Az infrastruktúra fejlesztése tovább folytatódott, elkezdtük kiosztani a szerkesztői és cikkírói jogosultságokat. Az alkalmazás fejlesztése is rendben zajlott, megkezdődtek az első bétatesztek is. Mivel gyakran kellett a felhasználói jelentések tartalmát ellenőrizni, kialakítottam egy távoli elérést is biztosító rendszert.
Ez lehetővé tette, hogy távolról módosítsam az adatbázis tartalmát, illetve hozzáférjek a teszteredmények kiértékelését segítő statisztikákhoz is. Mindent abban a hiszemben tettem, hogy minden eszköz és szolgáltatás “out-of-the-box” biztonságos. Persze ez nem volt igaz…
KIBERTÁMADÁS!
Utólag persze könnyű okosnak lenni, pláne hogy nem történt komolyabb baj. Az egyik hétvégén egy rutinfeladat elvégzése céljából meglátogattam a konferencia blogját, ami elérhetetlen volt. Az adatbázis-felügyeleti rendszerbe belépve már csak egy zsarolólevelet és sok hiányzó adatot találtam.
Indul a kutatás…
Az incidens észlelését követően a szóban forgó rendszereket leállítottuk (eddigre már volt segítségem) és csak alapos vizsgálat után, felülvizsgált felhasználói jogokkal indítottuk újra.
Biztosat máig nem tudunk, mert a támadók viszonylag jó munkát végeztek és szinte minden naplófájlt töröltek, de annyi bizonyos, hogy a gyenge admin jelszó volt a fő támadási felület. Mivel az admin felhasználó mindent olvashatott és írhatott nem kellett különösebben sok energiát fektetni a titkosításba sem.
Tanulságok
Az incidens után felülvizsgáltuk az összes jogosultságot és jelszót változtattunk minden esetben.
A szervereket azóta monitoring rendszerek figyelik, amik minden aktivitást rögzítenek, a biztonsági mentések pedig több helyen kerülnek tartós tárolása (mentésből álltunk vissza a támadás
után is).
Ezen kívül minden forgalom átmegy a Cloudflare proxyrendszerén, ezzel biztosítva, hogy a bejelentkezések csak arra jogosult, magyar IP- címekről történjenek.
Leave a Reply