W ostatni weekend po nieudolnych i niekompetentnych działaniach admina serwera PTTK zostały skompromitowane hasła w domenie PTTK. Na skutek błędów w konfiguracji SSL-a po wejściu na stronę Oddziału Międzyuczelnianego PTTK w Warszawie za pomocą protokołu HTTPS zamiast za pośrednictwem interpretera PHP serwowane były bezpośrednio pliki z kodem w wersji tekstowej. Oznacza to, że można było obejrzeć cały kod Wordpressa na którym stoi strona oddziału łącznie ze wszystkimi hasłami - również do bazy danych. Efekt wejścia pod adres https://om.pttk.pl/ (2021-03-21) Po wejściu na stronę Chromem kod wyświetlał się od razu. Po wejściu Firefoksem - trzeba było podejrzeć źródło strony (CTRL+U). Dwie minuty wystarczały aby dotrzeć do plików konfiguracyjnych wp-config.php i innych. Plik konfiguracyjny z hasłem do bazy danych OM (2021-03-21) Nie wiem jakie są rozmiary awarii. Czy dotyczy ona jednej poddomeny, czy wszystkich? Czy zostały narażone dane osobowe? W normalnej sytuacji należałoby natychmiast wyłączyć serwery WWW oraz bazodanowy i zaudytować problem, co pozwoliłoby oszacować szkody. Ale w PTTK nie ma normalnych sytuacji...
Awaria została zauważona w niedzielę 20 marca o godzinie 18:22 przez jednego z forumowiczów (mam nadzieję, że dostanie on oddzielnym kanałem podziękowania od władz oddziału) i zgłoszona do mnie. Jak tylko odczytałem maila, dzięki szybkiemu wsparciu dwóch kolegów i za ich pośrednictwem (dzięki!) powiadomiłem aktualne władze Oddziału Międzyuczelnianego PTTK w Warszawie oraz Prezydium ZG PTTK. Ostrzegłem wszystkich, że należy działać błyskawicznie.
W chwili gdy piszę tego posta jest ranek następnego dnia. Minęła cała noc, biuro ZG pracuje od prawie dwóch godzin. I wiecie co? Wszystko jest jak było. Baza danych nie została wyłączona, usterka nie została naprawiona, komunikatu w tej sprawie nie wydano. Jednym słowem: "trwanie i kontynuacja".
Miałem poczekać z publikacją tego posta na usunięcie awarii. Ale skoro wszyscy mają to w dupie, to czemu ja miałbym nie mieć? W sumie - nie mój cyrk, nie moje małpy. Nie będę nawet zamazywał haseł na zrzutach ekranu - w końcu i tak każdy może sobie wejść i sam je odczytać.
1. Do zarządu mojego oddziału nadal wydzwaniają członkowie ZG w sprawie naszego forum. Uzgodniłem z chłopakami, że na razie zdejmiemy patronat oddziału nad forum, to może wtedy zaczną wreszcie dzwonić bezpośrednio do mnie. Kłopot w tym, że oni świetnie wiedzą, co ode mnie usłyszą, więc unikają tego jak ognia.
2. ZG PTTK zlecił audyt i wyszło im, że ogromna większość stron jednostek i obiektów na serwerze PTTK jest nieaktualizowana i przez to niebezpieczna. Mają więc podkładkę pod dalsze nicnierobienie. W końcu to nie ich wina, że działacze społeczni nie siedzą po nocach wgrywając najnowsze łatki bezpieczeństwa opensourceowych CMS-ów albo nie chcą zapłacić za to firmom zewnętrznym. Tymczasem dlaczego serwisy jednostek i obiektów tak wyglądają i co należy z tym zrobić wyjaśniam w kolejnym punkcie.
3. Wojciech Koboska (oficjalnie: główny specjalista informatyk ZG PTTK) dzisiaj rano napisał do mnie dosyć agresywnego maila, z którego wynikało, że cała ta awaria to wina wszystkich naokoło (deweloperów Wordpressa, firmy stawiającej kilka lat temu stronę oraz przede wszystkim władz Oddziału Międzyuczelnianego), tylko nie jego. Nie ujawnię jego treści, bo tajemnica korespondencji to rzecz święta, ale ujawnię swoją odpowiedź. Przy okazji wyjaśniam w niej dlaczego wyniki tego audytu są bezwartościowe poznawczo, bo taki stan serwisów WWW jednostek i obiektów PTTK nierozerwalnie związany był, jest i będzie z zobowiązaniem jakie wzięło na siebie ZG hostując strony dla jednostek opierających się na pracy społecznej. Miłej lektury.
From: Łukasz Aranowski To: Wojciech Koboska Subject: Re: List z Forum członków i sympatyków PTTK Date sent: Wed, 24 Mar 2021 12:31:01 +0100
Cześć.
Wordpress to tylko bardziej zaawansowany skrypt użytkownika. Jakichkolwiek bugów by nie miał, to serwer nigdy, przenigdy nie powinien pozwolić na wyświetlenie źródeł.
To, że strony jednostek są przestarzałe i robione po taniości albo wręcz za darmo, to oczywiste. Pracujesz w PTTK od 15 lat i jeszcze nie wiesz, że większość jednostek jest biedna jak mysz kościelna? Jak działacze mają zapał i trochę umiejętności, to powstaje nowa strona, która potem wisi 10 lat bez aktualizacji.
To po stronie administratora serwera jest obowiązek takiej jego konfiguracji aby nie miało to impaktu na resztę zasobów i aby przykryć większość błędów użytkowników. Proste. Mówiłem Ci to wszystko jak przejmowałeś tematy.
Możesz się teraz wkurzać, ale prawda jest taka, że zaniedbałeś kwestie bezpieczeństwa i teraz wróciło to bumerangiem.
Za mało mam wiedzy informatycznej, żeby mieć prawo drążyć temat. Jednak patrząc na to co opisane od strony użytkownika mam spore wewnętrzne przekonanie, że to jakis grubszy skandal! wynikajacy z horrendalnych zaniedbań!
Kłopot w tym, że oni świetnie wiedzą, co ode mnie usłyszą, więc unikają tego jak ognia.