GoldenLine
Zaloguj się

konto usunięte

Temat: Gratulacje dla PEKAO S.A.

PEKAO S.A. udostepnilo w sieci dane 1400 osob (CV i LM).
[url] http://nomadowyblog.blogspot.com/2008/07/pekao-sa-ubol... [/url]


Sorki, za odnosnik do mojego gniota, ale mysle, ze sprawa jest dosc powazna, a ja nie mam za bardzo czasu na rozpisywanie sie. :)
Dalej w zacytowanych linkach. :)
Link do wypowiedziLink

konto usunięte

Temat: Gratulacje dla PEKAO S.A.

;-)
Zablokowali strony, ale jak to ktoś mądry powiedział, w internecie nie ma przycisku "USUŃ":

google > "site:http://zainwestujwprzyszlosc.pl/files/0/ filetype:doc" > wersja html mowi wszystko :)
Link do wypowiedziLink
Michał M.

Michał M. gł. specjalista,
MSWiA

Temat: Gratulacje dla PEKAO S.A.

Wnioski na szybko:

1) Nie składuje się takich danych na tej samej maszynie, na której jest strona.
2) A jak na tym samym serwerze, to nie w przestrzeni do której ma dostęp serwer www.
2) A jak się składuje, to się zabezpiecza, żeby nawet jak dokument wypłynie, to nic się z tym nie dało zrobić (np. przeciąga się to silnym krypto).
2) Wektor ataku jest ciekawy. Gdyby nie pewne ślady, jakie pozostawiono na stronie, to wszyscy wieszaliby psy na projektantach strony i uszczerbek poniosło by dobre imię banku i nie byłoby przebacz. A tak, to maja tłumaczenie, że to nie oni, to hakerzy.
Link do wypowiedziLink
Michał Filip Sobański

Michał Filip Sobański boer en sy roer

Temat: Gratulacje dla PEKAO S.A.

TTen post został edytowany przez Autora dnia 22.05.21 o godzinie 20:13
Link do wypowiedziLink
Wojciech K.

Wojciech K. realizator pomysłów
własnych

Temat: Gratulacje dla PEKAO S.A.

Michał M.:
2) Wektor ataku jest ciekawy. Gdyby nie pewne ślady, jakie pozostawiono na stronie, to wszyscy wieszaliby psy na projektantach strony i uszczerbek poniosło by dobre imię banku i
nie byłoby przebacz. A tak, to maja tłumaczenie, że to nie oni, > to hakerzy.

i to jest w tym wszystkim najzabawniejsze, bo te pliki z danymi osobowymi wisiały w sieci od wielu miesięcy - i każdy kto sobie czasem lubi wpisać http://nazwaserwisu/files/ (żeby zobaczyć, co się stanie), mógł sobie te pliki ściągać...

wystarczyło tylko dać o tych plikach "cynk" robotom google i sprawa rozeszła się po świecie...

po prostu ktoś, kto umieszczał serwis w sieci zapomniał o podstawach, jak chociażby dodanie pliku .htaccess z odpowiednim wpisem (zakazującym listowania katalogów), jak i nie postarał się o nadawanie jakichś bardziej wymyślnych nazw plikom (zamiast nadawać im kolejne numerki) - chociażby dodając jakiś zahaszowany ciąg do nazwy... te dwie proste czynności zablokowałyby dostęp do danych zwykłym zjadaczom chleba i robotom... a to w 99,99% wystarcza.
serwis zainwestujwprzyszlosc.pl nie jest tu zresztą wyjątkiem.

sądzę, że ktoś upozorował "atak hackerski", żeby zasłonić tym własne błędy i zaniechania.
google te pliki z CV i LM indeksowało przez wiele tygodni, a "atak" na stronę PEKAO miał niby miejsce dopiero teraz :)
Link do wypowiedziLink

konto usunięte

Temat: Gratulacje dla PEKAO S.A.

Zgadzam się z Michałem. To nie powinno być na tym samym serwerze. Choć jak się głębiej zastanowić to jak udostępnić dane na temat kont (itp. usługi internetowe) odcinając serwer od sieci? Na szczęście ustawy o informacji bankowej nie zlekceważyli. Czasem (często) widać jak firmy które mają dane, chronione ustawami bardziej restrykcyjnymi od ustawy o ochronie danych osobowych zapominają, o zabezpieczeniu danych pobocznych w ich działalności.
Link do wypowiedziLink

konto usunięte

Temat: Gratulacje dla PEKAO S.A.

