Temat: wykop DB compromise

Michał Błaszczak:
Dokładnie ;-)

a życie potem pokazuje, że warto było zapłacić troszkę drożej i nie narażać firmy na kompromitacje ale to już każdy biznesmen musi do tego dojść samemu

Co ile zmieniają się w firmie managerowie? Dość często i raczej (naturalną) ich cechą jest to żeby w czasie "swojej kadencji" jak najlepiej się pokazać (tj. zdobyć jak największe premie) - i słusznie.

IMHO, sensowne patrzenie na security powinno być raczej długodystansowe, więc to raczej właściciel, po pewnym namyśle, powinien (a raczej może, jeśli uważa to za słuszne) wprowadzić do tej gry pewne przeszkadzajki, w postaci pewnych wymogów security (jest to ważne dla właściciela, a już mniej dla managerów).

Temat: wykop DB compromise

Zgadzam się z Tobą ;-)

Temat: wykop DB compromise

Michał Sajdak:

Wystarczy odpowiedź: TAK - "wymagamy tego i jeszcze tego" albo NIE

Bezpieczeństwo aplikacji to nie dodatkowa funkcjonalność, to wskaźnik jakości. Natomiast bezpieczeństwo infrastruktury, środowiska w jakim pracuje aplikacja to osobny temat, którego nie można lekceważyć.

TAK

Osobiście widziałem umowę gdzie klient zastrzegł bardzo twardo kwestie błędów security - było to twardo powiązane z odbiorem.

A na chłopski rozum: jak przy odbiorze klient wykrył w sofcie więcej niż x błędów o stopniu niebezpieczeństwa y to aplikacji nie odbierał (= choćby kary umowne za opóźnienia w dostawie).

Później, na poziomie realizacji umowy SLA, również błędy security traktowane były jak inne błędy (czasy naprawy, kary za opóźnienie w naprawie, itp).

Ktoś jeszcze?

Temat: wykop DB compromise

A w tej chwili skrypcik z paroma GPU mieli hashe i wysyła go do innego skryptu który próbuje logować się na skrzynki pocztowe gmaila wp.pl onetu itp. używając złamanych haseł ;]

Temat: wykop DB compromise

Michał Sajdak:

...

Osobiście widziałem umowę gdzie klient zastrzegł bardzo twardo kwestie błędów security - było to twardo powiązane z odbiorem.

A na chłopski rozum: jak przy odbiorze klient wykrył w sofcie więcej niż x błędów o stopniu niebezpieczeństwa y to aplikacji nie odbierał (= choćby kary umowne za opóźnienia w dostawie).

Później, na poziomie realizacji umowy SLA, również błędy security traktowane były jak inne błędy (czasy naprawy, kary za opóźnienie w naprawie, itp).

Niestety, z doświadczenia,duża część firm nawet o tym nie pomyśli (i to w dodatku firmy z branż gdzie security powinno być priorytetem - banki/firmy ubezpieczeniowe), wystarczy się przyjrzeć oprogramowaniu robionym na zlecenie tych firm, które na dzień dobry wymaga niepoprawnie skonfigurowanego systemu (uprawnienia admina dla użytkownika).

Firmy programistyczne zwykle tłumaczą się z fuszerki tym że "klient nie zgłosił takiej potrzeby (poprawnego działania na zwykłym użytkowniku)" lub "Zleceniodawcy nie interesują te aspekty (a to zleceniodawca płaci za rozwój tej aplikacji) i wymusza na wykonawcy wadliwe administracyjnie aplikacje" itd. Mogę przytoczyć całą listę takich "wytłumaczeń" wykonawców aplikacji .

Przemysław S.:

...

Bezpieczeństwo aplikacji to nie dodatkowa funkcjonalność, to wskaźnik jakości. Natomiast bezpieczeństwo infrastruktury, środowiska w jakim pracuje aplikacja to osobny temat, którego nie można lekceważyć.

