[TYPO3-UG Denmark] HJFLP mit site er blevet hacked af muslimer.

Sune Vestergaard (TypoConsult A/S) sune at typoconsult.dk
Sun Feb 26 02:13:35 CET 2006 

Hej Peter

>Typo3 hostingfirmaerne bør frivilligt gå sammen og lave et 
>sikkerhedskodeks - retningslinjer for, hvordan man forebygger angreb og 
>hvordan man handler under udbrud. Vi skal gerne lægge lokaler til møderne i 
>Kbh.

Jeg kan sagtens forstå din pointe og ved første øjekast lyder det som en god 
idé - men når jeg tænker nærmere over det så det nok ikke noget der er 
muligt at realisere. Jeg kan ikke se der er en ensartet gruppe der kan 
betegnes som "TYPO3 hostingfirmaer" der kan gå sammen om sådan en dialog.

Jeg tror på at vejen frem for at sikre at TYPO3 ikke så nemt bliver "blandet 
ind i" uheldige sager - er at extensions sikkerhedschekkes. Det er allerede 
iværksat med - så det bliver spændende at se hvordan det kommer til at 
fungere i praksis.

MVH
Sune Vestergaard



"peterg" <peterg at lbl.dk> skrev i en meddelelse 
news:mailman.1.1140896685.10333.typo3-ug-denmark at lists.netfielders.de...
> Hej Sune
>
> Vi har selvsagt alle været bekymrede, og er det vel indtil DCmedia 
> orienterer os - deres kunder - og resten af Typo3 samfundet.
>
> Hvis man på noget tidspunkt under det her havde fundet en fejl i Typo3, så 
> burde man ASAP have informeret Kasper, der så burde have udsendt en 
> sikkerhedsadvarsel.
>
> Der er ikke udsendt en sikkerhedsadvarsel, så pt. må vi tro det ikke er 
> Typo3 som er problemet. Derimod kan vi læse om opdatering af PHP og at 
> enkelte sites er blevet lukket ned pga. lokal kode, hvilket jo lyder lidt 
> ubehageligt - et site bør aldrig kunne påvirke sikkerheden på andre.
>
>
> Som admin på et hostet site kan jeg kun ønske mig, at webhoteludbyderne 
> fremover bliver mere proaktive på sikkerhed. Apache, PHP og Typo3 
> opdateringer skal ikke ske ved at kunderne spørger. De skal heller ikke 
> kun ske efter at der har været problemer. Webhotellet skal tage 
> initiativet og opdatere med rimeligt varsel. Ansvaret for den 
> grundlæggende sikkerhed er 100% deres.
>
> Ja, det vil kræve noget af os kunder, men landet er i åben krig i to lande 
> og har lige fornærmet 1,5 mia. mennesker dødeligt. Hellere opdatere 
> sikkerheden end miste kontrollen. Personligt er det også RET træls at 
> blive kølhalet af direktioner og landsledelser pga. problemer man ikke 
> selv er herre over. Og det ville jo ikke give mening at skifte, for 
> webhoteller har ingen smileyordning (og vi er generelt særdeles tilfredse 
> med DCmedia).
>
> Helt basalt må det være et krav at login til BE kræver https, og at ftp 
> kun fungerer som sftp. Det skal ikke koste 1100% ekstra på et webhotel at 
> få fjernet http til BE og ftp.
>
> Der bør også være klare retningslinjer for at defacede servere omgående 
> fjernes fra nettet - jeg vil hellere have en side som ikke svarer end 
> udbrede et budskab uden at have kontrol over det.
>
> Med det nye fokus på sikkerhed i TER2 og Typo3, så bør der nok også laves 
> mere direkte veje for rapportering af sikkerhedsproblemer.
>
> Typo3 hostingfirmaerne bør frivilligt gå sammen og lave et 
> sikkerhedskodeks - retningslinjer for, hvordan man forebygger angreb og 
> hvordan man handler under udbrud. Vi skal gerne lægge lokaler til møderne 
> i Kbh.
>
> Og sker det ikke frivilligt, så må det blive som med flyselskaber eller 