Uslugi internetowe powinno udostepnac w sposob nastepujacy (w duzym uproszczeniu):
1. firewall przepuszczajacy tylko okreslony port
2. serwer aplikacji webowej (czyli strona elektronicznego banku)
3. serwer bazodanowy (lub w tym wypadku serwer z danymi osobowymi)
To w duzym stopniu zabezpiecza prze takimi problemami :)
Mozna jeszcze zwirtualizowac serwer aplikacji, zeby w razie ataku szybku przywrocic jego funkcjonalnosc (odtworzyc ostatni obraz virtualny), a nie bawic sie w latanie serwera po ataku (jak to bylo w przypdku hostera PEKAO S.A.)
Ale na to wszytsko trzeba kasy (srednio duzej, srednio malej). Ale jak sie chce uzyskac usluge TANIO (uslugodawca)lub WYCIAGNAC DLA SIEBIE JAK NAJWIEKSZA KASE (wykonawca), to potem takie sa skutki.
I w dodatku, jak sie zapomina, ze przetwarzanie danych osobowych to PROCES i nadzor nad tym przetwrzaniem to tez jest PROCES...
Moze po tym incydencie cos sie zmieni. :)
Link do wypowiedziLink

konto usunięte

Temat: Gratulacje dla PEKAO S.A.

Nasuwa mi się tutaj jako rozwiązanie to żeby bazy dać poprzez serwer dedykowany dla serwerów aplikacji tak co by z sieci nie było bezpośredniego dostępu do bazy, na dwóch poziomach firewalle. Jest kilka sztuczek które można zastosować żeby znacznie utrudnić dostęp do serwera z którego korzysta serwer aplikacji, ale sam nie buduję sieci więc mówię tylko o tym jakie rozwiązania podsuwał mi administrator sieci. (użyłem sformułowania "znacznie utrudnić" bo nikt zapewne nie odważyłby się powiedzieć "uniemożliwić") :-)
Link do wypowiedziLink
Michał M.

Michał M. gł. specjalista,
MSWiA

Temat: Gratulacje dla PEKAO S.A.

Rafale, czyli tak naprawdę, schemat klasyczny?
Strefa gorąca (czyli Internet)
DMZ (czyli tam gdzie wystawiamy usługi, które najprawdopodobniej będą atakowane)
Strefa bezpieczna (czyli tam, gdzie trzymamy rzeczy ważne).

Oczywiście, co i jak budujemy, to już zależy od samego systemu.
W inkryminowanym przypadku nie było żadnej potrzeby w trzymaniu danych osobowych na maszynie w DMZcie.

W DMZ stoi tylko maszynka webowa, która ma ładnie wyglądać, a trafiające do niej dokumenty ma wpychać do serwera np. bazodanowego stojącego w strefie bezpiecznej. Najlepiej jakby maszynka webowa miała jedynie jedno prawo: dokładanie nowego rekordu.

Co do wirtualki, to bym się tak nie spieszył z podnoszeniem serwisu z kopii - skoro się poprzednio włamano, to powtórzenie tego wyczynu ma wysokie prawdopodobieństwo. Ja bym serwer z CMSem złożył, postawił stronę statyczną "Przepraszamy za usterki" i pogonił wykonawcę do załatania. Ale oczywiście tutaj trzeba postępować wedle procedur bezpieczeństwa (przecież mają takie procedury. Prawda?) - czasem rzeczywiście bardziej się opłaca posadzić kilku kumatych ludzi żeby na żywo baczyli na system i jednocześnie łatać go w międzyczasie, niż zastopować maszynerię.

Tak jak powyżej napisał Michał - jest kilka sztuczek, które mogą mocno utrudnić atak. A jak się naprawdę boimy, to inwestujemy w diodę, albo inne sprzętowe rozwiązanie, które zabezpieczy nam jednostronny przebieg informacji.

Wojtku - przerażasz mnie. Naprawdę kilka miesięcy???

Swoją droga ciekawy jestem jak tam teraz wygląda Damage Control.
Link do wypowiedziLink

konto usunięte

Temat: Gratulacje dla PEKAO S.A.

