Salut, in acest articol voi prezenta cateva experiente pe care le-am avut in calitate de pentester fie la nivel oficial sau nu, in cadrul mai multor companii carora le voi pastra anonimitatea din motive lesne de inteles.
Exista si la noi febra cu securitatea fie la nivel de stat fie la companii mici / medii ca numar de angajati si cifra de afaceri. Pentru cei mai multi din domeniu e un subiect tabu, pentru altii e ceva de care au auzit la televizor asta in timp ce unii trag cu dintii de fiecare detaliu sa isi asigure produsul insa mai ales clientii in acest sens. Personal am intalnit aplicatii (web) de enshpe mii euro in care se regaseau vulnerabilitati batrane de peste 10 ani (SQLi / XSS / CSRF etc). Un lucru pe care l-am invatat de la "expertii IT in domeniu" este ca merge "si asa" cat timp clientul doarme linistit si primeste produsul la timp. Imi rasuna-n cap lozinci precum "eei, da' cine sa se lege de site-ul asta.." sau "lasa asa ca nu e problema .. " asta in cazuri fericite deoarece mai avem si cealalta categorie de egzperti care se fac ca ploua cand vine vorba de integritatea datelor. Multi nici nu vor sa auda, cade cerul pe ei, risti sa fii dat afara daca sufli prea mult in bors pe aceasta tema.
De cele mai multe ori aceste brese de securitate nu apar din lipsa pregatirii tehnice cat din ignoranta. Pe romaneste ii cam doare in basca pe multi daca e sigur site-ul tau pentru care ai platit sau nu. E mai putin relevant acest lucru cat tu nu verifici sau nici nu iti da prin cap sa intrebi de acest fapt si cam asa ajungi sa injuri de toti sfintii ca website-ul sau aplicatia ta numai functioneaza in parametri normali.
Cateva cazuri reale pe care le-am intalnit personal:
- Internet prin wi-fi, router la 50 de lei cretin + parola formata din: <numele companiei><anul de infiintare>. Greu nu ? Oare cate facultati trebuie sa faci sa incerci o asemenea parola? Dar sa ai doua astfel de routere si sa folosesti aceeasi parola ingenioasa ?
- API-KEY publicat in frontend cu scuza ca 'stiam de asta dar am crezut nu ca e asa important'. Doar ca ce sa vezi, avea anumite limitari serviciul respectiv, limitari care erau clar precizate de catre furnizor iar una din acestea era sa nu faci mai mult de 30 de request-uri pe minut altfel e blocat timp de X minute. Cum am fi putut opri activitatea unui intreg website? Un exercitiu de imaginatie va rog, multumesc.
- Server pentru productie, acelasi server si pentru dezvoltare. O tampenie, mai ales cand vinzi de cel putin cateva mii de dolari pe luna.
- Formulare fara protectie anti-spam, unele chiar cruciale precum 'newsletter' sau 'contact'. Aparent mai uita egzpertii din cand in cand ca in spate e un daemon ce se ocupa de trimiterea acestor email-uri cu anumite limitari si el, fie ca e propriu sau furnizat.
- Windows XP in institutii. Mai e ceva de adaugat? :)
( *Fiecare companie pe care am intalnit-o conform cazurilor de mai sus batea toba profesionalismului si seriozitatii )
Sa ne intelegem, e una sa gresesti, oricui i se poate intampla. E una sa nu cunosti, sa nu reusesti, sa fi incercat si sa fi esuat intr-o problema de securitate dar e cu totul altceva din partea unei companii sau chiar a statului care plateste sute de milioane euro in infrastructura securitatii cibernetice (cat limbaj de lemn) sa dea dovada de rupism indiferent pentru cine si ce produs dezvolta.
Ma opresc aici adaugand ca nu am mai precizat in exemplele de mai sus scenarii in care o companie sau o institutie poate fi destabilizata doar printr-un atac pe baza de inginerie sociala (vrajeala pe romaneste) deoarece la nivelul actual de perceptie a turmei nu merita timpul irosit.