[TYPO3-UG Denmark] HJFLP mit site er blevet hacked af muslimer.

peterg peterg at lbl.dk
Sat Feb 25 20:44:51 CET 2006 

Hej Sune

Vi har selvsagt alle været bekymrede, og er det vel indtil DCmedia 
orienterer os - deres kunder - og resten af Typo3 samfundet.

Hvis man på noget tidspunkt under det her havde fundet en fejl i Typo3, 
så burde man ASAP have informeret Kasper, der så burde have udsendt en 
sikkerhedsadvarsel.

Der er ikke udsendt en sikkerhedsadvarsel, så pt. må vi tro det ikke er 
Typo3 som er problemet. Derimod kan vi læse om opdatering af PHP og at 
enkelte sites er blevet lukket ned pga. lokal kode, hvilket jo lyder 
lidt ubehageligt - et site bør aldrig kunne påvirke sikkerheden på andre.


Som admin på et hostet site kan jeg kun ønske mig, at webhoteludbyderne 
fremover bliver mere proaktive på sikkerhed. Apache, PHP og Typo3 
opdateringer skal ikke ske ved at kunderne spørger. De skal heller ikke 
  kun ske efter at der har været problemer. Webhotellet skal tage 
initiativet og opdatere med rimeligt varsel. Ansvaret for den 
grundlæggende sikkerhed er 100% deres.

Ja, det vil kræve noget af os kunder, men landet er i åben krig i to 
lande og har lige fornærmet 1,5 mia. mennesker dødeligt. Hellere 
opdatere sikkerheden end miste kontrollen. Personligt er det også RET 
træls at blive kølhalet af direktioner og landsledelser pga. problemer 
man ikke selv er herre over. Og det ville jo ikke give mening at skifte, 
for webhoteller har ingen smileyordning (og vi er generelt særdeles 
tilfredse med DCmedia).

Helt basalt må det være et krav at login til BE kræver https, og at ftp 
kun fungerer som sftp. Det skal ikke koste 1100% ekstra på et webhotel 
at få fjernet http til BE og ftp.

Der bør også være klare retningslinjer for at defacede servere omgående 
fjernes fra nettet - jeg vil hellere have en side som ikke svarer end 
udbrede et budskab uden at have kontrol over det.

Med det nye fokus på sikkerhed i TER2 og Typo3, så bør der nok også 
laves mere direkte veje for rapportering af sikkerhedsproblemer.

Typo3 hostingfirmaerne bør frivilligt gå sammen og lave et 
sikkerhedskodeks - retningslinjer for, hvordan man forebygger angreb og 
hvordan man handler under udbrud. Vi skal gerne lægge lokaler til 
møderne i Kbh.

Og sker det ikke frivilligt, så må det blive som med flyselskaber eller 
fødevarer, hvor kunderne heller ikke kan gennemskue produktets 
sikkerhed, men får hjælp fra staten, som tester procedurer og 
produktkvalitet.

Vh
Peter
Webmaster LBL.dk




Sune Vestergaard (TypoConsult A/S) wrote:
> 
> Denne forklaring kan misforståes som om at der i det konkrete tilfælde 
> skulle være tale om en svaghed eller et sikkerhedhul i TYPO3 - som kan løses 
> ved at opgradere til en nyere version af TYPO3. Jeg er overbevist om at du 
> har misforstået forklaringen fra din udbyder, da det er ret tydeligt, at det 
> der er sket, er at der er blevet brudt ind på serveren og blevet udskiftet 
> filer. Det er meget meget usandsynligt at dette skulle skyldes et 
> sikkerhedsbrist i TYPO3 - selv ved brug af MEGET gamle TYPO3 versioner. Det 
> er langt mere oplagt at der er opnået uauthoriseret adgang på en anden 
> måde - enten direkte gennem nogen server komponenter eller måske 3. parts 
> programmer.
> Det skulle meget nødigt hænge i luften at TYPO3 er årsagen til sådanne 
> hændelser, medmindre det rent faktisk er tilfældet - og jeg har endnu ikke 
> hørt nogen rapporterede tilfælde hvor det er sket, hvorimod adgang gennem 
> andre programmer til sites der bruger TYPO3 er omtalt flere gange. Jeg har 
> lige vendt det telefonisk med vores sikkerhedsansvarlige for vores egen 
> hosting - og han bekræfter at udfordringen og kompleksiteten næsten alene 
> handler om at vedligeholde og sikkerhedsgodkende serverkomponenter og større 
> eksterne programpakker der kommer med TYPO3 extensions. I sidstnævnte 
> tilfælde er en ubehandlet ældre version af en extension som f.eks. AwStats, 
> et godt eksempel på hvad der i den fysiske verden vil svare til at fjerne 
> hoveddøren fra huset og sætte store skilte op i kvarteret der informerer om 
> det.
> 
> Jeg er overbevist om at DcMedia kommer med en præcis forklaring til deres 
> kunder om hvad der skete, når de har haft noget mere tid gennemgå deres 
> logfiler og øvrige sikkerhedssystemer. Det er det mindste kan forvente af en 
> professionel leverandør. Jeg forventer da også at DcMedia selv, eller en af 
> deres kunder, vil informere resten af communitiet såfremt det virkeligt 
> skulle vise sig, at indbruddet på deres systemer har nogen relation til 
> TYPO3, dets komponenter eller installerede offenligt tilgængelige 
> extensions. Viser det sig at hændelsen på nogen måde kan knyttes sammen med 
> TYPO3 - er det vigtigt at få informeret resten af TYPO3 communitiet - og få 
> rettet den/de pågældende fejl. Viser det sig derimod at det der er sket, var 
> muligt på grund af utilstrækkelig sikkerhed i dele der ikke har noget med 
> TYPO3, er det jo alene en sag mellem DcMedia og deres kunder. Vi kan jo 
> derfor håbe på at vi ikke hører mere om den sag - og dermed "frikende" 
> TYPO3.
> 
> For dem der evt. ikke skulle være klar over det - så er jeg er kraftigt 
> involveret i et firma der lever af at udvikle TYPO3 løsninger. Det ligger 
> mig derfor MEGET kraftigt på sinde, at sikre, at der ikke kommer urigtige 
> rygter i omløb omkring TYPO3. Skulle det ske, vil det skade TYPO3s omdømme - 
> og dermed også selskabet jeg arbejder i - samt alle andre der gør en indsats 
> for at udbrede TYPO3 :-(
> 
> MVH
> Sune Vestergaard

More information about the TYPO3-UG-denmark mailing list