Zgadzam się z tobą, tyle że bezpieczeństwo infrastruktury, środowiska w jakim pracuje aplikacja to niestety nie osobny temat, skoro aplikacja niejako wymusza obniżenie stabilności/bezpieczeństwa środowiska do poprawnego działania, a tak niestety (patrz powyżej i tu) to obecnie wygląda.Michał Panasiewicz edytował(a) ten post dnia 08.09.09 o godzinie 00:36

Temat: wykop DB compromise

Michał Panasiewicz:

Przemysław S.:

...

Bezpieczeństwo aplikacji to nie dodatkowa funkcjonalność, to wskaźnik jakości. Natomiast bezpieczeństwo infrastruktury, środowiska w jakim pracuje aplikacja to osobny temat, którego nie można lekceważyć.

Zgadzam się z tobą, tyle że bezpieczeństwo infrastruktury, środowiska w jakim pracuje aplikacja to niestety nie osobny temat, skoro aplikacja niejako wymusza obniżenie stabilności/bezpieczeństwa środowiska do poprawnego działania, a tak niestety (patrz powyżej i tu) to obecnie wygląda.

Od tego są odpowiedni ludzie by zwracać na to uwagę. Uważam, że bezpieczeństwo środowiska aplikacji webowych to osobny temat, bo nie chcę teraz mieszać dwóch dużych zbiorów ciekawych zagadnień. Fakt, bezpieczeństwo aplikacji i środowiska są ze sobą w relacji. Jeżeli sama aplikacja wymusza degradację bezpieczeństwa środowiska to jest to idealny moment (są lepsze, ale może nie teraz o tym) by zapytać wykonawcę po co to i dlaczego. Przyznam szczerze, że miałem sporo takich przypadków i czasami wbrew pozorom okazywało się, że wystarczyło tylko trochę zmodyfikować konfigurację by zadziałał tylko jeden "ugly-hack" w aplikacji. Do tego stosowne monitorowanie i voila.

Podam przykład. Aplikacja w PHP wymaga inkludowania plików z zew. serwisu znając tylko URL do nich. Dobre praktyki mówią by wyłączyć możliwość inkludowania. Czy teraz:
1) wrzask! trzask! co to za aplikacja?!?!?!? nie zgadzamy się na to?
2) zadajemy kilka dodatkowych pytań odnośnie rodzaju pliku, rekomendujemy dopisanie kawałka aplikacji i rozluźniamy polityki bezpieczeństwa konfiguracji PHP, ale tylko w ramach tego jednego URLa? BTW: nie da się tego zrobić w surowym PHP, ale już z dodatkami tak.

Bywa różnie. Czasami aplikacja jest napisana tak, że nawet środowisko prosto z CD (teraz DVD :P) będzie "bezpieczne". Innym razem nawet mocno shardenowane środowisko nie powstrzyma ataków przez aplikację, bo omija ona różne zabezpieczenia. Idąc krok dalej widzę kiepską aplikację w kiepskim środowisku = porażka.

Niestety mocno shardenowane środowisko i dobrze napisana aplikacja to efekt intensywnej oraz efektywnej współpracy IT, Bezpieczeństwa i Wykonawcy aplikacji (+Biznesu). Żeby zajmować się tym w wielu płaszczyznach trzeba mieć przysłowiowe "jaja". A, zapomniałbym. Trzeba być elastycznym, trzymać się swoich kompetencji, ale też starać się zrozumieć innych.

Temat: wykop DB compromise

Przemysław S.:

...

Od tego są odpowiedni ludzie by zwracać na to uwagę. Uważam, że bezpieczeństwo środowiska aplikacji webowych to osobny temat, bo nie chcę teraz mieszać dwóch dużych zbiorów ciekawych zagadnień. Fakt, bezpieczeństwo aplikacji i środowiska są ze sobą w relacji. Jeżeli sama aplikacja wymusza degradację bezpieczeństwa środowiska to jest to idealny moment (są lepsze, ale może nie teraz o tym) by zapytać wykonawcę po co to i dlaczego. Przyznam szczerze, że miałem sporo takich przypadków i czasami wbrew pozorom okazywało się, że wystarczyło tylko trochę zmodyfikować konfigurację by zadziałał tylko jeden "ugly-hack" w aplikacji. Do tego stosowne monitorowanie i voila.

