GridTalk.de
Neue Angriffsform auf OpenSim-Grids? - Druckversion

+- GridTalk.de (https://www.gridtalk.de)
+-- Forum: Allgemeines (https://www.gridtalk.de/forumdisplay.php?fid=3)
+--- Forum: GridNews (https://www.gridtalk.de/forumdisplay.php?fid=13)
+--- Thema: Neue Angriffsform auf OpenSim-Grids? (/showthread.php?tid=4791)

Seiten: 1 2 3 4 5


Neue Angriffsform auf OpenSim-Grids? - Jupiter Rowland - 11.01.2024

Vor ab: Sorry für die komplett nur englischsprachigen Links, aber auf Deutsch schreibt da keiner drüber.

Außerdem weiß ich nicht, wie groß die Gefahrenlage wirklich ist. Aber ich will nicht, daß es hinterher heißt, daß in unseren Kreisen niemand je irgendwas davon gehört oder gelesen hat.

Jedenfalls: Vor ein paar Tagen wurde das Resurgence-Grid durch einen Angriff komplett gelöscht. Leute sahen tatsächlich in-world in Echtzeit Sachen vor ihren Augen verschwinden. Und geraume Zeit später war das ganze Grid vom Server verschwunden. Und auch alle Backups. Komplett gelöscht. Ich verstehe das so, daß jemand nicht einfach nur die Grid-Daten gelöscht hat, sondern die komplette OpenSim-Installation.

Resurgence war ein sogenanntes DreamGrid. Für die, die nicht wissen, was das ist: Das ist OpenSim als reine Windows-Klickibuntidoofi-Anwendung von Fred Beckhusen a.k.a. Ferd Frederix von Outworldz. Gemacht für Leute, die nicht nur von Computern wenig und von Servern und Netzwerken überhaupt gar keine Ahnung haben, sondern sich auch nicht aufschlauen wollen. Alles fix und fertig vorkonfiguriert und so einfach wie möglich.

Laut Ferd Frederix wurden über 3000 DreamGrids angelegt, und es laufen auch entsprechend viele. Die meisten laufen auf irgendwelchen PCs oder Laptops bei den Gridownern zu Hause mit entsprechend grauenvoller Sicherheit und Performance.

Resurgence lief aber auf einem gemieteten Windows-Server in einem Rechenzentrum.

Der Startpost sagt auch aus, daß die Backups komplett gelöscht wurden. DreamGrid legt ja vollautomatisch und standardmäßig aktiviert Backups an, aber DreamGrid kann die nur auf dem Gridserver selber ablegen und nicht mit irgendeinem spontan aus der Kiste rauswachsenden Greifarm eine USB-Festplatte herbeiholen, anstecken, da das Backup draufkopieren und die Platte hinterher wieder abstecken und sicher weglegen.

Kompetente Gridadmins kopieren die automatischen Backups per Hand auf ein externes Laufwerk. Aber wenn der Gridserver woanders als zu Hause steht, dürfte so manch ein reiner Windows-User damit seine Probleme haben. Und ob der "Techniker", der sich am Serverstandort um den Server kümmern sollte, DreamGrid-Backups vom Server auf ein Sicherungslaufwerk ziehen konnte, weiß ich nicht.

Wenn man durch die Kommentare geht, findet sich ein Post, der das Ganze noch gruseliger darstellt: Wie es aussieht, gibt es tatsächlich einen Angriffsvektor durch OpenSim selbst, der die totale Zerstörung eines Grid zum Ziel hat. Sogar Sacrarium warnt vor diesem Angriffsvektor.

