А у нас бот - SecOps

Apr 05, 2021 06:03

Отличная статья на тему того, как анонимные доброхоты пытались зарепортить критическую уязвимость на правительственном сайте (утечку всех исходных кодов и ключей доступа), а их перенаправляли к боту поддержки ( Read more... )

external, security

Leave a comment

Comments 11

morfizm April 5 2021, 04:24:06 UTC
Прочёл статью.

Мне кажется, в ёбаном айти сидят истеричные белки.

Во-первых, несколько дней на реакцию - вполне себе круто. Я бы ожидал turn-around минимум в неделю.

Во-вторых, из описанного, мне не очень понятно, почему уязвимость "критическая". Доступ к исходникам лендинга совсем не подразумевает доступа ко всему остальному. R/W доступ в репозиторий совсем не означает, что любой дурак может засабмитить "хуй" и он появится на сайте. Мало ли, может, у них всё настолько lightweight, что там ручная валидация новых билдов и всё бы заметили? Ну да, плохо и некрасиво иметь такую дыру, но я не вижу доказательств "супер-мега-критичности".

В-третьих, нет ничего такого, чтобы использовать kubernetes и docker для простого лендинга и для простого чего угодно. Если команда уже делала solutions на этом стеке, то дешевле и надёжнее сделать будет сразу так, чем думать "бля, это простой лендинг, поэтому сделаю-ка я его через жопу, на каком-нибудь питоне, который буду хостить на своём dev box'е, а не по уму, через kubernetes, docker, CICD, etc".

Reply

xatkaru April 5 2021, 04:34:09 UTC
Я про то же и пишу, что неделя-другая - реальное время для компаний с большим количеством субподрядчиков.
Не считаю, что это правильно, но уж как есть.

В статье не приводится подробного исследования, так что критичность может быть от средней до очень высокой.
Например, злоумышленник может встроить на сайт код, который будет выполняться в браузере любого клиента (тот же майнинг или накрутка посещений нужных сайтов).
Как я уже писала, у нас год назад из-за подобной оплошности утекли, помимо всего прочего, ключи для запуска машин AWS, что вылилось в солидные счета за майнинг криптовалюты.
При том, что проект был даже не продакшен, а тестовый. Спасибо AWS, что они сами в какой-то момент залочили машины, детектировав "аномальное поведение", а то бы счёт пошёл уже не на десятки, а на сотни тысяч.

Reply

morfizm April 5 2021, 04:43:43 UTC
Ага. Не, ну, понятно, что это плохо. Но и терпение тоже иметь надо. Если я правильно помню по громким кейсам, industry standard - это от месяца до нескольких месяцев на устранение уязвимостей в больших сложных продуктах. И ничего, ethical hackers тихонечко терпят, не трындят, а потом новости пишут хвалебные - мол, нашли, сообщили, починили, всё правильно сделали. Наверное, лендинг министерства продукт не такой сложный, как, скажем, Windows, поэтому разумно ожидать не несколько месяцев, а несколько недель. Ну хотя бы одну. С другой стороны, это ж гос.служба, просто донельзя зарегулированная и утонувшая в бюрократии, на это тоже надо делать скидку. В общем, да, дело хорошее, но подача чрезмерно истеричная, на мой вкус ( ... )

Reply

xatkaru April 5 2021, 06:08:02 UTC
Мне кажется, что подача истеричная - из-за политизированности. Мол, куда идут наши налоги.

Но, в целом, мне статья очень понравилась. Много забавных моментов.
И этот скриншот, "безопасники предоставили нам отчёт с тысячами атак, мы их уволили, и все было тихо, пока не набрали следующую команду". Было бы смешно, если не было бы так грустно.

Reply


inetman April 5 2021, 05:20:42 UTC
Похоже, твои читатели отправили это долбаное ИТ в нокаут, не открывается... =)

Reply

xatkaru April 5 2021, 06:04:39 UTC
Только что открылось у меня. Может, они определённые айпишники забанили?

Reply

inetman April 5 2021, 08:01:49 UTC
Ха-ха. Ну, не то что бы совсем они, но таки да! Попробовал открыть по HTTP без S, а мне рррраз:

"Access to information resources is restricted on the basis of the Federal Law «On Information, Information Technologies and Protection of Information»."

Reply

xatkaru April 5 2021, 08:10:14 UTC
Наверное, они раньше что-то подобное про Роскомнадзор написали. Например, про эпопею с блокировкой Телеги

Reply


Leave a comment

Up