А у нас бот - SecOps

[xatkaru]

Отличная статья на тему того, как анонимные доброхоты пытались зарепортить критическую уязвимость на правительственном сайте (утечку всех исходных кодов и ключей доступа), а их перенаправляли к боту поддержки

Comments

[morfizm]

Прочёл статью.

Мне кажется, в ёбаном айти сидят истеричные белки.

Во-первых, несколько дней на реакцию - вполне себе круто. Я бы ожидал turn-around минимум в неделю.

Во-вторых, из описанного, мне не очень понятно, почему уязвимость "критическая". Доступ к исходникам лендинга совсем не подразумевает доступа ко всему остальному. R/W доступ в репозиторий совсем не означает, что любой дурак может засабмитить "хуй" и он появится на сайте. Мало ли, может, у них всё настолько lightweight, что там ручная валидация новых билдов и всё бы заметили? Ну да, плохо и некрасиво иметь такую дыру, но я не вижу доказательств "супер-мега-критичности".

В-третьих, нет ничего такого, чтобы использовать kubernetes и docker для простого лендинга и для простого чего угодно. Если команда уже делала solutions на этом стеке, то дешевле и надёжнее сделать будет сразу так, чем думать "бля, это простой лендинг, поэтому сделаю-ка я его через жопу, на каком-нибудь питоне, который буду хостить на своём dev box'е, а не по уму, через kubernetes, docker, CICD, etc".

[xatkaru]

Я про то же и пишу, что неделя-другая - реальное время для компаний с большим количеством субподрядчиков.
Не считаю, что это правильно, но уж как есть.

В статье не приводится подробного исследования, так что критичность может быть от средней до очень высокой.
Например, злоумышленник может встроить на сайт код, который будет выполняться в браузере любого клиента (тот же майнинг или накрутка посещений нужных сайтов).
Как я уже писала, у нас год назад из-за подобной оплошности утекли, помимо всего прочего, ключи для запуска машин AWS, что вылилось в солидные счета за майнинг криптовалюты.
При том, что проект был даже не продакшен, а тестовый. Спасибо AWS, что они сами в какой-то момент залочили машины, детектировав "аномальное поведение", а то бы счёт пошёл уже не на десятки, а на сотни тысяч.

[morfizm]

Ага. Не, ну, понятно, что это плохо. Но и терпение тоже иметь надо. Если я правильно помню по громким кейсам, industry standard - это от месяца до нескольких месяцев на устранение уязвимостей в больших сложных продуктах. И ничего, ethical hackers тихонечко терпят, не трындят, а потом новости пишут хвалебные - мол, нашли, сообщили, починили, всё правильно сделали. Наверное, лендинг министерства продукт не такой сложный, как, скажем, Windows, поэтому разумно ожидать не несколько месяцев, а несколько недель. Ну хотя бы одну. С другой стороны, это ж гос.служба, просто донельзя зарегулированная и утонувшая в бюрократии, на это тоже надо делать скидку. В общем, да, дело хорошее, но подача чрезмерно истеричная, на мой вкус

[xatkaru]

Мне кажется, что подача истеричная - из-за политизированности. Мол, куда идут наши налоги.

Но, в целом, мне статья очень понравилась. Много забавных моментов.
И этот скриншот, "безопасники предоставили нам отчёт с тысячами атак, мы их уволили, и все было тихо, пока не набрали следующую команду". Было бы смешно, если не было бы так грустно.

[klink0v]

"Kuberntes, docker, CICD" - это "по уму"? Ннну-ннну...