Czasami nawet nie trzeba robić "ugly-hack", wystarczy zastosować się do standardu i dobrych praktyk.

Przykład: baza danych firebird + aplikacja która kontaktowała się z bazą bezpośrednio na lokalnej instalacji domyślnie, choć była (aplikacja) przewidziana do pracy sieciowej - rozwiązanie: uruchomienie bazy jako usługi + konfiguracja dostępu aplikacji na adres localhosta.
Natomiast standardowa rada helpdesku tej aplikacji (komórka w Banku)- "Proszę dać pełne prawa odczytu do plików bazy dla wszystkich" - poprawka skryptu instalatora trwała 15 minut (z tego 10 na przeczytanie manuala do skryptu).
(aplikacja ta często była aktualizowana więc bez poprawki u producenta było to dość męczące)

PS. z aplikacjami web jest łatwiej IMHO, mamy większe pole manewru (od strony serwera) i przeważnie wgląd w źródła. Inaczej często sprawa wygląda od strony terminala/komputera użytkownika, gdzie nie mamy takiego pola manewru.

PS2. Pisząc z pozycji administratora, obejścia i rozgryzanie dlaczego coś nie działa poprawnie zabiera cenny czas, szczególnie gdy brak kontaktu z wykonawcą , ktoś powinien za ten czas płacić, a zwykle klient nie jest do tego chętny.

PS3. niestety w pewnych wypadkach zadając pytania wykonawcy (a nie będąc zleceniodawcą tylko stroną która ma to coś wdrożyć) trafiasz na przysłowiowy "Beton".

PS4. przypomina mi się pewien konkurs firmy z branży security, chodziło o przełamanie ich oprogramowania bezpieczeństwa, wygrał gościu który wykorzystał niezałataną dziurę w OS (solarisie zdaje się) na którym postawiono system, nawet nie zajął się hakowaniem ich oprogramowania.Michał Panasiewicz edytował(a) ten post dnia 08.09.09 o godzinie 02:33

Temat: wykop DB compromise

PS4. przypomina mi się pewien konkurs firmy z branży security, chodziło o przełamanie ich oprogramowania bezpieczeństwa, wygrał gościu który wykorzystał niezałataną dziurę w OS (solarisie zdaje się) na którym postawiono system, nawet nie zajął się hakowaniem ich oprogramowania.Michał Panasiewicz edytował(a) ten post dnia 08.09.09 o godzinie 02:33

To jest dość częsty błąd wobec którego klient często zostaje bezradny.

Tj w umowie jest zapisane że soft, szczególnie ten bardzo skomplikowany(zaawansowany), działa tylko i wyłącznie np. z application serverem w wersji 7.6.5 i z Java w wersji wyłącznie 1.2.3.

Przy instalacji na innych wersjach, dostawca nie gwarantuje że aplikacja będzie działała poprawnie - czyli instalując całość na innym środowisku formalnie tracimy gwarancje.

No to teraz wyobraźmy sobie pęczek błędów w app serverze, które wcześniej czy później się pojawią. Nie możemy spaczowac app servera nie tracąc gwarancji...

Temat: wykop DB compromise

Michał Panasiewicz:

Przemysław S.:

...

