Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

test/test – takimi danymi logowania zabezpieczony był serwer z e-mailami spółki, prywatnymi i służbowymi plikami zarządu, danymi medycznymi oraz nielegalnym oprogramowaniem

05 października 2023, 10:59 | W biegu | komentarzy 21

Zobaczcie na tę sprawę sądową (2019r.), na którą skierował nas jeden z czytelników. W sprawie chodzi o przywrócenie do pracy zwolnionego pracownika.

W czym był problem? Otóż pracodawca rozwiązał z pewnym adminem umowę o pracę, swoją decyzję argumentując m.in. tak:

W trakcie tych testów polegających na wyszukiwaniu, po zeskanowaniu całej sieci, słabych momentów, jeżeli chodzi o bezpieczeństwo danych, natrafiono na serwer S., do którego można było wejść i zalogować za pomocą hasła test test i stwierdzono, że znajdują się tam dane gromadzone od roku 2009 i min. stwierdzono tam: istnienie plików programu pocztowego, w których zapisuje się całą korespondencję pocztową, a także pliki dokumentów prywatne i służbowe członków zarządu pozwanej spółki, biura obsługi zarządu, sekretariatu, dane byłych członków zarządu , dane prywatne o charakterze medycznym, nielegalne oprogramowanie ( min. nawigacje samochodowe, program do tworzenia stron internetowych, klient zdalnego połączenia, obsługa kart pamięci i pendrive, synchronizacja klienta pocztowego, program do wykonywania kopii bezpieczeństwa, muzyka w formacie MP3.

W wyroku czytamy, że serwer S. był serwerem kopii zapasowych a nieszczęsne test/test dawało dostęp na udział sieciowy oraz przez przeglądarkę. W uzasadnieniu zwolnienia, pracodawca wskazywał m.in. zachowania polegające na (…):

nienależytym zabezpieczeniu danych wymienionych w pkt 1 i 2 przed nieuprawnionym dostępem innych osób-użytkowników ogólnozakładowej sieci komputerowej pracodawcy, umożliwiającym pełny dostęp poprzez zalogowanie się na udział sieciowy \\10.2.17.10\P. włącznie za pomocą użytkownika „test” i hasła „test” lub bezpośrednio przez przeglądarkę www podając adres (…) oraz użytkownika „test” i hasło „test”.

Czy test/test jest dużym problemem? To zależy jak uda się całość przedstawić w sądzie:

(…) świadek zeznał, że zestaw słów „test test” jest trywialny, ale trzeba mieć pomysł , że takie hasło może być. Zeznania tego świadka są, w ocenie sądu, istotne bo nadzorował on pracę zespołu przeprowadzającego penetracyjne testy bezpieczeństwa, a więc znał istotę sprawy i skoro zarzutem skierowanym wobec powoda jest, że jego działania w zakresie zabezpieczenia danych zgromadzonych w katalogu (…) były nienależyte i mogły spowodować ujawnienie tajemnicy informacji zgromadzonych na serwerze S., to odpowiedzi tego świadka na pytanie o możliwości nieuprawnionego dostępu do tych plików, jako specjalisty w tym zakresie, mają wartość istotną.

Warto też zwrócić uwagę na ten fragment:

serwer S. był przeznaczony tylko dla potrzeb serwisu, niedostępny dla innych obszarów firmy, bo był on w sieci chronionej, czyli zabezpieczonej przed włamaniami i ingerencją z zewnątrz. 

Nie jest więc do końca jasne czy „sieć chroniona” – to sieć całkowicie odseparowana od reszty sieci LAN, czy „tylko” odseparowana od sieci Internet. Szczególnie, że dalej czytamy:

jeżeli ktoś miałby dostęp do sieci zakładowej i był wybitnym informatykiem, miałby wiedzę, że jest takie urządzenie [tj. serwer backupu – przyp. sekurak] i wiedziałby jakby je wywołać [tj. jak się dostać na udział sieciowy – przyp. sekurak], to taka osoba mogłaby mieć dostęp do tych danych, ale jest to mało prawdopodobne

Trochę dalej nie wiadomo czy w określeniu „wybitny informatyk” zawiera się umiejętność zlokalizowania danego udziału sieciowego oraz spróbowania kombinacji logowania „test”/”test” – czy bardziej chodzi tutaj o przełamanie separacji: sieć LAN <-> sieć z serwerem backup.

