Databaseserveren til norsk forskningsinstitutt eksport på web

[0laf]

Det mest sannsynlige scenarioet er at man ved mottatt rapport om hacking ringte til de originale utviklerne og fikk dem til å nødpatche akkurat de innmeldte svakhetene - finansiert som goodwill eller på timesbasis. I den grad disse utviklerne kan noe om testing, så har de ikke laget det aller sikreste systemet i utgangspunktet, så eier burde ha hyret inn noen for å gjøre en revisjon også. Men det vet ikke utviklerne, det skjønner ikke eierne, og utviklerne er neppe bedt om å fullteste systemet, bare om å lappe de innrapporterte hullene ASAP.

 

Å nå, en dag etter artikkelen var på "trykk" hos Digi, er nettsidene til Telemarksforskning fremdeles sårbare, og ingenting er fikset ASAP så langt.

 

Det ser nok ut som de bør ta ned hele greiene et par uker til, muligens permanent dersom de ikke klarer å sikre dataene sine ?

[tommyb]

 

Å nå, en dag etter artikkelen var på "trykk" hos Digi, er nettsidene til Telemarksforskning fremdeles sårbare, og ingenting er fikset ASAP så langt.

 

Det ser nok ut som de bør ta ned hele greiene et par uker til, muligens permanent dersom de ikke klarer å sikre dataene sine ?

 

 

Ja, derav "akkurat de innmeldte svakhetene". Må anta at de faktisk har patcha noe, siden de sier det. Hvis man har 20 steder sårbare for SQL injection, og bestiller patching av 5 kjente svakheter, står man nok igjen med 15 steder sårbare for SQL injection. Avhengig av hvor langt utenfor oppdaget utviklerne ser seg tjent med å gå.

 

Jeg skal ikke si at dette konkrete tilfellet er noe som de får til eller ikke får til å sikre, men jeg gjør følgende observasjoner: 

- utviklerne da validerte/saniterte ikke inn-data, 

- utviklerne nå endret ikke på denne grunnleggende egenskapen av systemet,

- og det driftes på hardware jeg ikke ville vært komfortabel med å ha rett mot nett.

 

Hvor avhengig er de av tilgang til disse tjenestene over nett? Jeg ville anbefalt å flyttet hele greia over på intranettet først, og hurtig evaluere om noe av dette systemet (/systemene?) faktisk er verd alt dette styret inkludert fortsatt medieoppmerksomhet og eventuell omtale av flere framtidige misslykkede/delvise patchinger. 

Endret 14. juni 2017 av tommyb

[blablaukeblad]

Var det ikke det jeg sa? Cue clueless Windows-bruker unnskyldninger

 

@tommyb: Slik holdning er del av problemet. Fakta er at ingen har tatt ansvaret for å sjekke slikt og beviselig er de som patcher appen helt ute av sin liga. De som drifter siten har ansvaret for å sjekke slikt - det er deres egen feil at kompetansen ikke strekker til. Få opp øynene. Kanskje du burde bruke Linux eller FreeBSD som _hoved_ OS i stedet et år eller to slik at du forstår noe om hvordan ting er skrudd sammen? Benytte tiden til kode i noe annet enn rammehverk med støttehjul og skylapper fra Microsoft mens du er der er nok en ide. Slike detaljer som er viktig å vite er nemlig godt gjemt vekk i Windows.

 

Ansvarsfraskrivelse som dette møter jeg ofte. Alltid skylder man på noen andre - eller noe annet. Både ASP og ASP.NET har funksjonalitet som kan brukes til å filtrere & validere database input. Dette er ikke "rocket science" og beviser bare poenget jeg prøver å lage: Lyset er på, men ingen er hjemme. Nivået er for lavt, generelt sett.

Hvis Microsoft ikke har laget støttehjul til disse stakkarene er de beviselig helt fortapt. Slike utviklere har ingenting på Internett å gjøre. Det er ikke akkurat som om vi snakker om en ROP-style buffer overflow på en non-exec stack med address-randomization hvor en NOP-slide ikke er mye hjelp, eller en heap overflow hvor du må heap-spraye gigabytes med RAM for å treffe riktig offset for code-exec, ikke sant? Det at noe gir inntrykket av å fungere betyr ikke at alt er vel, men ignorance is bliss, ikke sant? Vedlikeholdet her var manglende og vel så det. Dette grenser på kriminelt uansvarlig.

