בסיפור של הפריצה לכספומט כתבתי על כך שמיקום ממשקי הניהול בעמדה הנגישה לכולם היא לא הדבר הכי נבון. RSnake מדווח על כך ש-x90 איתר את ממשק הניהול של MySpace ואף את ממשק ה-OutlookWebAccess.
ממשקי ניהול יש לכל מערכת. הבעיה איתם היא שהם מאפשרים לעשות כל דבר במערכת. עוד בעיה קטנה היא שהרבה פעמים (תמיד?) אין אפשרות לנעול את המשתמש כיוון שמדובר במנהל המערכת ומישהו הרי צריך להיות זמין תמיד לשחרר את כל אלה שננעלו. לכן מיקום של ממשקי ניהול פתוחים לכל דכפין באינטרטנט זה לא הדבר הכי טוב שאני יכול לחשוב עליו, כיוון שהם חשופים למתקפת עוצמה פראית (brute force בתרגום ציורי) שתאפשר גישה לכל זב חוטם.
אבל אותי דווקא מטרידה יותר מגמת ה-OutlookWebAccess. אני כותב מגמה, כי האפשרות לגשת מרחוק לדואר ארגוני היא אפשרות שהופכת להיות יותר ויותר נפוצה. הבעיה המרכזית שלה היא שבהרבה המקרים מדובר על אותו שם משתמש וסיסמא פנים ארגוניים ומישהו שרוצה לפגוע בארגון יכול להריץ script שפשוט ינחש את שמות וסיסמאות כל המשתמשים במערכת. הוא כמובן יכול לעצור עבור כל שם משתמש בחמישה נסיונות (שיובילו לנעילת סיסמא). התוצאה תהיה שבבוקר כל הארגון יהיה חסום. גם זה סוג של Denial Of Service. החלופה היא כמובן לאפשר גישה רק עם הזדהות חזקה ולוותר על מרכיב הנעילה.
דבר נוסף בהקשר זה הוא האפשרות שמשתמש המתחבר לארגון מרחוק ישמש מקור להדלפת מידע בלא ידיעתו (אך זו כבר אופרה אחרת).
שכחתי. הפורץ הנוצץ עשוי גם לנחש איזו סיסמא אחת ולהכנס לארגון...
בבלוג זה
בכל הבלוגים
