Vor ab: Sorry für die komplett nur englischsprachigen Links, aber auf Deutsch schreibt da keiner drüber.
Außerdem weiß ich nicht, wie groß die Gefahrenlage wirklich ist. Aber ich will nicht, daß es hinterher heißt, daß in unseren Kreisen niemand je irgendwas davon gehört oder gelesen hat.
Jedenfalls: Vor ein paar Tagen wurde das Resurgence-Grid durch einen Angriff komplett gelöscht. Leute sahen tatsächlich in-world in Echtzeit Sachen vor ihren Augen verschwinden. Und geraume Zeit später war das ganze Grid vom Server verschwunden. Und auch alle Backups. Komplett gelöscht. Ich verstehe das so, daß jemand nicht einfach nur die Grid-Daten gelöscht hat, sondern die komplette OpenSim-Installation.
Resurgence war ein sogenanntes DreamGrid. Für die, die nicht wissen, was das ist: Das ist OpenSim als reine Windows-Klickibuntidoofi-Anwendung von Fred Beckhusen a.k.a. Ferd Frederix von Outworldz. Gemacht für Leute, die nicht nur von Computern wenig und von Servern und Netzwerken überhaupt gar keine Ahnung haben, sondern sich auch nicht aufschlauen wollen. Alles fix und fertig vorkonfiguriert und so einfach wie möglich.
Laut Ferd Frederix wurden über 3000 DreamGrids angelegt, und es laufen auch entsprechend viele. Die meisten laufen auf irgendwelchen PCs oder Laptops bei den Gridownern zu Hause mit entsprechend grauenvoller Sicherheit und Performance.
Resurgence lief aber auf einem gemieteten Windows-Server in einem Rechenzentrum.
Der Startpost sagt auch aus, daß die Backups komplett gelöscht wurden. DreamGrid legt ja vollautomatisch und standardmäßig aktiviert Backups an, aber DreamGrid kann die nur auf dem Gridserver selber ablegen und nicht mit irgendeinem spontan aus der Kiste rauswachsenden Greifarm eine USB-Festplatte herbeiholen, anstecken, da das Backup draufkopieren und die Platte hinterher wieder abstecken und sicher weglegen.
Kompetente Gridadmins kopieren die automatischen Backups per Hand auf ein externes Laufwerk. Aber wenn der Gridserver woanders als zu Hause steht, dürfte so manch ein reiner Windows-User damit seine Probleme haben. Und ob der "Techniker", der sich am Serverstandort um den Server kümmern sollte, DreamGrid-Backups vom Server auf ein Sicherungslaufwerk ziehen konnte, weiß ich nicht.
Wenn man durch die Kommentare geht, findet sich ein Post, der das Ganze noch gruseliger darstellt: Wie es aussieht, gibt es tatsächlich einen Angriffsvektor durch OpenSim selbst, der die totale Zerstörung eines Grid zum Ziel hat. Sogar Sacrarium warnt vor diesem Angriffsvektor.
Das Ganze funktioniert wohl so:
Unklar ist jetzt aber noch:
Läuft das Ganze nur auf DreamGrids?
Läuft das Ganze auf allen Windows-Gridservern?
Oder läuft es sogar auf Linux- und macOS-Gridservern? Hätte es vielleicht sogar die Fähigkeit auszuspähen, wo welche Daten liegen, und sei es auf ganz anderen Servern?
Heute ganz früh hat sich Lone Wolf dazu geäußert. Lone Wolf ist Brite, Gründer und Betreiber der Wolf Territories, des inzwischen flächenmäßig größten und nutzerzahlmäßig zweitgrößten OpenSim-Grid und, weil das ganze Grid auf seinen Servern läuft, der größte Landeigentümer im ganzen Metaversum. Aber das nur zur Person.
Jedenfalls ist Lone Wolf eine mögliche Schwachstelle in der Konfiguration von OpenSim zugespielt worden, die diese Attacke ausnutzt.
In der Robust.ini gibt es eine Stelle, die so aussehen sollte:
Wenn die letzte Zeile, also die eigentliche Einstellung, so aussieht:
...dann ist das Grid gefährdet.
DreamGrid hat das standardmäßig auf true. Ich halte es für unwahrscheinlich, daß eine so spezielle und wenig gebrauchte Einstellung auf der Konfigurationsoberfläche von DreamGrid mit einer Checkbox zu finden ist. Selbst wenn, würde das nie jemand anfassen. Und DreamGrid darf eigentlich nie, nie, NIE durch Editieren von Konfigurationsdateien eingestellt werden, sondern immer nur auf der Klickibunti-Oberfläche.
Lone sagt auch, inzwischen ist ein zweites Grid auf dieselbe Art und Weise angegriffen worden. Aber mit seiner Hilfe konnte es gerettet werden.
Außerdem weiß ich nicht, wie groß die Gefahrenlage wirklich ist. Aber ich will nicht, daß es hinterher heißt, daß in unseren Kreisen niemand je irgendwas davon gehört oder gelesen hat.
Jedenfalls: Vor ein paar Tagen wurde das Resurgence-Grid durch einen Angriff komplett gelöscht. Leute sahen tatsächlich in-world in Echtzeit Sachen vor ihren Augen verschwinden. Und geraume Zeit später war das ganze Grid vom Server verschwunden. Und auch alle Backups. Komplett gelöscht. Ich verstehe das so, daß jemand nicht einfach nur die Grid-Daten gelöscht hat, sondern die komplette OpenSim-Installation.
