Az YRoNS projekt (2. rész) – KIBERTÁMADÁS!

Az infrastruktúra fejlesztése tovább folytatódott, elkezdtük kiosztani a szerkesztői és cikkírói jogosultságokat. Az alkalmazás fejlesztése is rendben zajlott, megkezdődtek az első bétatesztek is. Mivel gyakran kellett a felhasználói jelentések tartalmát ellenőrizni, kialakítottam egy távoli elérést is biztosító rendszert.

Ez lehetővé tette, hogy távolról módosítsam az adatbázis tartalmát, illetve hozzáférjek a teszteredmények kiértékelését segítő statisztikákhoz is. Mindent abban a hiszemben tettem, hogy minden eszköz és szolgáltatás “out-of-the-box” biztonságos. Persze ez nem volt igaz…

KIBERTÁMADÁS!

Utólag persze könnyű okosnak lenni, pláne hogy nem történt komolyabb baj. Az egyik hétvégén egy rutinfeladat elvégzése céljából meglátogattam a konferencia blogját, ami elérhetetlen volt. Az adatbázis-felügyeleti rendszerbe belépve már csak egy zsarolólevelet és sok hiányzó adatot találtam.

Indul a kutatás…

Az incidens észlelését követően a szóban forgó rendszereket leállítottuk (eddigre már volt segítségem) és csak alapos vizsgálat után, felülvizsgált felhasználói jogokkal indítottuk újra.
Biztosat máig nem tudunk, mert a támadók viszonylag jó munkát végeztek és szinte minden naplófájlt töröltek, de annyi bizonyos, hogy a gyenge admin jelszó volt a fő támadási felület. Mivel az admin felhasználó mindent olvashatott és írhatott nem kellett különösebben sok energiát fektetni a titkosításba sem.

Tanulságok

Az incidens után felülvizsgáltuk az összes jogosultságot és jelszót változtattunk minden esetben.

A szervereket azóta monitoring rendszerek figyelik, amik minden aktivitást rögzítenek, a biztonsági mentések pedig több helyen kerülnek tartós tárolása (mentésből álltunk vissza a támadás
után is).

A Prometheus monitoring rendszer adatai Grafana-ban

Ezen kívül minden forgalom átmegy a Cloudflare proxyrendszerén, ezzel biztosítva, hogy a bejelentkezések csak arra jogosult, magyar IP- címekről történjenek.


Comments

Leave a Reply

Your email address will not be published. Required fields are marked *