Itsekin mietin tuota ex-työntekijää. Periaatteessa itselläkin on pääsy jokinlaiseen dataan asiakkaidemme asiakkaiden terveydestä, mutta ainoastaan, jos siihen katsotaan olevan tarvetta (lähinnä erilaisten bugien selvittely).
Mutta, halutessani pystyisin varastamaan kymmenien tuhansien ihmisten yhteystiedot (hetusta alkaen) ja tärkeimmät terveystiedot.
No, ei ole suunnitelmissa, omalla mailiosoitteella tännekin on kirjauduttu niin varmaan aika nopeasti paskalakit löytäisivät sylttytehtaalle 
Toi ex-toimari tosin on ohjelmistokehittäjä, joten kompetenssia tuollaisiin asioihin pitäisi löytyä:
Kaksi kolmesta olisi ollut paikattavissa, mutta vanhentunutta PHP:ta hyödyntäen tuonne olisi viimeistään päästy sisään.
Ubuntu 16.04 LTS:n tuki loppuu joskus alkuvuodesta.
Tottakai. Mutta jos tietoturvavastaava sekä ylläpitäjät ym joiden vastuualuetta tuo on ollut löytyy, ei sitä kaikkea voi toimarin niskaan valuttaa.
Ohjelmistokehittäjiä on tavattoman eri tasoisia.
Toivottavasti ei kuitenkaan ryhtynyt “Pelle Pelottomana” itse ja yksin tietokantaratkaisua koodaamaan. Itse jos tekee kaiken vaatimusmäärittelystä lopputestaukseen, niin on siinä omat riskinsä. Ainakin testauksessa saattaa tietynlainen sokeus omaan tuotokseen iskeä, ei aina tule huomioineeksi kaikkein ilkeimpiä ja kavalimpia tapauksia.
Jep, kyllä meillä ainakin kaikki muutokset vaatii pull requestien hyväksymisen (kukaan ei työnnä mitään suoraan masteriin) ja niitä oikeasti kommentoidaankin. Kiireellisissä tapauksissa pannaan erikseen linkkiä Slackiin että tällä pr:llä olisi vähän kiire (tänään viimeksi…).
No just siltä tuo vaikuttaa kun esim. tuota Talouselämän otsikkoa lukee. Perheyrityksenä käynnistynyt firma, jossa poika on ollut ohjelmistokehittäjä ja äiti terapeutti niin kyllä meikän mielessä jo jäljet alkaa johtaan sylttytehtaalle.
Lisäksi Vastaamon yrityskauppaan ollaan nyt hakemassa purkua koska tuo Tapio on ollut tietoinen tietomurrosta ja mahdollisista seuraamuksista kauppoja tehdessään.
En nyt ihan ymmärrä mikä tuossa on ongelma, lukuunottamatta vanhan PHP-version käyttöä. Apache 2.4 on uusin Apache-versio, tämän jälkeen on julkaistu vain minor-versioita. Se on mitä todennäköisemmin pakettienhallinnan kautta asennettu ja saa uusimmat tietoturvapäivitykset ongelmitta. 16.04 on yhä tuettu pitkän tuen versio, johon tulee tietoturvapäivityksiä ja juuri mikään organisaatio ei huvikseen päivittele näitä LTS-versioita ajankulukseen, sillä mitään oikeaa tarvetta näin toimia ei ole.
Se varmaan, ettei niitä tietoturvapäivityksiä ole välttämättä konffattu käyttöön tai jos on niin niistä ei ole apua kun ajetaan vanhentunutta PHP:n versiota?
Ainakin unattended-upgradesilla tietoturva-päivityksiä asennettaessa Apachen versionumero muuttuu tyyliin 2.4.18 - > 2.4.20 jolloin tuo 2.4.18 viittaisi julkaisun aikaiseen versioon.
