NetAcademia

A legjobbakat tanítjuk!

Négy lába van, mégis megbotlik, mi az?

2016. június 17. 07:07 - Fóti Marcell

Avagy egy szekuriticég esete a trehány hálózattal

Időről időre felbukkannak hírek, amelyekben nagynevű biztonságtechnikai cégek ordas biztonásgi hiányosságairól olvashatunk. Mivel a biztonsági hibák 100%-ban emberi hibák, és mivel minden cégnél 100%-ban emberek dolgoznak (kivéve talán a konflisiparágban, ahol lovak is), a hibák elkövetése elkerülhetetlen. Vagy mégsem? Vajon mi lehet a mélyen meghúzódó oka annak, ha egy ilyen cég hálózata lyukas?

Vegyünk egy ismertebb, közelebbről meg nem nevezett céget, elég legyen talán annyit tudni róla, hogy a cég neve N-nel kezdődik (és etAcademiával folytatódik :)), ahol a közelmúltban hasonló áldatlan állapotokat talált Arányi Gábor etikus hekker. Szóval nálunk járt a Mikulás, csak nem hozott, hanem vitt. És nem a kéményen át jött be...

Mielőtt a teljes pentestet kipublikálnám, engedtesség meg nekem egy kis mentegetőzés: nem úgy van az! Meg: de ezt mi tudtuk! Meg esetleg még ez: úgysem mész vele semmire. Csakhogy erre a pentester azt válaszolja, hogy, igen, mindenütt ezt hallom, de valójában be lehet mászkálni a hálózatotokra. Hmmm. Erre, mi a válasz?

Az, hogy igen, be. És az, hogy ez így nem jó, sőt, ciki. Van egy gyenge mentségünk, de ettől még a hibákat javítani kell: ezen a hálózaton gyakorlatilag nincs semmi (a tantermeken kívül). Öt éve is van már talán annak, hogy az égvilágon MINDENT a felhőbe pakoltunk, a minden alatt azt értjük, hogy MINDENT. És ez bizony ellustított minket, mert felvettük azt a hozzáállást, hogy ha az adatokat kiszerveztük, a biztonságot is kiszerveztük. Ami egyébként nagyrészt igaz is.

  • Nem fáj a fejünk, hogy ki, és hogyan fogja meghekkelni az SMTP-szerverünket, mert nincs olyanunk, Office 365-öt használunk.
  • Nem érdekel, ki mivel próbálkozik a webszerverünkön, mert előbb elviszi őt az Azure-kommandó, minthogy mi észrevennénk a próbálkozást.
  • Nem érdekel, ki milyen DNS-spoofot fontolgat, majd megoldja a GoDaddy
  • Semmi közöm hozzá, milyen tiltólistára kerülünk esetleg a hírleveleink miatt, oldja azt meg a MailChimp
  • Próbáld csak leDOS-olni a videószerverünket, a Vimeo-t, azon túl pedig az Amazont DOS-olod, sok sikert!
  • Számlázási adatok? Azt ugyan keresheted, fordulj a szamlazz.hu-hoz!
  • Domain Controller? Ki használ ma már olyat?
  • Fájlszerver? A XXI. században? Minek?
  • és még vagy további 20 (húsz!) szolgáltatás, amit a felhőből használunk

Tehát jogosnak tűnik a kalkulus, hogy az irodai hálózatunk kábé annyira fontos és védett, mint egy kávézó nyilvános wifi-hálózata. Nesze neked, vegyed-vigyed, légy vele boldog!

Legalábbis ezt hittük eddig. Erre jön egy csibész, és bebizonyítja, hogy nem. További cikkekben a teljes penteszt eredményét fogom publikálni több részletben, mert sajnos igen-igen hosszúra sikeredett. Stay tuned!

(Szerintem ez is egy jó kis CISSP-rémtörténet amúgy...)

3 komment

A bejegyzés trackback címe:

https://netacademia.blog.hu/api/trackback/id/tr838816038

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.06.17. 07:45:27

Hát igen. Megy a kormány propaganda, hogy nincs is munkanélküliség, rengeteg a betöltetlen állás, főként az IT-s helyeken. Ehhez képest azt látom, hogy főleg a kkv területen sorra pakolják a rendszereket felhőbe, köztük bankok is, amitől kiráz a hideg.
Na mindegy, ez csak úgy eszembe jutott... (szellemileg leépült, alig látó ex rencergazda állást/munkát keres, érdeklődni nálam, privátban, "Windows-tól kíméljenek" jeligével :)) )

Sealka 2016.06.17. 09:15:34

IT az elég tág fogalom, de a munkaerő hiány szempontjából szerintem a programozókra gondoltak.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.06.17. 09:49:43

@Sealka: nem csak... állítólag megfelelő üzemeltetőt, is nehéz találni. Ehhez képest... na mindegy, én már (közel tíz éve) feladtam.