Das Ganze funktioniert wohl so:
  • Jemand rezzt ein Objekt mit einem böswilligen Skript in-world. Wenn das nicht auffallen soll, wird das Objekt unter den Boden der Sim geschoben und auf 100% Transparenz gestellt.
  • Das Skript startet eine Art Timer.
  • Während dieser Zeit wird mindestens ein Backup gemacht, idealerweise genug, um alle Backups von vor dem Rezzen dieses Objekts zu überschreiben. Damit werden auch alle Backups vergiftet.
  • Das Skript startet und beginnt, in-world Objekte zu löschen.
  • Damit legt das Skript auch einen Zugang zum Robust offen und reicht den weiter an etwas, das a) nicht in OpenSim und b) nicht auf diesem Server läuft. Das ist entweder ein externes Skript/eine externe automatisierte Anwendung oder ein externer manueller Zugang.
  • Wenn die externe Anwendung automatisch läuft, löscht sie automatisch die komplette DreamGrid-Installation auf der Maschine plus alle Backups, die natürlich erwartungsgemäß und vorhersehbarerweise am Standard-Backup-Speicherort liegen.

Unklar ist jetzt aber noch:

Läuft das Ganze nur auf DreamGrids?

Läuft das Ganze auf allen Windows-Gridservern?

Oder läuft es sogar auf Linux- und macOS-Gridservern? Hätte es vielleicht sogar die Fähigkeit auszuspähen, wo welche Daten liegen, und sei es auf ganz anderen Servern?

Heute ganz früh hat sich Lone Wolf dazu geäußert. Lone Wolf ist Brite, Gründer und Betreiber der Wolf Territories, des inzwischen flächenmäßig größten und nutzerzahlmäßig zweitgrößten OpenSim-Grid und, weil das ganze Grid auf seinen Servern läuft, der größte Landeigentümer im ganzen Metaversum. Aber das nur zur Person.

Jedenfalls ist Lone Wolf eine mögliche Schwachstelle in der Konfiguration von OpenSim zugespielt worden, die diese Attacke ausnutzt.

In der Robust.ini gibt es eine Stelle, die so aussehen sollte:
Code:
; Allow all assets to be remotely deleted.
; Only set this to true if you are operating a grid where you control all calls to the asset service
; (where a necessary condition is that you control all simulators) and you need this for admin purposes.
; If set to true, AllowRemoteDelete = true is required as well.
; Default is false.
AllowRemoteDeleteAllTypes = false
Wenn die letzte Zeile, also die eigentliche Einstellung, so aussieht:
Code:
AllowRemoteDeleteAllTypes = true
...dann ist das Grid gefährdet.

DreamGrid hat das standardmäßig auf true. Ich halte es für unwahrscheinlich, daß eine so spezielle und wenig gebrauchte Einstellung auf der Konfigurationsoberfläche von DreamGrid mit einer Checkbox zu finden ist. Selbst wenn, würde das nie jemand anfassen. Und DreamGrid darf eigentlich nie, nie, NIE durch Editieren von Konfigurationsdateien eingestellt werden, sondern immer nur auf der Klickibunti-Oberfläche.

Lone sagt auch, inzwischen ist ein zweites Grid auf dieselbe Art und Weise angegriffen worden. Aber mit seiner Hilfe konnte es gerettet werden.


RE: Neue Angriffsform auf OpenSim-Grids? - DJ Archie - 11.01.2024

Ubit sollte endlich seinen Hut nehmen! Angry


RE: Neue Angriffsform auf OpenSim-Grids? - Dorena Verne - 11.01.2024

Bei uns steht es standardmäßig so: AllowRemoteDeleteAllTypes = false


RE: Neue Angriffsform auf OpenSim-Grids? - Dorena Verne - 11.01.2024

(11.01.2024, 20:16)DJ Archie schrieb: Ubit sollte endlich seinen Hut nehmen! Angry

Arche? Für DreamGrid ist Ubit NICHT zuständig..


RE: Neue Angriffsform auf OpenSim-Grids? - DJ Archie - 11.01.2024

Aber für den OpenSimulator ist er zuständig, und seine Fehlleistungen reihen sich seit Jahrzehnten so aneinander, wie die Perlen an der gleichnamigen Kette. Ja, bin schon still. Sad

AllowRemoteDeleteAllTypes ist solch ein Unding!