PHP 5.4:n ajaminen tänä päivänä on kyllä ihan huithapeli touhua. Tietenkin tässä täytyy muistaa se että tuo on ilmeisesti tapahtunut 2018-2019 jolloin sitä on vielä tuettu, mutta tuo fakta että järjestelmä pyöri lähiaikoinaa vanhentuneilla palikoilla kertoo aika paljon siitä kuinka paljon sitä on yleensäkkin päivitelty (varmaan asennuksen jälkeen käytännössä ei ollenkaan).
Varmasti tiedätkin mutt atoimia tarvitaan tämän lisäksi jatkuvasti, ei se itsekseen itseään päivitä ja boottiakin sitä tarvitsee.
Nämä on just niitä keissejä kun joku käy kerrran heittämässä apt install apache mysql php ja unohtaa ylläpidon siihen (olen nähnyt näitä vähän helevetisti).
Tuon PHP:n kun saa suht helposti korkattua voit ajaa sieltä käsin omaa koodia ja oksentaa koko databasen dumppiin jonka sitten vain yksinkertaisesti kotiutat, on sinulla on aivan kaikki data itselläsi niin että heilahtaa, ei ole oikeasti edes vaikeaa asiansa osaavalle.
No, enpä itsekään aivan tarkalleen. Eiköhän näitä vastaavia systeemejä ole paljon. Toiset ovat vaan olleet onnekkaita, kun eivät ole valikoituneet murtokohteiksi. Ilmeisesti Vastaamon suurin virhe oli se murtoihin liittyvä peittely. Sitä ei olisi saanut tapahtua.
No, itse asiassa ironista tässä on se, että Ubuntu on nimenomaan se serverijakelu, joka on unattended-upgradesin avulla mahdollista konffata asentamaan tietoturvapäivitykset automaattisesti ja vielä boottaamaankin haluttuun aikaan jos esim. kernelipäivitys sitä vaatii. Kaupan päälle tuo siivoaa tarpeettomiksi jääneet riippuvuudet käyttiksestä. Ja jos booteista haluaa eroon niin sit voi ostaa Canonicalilta Livepatchin, joka paikkaa kerneliin tietoturvapatchit lennosta, jolloin riittäisi palveluiden uudelleen käynnistys.
En ole käyttänyt olemassaolon kyllä tosin tiedän, mutta jos php:t vetelee 5.4:ssä ja Pässi vanha, niin näyttääkö todennäköiseltä että tässä on mitään automaattisesti päivitelty?
Ja lähteekö tuo päivittämään automaattisesti esim juuri PHP versiota, jättää vanhan php.inin sitten vai kuinka?
Ei, toi nimenomaan ei tee versioloikkia, joten se PHP olisi pitänyt hoitaa käsin ajan tasalle joka tapauksessa. Konffiristiriidat voi laittaa niin, että käyttäjän muokkaama ajossa oleva konffi säilytetään ristiriitatilanteessa. Koska toi ei tee kuin minor päivityksiä niin käyttäjän konffin pitäisi olla kurantti.
Joku edes yrittää tehdä jotakin.
Ja kyllä, olen itsekin saanut kiristysviestin.
Ei yllätä minua, että kyseessä EI ole Vastaamo eikä mikään virallinen taho.
Asia mikä mua ihmetyttää on että missä ne on hostanneet palveluaan. Me kun käytetään Google Cloudia ja Aivenia niin meidän käyttämillä Linux- tai Node-versioilla ei ole aivan kauheasti väliä kun ennen meidän rajapintoja on joka tapauksessa palvelun tarjoajien tietoturva ja itse käyttämämme auth0.
Hienoa. Ironista, että paras toimi tulee ulkopuoliselta taholta.
On 250 muutakin sotealan firmaa, joiden tietoturvaa ei valvota käytännössä ollenkaan. Pitäsköhän asialle tehdä NYT jotain?
Aihepiiriin liittyvä pikku pähkinä ketjun asiantuntijoille: