We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Tietoturvariski


oles@ovh.net
07-22-2013, 05:22 PM
http://status.ovh.net/?do=details&id=5070
Hei,

huomasimme muutama päivä sitten, että Ranskan Roubaix'n toimiston sisäinen tietoturva on vaarantunut.
Sisäisten tutkintojen jälkeen pystyimme toteamaan, että kräkkeri on saanut haltuunsa erään järjestelmäasiantuntijamme sähköpostitilin. Tämän sähköpostitilin avulla kräkkeri sai
pääsyoikeuden toisen työntekijän sisäiseen VPN:ään. VPN-pääsyn avulla kräkkeri pääsi käsiksi erään sisäistä backofficea hoitavan järjestelmäasiantuntijamme kirjautumistietoihin.

Tähän saakka sisäinen tietoturvamme pohjautui kahteen eri todentamistasoon:
- maantieteellinen: vaatimus olla fyysisesti läsnä toimistolla tai VPN:n käyttö, lähde-IP
- henkilökohtainen: salasana

Mitä teimme tietoturvariskin havaittuamme
-----------------------------------------------
Välittömästi kräkkeröinnin jälkeen vaihdoimme sisäistä tietoturvakäytäntöä:
- Jokaisen työntekijän salasanat uudelleengeneroitiin kaiken tyyppisiä pääsyoikeuksia varten.
- Asensimme uuden VPN:n turvalliseen PCI-DSS-palvelinhuoneeseen tiukoin fyysisin pääsyoikeuksin.
- Sisäisten sähköpostien luku on nyt mahdollista vain VPN-yhteydellä tai toimistossa.
- Kaikki työntekijät joutuvat täyttämään kolmen eri todentamistason ehdot:
- Lähde-IP
- Salasana
- Henkilökohtainen laitteistosymboli (YubiKey)

Havainnot
----------------
Sisäisen tutkimuksen tuloksena epäilemme, että kräkkeri on luultavasti käyttänyt
pääsyoikeuksia kahteen eri asian vuoksi:
- saadakseen haltuunsa eurooppalaisten asiakkaidemme tietokannan
- päästäkseen Kanadan palvelinasennusjärjestelmäämme

Eurooppalaisten asiakkaiden tietokanta sisältää seuraavat henkilökohtaiset tiedot:
etunimi, sukunimi, asiakastunnus (NIC), katuosoite, paikkakunta, maa, fax- ja puhelinnumero sekä kryptatty salasana.
Kryptatut salasanat ovat erittäin vahvoja ja ne pohjautuvat SHA512-algoritmiin, bruteforcen käytön estämiseksi. Tarvitaan erittäin paljon teknistä osaamista, jotta salasana saadaan selkokieliseksi. Mutta tämä on mahdollista. Tämän takia kehotamme kaikkia muuttamaan salasanan käyttäjätunnukselleen. Lähetämme tänään sähköpostin kaikille asiakkaillemme, jossa selitämme tietoturvatoimenpiteet sekä pyynnön muuttamaan salasanan.
Luotto-/pankkikortteja koskevia tietoja ei säilötä OVH:lla. Mitään korttitietoja ei ole vuotanut eikä niitä ole kopioitu.

Quebecin palvelinasennusjärjestelmässämme mahdollinen tietoturvaongelma on se, että mikäli
asiakas ei ole poistanut SSH-avaintamme palvelimeltaan, kräkkeri olisi voinut ottaa yhteyden järjestelmäämme ja saada salasanan, joka on tallennettu .p-tiedostoon. SSH-avainta ei voi käyttää toiselta palvelimelta vaan ainoastaan Quebecin toimistoverkosta. Tietoturvariskin poistamiseksi, jos asiakas ei ole poistanut SSH-avainta eikä ole vaihtanut root-salasanaansa, olemme vaihtaneet palvelimien salasanan mikäli kone sijaitsee BHS-konesalissa. Tänään lähetetään sähköpostitse uusi salasana. SSH-avain tullaan jatkossa poistamaan systemaattisesti palvelimen toimituksen päätyttyä niin Kanadassa kuin Euroopassa.
Mikäli asiakas tarvitsee OVH:n apua, on asennettava uusi SSH-avain.

Tulevina kuukausina toimistoverkkomme tulee olemaan PCI-DSS-normien mukainen,
jonka avulla varmistamme sen, ettei tiettyihin henkilöihin kohdistuva tietoturvamurto voi koskettaa tietokantojamme.
Tähän mennessä emme ole olleet tarpeeksi "paranoideja" tietoturvan suhteen, mutta vastaisuudessa olemme ja vielä enemmän. Tarkoituksena on taata ja suojata asiakkaiden data tilanteessa, jossa teollinen vakoilu ulottuu OVH:n työntekijään.

Teemme myös asiasta rikosilmoituksen. Jotta emme häiritsisi poliisiviranomaisten ja tutkijoiden työtä, emme anna asiasta enempää lisätietoa ennen asian lopullista yhteenvetoa.

Pahoittelemme asiasta mahdollisesti johtuvaa vaivaa. Kiitos ymmärryksestänne.

Terveisin
Octave