Tak czy siak – sprawdźcie czy przypadkiem Wasze serwery backupowe (i inne) nie mają możliwości dostępu za pomocą test/test, admin/admin, itp.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. wk

    Tak jakby nikt nie umiał znaleźć nieudokumentowanego udziału sieciowego :D
    Firma przeprowadzająca testy bezpieczeństwa znalazła, nie? Czyli był znajdowalny. Tu nie trzeba wybitności tylko dokładności i konsekwencji.
    Natomiast robienie z konkretnego admina kozła ofiarnego jest głupie. Bezpieczeństwo to jest proces. Kiedyś wystarczały inne zabezpieczenia, teraz konieczne są inne, za parę lat jeszcze lepsze. Oczywiste jest że to co zaprojektowane i wdrożone ileś lat temu wymaga modernizacji na obecne czasy. Trzeba wyłożyć na to kasę, zatrudnić lub nająć dodatkowych specjalistów, a nie liczyć że jeden admin za niemodernizowaną od lat stawkę i niewysyłany na szkolenia zdziała nam cuda. Ale to trzeba myśleć do przodu a nie tylko kierować się potrzebą szybkiego ukarania pierwszego z brzega winnego.

    Odpowiedz
    • Pełna zgoda. Jeśli by chcieć zwalniać adminów po krytycznych problemach, które pojawiły się w raporcie z pentestów, to dużą część adminów trzeba by zwolnić

      Odpowiedz
      • Braders

        Jak by karqc duże korporacje za to co wychodzi w pentestach to każda płaciła by srogie kary.

        Odpowiedz
        • niektórzy (przestępcy) to nawet monetyzują (ransomware)

          Odpowiedz
      • Jk

        Jak mawia mój szef:
        z słabym adminem jest jak z żoną. Można ją zmienić, ale to i tak nic nie zmieni ;)

        Odpowiedz
  2. hehs

    Może się mylę, ale to chyba po to się przeprowadza tego typu testy – żeby znaleźć i naprawić takie fuckupy? Śmierdzi mi to.

    Odpowiedz
    • No tak. Teoretycznie może być tak (ale tutaj raczej nie taki przypadek) – że zarząd czuje, że ktoś robi jakieś kwasy, więc zleca cichy audyt. Po audycie wychodzą grube akcje i jest wtedy „podkładka” żeby wykonać kolejne działania…

      Odpowiedz
      • Marek

        Trafiają Wam się takie przypadki na pentestach? Zróbcie jakiś krótki webinar o takich kwasach, oczywiście bez podawania nazw firm. :>

        Odpowiedz
  3. Qba

    Z tego co zrozumiałem: chłop wziął adyt it sec. Tam w lanie wisiał serwer, w wyniku go nie było jako podatność test/test (pewnie tego nie obejmowal) i nie chce płacić. A podatności ma.

    Oczywiście mowa też o tym że audyt dokonywał własny IT i tutaj pojawia się problem, znam takie kotomyszy aczkolwiek to dość naciągane jeżeli chociaż o zlecającego. Chętnie bym oglądnął na to KWITY w sensie wewnetrznego/zewnętrznego zlecenia na podatności

    Pamiętajcie adm. Wy dla Janusza jak robicie we jego firmę też musicie mieć dupokrytke na okoliczność wykonywania testów!
    Jak robiłem test szybkości przywracania struktury po utracie wszystkich strat. urządzeń to ja miałem pismo przez zarząd podpisany a wszyscy członkowie,dyr i kierownicy (produkcja więc należało poinformować kierowników brygada) mieli info z działu IT.

