Šetření ve věci přístupu k serveru

Kontrolní komise je kontrolním orgánem strany, dohlíží na hospodaření a dodržování předpisů a vyšetřuje stížnosti na jejich porušení, které předává rozhodčí komisi.

Moderátor: Kontrolní komise

Zamčeno
Uživatelský avatar
Jakub.Michalek
Poslanec/poslankyně Parlamentu ČR
Příspěvky: 12336
Registrován: 22 čer 2009, 14:54
Profese: poslanec
Bydliště: Žižkov - Praha 3
Dal poděkování: 5377 poděkování
Dostal poděkování: 20687 poděkování
Kontaktovat uživatele:

Šetření ve věci přístupu k serveru

Příspěvek od Jakub.Michalek »

Ivan Bartoš mi sdělil informaci, že Janek Wagner si nechal udělat audit bezpečnosti našeho serveru a ten auditor během 15 minut získal přístup na náš server a poslal mu heslo roota. Zaslal jsem Jankovi Wagnerovi zprávu, kterou tuto informaci prošetřuji.
Tito uživatelé poděkovali autorovi Jakub.Michalek za příspěvek:
Vaclav.Malek

Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem. :)

Uživatelský avatar
Vaclav.Malek
Návštěvník – nepatří k Pirátům
Příspěvky: 8118
Registrován: 12 čer 2009, 01:32
Profese: filozof času, meta-politik
Dal poděkování: 4877 poděkování
Dostal poděkování: 8528 poděkování
Kontaktovat uživatele:

Re: Šetření ve věci přístupu k serveru

Příspěvek od Vaclav.Malek »

to chci tedy vidět.. neb heslo roota nelze rozšifrovat :)
Uživatelský avatar
Jakub.Michalek
Poslanec/poslankyně Parlamentu ČR
Příspěvky: 12336
Registrován: 22 čer 2009, 14:54
Profese: poslanec
Bydliště: Žižkov - Praha 3
Dal poděkování: 5377 poděkování
Dostal poděkování: 20687 poděkování
Kontaktovat uživatele:

Re: Šetření ve věci přístupu k serveru

Příspěvek od Jakub.Michalek »

O věci informován s Jankovým souhlasem Krtek.

-------- Původní zpráva --------
Předmět: Re: Šetření ve věci přístupu k serveru
Datum: 08 kvě 2014 08:05
Od: Janek Wagner
Komu: Jakub Michalek
Janek Wagner píše: Ahoj,

ve věci považuji za nutné sdělit tyto skutečnosti:
  1. V polovině dubna jsem zaregistroval na mém pracovním stroji Chromebox podivné aktivity na stránkách http://www.pirati.cz a forum.pirati.cz, které neodpovídaly použitým systémům phpBB a DokuWiki. Požádal jsem proto Filipa Oščádala filip@mxd.cz o zjištění zdroje těchto aktivit, protože na mém stroji nemám pro kontrolu vhodné nástroje.
  2. Podle jeho vyjádření jsou v zabezpečení našeho serveru chyby umožňující proniknutí a doporučil řadu opatření včetně zneplatnění všech hesel, která mohou být kompromitována:
    Moje bezpečnostní doporučení:

    * okamžitě vyměnit SSL certifikát
    * všem uživatelům zneplatnit heslo
    * zapnout podporu TLS 1.2
    * zapnout podporu Perfect Forward Secrecy
    * všechny weby servírovat pomocí https://
    * zapnout podporu HSTS

    To jde udělat za pár hodin a pár litrů za wildcard certifikát.

    Volitelně:

    * servery projet rkhunterem
    * udělat bezpečnostní audit databází
    * přejít pod Cloudflare Pro
    * přejít pod Dome9 Security
    * nastavit korektní zálohovací a bezpečnostní politiku
  3. Statut TO neobsahuje žádná pravidla pro řízení bezpečnosti stranických systémů a není mi znám žádný předpis o zajištění bezpečnosti stranických systémů, postupu v kritických situacích či kontrole bezpečnosti. Stejně tak chybí popis zálohovací politiky.
  4. V této souvislosti připomínám http://www.pirati.cz/rules/stto:
    §3 Systémy strany

    (1) Technický odbor administruje

    a) podepisování serverových certifikátů u certifikační autority,
    Prohlížeče dlouhodobě při přístupu na systémy strany upozorňují na neplatnost certifikátu.
Janek

Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem. :)

Uživatelský avatar
Vaclav.Malek
Návštěvník – nepatří k Pirátům
Příspěvky: 8118
Registrován: 12 čer 2009, 01:32
Profese: filozof času, meta-politik
Dal poděkování: 4877 poděkování
Dostal poděkování: 8528 poděkování
Kontaktovat uživatele:

