Az OpenSSL virtuális gépét nemrég feltörték, erről be is számoltam az előző bejegyzésemben.
A dolog pikantériája, hogy a szolgáltató hibájából sikerült a támadóknak bejutni a kiszolgálóra.
Tulajdonképpen a szolgáltató virtuális infrastruktúrájára jutottak be a behatolók (tehát a fizikai számítógépekre), mégpedig úgy, hogy az egyik alkalmazott gyenge jelszavát kitalálták.
Ezt követően már hozzáfértek a virtuális gépekhez is, és így történhetett meg, hogy egyes fájlokat módosítani tudtak.
Az eset tanulsága annyi, hogy hiába használja valaki a legfrissebb szoftververziókat, hiába ügyel valaki arra, hogy az illetéktelenek ne jussanak be a rendszerbe, ha egy illetékes túl könnyelmű.
Azaz: hibáva van valakinek a legmodernebb nyílászárója és riasztórendszere, ha a kulcs ott van a lábtörlő alatt, és a riasztó kódja meg az ajtóra van írva.