Už nikdy OVH
OVH je velká francouzská společnost, která poskytuje spektrum hostingových služeb – především pronájem fyzických a virtuálních serverů. A to za velmi nízké ceny. Takový větší Wedos. Když se po jejich webu porozhlédnete, najdete spoustu chvály na vlastní infrastrukturu (velkokapacitní celoevropská síť), kvalitu služeb, profesionalitu atd. Kde je háček?
Háček přijde později. Když jsem u nich měl zdarma Kimsufi (udělali akci tuším 200 serverů na rok zdarma, když rozšiřovali svou působnost do ČR), docela jsem koukal. Nebylo to špatné, ale taky jsem tam měl akorát BitTorrentové zrcadlo, VoIP server a jeden herní server Teeworlds – neměl jsem v úmyslu to prodlužovat, takže jsem tam nedával nic důležitého.
Proto když o pár let později Slush, český vynálezce kolektivního těžení bitcoinů a provozovatel velkého českého těžebního poolu mining.bitcoin.cz, hledal řešení pro migraci od Linode, které už odmítalo snášet stupňující se DDoS útoky (některé byly tak silné, že položily i jejich Londýnské datacentrum), poradil jsem mu OVH – tvrdilo tehdy, že má po Evropě síť o kapacitě větší než půl petabitu (snad jsem se nesekl o tři místa – už si ten údaj moc nepamatuji…) a v nabídce mělo server s 10Gbitovou konektivitou (a ne příliš drahá data) za celkem dobrou cenu. Ten by už případné útoky zvládal o dost lépe. Takže do toho šel.
Posuňme se opět o nějaký rok dopředu. Do letošního dubna. Bitcoin zažívá cenový boom, a pak cenový křach. Útoky na všechny možné služby (hlavně burzy) jsou na denním pořádku a jejich intenzita se stupňuje. Dojde nakonec i na sofistikovaný útok na Slushův pool. A nyní přijde kardinální selhání OVH číslo jedna. Slush jim hned na začátku sdělil, co bude hostovat a jaké potřeby bude mít. Nebyl problém, OVH vše odsouhlasilo. Takže Slush měl zásobu IPv4 adres, se kterými měl v úmyslu žonglovat, aby následky útoku mohl zmírnit. Na to však nedošlo – OVH řeklo ne. A odpojila ho (null-routing adres na úrovní BGP). Podrobnosti anglicky na BitcoinTalk fóru.
Slush začal připravovat novou infrastrukturu v datovém centru Amazonu – to je údajně nesestřelitelné. Než ji stihl dokončit a zmigrovat tam svou službu, přišlo selhání OVH číslo dvě. Těžko říct, které z nich je horší… Slushovi přišel e-mail o změně hesla do jeho administračního panelu u OVH. Okamžitě si heslo nechal změnit a kontaktoval OVH. To však dělalo mrtvého brouka (u velké firmy s podporou 24/7 asi nešlo u takto závažného problému o přetížení pracovníků). Situace se ještě ten den večer zopakovala. Útočník si nechal zresetovat servery do „záchranného režimu“ a v prvé řadě vyloupil pohotovostní peněženku s bitcoiny (kde jich bylo několik set – takže mluvíme o ekvivalentu mnoha set tisíc korun až několika miliónů). Slush nečekal a stihl provést snapshot databáze jen několik vteřin předtím, než útočník zresetoval i tento server. Tomu se teda říká klika. Podrobnosti opět zde.
Něco podobného se Slushovi (a Bitcoinice a gavinovi se službou Bitcoin Faucet a pravděpodobně i dalším) stalo před časem na Linode – skrz administrační rozhraní se dostali dovnitř serverů a vybrali pohotovostní peněženky (v případě Bitcoinicy se jednalo o jedinou peněženku, takže přišla o všechno). Nyní se u OVH spálil ještě provozovatel burzy Bitcoin-central.net.
Obě firmy nějakým způsobem svoji chybu uznaly. OVH vydalo zprávu [archív], že měli ve svém panelu bezpečnostní díru, která umožňovala bez znalosti potvrzovacího kódu, který se posílal e-mailem, zresetovat heslo. A odškodnění? V obou případech čistá nula…
Zaškatulkováno v kategorii: Servery a webhosting | 2. června 2013