Šetření ve věci přístupu k serveru
Moderátor: Kontrolní komise
- Jakub.Michalek
- Poslanec/poslankyně Parlamentu ČR
- Příspěvky: 12338
- Registrován: 22 čer 2009, 14:54
- Profese: poslanec
- Bydliště: Žižkov - Praha 3
- Dal poděkování: 5381 poděkování
- Dostal poděkování: 20691 poděkování
- Kontaktovat uživatele:
Šetření ve věci přístupu k serveru
Ivan Bartoš mi sdělil informaci, že Janek Wagner si nechal udělat audit bezpečnosti našeho serveru a ten auditor během 15 minut získal přístup na náš server a poslal mu heslo roota. Zaslal jsem Jankovi Wagnerovi zprávu, kterou tuto informaci prošetřuji.
- Tito uživatelé poděkovali autorovi Jakub.Michalek za příspěvek:
- Vaclav.Malek
Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem.
- Vaclav.Malek
- Návštěvník – nepatří k Pirátům
- Příspěvky: 8118
- Registrován: 12 čer 2009, 01:32
- Profese: filozof času, meta-politik
- Dal poděkování: 4877 poděkování
- Dostal poděkování: 8528 poděkování
- Kontaktovat uživatele:
- Jakub.Michalek
- Poslanec/poslankyně Parlamentu ČR
- Příspěvky: 12338
- Registrován: 22 čer 2009, 14:54
- Profese: poslanec
- Bydliště: Žižkov - Praha 3
- Dal poděkování: 5381 poděkování
- Dostal poděkování: 20691 poděkování
- Kontaktovat uživatele:
Re: Šetření ve věci přístupu k serveru
O věci informován s Jankovým souhlasem Krtek.
-------- Původní zpráva --------
Předmět: Re: Šetření ve věci přístupu k serveru
Datum: 08 kvě 2014 08:05
Od: Janek Wagner
Komu: Jakub Michalek
-------- Původní zpráva --------
Předmět: Re: Šetření ve věci přístupu k serveru
Datum: 08 kvě 2014 08:05
Od: Janek Wagner
Komu: Jakub Michalek
Janek Wagner píše: Ahoj,
ve věci považuji za nutné sdělit tyto skutečnosti:Janek
- V polovině dubna jsem zaregistroval na mém pracovním stroji Chromebox podivné aktivity na stránkách http://www.pirati.cz a forum.pirati.cz, které neodpovídaly použitým systémům phpBB a DokuWiki. Požádal jsem proto Filipa Oščádala filip@mxd.cz o zjištění zdroje těchto aktivit, protože na mém stroji nemám pro kontrolu vhodné nástroje.
- Podle jeho vyjádření jsou v zabezpečení našeho serveru chyby umožňující proniknutí a doporučil řadu opatření včetně zneplatnění všech hesel, která mohou být kompromitována:
Moje bezpečnostní doporučení:
* okamžitě vyměnit SSL certifikát
* všem uživatelům zneplatnit heslo
* zapnout podporu TLS 1.2
* zapnout podporu Perfect Forward Secrecy
* všechny weby servírovat pomocí https://
* zapnout podporu HSTS
To jde udělat za pár hodin a pár litrů za wildcard certifikát.
Volitelně:
* servery projet rkhunterem
* udělat bezpečnostní audit databází
* přejít pod Cloudflare Pro
* přejít pod Dome9 Security
* nastavit korektní zálohovací a bezpečnostní politiku- Statut TO neobsahuje žádná pravidla pro řízení bezpečnosti stranických systémů a není mi znám žádný předpis o zajištění bezpečnosti stranických systémů, postupu v kritických situacích či kontrole bezpečnosti. Stejně tak chybí popis zálohovací politiky.
- V této souvislosti připomínám http://www.pirati.cz/rules/stto:
Prohlížeče dlouhodobě při přístupu na systémy strany upozorňují na neplatnost certifikátu.§3 Systémy strany
(1) Technický odbor administruje
a) podepisování serverových certifikátů u certifikační autority,
Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem.
- Vaclav.Malek
- Návštěvník – nepatří k Pirátům
- Příspěvky: 8118
- Registrován: 12 čer 2009, 01:32
- Profese: filozof času, meta-politik
- Dal poděkování: 4877 poděkování
- Dostal poděkování: 8528 poděkování
- Kontaktovat uživatele:
Re: Šetření ve věci přístupu k serveru
takže nic, jak jsem očekával. Nicméně se to vedoucímu TO může sdělit, ale je tam několik věci, které udělat nelze a nebo jsou k ničemu.