 

@adeneo: Friskt å se noen andre og er våkne til marerittet vi er på vei inn i. Good on you. Positiv overraskelse i dette landet. En stund trodde jeg nesten all IQ'en hadde flagget ut! Tror du er enig når jeg sier at dette er for dårlig - dette burde blitt fanget opp, eller hva?

 

Om ikke annet har ownage+re-ownage+-re-re-ownage fått meg til å le godt. Kanskje noe blir gjort hvis dette skjer nok. Uhell i kode er bare enda en grunn til å sjekke appen grundig før den settes ut i produksjon. Segmentering er og en ide. Bare la oss holde en ting i tankene: Det å være destruktiv her går nok mot sin hensikt. Målet er å få folk til å steppe opp gamet sitt, ikke havnet i buret eller forårsake skade. Dette tilfellet er ren inkompetanse, dog.

 

De kunne leid inn en hacker, eller en veldig kompetent programmerer, om de virkelig ville ha hjelp og da mener jeg ikke en CEH, aka Certfied Ethical Hacker - det er noe "script kiddies" aspirerer til. Hackere er dessverre ikke "godkjent" som noe som gir verdi her til lands, bare noen som tar. Ikke noe kunne vært lengre i fra sannheten. De forventer derimot at vi skal finne slikt for dem gratis i all evighet.

Jeg har selv fått slengt i trynet at det jeg gjør ikke er verdiskapende for bedriften her til lands - mer enn en gang. Lurer på hvor mye verdi som blir lagt til når de blir poppet og eid.

 

More to come. Pop-pOp-poP-POP

 

Best,

- J.D

[Bolson]

Et CMS løser ingenting dersom utviklerne ikke er kompetente, å "silen" lar seg tette uansett språk, så fremt man forstår hvor validering av input gjøres.

 

Ikke enig, teoretisk sett kan "silen" la seg tette - i praksis er det mer eller mindre umulig innefor fornuftige rammer. Fordi dokumentasjon mangler og opprinnelige utviklere ikke er tilgjengelige - altså nesten umulig å finne fram til alle feilene innenfor fornuftig tid og økonomiske rammer.

 

Anerkjente CMS (blant annet åpen kildekode) er typisk utviklet av kompetente utviklere, sjekket uttalige ganger for sikkerhetshull og ivaretar validering av input. Og blir oppgradert løpende. Drupal (brukt f.eks av White House), TYPO3 (brukt f.eks av Dassault Systems), er gode eksempler.

[tommyb]

Var det ikke det jeg sa? Cue clueless Windows-bruker unnskyldninger

 

@tommyb: Slik holdning er del av problemet. Fakta er at ingen har tatt ansvaret for å sjekke slikt og beviselig er de som patcher appen helt ute av sin liga. De som drifter siten har ansvaret for å sjekke slikt - det er deres egen feil at kompetansen ikke strekker til. Få opp øynene. Kanskje du burde bruke Linux eller FreeBSD som _hoved_ OS i stedet et år eller to slik at du forstår noe om hvordan ting er skrudd sammen? Benytte tiden til kode i noe annet enn rammehverk med støttehjul og skylapper fra Microsoft mens du er der er nok en ide. Slike detaljer som er viktig å vite er nemlig godt gjemt vekk i Windows.

 

Ansvarsfraskrivelse som dette møter jeg ofte. Alltid skylder man på noen andre - eller noe annet. Både ASP og ASP.NET har funksjonalitet som kan brukes til å filtrere & validere database input. Dette er ikke "rocket science" og beviser bare poenget jeg prøver å lage: Lyset er på, men ingen er hjemme. Nivået er for lavt, generelt sett.

Hvis Microsoft ikke har laget støttehjul til disse stakkarene er de beviselig helt fortapt. Slike utviklere har ingenting på Internett å gjøre. Det er ikke akkurat som om vi snakker om en ROP-style buffer overflow på en non-exec stack med address-randomization hvor en NOP-slide ikke er mye hjelp, eller en heap overflow hvor du må heap-spraye gigabytes med RAM for å treffe riktig offset for code-exec, ikke sant? Det at noe gir inntrykket av å fungere betyr ikke at alt er vel, men ignorance is bliss, ikke sant? Vedlikeholdet her var manglende og vel så det. Dette grenser på kriminelt uansvarlig.

