Mivel nincs konkretan ilyen topic, es szerintem lenne helye, ezert csinaltam egyet gyorsan… majd talaljuk ki mi legyen a neve, ennel jobb nem jutott az eszembe hirtelen.
Szoval van baj rendesen, valaki kirakta direktbe a netre (szabadon letoltheto, barki szamara) jopar nagyobb oldal adatbazisat. Igazan komoly nevek szerepelnek a listaban, erdemes mindenkinek atgondolni, hogy erdemes lenne-e, a belepesi jelszavakat frissiteni. Engem szemely szerint erint a dolog, ott van a plex db-ben az irodai ip cimem es a jelszo hash.
Szerintem nem, bar ez most itt a legkisebb problema, ugyanis ezaltal meg nagyobb hibakat tudnak/fognak talalni az oldalakban. Ez felelmetes, hogy mi adat kerult most ki a netre igy… azert ilyenkor elgondolkozik az ember, hogy a fenebe tortenhet meg olyan, hogy ilyen hatalmas cegeknek a db-je csak igy kikerul a netre. Hogyan mennek at a kotelezo audit vizsgalatokon, milyen minosegu code review van, es a tobbi. A linkedin db tomoritve 4,5Gb 7zip-ben, meg se tudom becsulni mekkora lehet az kitomoritve.
10giga, napok ota nezegetem a db-t. Ha lenne opcio arra, hogy kuldjon el minden adatot a megadott emailcimre, amiben a megadott emailcim erintett sokkal konyebb lenne.
Amikor a beszmacet felnyomták, beszélgettem egy kicsit a hackerrel. Természetesen nem mondta el, hogy mit csinált, de körülírta. Kb. a kötőszavakat értettem, pedig láttam már kódot. Ez egy külön szakma, a code review kb annyira elég, hogy minden fel legyen kommentelve, meg escape-eld ki, amit kiiratsz. Ezzel már le is fedtük a lehetséges támadási felületek egy százalékát. :(
Remélhetőleg ekkora cégeknél csak akad már secops. Mondjuk kérdéses, hogy mit csinálnak, ha ennyire elég a munkájuk.
Ilyenkor kezdek el félni, hogy van egy SAP adatbázisunk kivezetve a netre, sok-sok ügyfél adatával. :-| Ezeket az ősi intranetre tervezett vállalatirányítási rendszereket jobb lenne a nyílt nettől távol tartani. Nem ilyen szemlélettel lettek fejlesztve.
A vilag osszes penzen ulnek ezek a cegek, de ettol fuggetlenul folyamatosan azt nezik, hol lehet meg sporolni. Azt nem akarom elhinni, hogy ezek a cegek nem tudnanak megfizetni, olyan IT Sec-el foglalkozo cegeket, akik ezt meg tudtak volna akadalyozni, meg a kod kikerulese elott. De nem tanulnak a sajat hulyesegukbol. Aztan ott a masik oldal is, a tarsadalmunk meg egyaltalan nem keszult fel a digitalis vilagra, es keptelen felfogni annak a veszelyeit… a 90% tudasa kimerul ott, hogy az internet a facebook, es tud cicas videot postolni.
Igen es? Gondolom nem vagy mosogepszerelo, egy szerelo pedig teged tudd atvagni ahogy csak akar. De ezt barmire at lehet helyetesiteni. Ez ilyen. Most ne jojjon senki azzal de, hogy neten mindened ott van? Amikor a szerelo bejon akkor is mindened ott van es potencialisan barki atvaghat barmivel. Esznel kell ez van, regen a medvetol feltunk most a masik embertol.