Największe skuchy bezpieczeństwa… wg czytelników sekuraka

08 czerwca 2020, 20:24 | W biegu | komentarze 4
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

To jeden z lightning talków, który zagości na naszej „pierońsko dobrej i darmowej konferencji (tutaj też zapisy)”. Co będzie materiałem źródłowym do ligtning talka? Ta ankieta, w której jeszcze można brać udział. Odpowiedzi na razie mamy przeszło 450 (!).  Nasi czytelnicy na pytanie „Największe skuchy bezpieczeństwa, które widziałeś:” odpowiadali np. tak (więcej w trakcie prezentacji :)

Sieć osiedlowych sklepów z hot dogami i z 30 ajentów wystawionych po vnc bez hasła
Autoryzacja użytkownika z redirectem na stronę logowania przez JavaScript, wystarczyło wyłączyć jsa w przeglądarce żeby być zautoryzowanym bez logowania
po odejściu admina hasła i konto dalej było aktywne
Sytuacja kuriozalna, lecz realna. Podstawienie kobiety, która nawiązała romans z pracownikiem wysokiego szczebla, który miał odpowiedni poziom dostępu. Był tak nieostrożny, że zostawił laptopa przy niej niezabezpieczonego. Za bardzo jej zaufał. Wykorzystała sytuację, skopiowała poufne dane w tym loginy i hasła. Była podstawiona przez firmę konkurencyjną.
Wystawienie publicznie „na chwilę” jsona z aktualną bazą użytkowników i zapomnienie o nim
Skopiowanie produkcyjnej bazy danych klienta do innego klienta, o bardzo podobnej nazwie skrótowej. Błąd zgłosił ten drugi klient, który zauważył dziwne informacje :-)
Kliknięcie przez głównego księgowego w link z maila i uruchomienie cryptera
Kopia bezpieczeństwa kadrowej robiona na serwer AD którego nie była robiona kopia .

Dla gości hotelowych jest udostępniony Internet. Do tego samego AP jest podpietych pełno urządzeń, w tym niezabezpieczone drukarki oraz możliwy jest dostęp do monitoringu hotelowego poprzez webową aplikację.
Bezpieczeństwo „na papierze” byle żeby się zgadzało, a dookoła same workaraund’y. 
Dane pacjentów i zbiory historii chorób przesyłane między lekarzami poprzez prywatne konta na WP lub Onecie.

Debugowe API pozwalające na wykonanie (potencjalnie kosztownej) operacji w imieniu użytkownika z pominięciem wszelkich potwierdzeń, uprawnień a nawet jakiejkolwiek formy uwierzytelnienia, pozostawione na produkcji i niezauważone przez nikogo przez ponad rok.

Otwarcie konsoli administracyjnej Apache Solr na świat (http bez uwierzytelniania) na produkcji – nikt nie zauważył. Jakiś francuski serwer przez kilka dni odpytywał domenę solra wykrywając dostępne solr cores. Po ustaleniu wersji solra i dostępnych corow, wykorzystał luki bezpieczeństwa znane dla tej wersji solra i wgrał plik wykonywalny na serwer, który to chciał pobrać soft do kopania kryptowalut. Solr natomiast nie miał dostępu do internetu, ale skrypt się zapętlał i spowodował spore użycie CPU. Atakujący serwer dodał komentarz, iż nie zależy mu na żadnych wrażliwych danych, a chce jedynie pokopać kryptowaluty :-)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. dla-dobra-klientów-anonim

    Uczelnia. Doprowadzające użytkowników do szału wymogi dotyczące haseł i ich zmieniania, ale lokalne admini na wszystkich maszynach mieli 3 małe litery, bo się technikom nie chciało wciskać za dużo klawiszy. Odpalane z poziomu LILO narzędzie do przywracania systemu dawało wybór operacji, ale po przyciśnięciu spacji na kilkanaście sekund zaliczało segfaulta i wracało do terminala z rootem. Napisany przez fanatyka Ruby webowy system dla studentów, oparty na jego autorskim i nie testowanym frameworku, miał tyle bugów, że dla jaj z kolegą chodziliśmy pomęczyć faceta i zgłaszać mu bez wysiłku błędy typu dumpy całych tabel z baz danych, dostęp do danych innych osób, możliwość zmieniania sobie ocen przez niektórych studentów itp.

    W ramach pracy wielokrotnie musiałem mieć dostęp do serwerów klientów i jajca typu krzyczenie przez cały korytarz hasła do roota albo dawanie dostępu bez sprawdzenia kim jestem nie było niczym niezwykłym.

    Jeden klient upierał się, że potrzebuje aplikacji uruchamianej „z pulpitu”. Bywa. Ale chciał, żeby była też zabezpieczona hasłem, żeby nikt nie mógł zobaczyć tworzonych przez nią wykresów. Dodam, że dane szły z nieszyfrowanej bazy danych, bo również taki był wymóg. Po długich próbach przekonywania ich, że to nie ma sensu, darowałem sobie. Posłałem tylko ich adminom monit i dodałem informację do manuala dla administratorów.

    Odpowiedz
  2. root

    Drukarnia, która generuje faktury jako linki w stylu adres.pl/fv/2020/123.html – można przejrzeć tak kilka lat bez żadnego logowania

    Odpowiedz
  3. Jarosław

    Możliwość enumeracji wszystkich faktur/ zamówień wystawionych kiedykolwiek w pewnym dużym chińskim e-markecie. Można było też przeglądać czyjeś zamówienia po mailu, widząc co dana osoba kupowała kiedy na jaki adres oraz informacje o płatności :)

    Odpowiedz
    • rafał

      Chińskie markety to swoją drogą, lepsi byli przewoźnicy z Chin (wiem o 4-5 firmach), które przesyłały komplet danych osobowych adresata w XML/JSON, ale nie wyświetlały ich na stronie.
      Numery były kolejne (z cyfrą kontrolną).

      Odpowiedz

Odpowiedz na Jarosław