Időről időre felbukkannak hírek, amelyekben nagynevű biztonságtechnikai cégek ordas biztonásgi hiányosságairól olvashatunk. Mivel a biztonsági hibák 100%-ban emberi hibák, és mivel minden cégnél 100%-ban emberek dolgoznak (kivéve talán a konflisiparágban, ahol lovak is), a hibák elkövetése elkerülhetetlen. Vagy mégsem? Vajon mi lehet a mélyen meghúzódó oka annak, ha egy ilyen cég hálózata lyukas?

Vegyünk egy ismertebb, közelebbről meg nem nevezett céget, elég legyen talán annyit tudni róla, hogy a cég neve N-nel kezdődik (és etAcademiával folytatódik :)), ahol a közelmúltban hasonló áldatlan állapotokat talált Arányi Gábor etikus hekker. Szóval nálunk járt a Mikulás, csak nem hozott, hanem vitt. És nem a kéményen át jött be...

Mielőtt a teljes pentestet kipublikálnám, engedtesség meg nekem egy kis mentegetőzés: nem úgy van az! Meg: de ezt mi tudtuk! Meg esetleg még ez: úgysem mész vele semmire. Csakhogy erre a pentester azt válaszolja, hogy, igen, mindenütt ezt hallom, de valójában be lehet mászkálni a hálózatotokra. Hmmm. Erre, mi a válasz?

Az, hogy igen, be. És az, hogy ez így nem jó, sőt, ciki. Van egy gyenge mentségünk, de ettől még a hibákat javítani kell: ezen a hálózaton gyakorlatilag nincs semmi (a tantermeken kívül). Öt éve is van már talán annak, hogy az égvilágon MINDENT a felhőbe pakoltunk, a minden alatt azt értjük, hogy MINDENT. És ez bizony ellustított minket, mert felvettük azt a hozzáállást, hogy ha az adatokat kiszerveztük, a biztonságot is kiszerveztük. Ami egyébként nagyrészt igaz is.

• Nem fáj a fejünk, hogy ki, és hogyan fogja meghekkelni az SMTP-szerverünket, mert nincs olyanunk, Office 365-öt használunk.
• Nem érdekel, ki mivel próbálkozik a webszerverünkön, mert előbb elviszi őt az Azure-kommandó, minthogy mi észrevennénk a próbálkozást.
• Nem érdekel, ki milyen DNS-spoofot fontolgat, majd megoldja a GoDaddy
• Semmi közöm hozzá, milyen tiltólistára kerülünk esetleg a hírleveleink miatt, oldja azt meg a MailChimp
• Próbáld csak leDOS-olni a videószerverünket, a Vimeo-t, azon túl pedig az Amazont DOS-olod, sok sikert!
• Számlázási adatok? Azt ugyan keresheted, fordulj a szamlazz.hu-hoz!
• Domain Controller? Ki használ ma már olyat?
• Fájlszerver? A XXI. században? Minek?
• és még vagy további 20 (húsz!) szolgáltatás, amit a felhőből használunk

Tehát jogosnak tűnik a kalkulus, hogy az irodai hálózatunk kábé annyira fontos és védett, mint egy kávézó nyilvános wifi-hálózata. Nesze neked, vegyed-vigyed, légy vele boldog!

Legalábbis ezt hittük eddig. Erre jön egy csibész, és bebizonyítja, hogy nem. További cikkekben a teljes penteszt eredményét fogom publikálni több részletben, mert sajnos igen-igen hosszúra sikeredett. Stay tuned!

(Szerintem ez is egy jó kis CISSP-rémtörténet amúgy...)