 

 

Jeg er usikker på hva det du forsøker si. At ikke-ansatte ikke-eksisterende driftere skal sjekke kodekvaliteten er i alle fall ikke en virkelighet som lar seg oppnå, og heller ikke det driftere skal drive på med. Utviklere har ansvar for kodekvaliteten og ledelsen har ansvaret for at gamle systemer fortsatt står og ruller uten tilsyn. Det er ikke ansvarsfraskrivelse, det er ansvarsplassering. 

[blablaukeblad]

+1 @Bolson - bruk godt gjennomgått open source. Kunne ikke vært mer enig. Er utviklerene inkompetente er dette helt klart beste løsningen for folk flest.

 

- J.D.

[blablaukeblad]

@tommyb: I am not shocked.

[tommyb]

@tommyb: I am not shocked.

 

Jeg er helt uenig i det du sier, du retter baker for smed. Det virker nesten som du er selvlært altiettmann når du påstår at driftere skal gjøre utviklernes jobb. Jeg er utvikler selv, så jeg plasserer det ansvaret som min gruppe har på min gruppe, og jeg plasserer ledelsesansvaret hos ledelsen. Du plasserer alt dette hos driftere og framstår som du ikke har vært innom en faktisk bedrift og observert det kaoset som er der. 

 

Det er til syvende og sist ledelsen som har ansvaret for at kompetanse er oppfylt, og hvis du ikke har fått det med deg har trenden blant ledere de siste 15 år vært at driftere ikke skal være noe man har inhouse hvis man ikke absolutt må. I de siste tre-fem årene skal tydeligvis driftere helst sitte i India. Dersom man hverken ønsker å drive på med drifting eller utvikling, må man jevnlig gjøre evalueringer av driftssikkerhet og datasikkerhet og det er ikke gjort på dette systemet. Ledere ønsker å holde på med sin bransjes oppgaver, ikke å fokusere på IT. Jeg er helt sikker på at "godt nok"-prinsippet er ledende i det private næringslivet, og når man ikke har kompetanse i bedriften til å oppdage at "godt nok" ikke er oppfylt, så går det som det må gå. 

[blablaukeblad]

@tommyb: Du vet, av og til er det bedre.å holde munnen lukket og la folk tro du ikke vet hva du snakker om enn å åpne den og fjerne enhver tvil.

 

$0.02

 

- J.D.

[tommyb]

@tommyb: Du vet, av og til er det bedre.å holde munnen lukket og la folk tro du ikke vet hva du snakker om enn å åpne den og fjerne enhver tvil.

 

$0.02

 

- J.D.

 

Right back at ya. 

 

Edit: det er mulig at vi diskuterer to forskjellige ting :-g

Endret 15. juni 2017 av tommyb

[blablaukeblad]

@tommyb: vet du hvor dum virker nå?

 

anyhow. ta-ta.

[tommyb]

@tommyb: vet du hvor dum virker nå?

 

anyhow. ta-ta.

 

Nei, jeg vet ikke hvor dum (...) virker nå.

 

Du sa blant annet at dette skyldtes dårlig kompetanse hos driftere. Angrepet var ikke mot databasen, men mot webapplikasjonen. Webapplikasjonen er laget av utviklere, ikke driftere. Kvaliteten og omfanget av koden er et resultat av en tjenestebestilling fra ledere, som heller ikke er gjort av driftere. Manglende testing av koden skulle ikke vært gjort av driftere, men utviklerne eller dedikerte testere. 

 

Jeg sier altså at det ikke er drifternes ansvar eller kompetanse som gjør at utviklere har laget dårlig kode, og det er heller ikke drifternes ansvar at ledere ikke prioriterer oppgradering av hardware og software, og ikke engang å ha driftere. Hvordan ting som dette da kan være drifteres ansvar, må du forklare meg. Hvis du ikke forklarer meg det, så kan jeg ikke si du har hatt mye å komme med her, annet enn å gjøre narr av folk uten å rettferdiggjøre det. 

[blablaukeblad]

@tommyb: Ok, einstein, du er best. Kos deg i boblen din.

 

Ha en fin dag!

[tommyb]

Jo takk, jeg skal forsøke å ha det fint resten av dagen. Håper du får det fortsatt gøy også.

[knutinh]

Det er ikke alltid samsvar mellom faglig kunnskap og personlig modenhet.

 

-k