropar ju i sin tur forumkoden serverns PHP-kärna där forumkoden exekveras. Om det finns en brist i kärnan kan detta utnyttjas för att få exekveringen att brista i säkerhet oavsett hur forumkoden ser ut om kärnans brist ej är känd sedan innan och tilltäppt på annat vis. I detta fall har ju sessionshanteringen gått fel och även om forumkoden fungerat korrekt så kan ju kärnan ha haft problem med hanteringen av sessioner där i om det nu är fel hos leverantör. Detta i sin tur kan ju bero på många orsaker där det inte är helt utesluten möjlighet att servern kan ha attackerats då den troligen kör mycket fler applikationer än detta forum, beroende på serverstruktur. Men det finns ju mycket som kan gå fel på servern som kan orsaka detta, så om nu ingen otillbörlig åverkan gjorts så är det ju mycket möjligt att ett fel i kärnan oavsett hur det uppkommit ställt till att sessionerna inte hanteras korrekt och då har man ju troligen inte kunnat förhindra detta med en annan forumkod.
För att förtydliga så se till exempel de nyligen rapporterade säkerhetshålen Meltdown och Spectre i Intel-processorer. Där är det säkerhetshål i hårdvaran som möjliggör läsning ur minnesareor som inte ska vara tillåtet hur som helst enkelt förklarat. Har man ett program med hög säkerhet som exekveras på sådan processor kan man omöjligen med i detta program förhindra att andra program kan komma åt dess känsliga minne. Så slutsatsen jag ville få fram är att oavsett hur säker ens applikation är så finns det fler faktorer som rör hårdvara och exekvering som har stor inverkan som är svårare att styra över.
Modulbyggare med svenskt i N-Re, epok V (-VI).
Dioramabyggare i flera skalor.
www.jaxne.com - DJ / Musikproducent  / Liveartist