Od tego są odpowiedni ludzie by zwracać na to uwagę. Uważam, że bezpieczeństwo środowiska aplikacji webowych to osobny temat, bo nie chcę teraz mieszać dwóch dużych zbiorów ciekawych zagadnień. Fakt, bezpieczeństwo aplikacji i środowiska są ze sobą w relacji. Jeżeli sama aplikacja wymusza degradację bezpieczeństwa środowiska to jest to idealny moment (są lepsze, ale może nie teraz o tym) by zapytać wykonawcę po co to i dlaczego. Przyznam szczerze, że miałem sporo takich przypadków i czasami wbrew pozorom okazywało się, że wystarczyło tylko trochę zmodyfikować konfigurację by zadziałał tylko jeden "ugly-hack" w aplikacji. Do tego stosowne monitorowanie i voila.

Czasami nawet nie trzeba robić "ugly-hack", wystarczy zastosować się do standardu i dobrych praktyk.

Przykład: baza danych firebird + aplikacja która kontaktowała się z bazą bezpośrednio na lokalnej instalacji domyślnie, choć była (aplikacja) przewidziana do pracy sieciowej - rozwiązanie: uruchomienie bazy jako usługi + konfiguracja dostępu aplikacji na adres localhosta.
Natomiast standardowa rada helpdesku tej aplikacji (komórka w Banku)- "Proszę dać pełne prawa odczytu do plików bazy dla wszystkich" - poprawka skryptu instalatora trwała 15 minut (z tego 10 na przeczytanie manuala do skryptu).
(aplikacja ta często była aktualizowana więc bez poprawki u producenta było to dość męczące)

Niestety wyciąłeś mój przykład, który pokazuje, że zastosowanie tylko dobrych praktyk i trzymanie się standardu nie rozwiąże problemu. Poza tym zgadzam się z Twoim stanowiskiem :)

PS. z aplikacjami web jest łatwiej IMHO, mamy większe pole manewru (od strony serwera) i przeważnie wgląd w źródła. Inaczej często sprawa wygląda od strony terminala/komputera użytkownika, gdzie nie mamy takiego pola manewru.

True.

PS2. Pisząc z pozycji administratora, obejścia i rozgryzanie dlaczego coś nie działa poprawnie zabiera cenny czas, szczególnie gdy brak kontaktu z wykonawcą , ktoś powinien za ten czas płacić, a zwykle klient nie jest do tego chętny.

Wracamy do początku - umowa i odpowiednie zapisy mają zminimalizować ryzyko takich problemów kiedy koszty ponosi zleceniodawca.

PS3. niestety w pewnych wypadkach zadając pytania wykonawcy (a nie będąc zleceniodawcą tylko stroną która ma to coś wdrożyć) trafiasz na przysłowiowy "Beton".

J/w. Umowa :) Ogólnie się zgadzam.

PS4. przypomina mi się pewien konkurs firmy z branży security, chodziło o przełamanie ich oprogramowania bezpieczeństwa, wygrał gościu który wykorzystał niezałataną dziurę w OS (solarisie zdaje się) na którym postawiono system, nawet nie zajął się hakowaniem ich oprogramowania.

Jest to ogólnie problem tego rodzaju konkursów :) Pokazuje za to jakie klapki na oczach nosi część populacji.

Temat: wykop DB compromise

**********

Może się mylę, ale mam wrażenie że w sumie sprawa przeszła bez większego echa w tzw. prasowym mainstreamie.

W portalach typu gazeta, wp, widać to po ilości komentarzy - te newsy na pewno nie były zbyt intensywnie eksponowane...

Pytanie dlaczego?

Temat: wykop DB compromise

Michał Sajdak:
**********

Może się mylę, ale mam wrażenie że w sumie sprawa przeszła bez większego echa w tzw. prasowym mainstreamie.

W portalach typu gazeta, wp, widać to po ilości komentarzy - te newsy na pewno nie były zbyt intensywnie eksponowane...

Pytanie dlaczego?

Bo większości wykop.pl nie obchodzi ? ;D I pewnie dlatego że ludzie nie uświadamiają sobie że userzy wykopu mogą mieć takie samo hasło np. do poczty jak do wykopu i mogą zostac zhaczeni

Temat: wykop DB compromise

Pytanie dlaczego?

