Friday, April 26, 2013

Our servers are down for a security update

If you regularly read our forum and/or the NUG email list, you know that our web server was attacked the day before yesterday. This attack coincided with the start of our annual user conference. However, we believe that is coincidental. Fortunately, Brent Huston, CEO of Microsolved, a company that specializes in Internet security, was speaking at our conference so we were able to consult with him to determine the type of attack and how the hacker was able to get in to our server. The attack appears to have been an automated one that took advantage of a vulnerability in the version of PostgreSQL we were using.

We take security very seriously. For example, we don’t store your credit card number. When you place an order, no information about your credit card is ever even written to a file on disk, even temporarily.  It’s in memory for less than half a second while we process your order. Your realsoftware.com password is never stored by us. We don’t know your password. We store a hashed version of it which cannot be decrypted. When you log-in to your account on our web site, we hash what you enter as your password and compare that to the hashed version we store in our database. If they match, you entered it correctly but we can’t determine what your actual password is. Forum accounts, however, are less secure and we notified forum users that while we don’t believe the hacker was actually targeting us, it would be best if they changed their forums.realsoftware.com password.

When a server is hacked, it can be difficult-to-impossible to determine whether or not the hacker has installed compromised versions of the server software in use. We have to assume that the server is compromised. Based on our assessments, we decided that the best course of action was to take our servers off-line then rebuild them from scratch so we could be certain no compromised server software could remain and the integrity and security of our servers could be assured.

As you know, we have developed industrial-strength security for the Xojo Cloud web application hosting service that we will be launching in June. Because of this, we had planned on migrating our web servers to the Xojo Cloud. This attack has simply accelerated those plans.

No company likes having its public-facing servers off line. In addition to the web site, our servers host our forums, mailing lists, wiki, and customer database. However, we did not want to take any chances that we could be potentially allowing a hacker access to your information so we have taken down the servers while we migrate them to the Xojo Cloud. We are taking this opportunity to do some planned updating of our server software as well.

At Real Software, we eat our own dog food. Our IDE is written in Real Studio. We create most of our internal tools that run our business using Real Studio as well. Moving our servers to the Xojo Cloud is another way for us to eat our own dog food. We believe the Xojo Cloud provides best-of-class, industrial-strength server security and we would not expect you to use it unless we used it as well.

There is a saying that “What doesn’t kill you, makes you stronger,” and that’s certainly the case here. This attack didn’t kill us (far from it) but it is making us stronger. We will be far better off once the migration is completed. As CEO, I apologize for any inconvenience this has caused you and appreciate your patience and understanding during this unexpected, but necessary, server migration. There is nothing we care about more than your confidence and trust in us. Having our servers off-line for a day or two, even though that means that our revenue comes to a full-stop for a few days, is a small price for us to pay for your continued confidence and trust.

Geoff Perlman
Founder and CEO
Real Software, Inc.

--

Español


Nuestros servidores están caídos por una actualización de seguridad

Si lees con frecuencia nuestro foro y/o la lista de correo electrónico NUG, entonces sabrás que nuestro servidor web ha sido atacado hace tres días. Este ataque ha coincidido con el inicio de nuestra conferencia anual de usuarios. Sin embargo, creemos que se trata de una coincidencia. Afortunadamente, Brent Huston, CEO de Microsolved (http://microsolved.com/), una compañía especializada en segudidad Internet, ha sido uno de los ponentes en nuestra conferencia de modo que hemos tenido la ocasión de consutar con él para determinar el tipo de ataque y cómo ha podido acceder el atacante a nuestro servidor. Parece que el ataque ha sido uno de tipo automatizado y que se centraba en una vulnerabilidad de la versión de PostgreSQL que estábamos usando.

Nos tomamos la seguridad muy en serio. Por ejemplo, nunca almacenamos el número de tu tarjeta de crédito. Cuando realizas un pedido nunca se llega a escribir la información de la tarjeta de crédito a disco, incluso aunque sea de forma temporal. Está en memoria durante el medio segundo que tarda el proceso del pedido. Tu contraseña realsoftware.com nunca está almacenada por nosotros. No sabemos cuál es tu contraseña. Almacenamos una versión hash de ella y que no puede ser descifrada. Cuando te conectas en tu cuenta de nuestro sitio web, creamos el hash de lo que introduces como contraseña y lo comparamos con la versión hash que almacenamos en nuestra base de datos. Si se corresponden, la has introducido correctamente pero no podemos determinar cuál es tu contraseña. Las contraseñas del foro, sin embargo, son menos seguras y hemos notificado a los usuarios del foro que si bien no creemos que el hacker se haya centrado en nosotros, sería una buena medida cambiar la contraseña de forums.realsoftware.com.

Cuando se hackea un servidor, resulta difícil por no decir imposible determinar si el hacker ha instalado versiones comprometidas del software servidor utilizado. Tenemos que asumir que el servidor se ha visto comprometido. Basándonos en nuestras suposiciones, hemos decidido que la mejor acción posible es la de desconectar nuestros servidores y volver a crearlos desde cero, de modo que podamos tener la certeza de que no se esté ejecutando ningún software que se haya visto comprometido, y que se restablezca por tanto la integridad y seguridad de nuestros servidores.

Como sabes, hemos desarrollado seguridad de nivel industrial para nuestro servicio de hospedaje web de aplicaciones Xojo Cloud, y que estará disponible en junio. Teniendo esto en cuenta, teníamos previsto migrar nuestros servidores a Xojo Cloud. Este ataque simplemente ha acelerado dichos planes.

Ninguna empresa quiere tener sus servidores de acceso público fuera de servicio. Además del sitio web, nuestros servidores también alojan nuestros foros, listas de correo, wiki y bases de datos de usuarios. Sin embargo, no queremos pasar por alto ninguna posibilidad que pueda permitir el acceso potencial de un hacker a tu información; de modo que hemos desconectado todos los servidores mientras que los migramos a Xojo Cloud. También estamos aprovechando esta oportunidad para llevar a cabo algunas actualizaciones planificadas de nuestro software servidor.

En Real Software comemos nuestra propia comida. Nuestro IDE está escrito con Real Studio. Creamos la mayoría de nuestras herramientas internas, utilizadas en nuestro negocio, utilizando Real Studio. El cambio de nuestros servidores a Xojo Cloud es otro modo de comer nuestra propia comida. Creemos que Xojo Cloud proporciona la mejor seguridad servidor de nivel industrial, excepcional en su categoría, y no esperamos que tu lo uses si nosotros no lo usamos también.

Existe un refrán que dice "Lo que no te mata, te hará más fuerte", y esto es ciertamente el caso que nos ocupa. Este ataque no nos ha matado (de hecho está muy lejos de que eso sea así), sino que nos hace más fuertes. Estaremos mucho mejor cuando se haya completado la migración. Como CEO, me disculpo por cualquier inconveniente que esto haya podido causar y valoramos tu paciencia y comprensión durante esta inesperada, pero necesaria, migración del servidor. No hay nada que nos importe más que tu confianza en nosotros. El hecho de que nuestros servidores estén fuera de línea durante un día o dos, incluso teniendo en cuenta que eso significa que nuestros ingresos quedan detenidos durante algunos días, es un precio muy pequeño para nosotros por tu continuada fidelidad y confianza.

Geoff Perlman
Fundador y CEO
Real Software, Inc.

1 comment:

  1. Blimey. I'm sorry to hear about that, Geoff. I've only just found out on the NUG. I hope all is going to plan with the server reinstallation.

    Mark.

    ReplyDelete

Note: Only a member of this blog may post a comment.