RE: Neue Angriffsform auf OpenSim-Grids? - Mareta Dagostino - 11.01.2024

Ich habe mal dieses Repo bis 6 Jahre rückwärts durchsucht: https://github.com/opensim/opensim

Die beiden Parameter sind in der Datei "Robust.HG.ini" (bzw. alternativ Robust.ini oder Robust.Tests.ini, bzw. *.ini.example). Sie sind auf "false" voreingestellt. Daher vermute ich stark, dass einzelne Grids oder auch vorgefertigte Gridadministrationstools zwecks Fernwartung diese Parameter aktiv umgesetzt haben.


RE: Neue Angriffsform auf OpenSim-Grids? - Pius Noel - 12.01.2024

(11.01.2024, 20:16)DJ Archie schrieb: Ubit sollte endlich seinen Hut nehmen! Angry
Etwas überspitzt gesagt: wenn Ubit seinen Hut nimmt ist OpenSimulator tot!
Ich kenne jedenfalls niemanden der/die seinen Job übernehmen könnte.


RE: Neue Angriffsform auf OpenSim-Grids? - Jupiter Rowland - 14.01.2024

(11.01.2024, 21:29)DJ Archie schrieb: Aber für den OpenSimulator ist er zuständig, und seine Fehlleistungen reihen sich seit Jahrzehnten so aneinander, wie die Perlen an der gleichnamigen Kette. Ja, bin schon still. Sad

AllowRemoteDeleteAllTypes ist solch ein Unding!
Dann wäre er für absolut alles verantwortlich, was irgendwie in OpenSim schiefgeht, weil er den Code eingebaut hat, der das möglich macht. Bis hin zu Pädos mit Kinderavataren.

(11.01.2024, 22:08)Mareta Dagostino schrieb: Ich habe mal dieses Repo bis 6 Jahre rückwärts durchsucht: https://github.com/opensim/opensim

Die beiden Parameter sind in der Datei "Robust.HG.ini" (bzw. alternativ Robust.ini oder Robust.Tests.ini, bzw. *.ini.example). Sie sind auf "false" voreingestellt. Daher vermute ich stark, dass einzelne Grids oder auch vorgefertigte Gridadministrationstools zwecks Fernwartung diese Parameter aktiv umgesetzt haben.
Und meines Wissens ist der Einfachheit halber in DreamGrid der Parameter auf "true" gesetzt. Vielleicht braucht Ferd Frederix das tatsächlich für die Fernwartung, kann es aber nicht remote aktivieren. Und ich glaube, er muß oft genug bei den ganz Ahnungslosen ins DreamGrid eingreifen und da Sachen geradebiegen.

Ein Schalter für den Parameter auf der Gridadmin-Klickibunti-Oberfläche würde ja auch a) die Oberfläche komplizierter machen, und b) erhöht jeder zusätzliche Schalter das Risiko, daß ahnungsbefreite DAU-Spielkinder unter den Admins ihre Grids kaputtspielen. Also gibt's keinen Schalter, damit Ferd jederzeit das kaputtgespielte Grid (Admin: "Ich hab nix gemacht") wieder in Ordnung bringen kann.

Weil man in DreamGrids unter gar keinen Umständen jemals die *.inis direkt anfassen darf, kann man diese Sicherheitslücke als hard-coded ansehen.


RE: Neue Angriffsform auf OpenSim-Grids? - Leora Jacobus - 14.01.2024

Es sieht also so aus, als ob nur die Dream Grids in Gefahr sind, oder?


RE: Neue Angriffsform auf OpenSim-Grids? - Bogus Curry - 14.01.2024

Trotzdem sollte man den remote parameter besser absichern, zum bespiel durch ein verschlüsseltes pw. Finde es trobfahrlässig, das man dreamgrid als allheilmittel für anföngradmins darstellt. Man hätte oder hat man auf das risiko hingewiesen ? Das der remote para unsicher ist.

Dasselbe ust ja auch beim xamp paket, da wird aber von den entwickerln auf sas risiko hingewiesen