Re: Šetření ve věci přístupu k serveru

Příspěvek od Vaclav.Malek »

takže nic, jak jsem očekával. Nicméně se to vedoucímu TO může sdělit, ale je tam několik věci, které udělat nelze a nebo jsou k ničemu.
Uživatelský avatar
Jakub.Michalek
Poslanec/poslankyně Parlamentu ČR
Příspěvky: 12336
Registrován: 22 čer 2009, 14:54
Profese: poslanec
Bydliště: Žižkov - Praha 3
Dal poděkování: 5377 poděkování
Dostal poděkování: 20687 poděkování
Kontaktovat uživatele:

Re: Šetření ve věci přístupu k serveru

Příspěvek od Jakub.Michalek »

No jo, Ivan, když řekne, že někdo má heslo roota k serveru Pirátů, tak tím myslí, že mu někdo poslal e-mail s nabídkou komerčních produktů :) Každopádně jsem povinen prošetřit všechny podněty, které vyvolávají podezření na chyby v zabezpečení a Lukášovi byly tyto podněty formálně předány (pokud by s něčím byl v budoucnu problém), níže posílám jeho odpověď.
Lukas Novy píše:
Jakub Michalek píše:Ahoj,

ve věci považuji za nutné sdělit tyto skutečnosti:
  1. V polovině dubna jsem zaregistroval na mém pracovním stroji Chromebox podivné aktivity na stránkách http://www.pirati.cz a forum.pirati.cz, které neodpovídaly použitým systémům phpBB a DokuWiki. Požádal jsem proto Filipa Oščádala filip@mxd.cz o zjištění zdroje těchto aktivit, protože na mém stroji nemám pro kontrolu vhodné nástroje.
  2. Podle jeho vyjádření jsou v zabezpečení našeho serveru chyby umožňující proniknutí a doporučil řadu opatření včetně zneplatnění všech hesel, která mohou být kompromitována:
    Moje bezpečnostní doporučení:

    * okamžitě vyměnit SSL certifikát
    Neni potreba. Heartbleed nas nepostihnul.
    * všem uživatelům zneplatnit heslo
    Neni potreba.
    * zapnout podporu TLS 1.2
    * zapnout podporu Perfect Forward Secrecy
    Bude, az upgradujeme debian, neni priorita.
    * všechny weby servírovat pomocí https://
    Neutahneme zdroji, co je potreba, to jde pres SSL, davame pozor.
    * zapnout podporu HSTS
    Mame.
    To jde udělat za pár hodin a pár litrů za wildcard certifikát.

    Volitelně:

    * servery projet rkhunterem
    Kazdy den.
    * udělat bezpečnostní audit databází
    Kazdorocne.
    * přejít pod Cloudflare Pro
    * přejít pod Dome9 Security
    Ne. Pro politickou stranu primo nevhodne.
    * nastavit korektní zálohovací a bezpečnostní politiku
    V planu...
  3. Statut TO neobsahuje žádná pravidla pro řízení bezpečnosti stranických systémů a není mi znám žádný předpis o zajištění bezpečnosti stranických systémů, postupu v kritických situacích či kontrole bezpečnosti. Stejně tak chybí popis zálohovací politiky.
  4. V této souvislosti připomínám http://www.pirati.cz/rules/stto:
    §3 Systémy strany

    (1) Technický odbor administruje

    a) podepisování serverových certifikátů u certifikační autority,
    Prohlížeče dlouhodobě při přístupu na systémy strany upozorňují na neplatnost certifikátu.
XXX
Tito uživatelé poděkovali autorovi Jakub.Michalek za příspěvky (celkem 2):
Janka.Michailidu, Tomas.Vymazal

Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem. :)

Uživatelský avatar
Vaclav.Malek
Návštěvník – nepatří k Pirátům
Příspěvky: 8118
Registrován: 12 čer 2009, 01:32
Profese: filozof času, meta-politik
Dal poděkování: 4877 poděkování
Dostal poděkování: 8528 poděkování
Kontaktovat uživatele:

Re: Šetření ve věci přístupu k serveru

Příspěvek od Vaclav.Malek »

Takže tohle je tedy uzavřené/odložené? Dostane to spis. značku a zveřejní se to?
Uživatelský avatar
Jakub.Michalek
Poslanec/poslankyně Parlamentu ČR
Příspěvky: 12336
Registrován: 22 čer 2009, 14:54
Profese: poslanec
Bydliště: Žižkov - Praha 3
Dal poděkování: 5377 poděkování
Dostal poděkování: 20687 poděkování
Kontaktovat uživatele:

Re: Šetření ve věci přístupu k serveru

Příspěvek od Jakub.Michalek »

Zveřejněno, spisová značka netřeba.
Tito uživatelé poděkovali autorovi Jakub.Michalek za příspěvek:
Vaclav.Malek

Jakub Michálek, předseda poslaneckého klubu Pirátů a vedoucí resortního týmu Spravedlnost
Nenič mě, sloužím všem. :)

Zamčeno

Zpět na „Kontrolní komise“