Tények a Nemzeti Konzultáció online rendszeréről

Tények a Nemzeti Konzultáció online rendszeréről

Az index a Nemzeti Konzultáció sikerességét látva az online rendszerről írt egy lejárató cikket ismét "névtelen szakértőkre" hivatkozva (link a cikk végén). Egy laikus számára egy rosszindulatú okoskodó könnyen csinálhat a bolhából elefántot, hiszen sokan nem értik mit ábrázol a kép, miről szól a cikk, csak annyit lát, hogy valami gond van vele.

“A rajtakapott gyermek indulatai, bár érthetőek, de oktalanok” - mondta az index kedvence, Gyurcsány még 2007-ben (https://youtu.be/yAwgB_GcuB4)
Így vannak ezzel a balliberálisok ma is, hiszen pont ők azok, akik ellopkodják a Konzultációs borítékokat, és így személyes adatokhoz jutnak, azokat kezelik és visszaélnek ezekkel, de jó bolsevik módjára pont azzal vádolják a Kormányt, amit ők maguk követnek el.

Nekünk is vannak szakértőink, lássuk a valóságot.

Az IT biztonság egy sokrétű és izgalmas iparág. Egy olyan szakma, melyről mindenki azt gondolja elsőre, hogy mindent tud. Pedig magabiztos hite csupán a tudatlansága sziklájára emelt sárszobor.Így járt ezzel az Index újságírója és annak névtelen szakértője is a 2020. júliusi nemzeti konzultációs weboldal kapcsán írt cikkel.

Tanuljunk hát az esetből mi bizonytalanok, s lapozzunk fel néhány szakmai anyagot! Külső szemlélőként elemezzük az eset műszaki oldalát!

Kezdjük az elején. Mit is látunk és miért is látjuk ezt?
Az oldal PHP nyelven, Laravel (1) keretrendszer használatával készült. Túl azon, hogy ez garancia arra, hogy a programozó alapvető biztonsági szolgáltatásokat kulcsrakészen kapjon, a keretrendszer egy hibakeresési konzollal is segíti a fejlesztők munkáját. Ha a böngésző a lap eredményes betöltése helyett valami hibakódot kapna vissza, akkor bekapcsolt hibakeresési mód mellett (APP_DEBUG true) a webszerver a cikkben látotthoz hasonló, igen beszédes adatlapokat küld. Ez az oldal néha túl sokat beszél, de ennek kiküszöbölésére több jó gyakorlat is van. Ezek egyike itt szépen fel is ismerhető. Már annak, aki nem lógta el a Hálózatok I. órákat.

A webszerver és az adatbázis szervert több okból is célszerű külön blokként kezelni és ezek kommunikációját hálózaton intézni. Ez itt megtörténik. A webszervernek, az elosztott gyorsítótárnak (MEMCACHED_HOST) (2) és az adatbázis szervernek (DB_HOST) (3) külön C osztályú IP címe van (4) , de vélhetően egy alhálózatból. Ez azt nyújtja, hogy a végpontok egymással közvetlenül, egy helyi hálózaton keresztül tudnak kommunikálni. (A 192.168.x.y IP címek kizárólag helyi hálózatot jelölnek, Internetről ezeket elérni nem lehet.)

Megismertük tehát egy jelszót, illetve néhány használt technológiát, ami alapvetően nem szerencsés, de gyakorlatilag semmire sem megyünk vele, mert a hozzá tartozó zár helye nem ismert, sőt publikusan nem is hozzáférhető. Bajban tehát nem vagyunk, adataink biztonságát maga a hálózati környezet garantálja.
Adatbázis szervereken tovább korlátozhatjuk azt, hogy az adatbázis technikai felhasználójának kapcsolódását milyen IP címről fogadjuk el (5). Ezzel elérhető, hogy jelen példa DB_USERNAME értékével a belépést a szerver kizárólag az előzetesen beállított címről fogadja el. Ez azt jelenti, hogy a usernév/jelszó páros felhasználásához fel kell törjük pl. a webszervert, mert csak innen tudjuk használni azt. Ezt bár a Laravel keretrendszer kellőképpen megnehezíti, de legyünk pesszimisták, használjunk további biztonsági beállításokat.
Felhasználó és a hozzáférési jogok (6). Ez is alap tananyag. Ha a felhasználónévhez az adott adatbázisra, illetve annak táblájára kizárólag INSERT jogot adunk, azzal garantáljuk, hogy a szerver kizárólag az INSERT parancsot fogja elfogadni, azaz csak új adatok felvitelére lesz lehetőségünk. Sem a SELECT (lekérdezés) sem az UPDATE (felülírás), sem a törlési módok nem kerülnek végrehajtásra jogosultság hiánya miatt.

Majdnem biztosra vehető, hogy a vizsgált weboldal előtt komplex tűzfalrendszer (7) véd hálózati szerint, valamint un. WAF (Web Application Firewall) véd protokoll szinten (8), így alapvető és a legtöbb biztonsági hibát az infrastruktúra kivédi.
A szoftverfejlesztők figyelmetlenségéből adódó problémát a legalapvetőbb rendszergazdai beállítások és a hálózat jellege is tökéletesen megvédheti, a problémát a kényelmetlen de lényegtelen szintre süllyesztve.

Kényelmetlen azért lesz, mert egy laikus számára egy rosszindulatú okoskodó könnyen csinálhat a bolhából elefántot.

Hivatkozások:
1. https://en.wikipedia.org/wiki/Laravel
2. https://memcached.org/
3. https://www.mysql.com/
4. https://www.szabilinux.hu/webrh62/node1254.htm
5. https://linuxize.com/post/mysql-remote-access/
6. https://dev.mysql.com/doc/refman/8.0/en/grant.html
7. https://hu.wikipedia.org/wiki/Tűzfal_(számítástechnika)
8. https://en.wikipedia.org/wiki/Web_application_firewall

Index cikke: https://index.hu/techtud/2020/07/08/nemzeti_konzultacio_weboldal_sulyos_biztonsagi_hiba_res_serulekenyseg_sebezhetoseg_adatbazis_jelszo_szemelyes_adatok/

Címkék: Média 

Kapcsolódó