Parolaları şifrelesekte mi saklasak şifrelemeden mi saklasak?

2 minutes read
Gezegen

http://uye.lkd.org.tr/ adresinde bulunan LKD Üye Veritabanının, üyelerinin parolalarını açık halde tutmak gibi harika bir özelliği olduğunu bugün Gökmen'in kullanıcısı ile Pardus sunucularından birine izinsiz girişi tespit ettiğimizde anladık.

Sunucuda  yaptığımız ilk incelemelerden sonra ciddi bir problemin olmadığını sadece izinsiz giriş yapan kişinin web root'umuzu (yaklaşık 2gb) indirdiğini gördük. Bu web root içinde bulunan domainlerden bir kaçı içinde bulunan ayar dosyalarının içinde sadece yerelden erişilebilen MySQL sunucusuna erişim için birkaç farklı kullanıcı/parolanın yazılı olduğunu saptandıktan sonra (evet lanet PHP uygulamaları) bu veritabanlarına uzaktan erişilemeyecek de olsa bu kullanıcıların parolaları değiştirildi. Daha sonraki analizler izinsiz giriş yapan kişinin Gökmen'in kullanıcısından daha üst bir yetki elde edemediği ve sadece 2 GB'a yaklaşan ve tamamı svn.pardus.org.tr'de de bulunan içeriği (www.pardus.org.tr/sanat.pardus.org.tr/pardon.pardus.org.tr v.s) indirmekten başka bir atak girişiminin olmadığı tespit edildi.

İzinsiz giriş yapan kişinin Adı/Adresi/o sırada kullandığı IP ve bağlı olduğu yer bulundu, ve yarın TÜBİTAK/UEKAE yetkililerine gerekli yasal işlemleri yapmaları için bildirilecek.

Gökmen'in başka bir yerde kullandığı parolasını tekrar kullanması evet ciddi bir sorun ama iki gram PHP kodu yazmayarak parolaları açık halde veritabanında saklayan/saklamaktan çekinmeyen LKD Üye Veritabanı için ne demeli?

Hamiş 1: Olası yanlış anlamalara önceden (bir kısmı anlamış bile) önlem olması açısından bu girdinin amacı LKD yapmış kötü yapmış demek falan değildir. Bu girdinin tek amacı kötü yazılmış/dizayn edilmiş PHP kodunu/veritabanı yapısını (yazanı, kullananı, yazdıranı __değil__) eleştirmek ve bir izinsiz giriş vakasından sonra sunucularımızın durumu ile ilgili güncel bilgi vermektir.

Hamiş 2: Açığın nasıl tekrarlanabildiği ile ilgili bilgi hali hazırda LKD Üye Veritabanı'nın bakımını gönüllü olarak üstlenen Arman Aksoy'a iletilmiştir.

Hamiş 3: Saldırı bazı sayfalara "SQL sorgusu ekleme (injection)" yöntemi ile yapılmıştır. Parolalar açık halde tutulmuyor olsa idi saldırgan en fazla üye veritabanında parola değiştirme/kayıt ekleme/silme gibi işlemler yapabilecekken saldırının bir ayağı da Gökmen'in zayıf parola seçimi ve parolaların açık halde tutuluyor olması yüzünden Pardus sunucularından birine yansımıştır.

Hamiş 4: PHP kullanmayınız, kullandırmayınız, kullananı uyarınız...