Tak Michale - schemat klasyczny, ktory w wielu momentach jest wystarczajacy. A w przypadku braku czegokolwiek, to zastosowanie schematu klasycznego czesto ratuje tylek :) W omawianym przypadku nie bylo nawet schematu klasycznego, co mozna podciagnac pod brak dolozenia szczegolnej starannosci podczas przetwarzania danych.
Co do virtualki - moim skromnym zdaniem, bezpieczniej jest odstawic maszyne z virtualki (majac swiadomosc, ze jest z dziura) i monitorujac system produkcyjny (czy nie ma kolejnego wlamu ta sama metoda) latac nowa wersje systemu produkcyjnego, niz robic cos na "wyhaczonym" systemie - nie masz 100% pewnosci, ze wylapiesz wszystkie pulapki wlamywacza.
Oczywiscie - mozna system zlozyc i odstawic go od podstaw - ale nie zawsze jest na to czas. Wiekszosc systemow musi pracowac, a kazda przerwa kosztuje. Jak nie kase, to prestige :)
Buhahahah procedura? Nawet jak mieli, to olali :) Kto pozwala systemowi po wlamaniu na prace? Kto nie informuje ADO o mozliwosci wycieku danych? Jezeli prokuratura podejdzie do pracy poprawnie, to moze byc ciekawie, bo jak oleje,, to moze skonczyc sie tak:
http://nomadowyblog.blogspot.com/2008/07/czemu-naley-r...
czyli umorzeniem, po tym jak po kilku podstawowych ruchach nie wykryto sprawcy. :)Rafał "NOMAD" S. edytował(a) ten post dnia 14.07.08 o godzinie 15:35
Link do wypowiedziLink
Michał M.

Michał M. gł. specjalista,
MSWiA

Temat: Gratulacje dla PEKAO S.A.

Heh...
"szczególnej staranności" - tu wygląda na brak jakiejkolwiek staranności...

Co do wirtualek - oba podejścia są oczywiście dobre. Zależy co sobie góra zażyczy i jak przeliczamy przestój.
[ewentualnie, jak mamy silne nerwy i dobrych specjalistów, to zapuszczamy dziurawy system i czekamy, aż ktoś się połasi...]

Co do prokuratury...
Na mój gust zacznie się rozmywanie winy. Bo to nie my, to oni. My jeszcze dokumentów CV od firmy nie otrzymaliśmy, więc nie możemy za nie odpowiadać itd.

Będzie za to ciekawie, jeśli sprawdzą się podejrzenia Wojtka o "samowłamaniu". Bo coś takiego jest akurat moim zdaniem do sprawdzenia.

A pozostawienie włączonego, dziurawego serwera w tym przypadku miałoby tylko jedno usprawiedliwienie: dołożenie pustego index.html oraz robots.txt które nie tyle zapobiegłoby czytaniu serwisu przez robota guglowego ile zdjęłoby wyniki tego zaczytania z wyników wyszukiwarki guglowej (AFAIK). Zysk byłby taki, że o ile mleko i tak się wylało, to zapobiegamy sytuacji takiej, jaka właśnie zaistniała - serwer zamknięty, a dokumenty dostępne.
Link do wypowiedziLink

konto usunięte

Temat: Gratulacje dla PEKAO S.A.

Michale,
"szczegolnej starannosci" to okreslenie z art. 26 UODO :), ktore jest bardzo rozmyte i rozlegle oraz pozwala na ocene przez kontrolera, czy zastosowane zabezpieczenia beda wystarczajace:). W tym wypadku jest to po prostu olewactwo i lameriada.
Co do prokuratury - pozyjemy, zobaczymy.
Achlopaki nie zrobili nawet tego, o czym piszesz, zeby google wyindeksowalo rzeczy - mimo zapewnien.

Szczerze mowiac, to sie nawet troche ciesze z tej "afery". Byc moze firmy i decydenci zaczna myslec.
Link do wypowiedziLink
Michał M.

Michał M. gł. specjalista,
MSWiA

Temat: Gratulacje dla PEKAO S.A.

Rafale,
Olewactwo i lameriada to wielkie słowa. Na mój prosty rozum wyglądało to tak:
- Bank zleca Firmie zrobienie usługi pt. "Portal do przyjmowania różnych rzeczy".
- Bank w umowie określa różne rzeczy np. że Firma ponosi pełna odpowiedzialność za przetwarzane dane do momentu przekazania ich Bankowi.
- Firma wycenia projekt i tnie koszty. Wylatuje audyt, nadzór 24/7/365, pełna adminka (zostaje jedynie kontrola, czy serwer działa), procedury Disaster Recovery i BCP itd.
[na marginesie zainwestujwprzyszlosc.pl nie jest domeną kupioną przez Bank]
- System rusza.
- Zostaje opublikowana podatność systemu.
- Panika.

