Jak odwrócić uwagę administratorów firmy hostingowej przy okazji włamania do jej serwerów? Do tej pory najczęściej stosowaną metodą były ataki DDoS. W przypadku wczorajszego ataku na serwer Linode włamywacze podnieśli jednak poprzeczkę.
Systemy monitoringu, mające za zadanie wykryć próby wyprowadzenia danych z sieci firmy, pozwalają administratorom reagować w czasie rzeczywistym na podejrzane zdarzenia. Co jednak dzieje się, kiedy administratorzy zostają wyproszeni z budynku przez brygadę antyterrorystyczną?
Pechowy Linode
Firma hostingowa Linode, oferująca serwery wirtualne, ma dużego pecha (lub niski poziom kompetencji). Najpierw w marcu 2012 włamywacze przejęli kontrolę nad kontami jej klientów, którzy przechowywali w serwisie swoje bitcoiny. Straty – liczone po ówczesnym kursie – przekroczyły 200 tysięcy dolarów. W kwietniu 2013 włamywacze z Hack The Planet uzyskali kontrolę nad całą infrastrukturą firmy (choć celem był tylko jeden klient). Z kolei wczoraj pojawiły się informacje o kolejnym włamaniu.
Włamanie stare czy nowe?
Przez kilkanaście godzin trudno było ocenić wiarygodność wczorajszego wycieku danych z Linode. Z jednej strony włamywacze opublikowali hasło do bazy danych forum użytkowników firmy, które było identyczne z hasłem wyjawionym podczas jednego z wcześniejszych wycieków, z drugiej strony opublikowane bazy zawierały dane, których wcześniej nie było w sieci. Dodatkowo w opublikowanych plikach znajdowały się dane pochodzące sprzed roku 2010, a według niektórych użytkowników w momencie wycieku opublikowane hasło ciągle dawało dostęp do wskazanej bazy.
Opublikowany przez włamywaczy plik o nazwie linode2.sql i rozmiarze 50MB zawierał głównie dane wpisów na firmowym forum oraz pola, które wyglądały jak testowe transakcje finansowe (z nieistniejącymi numerami kart kredytowych). Tajemnicę włamania wyjaśnił dopiero wpis na blogu firmy.
Wizyta antyterrorystów i stary serwer
Prezes Linode opisał wizytę, jaką w siedzibie jego firmy złożył lokalny oddział antyterrorystyczny, który został powiadomiony o podłożonej bombie. Wszyscy pracownicy zostali poproszeni o opuszczenie budynku na godzinę, w trakcie której przeszkolony pies szukał ładunku wybuchowego.
Zespół SWAT (źródło: Linode)
Trudno uwierzyć, by zwykłym zbiegiem okoliczności był fakt, że w trakcie gdy pracownicy Linode czekali na powrót do budynku, w sieci pojawił się zrzut bazy danych z firmowego forum. Jak opisuje to prezes, dane pochodziły ze starego osobistego serwera, którego baza danych miała to samo hasło, co wykradzione kilka miesięcy temu. Serwer ten nie był rzekomo objęty firmowymi politykami bezpieczeństwa, za to zawierał kopię danych produkcyjnych z forum phpBB z marca 2010.
Klasyczna wpadka
Prezes Linode opowiada również, jak to po poprzednim włamaniu wszyscy w firmie na pól roku porzucili swoje projekty i zajęli się tylko i wyłącznie bezpieczeństwem. Ciekawe, jak przez sześc miesięcy nikt nie zwrócił uwagi na podłączony do sieci serwer, posiadający dane produkcyjne i znane włamywaczom hasło. Oczywiście takie sytuacje się zdarzają, jednak tłumaczenie, że serwer nie był częścią infrastruktury produkcyjnej i dlatego nie był objęty procedurami bezpieczeństwa, jest śmieszne.
PS. Linode nie jest pierwszą ofiarą „SWATingu”, choć spotkała ich jego łagodniejsza forma (alarm bombowy). Dziennikarz Brian Krebs padł ofiarą znacznie bardziej niebezpiecznego wariantu, gdzie oddział szturmowy został powiadomiony o tym, że w jego domu znajduje się uzbrojony napastnik. A jeśli ktoś ma pecha, to może go odwiedzić SWAT z powodu słabo zabezpieczonej sieci WiFi…
Komentarze
No i kto wpadł na pomysł, żeby wrzucać (nawet stare) dane produkcyjne na testowy serwer. Prawdopodobnie też bez żadnej modyfikacji…
A tu macie napisane „gównie”.
Dobrze ze to nie strona główna.
Dzięki, poprawione.