A Wy dalej o tym? Widać nie macie co robić...Radosław A. edytował(a) ten post dnia 09.09.09 o godzinie 11:45

Temat: wykop DB compromise

Tak. Jak widzę Ty też nie ;]

Temat: wykop DB compromise

Bo większości wykop.pl nie obchodzi ? ;D I pewnie dlatego że ludzie nie uświadamiają sobie że userzy wykopu mogą mieć takie samo hasło np. do poczty jak do wykopu i mogą zostac zhaczeni

A może bardziej ogólnie? tj, bo większości "security" nie obchodzi?

Temat: wykop DB compromise

bo większość nie wie co to jest "security", używa hasła typu "imienazwisko123" albo "kotekqwerty". Poza tym zhackowanie konta do serwisu typu wykop jest o wiele mniej straszna niż zhackowanie chociażby konta mailowego wiec ludzie się nie przejmują.

Temat: wykop DB compromise

http://www.wielkopolska.policja.gov.pl//index.php?opti...

najbardziej podoba mi się kawałek

Po pokonaniu zabezpieczeń sprawcy ukradli plik zawierający bazę danych użytkowników serwisu.

oraz

Po analizie szczegółowych informacji przekazanych przez administratorów serwisu funkcjonariusze zajmujący się przestępczością komputerową ustalili, w jaki sposób przeprowadzili atak i włamanie na serwer.

jak można pokonać coś czego nie ma i po co szczegółowo analizować coś co zostało jawnie przedstawione przez zainteresowanych :)

Temat: wykop DB compromise

Newsy prasowe rządzą się swoimi własnymi prawami ;]

Swoją drogą ciekawe czy dane z tego włamu zostały do czegoś wykorzystane... jeżeli tak to w sumie narażeni użytkownicy mogliby się pewnie sądzić z wykopem;].

A wystarczyłoby "zrandomizować" bazę używaną na testserwerze np. pozamieniać miejscami nazwiska i wygenerować hasła od nowa z /dev/urandom ale cóż, najłatwiej jest tak robić/mówić po szkodzie.

Temat: wykop DB compromise

Mariusz Gronczewski:
Swoją drogą ciekawe czy dane z tego włamu zostały do czegoś wykorzystane...

krążyły plotki, że kilku osobom na allegro coś pokupowano

Mariusz Gronczewski:
A wystarczyłoby "zrandomizować" bazę używaną na testserwerze np. pozamieniać miejscami nazwiska i wygenerować hasła od nowa z /dev/urandom ale cóż, najłatwiej jest tak robić/mówić po szkodzie.

wystarczyło tylko kto by się chciał męczyć :)

Temat: wykop DB compromise

Michał Ławicki:
http://www.wielkopolska.policja.gov.pl//index.php?opti...

najbardziej podoba mi się kawałek

Po pokonaniu zabezpieczeń sprawcy ukradli plik zawierający bazę danych użytkowników serwisu.

oraz

Po analizie szczegółowych informacji przekazanych przez administratorów serwisu funkcjonariusze zajmujący się przestępczością komputerową ustalili, w jaki sposób przeprowadzili atak i włamanie na serwer.

jak można pokonać coś czego nie ma i po co szczegółowo analizować coś co zostało jawnie przedstawione przez zainteresowanych :)

Tak.. i ukraść coś co jest, że się tak wyrażę, ogólnodostępne?
lol xD

Temat: wykop DB compromise

Mnie rozbroił kawałek:
"Odzyskali także wszystkie skradzione kopie bazy danych. Nie ma żadnych wiarygodnych informacji, że obecnie dane użytkowników są w jakikolwiek sposób zagrożone"

Ciekawe za ile sprzedali te kopie kopii, których policja nie uznaje za skradzione i których istnienie dla policji jest niewiarygodne :)Wojtek Bojdoł edytował(a) ten post dnia 17.09.09 o godzinie 17:34