Niestety mam wrażenie, że sporo systemów TI w naszym kraju jest budowanych jak wyżej :/

A koszty?
Naprawdę ciężko jest mi je oszacować.
Bank stracił dobre imię
Firma powinna się rozwiązać, bo nikt normalny po takiej akcji nie zatrudni ich nawet do sprzątania serwerowni.
A najbardziej są stratni ci, którzy złożyli CV. Nie dość że ich dane się po świecie rozeszły (wiek, adres, numer telefonu itp czyli są pięknie narażeni na kradzież tożsamości) to dodatkowo mogą mieć problemy w pracy. Szybki gugiel wykaże, czy przypadkiem ktoś z pracowników nie chciał pracy zmienić...

BTW: Albo mnie moje google-fu zawodzi, albo już się nie da wyciągnąć dokumentów z cache guglowego (co nie znaczy, że nie da się wyszukiwać tych CV wedle słów).
Link do wypowiedziLink
Michał Filip Sobański

Michał Filip Sobański boer en sy roer

Temat: Gratulacje dla PEKAO S.A.

-Ten post został edytowany przez Autora dnia 22.05.21 o godzinie 20:13
Link do wypowiedziLink

konto usunięte

Temat: Gratulacje dla PEKAO S.A.

Michał Filip Sobański:
nie zawodzi cie, recznie polski google wymoderował i zlikwidował cached version. Dobrze, bo ci ludzie mieli przerabane. Powinni dostać wysokie odszkodowania. Ale lamerstwo firmy Possum oraz IT Pekao mnie przeraża. Jak oni dostali tę pracę w pekao i jakim cudem takie possum dostało takie zlecenie? Sorry, ale dla mnie to wygląda na kumoterstwo.
pozdr. mfs
Czy mozesz podac zrodlo, z ktorego wiesz o dzialaniu polskiego oddzialu google?Rafał "NOMAD" S. edytował(a) ten post dnia 14.07.08 o godzinie 18:13
Link do wypowiedziLink
Grzegorz Emanowicz

Grzegorz Emanowicz MEDIASKOP Marketing
Zintegrowany,
Programy
lojalnościowe.

Temat: Gratulacje dla PEKAO S.A.

.............. Ale lamerstwo firmy Possum oraz IT
Pekao mnie przeraża. Jak oni dostali tę pracę w pekao i jakim cudem takie possum dostało takie zlecenie? Sorry, ale dla mnie to wygląda na kumoterstwo.
pozdr. mfs

Może to kumoterstwo, a może wynik dążenia do cięcia kosztów. Ogłaszasz przetarg, dostajesz różne oferty. Wybierasz tanią, w której nie pomyślano o wszystkim. I afera gotowa.

Kto tanio płaci, ten dwa razy płaci.
Link do wypowiedziLink
Michał Filip Sobański

Michał Filip Sobański boer en sy roer

Temat: Gratulacje dla PEKAO S.A.

-Ten post został edytowany przez Autora dnia 22.05.21 o godzinie 20:14
Link do wypowiedziLink
Michał M.

Michał M. gł. specjalista,
MSWiA

Temat: Gratulacje dla PEKAO S.A.

"Od kilku godzin większość danych, które można było odnaleźć przez wyszukiwarkę Google, nie jest już dostępnych. - Cały czas mamy kontakt z pracownikami wyszukiwarki i na bieżąco informujemy ich o pojedynczych danych w zarchiwizowanych kopiach, które mogą być jeszcze widoczne - mówi Wirtualnej Polsce Arkadiusz Mierzwa, rzecznik Pekao SA." za serwisem Wirtualnej Polski.

Ale jak mówiłem, nadal jest problem: jeśli ktoś z konkurencyjnego banku wrzuci w wyszukiwarkę słowa kluczowe do tych CV + nazwę swojej firmy, to wyrzuci kilka rezultatów. A (przykładowo) w 3 przypadkach na 8, w tytule, będzie imię i nazwisko. No i osoba już ma kłopoty.
Link do wypowiedziLink
Michał Filip Sobański

Michał Filip Sobański boer en sy roer

Temat: Gratulacje dla PEKAO S.A.

wyedytowane mfsMichał Filip Sobański edytował(a) ten post dnia 14.07.08 o godzinie 19:46
Link do wypowiedziLink
Michał M.

Michał M. gł. specjalista,
MSWiA

Temat: Gratulacje dla PEKAO S.A.

Znaj proporcję, mocium panie.

Co innego analizować sytuację, wyciągać wnioski i wskazywać co zrobiono źle, a co innego jechać po kimś argumentami ad personam. Bo (patrząc na twój profil) to wygląda jakbyś kopał Possum, bo to konkurencja i każdy powód jest dobry by ich zgnoić.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Czy istnieje instruktaz dla...




Wyślij zaproszenie do
Anuluj