> fødevarer, hvor kunderne heller ikke kan gennemskue produktets sikkerhed, 
> men får hjælp fra staten, som tester procedurer og produktkvalitet.
>
> Vh
> Peter
> Webmaster LBL.dk
>
>
>
>
> Sune Vestergaard (TypoConsult A/S) wrote:
>>
>> Denne forklaring kan misforståes som om at der i det konkrete tilfælde 
>> skulle være tale om en svaghed eller et sikkerhedhul i TYPO3 - som kan 
>> løses ved at opgradere til en nyere version af TYPO3. Jeg er overbevist 
>> om at du har misforstået forklaringen fra din udbyder, da det er ret 
>> tydeligt, at det der er sket, er at der er blevet brudt ind på serveren 
>> og blevet udskiftet filer. Det er meget meget usandsynligt at dette 
>> skulle skyldes et sikkerhedsbrist i TYPO3 - selv ved brug af MEGET gamle 
>> TYPO3 versioner. Det er langt mere oplagt at der er opnået uauthoriseret 
>> adgang på en anden måde - enten direkte gennem nogen server komponenter 
>> eller måske 3. parts programmer.
>> Det skulle meget nødigt hænge i luften at TYPO3 er årsagen til sådanne 
>> hændelser, medmindre det rent faktisk er tilfældet - og jeg har endnu 
>> ikke hørt nogen rapporterede tilfælde hvor det er sket, hvorimod adgang 
>> gennem andre programmer til sites der bruger TYPO3 er omtalt flere gange. 
>> Jeg har lige vendt det telefonisk med vores sikkerhedsansvarlige for 
>> vores egen hosting - og han bekræfter at udfordringen og kompleksiteten 
>> næsten alene handler om at vedligeholde og sikkerhedsgodkende 
>> serverkomponenter og større eksterne programpakker der kommer med TYPO3 
>> extensions. I sidstnævnte tilfælde er en ubehandlet ældre version af en 
>> extension som f.eks. AwStats, et godt eksempel på hvad der i den fysiske 
>> verden vil svare til at fjerne hoveddøren fra huset og sætte store skilte 
>> op i kvarteret der informerer om det.
>>
>> Jeg er overbevist om at DcMedia kommer med en præcis forklaring til deres 
>> kunder om hvad der skete, når de har haft noget mere tid gennemgå deres 
>> logfiler og øvrige sikkerhedssystemer. Det er det mindste kan forvente af 
>> en professionel leverandør. Jeg forventer da også at DcMedia selv, eller 
>> en af deres kunder, vil informere resten af communitiet såfremt det 
>> virkeligt skulle vise sig, at indbruddet på deres systemer har nogen 
>> relation til TYPO3, dets komponenter eller installerede offenligt 
>> tilgængelige extensions. Viser det sig at hændelsen på nogen måde kan 
>> knyttes sammen med TYPO3 - er det vigtigt at få informeret resten af 
>> TYPO3 communitiet - og få rettet den/de pågældende fejl. Viser det sig 
>> derimod at det der er sket, var muligt på grund af utilstrækkelig 
>> sikkerhed i dele der ikke har noget med TYPO3, er det jo alene en sag 
>> mellem DcMedia og deres kunder. Vi kan jo derfor håbe på at vi ikke hører 
>> mere om den sag - og dermed "frikende" TYPO3.
>>
>> For dem der evt. ikke skulle være klar over det - så er jeg er kraftigt 
>> involveret i et firma der lever af at udvikle TYPO3 løsninger. Det ligger 
>> mig derfor MEGET kraftigt på sinde, at sikre, at der ikke kommer urigtige 
>> rygter i omløb omkring TYPO3. Skulle det ske, vil det skade TYPO3s 
>> omdømme - og dermed også selskabet jeg arbejder i - samt alle andre der 
>> gør en indsats for at udbrede TYPO3 :-(
>>
>> MVH
>> Sune Vestergaard

More information about the TYPO3-UG-denmark mailing list