Minulý týždeň informoval Denník N v článku „Varovali ich, že sú zraniteľní pred hekermi. Štatistický úrad im napriek tomu nechal otvorené dvere“ o tom, ako ŠÚ ponechal svoju SSL VPN bránu zraniteľnú od konca mája do konca augusta. Nebudem opakovať všetko čo je v článku, len zhrniem podstatu. Odporúčam vám určite ísť na web Denníka N a prečítať si ho celý.
V článku je popísane ako na konferencii Black Hat začiatkom augusta bol prezentovaný výskum, ktorý odhalil závažné zraniteľnosti v SSL VPN bránach troch výrobcov (ak sledujete náš podcast, tak ste o tom vedeli dokonca pred konferenciou Black Hat). Slovenská bezpečnostná firma Binary Confidence sa teda rozhodla pozrieť na to, kto na Slovensku má zraniteľné zariadenia Fortinet FortiGate.
Našla desiatky zariadení a medzi nimi aj zariadenie Štatistického úradu. Rozoslali emaily dotknutým firmám a organizáciam. ŠÚ sa neozval a ani nezabezpečil svoje zariadenie. Tvrdili, že email nedostali. Veci sa rozhýbali až po telefonáte z redakcie Denníka N. Sága ma však pokračovanie.
Včera vyšlo pokračovanie prvého článku s názvom „Trvalo nám to len 12 hodín. Ako si Štatistický úrad konečne zabezpečil systém a zmenil heslá“ už aj s našim komentárom k obrane ŠÚ. Prečítajte si aj tento článok, veľmi poučné čítanie.
Keďže nechceme len kritizovať (aj to niekedy treba), tu sú stručné rady ako by to malo vyzerať:
- Majte aktuálny zoznam všetkých vašich zariadení, ktoré majú externú IP adresu.
- Pravidelne na základe zoznamu začnite sledovať aké aktualizácie sa objavili na stránkach výrobcov a vyhodnocujte či je nutné okamžite reagovať. Informujte sa u svojho dodávateľa aké poskytuje možnosti ohľadom informovania o zraniteľnostiach.
- Zbierajte a sledujte denne logy týchto zariadení. Majte ich nastavené tak, aby ste dostali informáciu ak sa objaví anomália.
Toto nie je všetko, ale je to dobrý základ, aby sa vám nestalo to čo ŠÚ. Čo sa týka ŠÚ udeľujeme mu náš neslávne známy titul fail týždňa. V prvom rade za to, že skoro 3 mesiace mali nezabezpečenú SSL VPN bránu a aj za to, ako komunikačne nezvládli tento bezpečnostný problém.
P.S: V článku Denníka N sa mi podarila vtipná chyba, neviem či ste si všimli. Najprv tvrdím, že „Dvanásť hodín rozhodne nie je adekvátny čas, pretože útočníci nemajú voľno.“ a následne nižšie tvrdím „Niekedy je to ešte horšie, ale je víkend a aj kriminálnici oddychujú“ :o). Schrödingerovi útočníci, aj útočia aj nie. Pravda je taká, že útočníci nemajú voľno nikdy, akurát niekedy ich je viac a niekedy menej. Majte sa celý týždeň bezpečne.
Obrázok: web ŠÚ