Resurgence war ein sogenanntes DreamGrid. Für die, die nicht wissen, was das ist: Das ist OpenSim als reine Windows-Klickibuntidoofi-Anwendung von Fred Beckhusen a.k.a. Ferd Frederix von Outworldz. Gemacht für Leute, die nicht nur von Computern wenig und von Servern und Netzwerken überhaupt gar keine Ahnung haben, sondern sich auch nicht aufschlauen wollen. Alles fix und fertig vorkonfiguriert und so einfach wie möglich.
Laut Ferd Frederix wurden über 3000 DreamGrids angelegt, und es laufen auch entsprechend viele. Die meisten laufen auf irgendwelchen PCs oder Laptops bei den Gridownern zu Hause mit entsprechend grauenvoller Sicherheit und Performance.
Resurgence lief aber auf einem gemieteten Windows-Server in einem Rechenzentrum.
Der Startpost sagt auch aus, daß die Backups komplett gelöscht wurden. DreamGrid legt ja vollautomatisch und standardmäßig aktiviert Backups an, aber DreamGrid kann die nur auf dem Gridserver selber ablegen und nicht mit irgendeinem spontan aus der Kiste rauswachsenden Greifarm eine USB-Festplatte herbeiholen, anstecken, da das Backup draufkopieren und die Platte hinterher wieder abstecken und sicher weglegen.
Kompetente Gridadmins kopieren die automatischen Backups per Hand auf ein externes Laufwerk. Aber wenn der Gridserver woanders als zu Hause steht, dürfte so manch ein reiner Windows-User damit seine Probleme haben. Und ob der "Techniker", der sich am Serverstandort um den Server kümmern sollte, DreamGrid-Backups vom Server auf ein Sicherungslaufwerk ziehen konnte, weiß ich nicht.
Wenn man durch die Kommentare geht, findet sich ein Post, der das Ganze noch gruseliger darstellt: Wie es aussieht, gibt es tatsächlich einen Angriffsvektor durch OpenSim selbst, der die totale Zerstörung eines Grid zum Ziel hat. Sogar Sacrarium warnt vor diesem Angriffsvektor.
Das Ganze funktioniert wohl so:
- Jemand rezzt ein Objekt mit einem böswilligen Skript in-world. Wenn das nicht auffallen soll, wird das Objekt unter den Boden der Sim geschoben und auf 100% Transparenz gestellt.
- Das Skript startet eine Art Timer.
- Während dieser Zeit wird mindestens ein Backup gemacht, idealerweise genug, um alle Backups von vor dem Rezzen dieses Objekts zu überschreiben. Damit werden auch alle Backups vergiftet.
- Das Skript startet und beginnt, in-world Objekte zu löschen.
- Damit legt das Skript auch einen Zugang zum Robust offen und reicht den weiter an etwas, das a) nicht in OpenSim und b) nicht auf diesem Server läuft. Das ist entweder ein externes Skript/eine externe automatisierte Anwendung oder ein externer manueller Zugang.
- Wenn die externe Anwendung automatisch läuft, löscht sie automatisch die komplette DreamGrid-Installation auf der Maschine plus alle Backups, die natürlich erwartungsgemäß und vorhersehbarerweise am Standard-Backup-Speicherort liegen.
Unklar ist jetzt aber noch:
Läuft das Ganze nur auf DreamGrids?
Läuft das Ganze auf allen Windows-Gridservern?
Oder läuft es sogar auf Linux- und macOS-Gridservern? Hätte es vielleicht sogar die Fähigkeit auszuspähen, wo welche Daten liegen, und sei es auf ganz anderen Servern?
Heute ganz früh hat sich Lone Wolf dazu geäußert. Lone Wolf ist Brite, Gründer und Betreiber der Wolf Territories, des inzwischen flächenmäßig größten und nutzerzahlmäßig zweitgrößten OpenSim-Grid und, weil das ganze Grid auf seinen Servern läuft, der größte Landeigentümer im ganzen Metaversum. Aber das nur zur Person.
Jedenfalls ist Lone Wolf eine mögliche Schwachstelle in der Konfiguration von OpenSim zugespielt worden, die diese Attacke ausnutzt.
In der Robust.ini gibt es eine Stelle, die so aussehen sollte:
Code:
; Allow all assets to be remotely deleted.
; Only set this to true if you are operating a grid where you control all calls to the asset service
; (where a necessary condition is that you control all simulators) and you need this for admin purposes.
; If set to true, AllowRemoteDelete = true is required as well.
; Default is false.
AllowRemoteDeleteAllTypes = falseCode:
AllowRemoteDeleteAllTypes = trueDreamGrid hat das standardmäßig auf true. Ich halte es für unwahrscheinlich, daß eine so spezielle und wenig gebrauchte Einstellung auf der Konfigurationsoberfläche von DreamGrid mit einer Checkbox zu finden ist. Selbst wenn, würde das nie jemand anfassen. Und DreamGrid darf eigentlich nie, nie, NIE durch Editieren von Konfigurationsdateien eingestellt werden, sondern immer nur auf der Klickibunti-Oberfläche.
Lone sagt auch, inzwischen ist ein zweites Grid auf dieselbe Art und Weise angegriffen worden. Aber mit seiner Hilfe konnte es gerettet werden.
Auf der Rolltreppe im Kaufrausch / Du nach unten, ich nach oben
Mein OpenSim-Blog: Aus Hypergrid und Umgebung
Mein OpenSim-Blog: Aus Hypergrid und Umgebung
![[-]](https://www.gridtalk.de/images/collapse.png)
