Och återigen, till skillnad från kommersiella och statliga organisationer så är open source organisationerna väldigt öppna med vad de vet och vad de gör. Väldigt värdefullt för oss andra som då får information avseende intrångsmetod, fungerande metoder för att upptäcka intrång samt hur det intrången hanteras när det väl upptäckts. Verklighetsanknytningen är min främsta anledning till att "samla" på dessa incidenter.
Så vad kan vi lära oss den här gången? Man kan plocka lite av varje, här är några av mina punkter:
- Intrånget gick via en utvecklares personliga dator där inloggningsuppgifter stals. Angrepp behöver alltså inte ske direkt mot målsystemet, det kan gå via något annat system eller någon annan persons privata dator. Det här är i min erfarenhet något som många organisationer missar helt och hållet. Man satsar exempelvis på att en viss webapp ska vara säker, men missar att även miljön och all inloggning till appen behöver göras från minst lika säkra system.
- Intrånget upptäcktes på grund av en avvikande loggrad - en komponent som inte var installerade loggade plötsligt ett felmeddelande. Logganalys fungerar och upptäckta avvikelser skall undersökas av någon som är väl förtrogen med systemet.
- Att i smyg ändra på källkoden till Linux kärnan är ingen enkel grej. Säkerhetsarkitekturen kring kodens lagring och versionshanternig gör det väldigt lätt att upptäcka den typen av modifieringar. Det fungerar att tänka efter före och designa säkerhet i flera lager. Ibland måste man ta steget tillbaka och göra stora arkitekturella förändringar.
Nice work, men oj vad nära angriparna var att komma undan oupptäckta :x
Inga kommentarer:
Skicka en kommentar