Jabbim - bezpečnostní problém / security issue

Vážení uživatelé,

máme důvodné podezření, že došlo k úniku databáze s hesly uživatelů na jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl a jabber.root.cz. Útočník pravděpodobně zneužil SQL injection chyby v našem skriptu pro hledání uživatelů, útok byl veden z Ruska. Chyba je již opravena, musíme ale předpokládat, že útočník získal přístup ke všem účtům.

Prosím, změňte si heslo ve vašem Jabber/XMPP klientu. Pokud stejné heslo používáte i na jiné službě, změňte si ho i tam.

Je to velmi nepříjemné, omlouváme se za způsobené problémy.

Jabbim.cz

Dear users,

we have a suspicion there was a database leak containing the user passwords of jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl and jabber.root.cz accounts. The attacker exploited the database using SQL injection bug in our script handling user search, the attack was from Russia. The error has been corrected, but we assume that the attacker gained access to all accounts.

Please change your password in your Jabber / XMPP client. If you also use the same password for other services, change it there as well.

It is very annoying, we apologize for the inconvenience caused.

Jabbim.com




FAQ

Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/

Jabbim.cz pod DDoS útokem.

Jeden z uživatelů Jabbimu nám napsal na Twitteru: Proč nějaké hovado útočí na něco, co je free? A to mne vedlo k sepsání tohoto článečku.

17. listopadu, zhruba ve 22:00, se objevil distribuovaný útok o síle 30Gbit, který směřoval na náš  server, který slouží pro připojení uživatelů i serverů k Jabbimu. Nedá se s tím z hlediska provozovatele serveru nic dělat. Vůbec nic. V SuperHostingu zareagovali, blokli naši "problémovou" IP. Ráno se začalo hledat řešení, které se v průběhu dne muselo měnit, jak měnil svoje chování i útočník.

Bohužel jeden z tranzitních poskytovatelů internetu naší IP adresu v noci 18.listopadu opět bloknul, čímž vlastně udělal to, o co útočníkovi jde. Nakoupit tento provoz není zadarmo. Pokud botnet nevlastníte, musíte si ho pronajmout a pronajmout botnet o takové síle stojí nějaké peníze.

Proč to někdo dělá?

A vracíme se zpátky k tomu dotazu toho uživatele, symbolicky i k datumu 17.listopadu, které je pro nás, Čechy i Slováky, tak důležité. Právě proto, že je Jabbim free a bez kontroly. Právě proto, že není možné ho zarazit jurisdikcí v ne zcela demokratických nebo dokonce totalitních systémech. A nejsme ani napojeni na tajné služby v zemích demokratických.

Po aféře, kdy se provalilo, že komerční produkty, které slouží ke komunikaci uživatelů, jsou některé přímo a další nepřímo napojené na tajné služby v různých zemích, začal být Jabber opět populární. Máme velké přírůstky uživatelů a stejně tak i další servery. Jsou tu Rusové, Ukrajinci, Sýřani, Iránci, Američané... Mají tu diskuzní místnosti, komunikují. A to někomu vadí.

My samozřejmě nevíme, kdo je útočník.  Ale bohužel zatím se mu částečně daří dělat to, o co mu jde. Umlčet Jabbim v nějaké konkrétní zemi. Ostatní uživatelé, kteří se nemůžou připojit, jsou "jen" nevinné oběti, co se připletli do křížové palby, která míří někam jinam.

Budeme se snažit útok přežít. Postiženým uživatelům se omlouvám. Mrzí mne to. Byl jsem z toho tak otrávený, že jsem i chvíli uvažoval, že se po 13 letech provozu tohoto serveru na to vykašlu. Ale pak mi napsal tento uživatel a zeptal se, proč někdo útočí na něco, co je free. Právě proto, že je to nástroj na to být free. Svobodný.  Já chci být svobodným, nenechám si diktovat, co mám dělat nebo nedělat. Vytrvám, ty sráči. Ať už jsi kdokoliv.

Váš Pinky.

Aktualizace:
19.11. 12:00 - Přidáváme další loadbalancery, druhý už běží, třetí je na cestě. Uděláme jich tolik, kolik bude potřeba. Vítejte zpátky, lidi.
19.11. 14:45 - Připraven v záloze třetí loadbalancer, spustíme jen v případě změny útoku.
19.11. 15:00 - Díky snaze SuperHosting zmiňovaný tranzitní operátor odblokoval IP adresu našeho primárního loadbalanceru (podle provozu na sekundárním loadbalanceru se jednalo cca o 10% postižených uživatelů), takže obě cesty by měly být volné. Sekundární loadbalancer necháváme ale funkční, ten třetí je stále připraven.

Pidgin vs CAcert

HOWTO - Pidgin have bundled old version of CAcert root certificate. 17 months old bug :-(.
Návod - Bohužel má Pidgin přibalenou starou a neplatnou verzi CAcert certifikátu. Bug nahlášen před 17 měsíci.

Download root certificate from CAcert:
Stáhněte si kořenový certifikát ze stránky CAcert:

Remove old certificate from user profile (Linux folder: ~/.purple/certificates):

Odstraňte starý certifikát z uživatelského profilu (Adresář na Linuxu: ~/.purple/certificates):

Rewrite bundled certificate in pidgin with downloaded version from CAcert (Linux folder: /usr/share/purple/ca-certs/ ):

Přepište distribuovaný certifikát staženou verzí z CAcert (Adresář na Linuxu: /usr/share/purple/ca-certs/ ):

Re-enable certificate after connection to server:

Znovu se zkuste připojit a obnovte certifikát:

Profit.
Mělo by to jet.

Poznámky/Notes
In Linux (Ubuntu for example) is too certificate in folder /etc/ssl/certs. Replace cacert.org l3 certificate.
U Linuxu mohou být certifikáty také v adresáři /etc/ssl/certs. Nahraďte certifikát cacert.org l3.