Istoricul remarcabil al securității Plone
Plone este un sistem extrem de sigur de gestionare a conținutului, rezistând timp de 15 ani testului timpului și încă număram.
Rezultatele remarcabile de siguranță ale Plone sunt rezultatul multor lucruri:
- bune practici de codare
- procedeee, inclusiv de integrare și testare continuă
- o echipă proactivă de securitate care efectuează revizuiri de securitate, investighează reclamații și rapoarte de vulnerabilități și răspunde în mod corespunzător și imediat după cum este necesar
Plone nu a primit niciodata un raport al unei vulnerabilități serioase
Anunțurile remediilor de securitate sunt în mod normal emise cu o înștiințare de două săptămâni. Dacă echipa de securitate a Plone ar primi un rapoart despre o exploatarea sau vulnerabilitatea gravă necunoscută, ar lansa imediat o soluție de securitate.
Echipa de securitate Plone a fost la curent cu o revendicare recentă, a examinat-o și a stabilit că este falsă. Nu există niciun motiv să se creadă că există un defect necunoscut în Plone și în distribuțiile bazate pe Plone.
Informații despre istoricul de securitate al Plone și caracteristicile sale: https://plone.org/security/track-record
O prezentare generală a Plone și a caracteristicilor sale: https://plone.com
Detalii despre recenta știre falsă
Unii utilizatori de pe Twitter circulă zvonuri despre o vulnerabilitate necunoscută în Plone, vulnerabilitate ce ar fi folosită pentru a ataca FBI-ul. Echipa de securitate Plone consideră că aceste afirmații sunt false. Dat fiind faptul că Plone este un software open source, este ușor să se falsifice o captură de ecran care arată codul Plone. Cauzarea expunerii codului sursă către utilizatorul final este o formă obișnuită de atac împotriva aplicațiilor PHP, dar, întrucât aplicațiile Python nu utilizează modelul de execuție cgi-bin, acesta nu a fost niciodată un semn al unui atac împotriva unui site Python.
Singurul indiciu pe care l-a dat la problema este un tweet care spune ca accesul la directorul "acl_users" ar trebui restrictionat. Aceste pagini sunt utilizate de Plone pentru a solicita utilizatorului să se autentifice când încearcă să acceseze administrarea site-ului fără autorizație. Nu există directorul "acl_users" pe mașină; aceasta este doar o parte din cadrul de autentificare Plone.
Hashurile pe care susține că le-a lansat afișează câțiva indicatori de a fi falsi. În primul rând, adresele de e-mail utilizate se potrivesc cu alte e-mailuri FBI care au fost adunate de-a lungul anilor și sunt disponibile publicului. Hashurile parolelor și datele aleatorii adiționale parolelor (salt) pe care el susține că le-a găsit nu sunt în concordanță cu valorile generate de Plone, indicând faptul că au fost generate în mare parte în altă parte.
Înșelătoria mai mare aici sunt referințele repetate la exploatare fiind de vânzare și mesaje către alți utilizatori Plone. Așa-numitul "exploit" se vinde pe Tor pentru 8 BTC (9000 USD), dar nu este posibil să se obțină rambursări pentru astfel de tranzacții. Nu credem că FBI-ul este ținta lui; este mai probabil ca el să folosească acest site cu profil mare ca o modalitate de a publica exploituri false pentru vânzare. Nu există niciun motiv să credem că revendicările sale sunt autentice și reamintim tuturor administratorilor de site-uri să se ferească de utilizatorii de rețele sociale care pretind că au bug-uri de vânzare.
Nu este prima dată când această persoană a lansat informații despre un hack care ulterior s-a dovedit a fi fraudulos: în 2012 el a furnizat informații despre companii petroliere care au fost descoperite a fi false o săptămână mai târziu: http://thenextweb.com/insider/2012/07/19/data-from-the-anonymous-attack-on-oil-companies-may-have-been-faked/
Citate
"Scopul eliberării informațiilor dintr-un astfel de hack este de a convinge oamenii că într-adevăr a “spart” (hacked) țintă. Revendicările de hack-uri care oferă doar informații accesibile publicului (cum ar fi codul open-source) sau imposibil de verificat (cum ar fi parolele hashed) sunt semne comune ale unei înșelăciuni"- Matthew Wilkes, echipa de securitate Plone
"Este extrem de ușor să falsificați un astfel de hack. Este nevoie de abilități rudimentare Photoshop sau de utilizarea consolei dezvoltatorului JavaScript Chrome. "- Nathan Van Gheem, echipa de securitate Plone
"Pot să spun cu certitudine că cel puțin unele dintre datele afișate ca dovadă sunt 100% false. Înșelăciunea a fost într-adevăr puțin elaborată, dar asta este. "- Alexandru Ghica, Eau de Web, responsabil de site-urile Web ale UE despre care se susține că sunt vulnerabile
Detalii tehnice
El susține că serverul rulează FreeBSD ver 6.2-RELEASE. Este foarte puțin probabil ca FBI să ruleze o versiune veche a FreeBSD. În plus, FreeBSD 6.2 oferă Python 2.4, cu opțiunea de a folosi Python 2.5. Plone nu rulează pe versiuni atât de vechi ale Python.
Plone are un sistem de backup pentru a salva baza de date și aceste copii de siguranță nu utilizează o extensie ".bck" și sunt întotdeauna scrise într-un director var, nu în rădăcina de instalare Plone sau în niciun director rădăcină de servere web. Ar fi greu să schimbi acest comportament și nu ar exista nici un beneficiu în acest sens.
O captură de ecran afișează informații despre un e-mail, susținând că face parte din mailurile de log ale FBI-ului. Afișează un e-mail generat automat despre o eroare de hard disk. Acest lucru pare să fie propriile loguri ale serverului său, deoarece, deși a modificat numele serverului în log pentru a fi unul FBI, el a neglijat să schimbe zona de fus orar raportată în e-mailurile de la Indian Standard Time la Eastern Standard Time.
El face referiri la enumerarea numelor de fișiere, cu toate acestea Plone nu expune directoare prin intermediul web-ului ca un site tradițional PHP; Adresele URL Plone se asociază fie la codul de vizualizare înregistrat, fie la conținutul din baza de date.
Despre Plone
Plone este un sistem extraordinar de sigur de gestionare a conținutului, care rezistâ testului timpului de 15 ani și încă număram fără ca vreun raport de vulnerabilitate gravă să fie exploatat. Reparațiile de siguranță sunt în mod normal emise cu preaviz de două săptămâni; totuși, în cazul în care echipa de securitate a Plone ar primi rapoarte despre o exploatare sau vulnerabilitate necunoscută, ar lansa imediat o soluție de securitate.