    Pozd

    Odpowiedz
  4. Fred

    Odpowiedź jest prosta, jeśli karany Admin objął stanowisko po poprzedniku i następnego dnia zrobiono audyt, to karać poprzednika, ale jeśli aktualny użył Test Test choć raz to był świadomy i powinien być ukarany bez żadnych skrupułów. Tłumaczenie że cztero znakowe hasło jest lub nie jest łatwe do złamania jest śmieszne bo i tak jest niedopuszczalnie krótkie cztero znakowe.

    Odpowiedz
    • Dushek

      I tu trzeba zerknąć w politykę haseł. Jak hasło było zgodne z polityką haseł lub polityki haseł w firmie nie było… To hasło test dobre jak każde inne. :)

      Odpowiedz
  5. Marek

    Wszyscy się czepiają hasła test/test w _wewnętrznej_ sieci, a pomijają fakt, że admin zrobił sobie serwerek warezowy i trzymał tam trefne pliki ;) Myślę że głównie tego powinna dotyczyć sprawa sądowa.

    Odpowiedz
  6. Slavomir

    Mam wrażenie, że w dyskusji trochę umknął temat istnienia na owym zasobie nielegalnego oprogramowania, a to może też być ciekawy wątek :-)

    Odpowiedz
    • OPsec

      DMCA ❤️

      Odpowiedz
  7. Marecky

    Cytat z treści orzeczenia:
    Należy w tym miejscu podnieść,iż istota tej ochrony sprowadza się do tego, że nawet wówczas, gdy istnieją usprawiedliwione (uzasadnione, rzeczywiste) przyczyny rozwiązania stosunku pracy ze szczególnie chronionym działaczem związkowym, nie może do tego dojść przy braku zgody na to właściwego organu związkowego, a rozwiązanie stosunku pracy mimo braku takiej zgody prowadzi – w zasadzie – do jego restytucji. Jeżeli pracodawca nie uzyskuje wymaganej przez prawo zgody na rozwiązanie stosunku pracy z pracownikiem będącym działaczem związkowym, to pracownikowi przysługuje roszczenie o przywrócenie do pracy nawet wówczas, gdy dopuścił się naruszenia podstawowych obowiązków pracowniczych. Taki jest bowiem sens szczególnej ochrony przed rozwiązaniem stosunku pracy, wynikającej z art. 32 ust. 1 ustawy o związkach zawodowych ( np. wyrok SN z 15 października 1999 r., I PKN 306/99, OSNAPiUS 2001 nr 5, poz. 146).

    Odpowiedz
  8. Hihi

    Ludzie, my czasem walczymy z dyrekcją by kupić dyski aby macierze nie pracowały na 90% zapełnieniu co skutkuje dramatami w zwykłych snapshotach a wy tu o odpowiedzialnej pracy.

    Odpowiedz
  9. Jac

    Cztery zera lub 1234 do silosow atomowych , dane na 1,44 dyskietkach . Czy komus to cos przypomina ?

    Odpowiedz
  10. Jac

    4 znaki specialne . 4 duze literally. 12 malych. 4x wystepuje N . 1x L. 2xR. 1x S. 1x O. 3xA. 2x E .2x R . Dla ulatwienia . Znaki specialne take same . Duze litery to R,A,L,N . Poprosze o haslo

    Odpowiedz
  11. Piotr

    Ciekaw jestem, czy sformułowania typu „wybitny informatyk” i „sieć chroniona” pochodzą z opinii biegłego, czy są zlepkiem z zeznań stron i świadków.

    Jako były już biegły sądowy (po 10-letnim przebiegu) z ogromną przyjemnością przeczytałbym opinię z tej sprawy. Zakładam że była, bo sąd sam z siebie tego rozsądzać z reguły nie powinien bez zasięgnięcia zdania eksperta.

    Ale pliki mp3 jako „nielegalne oprogramowanie”? Czy to przejęzyczenie czy też tak to zostało skategoryzowane? Aż włosy na mojej łysej głowie stają dęba, jak sobie o tym pomyślę ;)

    Odpowiedz
  12. pukcab

    Tak to właśnie jest. Człowiek robi backupy, to go zwolnili. Nie rób backupów.

    Odpowiedz

Odpowiedz