СИГНАЛЪТ СЕ ОКАЗА АБСОЛЮТНО ТОЧЕН, ЛИНКЪТ ВЕЧЕ Е ПРЕМАХНАТ, РАБОТИ СЕ ПО ОТСТРАНЯВАНЕТО НА ПРОБОЙНАТА
IT специалистът Красимир Бозаджиев предупреди тази сутрин в социалните мрежи за възможен пробив в сървъра на Община Разград и изтичане на лични данни. Пробойната се виждала при проверка за местните данъци и такси на сайта на общината. Сигналът се оказа абсолютно верен. Линкът вече е премахнат, работи се по отстраняване на пропуска.
Ето сигнала и последвалата реакция:
Здравейте,
Пиша до общинарите тук, защото доколкото знам има такива. Дано не е твърде късно за това което ще напиша и да се вземат нужните адекватни мерки.
Предисторията:
Моя позната ме помоли да проверя как стоят нещата с проверката за данъци и такси на сайта на общината, защото като цяло проверката и се сторила странно подозрителна. (Само да добавя, че аз и тя работим в IT сектора)
След като проверих останах повече от потресен.
Проверката те насочва към сайт, който е по IP адрес и self generated ssl certificate, това с тези сертификати и достъп по IP адрес беше нормално и валидно преди 10-15 години, сега вече всичко става по доста различен начин.
Този IP адрес на който се проверяват данъците си е явно на сървър в Общината. След кратка проверка всичко лъсна по него. Има оракъл база, на която са и отворени портовете в Интернет. Предполагам, че на тази база седят всички лични данни на всеки един гражданин на Община Разград и не само лични данни.
Освен тази база се вижда, че има един куп други отворени портове на този сървър, включително и rdp порт за отдалечен достъп. От този порт се вижда, че това е windows server 2003, На тази операционна система и е спряна поддръжката от microsoft още през 2015 година.
Дано не съм прав, но моят опит ми подсказва, че такива операционни системи, достъпни в Интернет в едно 80 % , че и повече, вече са компрометирани по един или друг начин. Даже сега се сещам, че случаят с Кристиян Бойков и НАП беше по подобен начин. Беше компрометиран достъп до оракъл дейтабейз и извлечени данни от там.
Какво може да се направи в случая, давам подсказки:
Отпред се слага WAF – web application firewall – това е задължително, когато става въпрос за чувствителни данни;
Зад този waf се поставя frotend server – в слуая tomcat кoйто да обработва уеб заявките. Достъпът до този сървър, трябва да бъде позволен само от waf мрежата;
И най-отзад стои дейтабейз сървъра, като той е задължително в частна защитена мрежа, която няма директен достъп до Интернет. До него има достъп само фронтенд сървъра. По този начин по трудно би се стигнало до данните от базата;
Надявам се скоро услугата да бъде пак достъпна отново, но по правилен начин .
Няколко часа по-късно:
„Здравейте,
Мисля, че вече се взеха някакви мерки и линкът е премахнат от сайта на Общината. Сървърът може би е спрян. Но реших да постна и тук това, което установих, за да стигне до повече хора.“
/e-Razgrad/
Views: 0