OpenSSL logoAz OpenSSL virtuális gépét nemrég feltörték, erről be is számoltam az előző bejegyzésemben.

A dolog pikantériája, hogy a szolgáltató hibájából sikerült a támadóknak bejutni a kiszolgálóra.

Tulajdonképpen a szolgáltató virtuális infrastruktúrájára jutottak be a behatolók (tehát a fizikai számítógépekre), mégpedig úgy, hogy az egyik alkalmazott gyenge jelszavát kitalálták.

Ezt követően már hozzáfértek a virtuális gépekhez is, és így történhetett meg, hogy egyes fájlokat módosítani tudtak.

Az eset tanulsága annyi, hogy hiába használja valaki a legfrissebb szoftververziókat, hiába ügyel valaki arra, hogy az illetéktelenek ne jussanak be a rendszerbe, ha egy illetékes túl könnyelmű.

Azaz: hibáva van valakinek a legmodernebb nyílászárója és riasztórendszere, ha a kulcs ott van a lábtörlő alatt, és a riasztó kódja meg az ajtóra van írva.