- Jakub.Michalek
- Poslanec/poslankyně Parlamentu ČR
- Příspěvky: 12338
- Registrován: 22 čer 2009, 14:54
- Profese: poslanec
- Bydliště: Žižkov - Praha 3
- Dal poděkování: 5381 poděkování
- Dostal poděkování: 20691 poděkování
- Kontaktovat uživatele:
Re: Šetření ve věci přístupu k serveru
No jo, Ivan, když řekne, že někdo má heslo roota k serveru Pirátů, tak tím myslí, že mu někdo poslal e-mail s nabídkou komerčních produktů Každopádně jsem povinen prošetřit všechny podněty, které vyvolávají podezření na chyby v zabezpečení a Lukášovi byly tyto podněty formálně předány (pokud by s něčím byl v budoucnu problém), níže posílám jeho odpověď.
Lukas Novy píše:Jakub Michalek píše:Ahoj,
ve věci považuji za nutné sdělit tyto skutečnosti:XXX
- V polovině dubna jsem zaregistroval na mém pracovním stroji Chromebox podivné aktivity na stránkách http://www.pirati.cz a forum.pirati.cz, které neodpovídaly použitým systémům phpBB a DokuWiki. Požádal jsem proto Filipa Oščádala filip@mxd.cz o zjištění zdroje těchto aktivit, protože na mém stroji nemám pro kontrolu vhodné nástroje.
- Podle jeho vyjádření jsou v zabezpečení našeho serveru chyby umožňující proniknutí a doporučil řadu opatření včetně zneplatnění všech hesel, která mohou být kompromitována:
Neni potreba. Heartbleed nas nepostihnul.Moje bezpečnostní doporučení:
* okamžitě vyměnit SSL certifikátNeni potreba.* všem uživatelům zneplatnit hesloBude, az upgradujeme debian, neni priorita.* zapnout podporu TLS 1.2
* zapnout podporu Perfect Forward SecrecyNeutahneme zdroji, co je potreba, to jde pres SSL, davame pozor.* všechny weby servírovat pomocí https://
Mame.* zapnout podporu HSTS
Kazdy den.To jde udělat za pár hodin a pár litrů za wildcard certifikát.
Volitelně:
* servery projet rkhunteremKazdorocne.* udělat bezpečnostní audit databázíNe. Pro politickou stranu primo nevhodne.* přejít pod Cloudflare Pro
* přejít pod Dome9 Security
V planu...* nastavit korektní zálohovací a bezpečnostní politiku
- Statut TO neobsahuje žádná pravidla pro řízení bezpečnosti stranických systémů a není mi znám žádný předpis o zajištění bezpečnosti stranických systémů, postupu v kritických situacích či kontrole bezpečnosti. Stejně tak chybí popis zálohovací politiky.
- V této souvislosti připomínám http://www.pirati.cz/rules/stto:
Prohlížeče dlouhodobě při přístupu na systémy strany upozorňují na neplatnost certifikátu.§3 Systémy strany
(1) Technický odbor administruje
a) podepisování serverových certifikátů u certifikační autority,
- Tito uživatelé poděkovali autorovi Jakub.Michalek za příspěvky (celkem 2):
- Janka.Michailidu, Tomas.Vymazal
Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem.
- Vaclav.Malek
- Návštěvník – nepatří k Pirátům
- Příspěvky: 8118
- Registrován: 12 čer 2009, 01:32
- Profese: filozof času, meta-politik
- Dal poděkování: 4877 poděkování
- Dostal poděkování: 8528 poděkování
- Kontaktovat uživatele:
Re: Šetření ve věci přístupu k serveru
Takže tohle je tedy uzavřené/odložené? Dostane to spis. značku a zveřejní se to?
- Jakub.Michalek
- Poslanec/poslankyně Parlamentu ČR
- Příspěvky: 12338
- Registrován: 22 čer 2009, 14:54
- Profese: poslanec
- Bydliště: Žižkov - Praha 3
- Dal poděkování: 5381 poděkování
- Dostal poděkování: 20691 poděkování
- Kontaktovat uživatele:
Re: Šetření ve věci přístupu k serveru
Zveřejněno, spisová značka netřeba.
- Tito uživatelé poděkovali autorovi Jakub.Michalek za příspěvek:
- Vaclav.Malek
Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem.