Отличная статья на тему того, как анонимные доброхоты пытались зарепортить критическую уязвимость на правительственном сайте (утечку всех исходных кодов и ключей доступа), а их перенаправляли к боту поддержки
( Read more... )
Во-первых, несколько дней на реакцию - вполне себе круто. Я бы ожидал turn-around минимум в неделю.
Во-вторых, из описанного, мне не очень понятно, почему уязвимость "критическая". Доступ к исходникам лендинга совсем не подразумевает доступа ко всему остальному. R/W доступ в репозиторий совсем не означает, что любой дурак может засабмитить "хуй" и он появится на сайте. Мало ли, может, у них всё настолько lightweight, что там ручная валидация новых билдов и всё бы заметили? Ну да, плохо и некрасиво иметь такую дыру, но я не вижу доказательств "супер-мега-критичности".
В-третьих, нет ничего такого, чтобы использовать kubernetes и docker для простого лендинга и для простого чего угодно. Если команда уже делала solutions на этом стеке, то дешевле и надёжнее сделать будет сразу так, чем думать "бля, это простой лендинг, поэтому сделаю-ка я его через жопу, на каком-нибудь питоне, который буду хостить на своём dev box'е, а не по уму, через kubernetes, docker, CICD, etc".
Я про то же и пишу, что неделя-другая - реальное время для компаний с большим количеством субподрядчиков. Не считаю, что это правильно, но уж как есть.
В статье не приводится подробного исследования, так что критичность может быть от средней до очень высокой. Например, злоумышленник может встроить на сайт код, который будет выполняться в браузере любого клиента (тот же майнинг или накрутка посещений нужных сайтов). Как я уже писала, у нас год назад из-за подобной оплошности утекли, помимо всего прочего, ключи для запуска машин AWS, что вылилось в солидные счета за майнинг криптовалюты. При том, что проект был даже не продакшен, а тестовый. Спасибо AWS, что они сами в какой-то момент залочили машины, детектировав "аномальное поведение", а то бы счёт пошёл уже не на десятки, а на сотни тысяч.
Ага. Не, ну, понятно, что это плохо. Но и терпение тоже иметь надо. Если я правильно помню по громким кейсам, industry standard - это от месяца до нескольких месяцев на устранение уязвимостей в больших сложных продуктах. И ничего, ethical hackers тихонечко терпят, не трындят, а потом новости пишут хвалебные - мол, нашли, сообщили, починили, всё правильно сделали. Наверное, лендинг министерства продукт не такой сложный, как, скажем, Windows, поэтому разумно ожидать не несколько месяцев, а несколько недель. Ну хотя бы одну. С другой стороны, это ж гос.служба, просто донельзя зарегулированная и утонувшая в бюрократии, на это тоже надо делать скидку. В общем, да, дело хорошее, но подача чрезмерно истеричная, на мой вкус
( ... )
Мне кажется, что подача истеричная - из-за политизированности. Мол, куда идут наши налоги.
Но, в целом, мне статья очень понравилась. Много забавных моментов. И этот скриншот, "безопасники предоставили нам отчёт с тысячами атак, мы их уволили, и все было тихо, пока не набрали следующую команду". Было бы смешно, если не было бы так грустно.
Ха-ха. Ну, не то что бы совсем они, но таки да! Попробовал открыть по HTTP без S, а мне рррраз:
"Access to information resources is restricted on the basis of the Federal Law «On Information, Information Technologies and Protection of Information»."
Comments 11
Мне кажется, в ёбаном айти сидят истеричные белки.
Во-первых, несколько дней на реакцию - вполне себе круто. Я бы ожидал turn-around минимум в неделю.
Во-вторых, из описанного, мне не очень понятно, почему уязвимость "критическая". Доступ к исходникам лендинга совсем не подразумевает доступа ко всему остальному. R/W доступ в репозиторий совсем не означает, что любой дурак может засабмитить "хуй" и он появится на сайте. Мало ли, может, у них всё настолько lightweight, что там ручная валидация новых билдов и всё бы заметили? Ну да, плохо и некрасиво иметь такую дыру, но я не вижу доказательств "супер-мега-критичности".
В-третьих, нет ничего такого, чтобы использовать kubernetes и docker для простого лендинга и для простого чего угодно. Если команда уже делала solutions на этом стеке, то дешевле и надёжнее сделать будет сразу так, чем думать "бля, это простой лендинг, поэтому сделаю-ка я его через жопу, на каком-нибудь питоне, который буду хостить на своём dev box'е, а не по уму, через kubernetes, docker, CICD, etc".
Reply
Не считаю, что это правильно, но уж как есть.
В статье не приводится подробного исследования, так что критичность может быть от средней до очень высокой.
Например, злоумышленник может встроить на сайт код, который будет выполняться в браузере любого клиента (тот же майнинг или накрутка посещений нужных сайтов).
Как я уже писала, у нас год назад из-за подобной оплошности утекли, помимо всего прочего, ключи для запуска машин AWS, что вылилось в солидные счета за майнинг криптовалюты.
При том, что проект был даже не продакшен, а тестовый. Спасибо AWS, что они сами в какой-то момент залочили машины, детектировав "аномальное поведение", а то бы счёт пошёл уже не на десятки, а на сотни тысяч.
Reply
Reply
Но, в целом, мне статья очень понравилась. Много забавных моментов.
И этот скриншот, "безопасники предоставили нам отчёт с тысячами атак, мы их уволили, и все было тихо, пока не набрали следующую команду". Было бы смешно, если не было бы так грустно.
Reply
Reply
Reply
"Access to information resources is restricted on the basis of the Federal Law «On Information, Information Technologies and Protection of Information»."
Reply
Reply
Leave a comment