jQuery.com – die Security-Retrospektive
Kommentare

In einem sehr offenen Blogpost gibt Kris Borchers, Executive Director der jQuery Foundation, einen Überblick zu den Security-Vorfällen der letzten Wochen. Auch wenn die Schwachstelle, die den ersten

In einem sehr offenen Blogpost gibt Kris Borchers, Executive Director der jQuery Foundation, einen Überblick zu den Security-Vorfällen der letzten Wochen. Auch wenn die Schwachstelle, die den ersten der Angriffe ermöglichte, noch nicht endültig identifiziert ist, schildert er alle Vorfälle, die jQuery.com seit dem 18. September beeinträchtigt haben. Es geht um viele Angriffe, ShellShock und veraltete WordPress-Installationen.

jQuery Under Siege

Bereits am Morgen des 18. September haben die Angriffe auf jQuery.com begonnen. Nach anfänglichen Schwierigkeiten wähnte sich das Team hinter dem JavaScript-Framework in Sicherheit – bis zum Nachmittag des entsprechenden Tages, als das Sicherheitsunternehmen RiskIQ an die Foundation herantrat und sie darüber informierte, dass die Server von jQuery.com kompromittiert wurden und arglose Besucher mit dem Drive-by-Download des RIG Exploit Kits beglückten.

Schnell wurden entsprechende Gegenmaßnahmen eingeleitet:

Immediately upon receiving that report, we completely destroyed and reimaged all of those machines, revoked and reissued all associated SSL certificates, and confirmed that there was no suspicious content being served at that point. Since then, our own team and security folks from Mozilla and MaxCDN have worked to analyze logs and attempt to confirm the impact of this attack.

Bekannt wurden diese ersten Angriffe allerdings erst am 23. September, nachdem das Sicherheitsunternehmen RiskIQ mit dem Bericht über diesen ersten Angriff an die Öffentlichkeit ging.

Mut zur Offenheit

Die Rede ist hierbei vom ersten Angriff – seit dem ist jQuery.com quasi Dauerziel von Hackern – einer der Angriffe wurde wohl auch über die ShellShock genannte Bash-Schwachstelle ausgeführt. Damit befinden Sie sich in bester Gesellschaft, denn wie bekannt wurde, sind auch Yahoo!-Server der ShellShock-Schwachstelle zum Opfer gefallen.

Im Zuge der Aufräumarbeiten sind auch einige veraltete WordPress-Installationen beseitigt worden; auch hierin könnten potentielle Angreifer lohnende Ziele sehen.

Nun befand sich Borchers in einer Zwickmühle. Die Community verdiente natürlich ein Statement zur Lage, auf der anderen Seite steht jQuery.com wie bereits erwähnt noch immer unter heftigem Beschuss …

Da er sich aber sicher ist, dass das Team die Situation weitestgehend unter Kontrolle habe, hat er sich entschlossen, auf diesem Wege an die Öffentlichkeit zu gehen. Und das, obwohl es eigentlich noch einige offene Baustellen gibt.

Our budgets are tight and resources are limited

Borchers geht auch sehr offen all jenen entgegen, die die Frage nach dem „Warum“ stellen – warum man beispielsweise nicht auf bestimmte Services setze, oder warum man nach bekanntwerden der Schwachstellen wie ShellShock nicht ein besonderes Augenmerk darauf lege, die Server daraufhin zu untersuchen:

The simple answer is that our budgets are tight and resources are limited. Our infrastructure team, and most of our teams for that matter, are made up of volunteers who give their time for free to make sure things keep running.

Ein Großteil der Ressourcen – sowohl Geldmittel als auch Manpower – fließe in die Projekte und die Aufrechterhaltung der Infrastruktur darum herum.

Genau hier komme die Community ins Spiel. Wichtig sei dabei jede Art von Unterstützung, egal ob finanzieller Natur oder durch Mitwirkung am Projekt an sich, selbst wenn es nur ein paar Stunden in der Woche wären.

Wer sich berufen fühlt, sollte sich den Blogpost jQuery September 2014 Security Retrospective durchlesen – dort findet man alle Informationen darüber, wie man mit dem Team in Kontakt treten kann.

Aufmacherbild: railway track black and white retrospective style von Shutterstock / Urheberrecht: rickyd

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -