Studiu de caz: Cum se face treaba când rețeaua are stăpân
Prin 2010, când m-am angajat ca șef al departamentului IT la Koyo România S.A., am găsit acolo un dezastru complet în infrastructură. Mi-a luat luni de zile de muncă brută să fac ordine prin rețea, să segmentez totul și să ridic firewall după firewall. Nopți pierdute, configurări la sânge, exact ce vă învăț și pe voi aici pe blog.
Vezi tutorialele Linux: https://s366.online/blog/category/tutoriale-linux
La ceva vreme după ce am terminat nebunia, am ieșit la o bere cu un amic. Tipul era un mic hacker și el, dar din cei buni, pasionat de testat vulnerabilități.
La un moment dat, îmi zice la o glumă:
— Băi, nu știu ce dracu' s-a întâmplat prin curte la ăia la „Rulmentul” (Koyo), că înainte mă plimbam la ei prin rețea ca Vodă prin lobodă... Acum, parca nici nu mai există pe hartă!
Pe mine m-a umflat râsul pe moment, dar m-am simțit și extrem de mândru.
M-am uitat la el și i-am zis:
— Păi, frate... acum e rețeaua mea.
Răspunsul lui a venit instant, cu mâna la cap:
— Cum dracu' de nu m-am gândit la asta?!
Asta este diferența. O rețea securizată nu înseamnă un teanc de facturi, ci un om (sau o echipă) care știe exact ce porturi închide și cum să facă sistemul invizibil pentru atacatori. La ANCPI, din păcate, rețeaua nu a avut un astfel de stăpân.
Cum a fost posibil atacul de la ANCPI? (Pe înțelesul tuturor)
Din punct de vedere tehnic, hackerii nu au folosit vreo tehnologie extraterestră. Au profitat de erori elementare de arhitectură.
Imaginează-ți că instituția este un bloc mare cu 100 de apartamente.
-
Cum ar trebui să fie: Fiecare apartament are ușa lui blindată. Dacă un hoț sparge ușa de la parter, el rămâne pe holul blocului. Nu poate intra în restul caselor pentru că ușile sunt încuiate independent (asta se numește segmentare de rețea).
-
Cum e la stat: Instituțiile noastre lasă toate ușile interioare deschise. Un angajat neatent deschide un e-mail infectat (phishing) sau descarcă un fișier compromis pe calculatorul lui de la parter. Din acel moment, virusul (de tip ransomware) a intrat în rețea și, pentru că nu a existat niciun firewall intern care să-l oprească, s-a plimbat „ca Vodă prin lobodă” prin toată instituția, ajungând până la serverele centrale e-Terra, unde a criptat bazele de date și a furat inclusiv codul sursă al aplicațiilor.
Confuzia fatală: Vânzătorul de licențe nu este profesionist IT
Aici ajungem la rădăcina răului: firmele de șmecheri. Niște idioți din conducerile statului, complet paraleli cu tehnologia, confundă un simplu comerciant cu o echipă de ingineri de securitate.
Companii precum About SRL (și altele din aceeași ligă care prind contracte cu dedicare) nu fac altceva decât securitate de fațadă. Ei nu vin să-ți auditeze codul, să-ți configureze serverele Linux la milimetru sau să monitorizeze traficul suspect 24/7. Ei sunt simpli vânzători de licențe. Cumpără softuri la cutie de la marii producători globali cu discount și le revând statului cu adaos uriaș.
Ei livrează „cheia de activare”, își încasează milioanele din banii publici și pleacă. Însă o licență de antivirus aruncată pe un server prost configurat e ca și cum ai pune o yală de 1.000 de euro pe o ușă de carton. O lovești cu piciorul și cade cu totul. Acești intermediari nu sunt verificați de nimeni, nu răspund în fața nimănui când sistemul pică, iar când apare dezastrul, dau din umeri și spun că „atacul a fost prea avansat”.
De la Cadastru la Sănătate: Blestemul sistemului medical (SIUI)
Și dacă credeți că la ANCPI e grav, uitați-vă la sistemul medical și la celebrul SIUI (Sistemul Informatic Unic Integrat). Platforma aia merge mai mult când vrea ea. De fiecare dată când mergi la medicul de familie sau la farmacie, auzi aceeași replică: „A picat sistemul, așteptați”.
Acel sistem a fost construit pe aceeași premisă: contracte grase date către alți „băieți deștepți” din politică, cum a fost filiera lui Sebi Ghiță. S-au pompat sute de milioane de euro într-o structură mamut, rigidă, scrisă prost, pe care se chinuie de ani de zile să o peticească.
Sincer, din punct de vedere tehnic, mai bine venea un grup de hackeri, îl ștergea definitiv de pe fața pământului, cu tot cu backup-urile lor obosite, și eram obligați să facem altul de la zero. Dar de data asta făcut de profesioniști adevărați, nu de firme de apartament care plimbă hârtii prin ministere.
Concluzia Vlahx IT
Securitatea informatică nu stă în pile, relații și contracte cu statul. Stă în competență. Când izolăm o aplicație în Docker, când ne configurăm corect tabelele de rutare în iptables/UFW și când nu lăsăm nimic la voia întâmplării, noi facem treabă mai bună pe serverele noastre decât fac instituțiile astea cu bugete de milioane.
Pentru că, la finalul zilei, când cineva va încerca să ne scaneze serverul, vrem să avem satisfacția să-i spunem exact ce i-am spus eu amicului meu în 2010: „Păi, frate... acum e rețeaua mea.”
🎯 Addendum la articol: Invitație publică la „Hackerit”
P.S. (Provocare deschisă pentru hackerii din comunitate): Ca să arătăm că nu vorbim doar din cărți și că pe Vlahx IT chiar credem în ce scriem, lansăm o provocare publică. Dacă sunteți hackeri pasionați (din ăia buni sau curioși), aveți liber la testat. IP-ul serverului este: 82.76.206.101
Dacă reușiți să puneți blogul la pământ sau să treceți de firewall-ul nostru, dați-ne de veste la telefon: 0731070737O singură excepție avem: Îi excludem din start pe Dorel și echipa de la compania de electricitate, care se joacă zilnic la butoanele rețelei din zonă de nu mai face față nici UPS-ul. Împotriva penelor de curent repetate nu s-a inventat încă niciun patch software! În rest, porturile sunt acolo, serverul e sus, logica e pe poziții. Spor la scanat! 🚀⚡😉