10 мая на Хабре появилась интересная статья про пентест Кубанского Универсально Банка (www.kubunibank.ru). Автор - пентестер с ником 090h . Статья быстро набрала популярность и к вечеру стала самой популярной статьей за день на Хабре.
В статье рассказывалось, как был проведен аудит Кубанского Универсального Банка и был найден ряд уязвимостей, позволяющих получить контроль над вебсервером, расположенным внутри локальной сети, что открывало потенциальную возможность по атаке внутренних информационных систем банка.
Служба безопасности банка узнала о статье в день публикации и начала внутреннее расследование. Как оказалось, ни руководитель департамента ИТ, ни сама служба безопасности не была предупреждена о пентесте заранее, и уж тем более разрешение на публикацию статьи о проведении пентеста руководство банка не давало.
В итоге всего этого системный администратор уволился с формулировкой "я хотел как лучше, а вам ничего не надо". Да и комментарии к статье на хабре сложились не в пользу банка:
В итоге всего этого системный администратор уволился с формулировкой "я хотел как лучше, а вам ничего не надо". Да и комментарии к статье на хабре сложились не в пользу банка:
Вот я и решил разобраться в этой ситуации подробней, чтобы понять кто прав, а кто виноват.
name='more'> Для начала давайте коротко посмотрим хронологию событий:
В час ночи 5 мая была обнаружена классическая дыра в одном из скриптов банка. В теле твита так же содержалась ссылка с демонстрацией возможности взлома + был выложен скриншот.
хттп://www.kubunibank.ru/index.php?linksdop=../../../../../../../../../../etc/passwd
Стоит отметить, что информация о дыре, демонстрация и ссылки на уязвимости были опубликованы еще даже до того, как пентестер уведомил о дыре банк.
В 2 часа ночи 5 мая пентестер направил письмо в банк с описанием ситуации и предложил услуги по аудиту сайта.
Вспомним, что 5 мая - это суббота, последний рабочий день перед праздниками. Я так же знаю, что в это время начальник департамента ИТ банка был в отпуске. К тому же письмо, отправленное пентестером, попало в спам фильтр.
6, 7, 8 и 9 мая - выходные дни.
Утром 10 мая была опубликована статья на Хабре.
Т.е. при всём желании похвалить пентестера за бесплатный труд на благо банка, у СБ навряд ли нашлось время, чтобы адекватно оценить ситуацию.
СБ КубУниБанка не знала ни о дырах, ни о письме пентестера, однако сработала оперативно: по факту публикации материалов пентеста было начато внутреннее расследование в банке в тот же день.
СБ КубУниБанка не знала ни о дырах, ни о письме пентестера, однако сработала оперативно: по факту публикации материалов пентеста было начато внутреннее расследование в банке в тот же день.
Конечно, был сразу найден сотрудник - системный администратор банка - ответственный за организацию пентеста (друг пентестера). 10 мая системный администратор на работу не явился. Трубку не брал. Поэтому служба безопасности провела с ним беседу и попросила написать объяснительную.
Именно он "санкционировал" все действия пентестера, по-видимому, он же и разрешил публикацию результатов на Хабре.
По словам сотрудника СБ, парня никто увольнять не собирался, уйти он решил сам и, по-видимому, ещё до проведения пентеста. Однако объяснить последствия его действий ему было просто необходимо.
Давайте представим ситуацию, когда ваш врач без вашего ведома просит посмотреть коллегу-врача ваши анализы. Второй врач вам помогает, однако публикует о вас и вашей болезни статью в прессе с вашей фотографией без вашего разрешения. Какова будет ваша реакция на происходящее?
Именно так эта ситуация и выглядела с точки зрения банка (конкретней, руководства банка).
При проведении пентеста крайне рекомендую придерживаться буквы закона и оформлять договора с заказчиком, публиковать материалы строго с ведома ответственных лиц (желательно с письменного согласия) и обезличивать публикуемые материалы (уж это то не трудно было сделать!). Иначе отличить аудит от взлома будет сложно как с правовой, так и с моральной точки зрения.
По собственному опыту могу сказать, что банк обошелся и с пентестером и администратором очень "по-доброму". Ведь СБ могла уволить по статье администратора и подать в прокуратуру заявление на пентестера. Тут , например, человека без предупреждения уволили из банка с волчьим билетом за разовое использование анонимайзера.
[UPDATE] Сопоставив факты пришел еще к одному интересному наблюдению. Дырка на сайте была закрыта админом примерно между часом и двумя часами ночи.
Это значит, что админ банка на 99% управлял веб-сервером из дома. Т.е. у админа был шелл на веб-сервер, находящийся в локальной сети банка, с административными привилегиями. Вот так вот. Если я прав, то такому админу не то что безопасность, но и хелпдэск я бы не доверил.
[UPDATE] Сопоставив факты пришел еще к одному интересному наблюдению. Дырка на сайте была закрыта админом примерно между часом и двумя часами ночи.
Это значит, что админ банка на 99% управлял веб-сервером из дома. Т.е. у админа был шелл на веб-сервер, находящийся в локальной сети банка, с административными привилегиями. Вот так вот. Если я прав, то такому админу не то что безопасность, но и хелпдэск я бы не доверил.