Attacco hacker all'agenzia

11. 02. 2023

Una storia del 2017: lavorate come sviluppatore principale in un'agenzia e gestite circa 300 progetti di varie dimensioni che l'azienda ha sviluppato in quel periodo. La maggior parte di esse sono semplici applicazioni Nette con un massimo di 10 modelli, alcuni moduli e tabelle di database. Niente di speciale. Non si sa molto dei progetti, perché ognuno di essi è stato sviluppato da un fornitore leggermente diverso, le persone entrano ed escono dall'azienda e si spera di portarli a termine in qualche modo. Poiché l'azienda si occupa molto di ottimizzazione dei costi, ospita circa 50 progetti alla volta su un server.

Improvvisamente, un project manager corre da voi dicendo che uno dei siti importanti del cliente ha smesso di funzionare. Invece del sito vero e proprio, si ottiene una schermata nera e una serie di testi che dicono che il sito è stato violato e ha accesso all'intero server.

Ancora una volta, non sapete (e non potete sapere) molto dell'architettura e del contenuto dei progetti, e molti progetti funzionano solo sul server. Il proiezionista vi spinge a credere che il sito debba funzionare, ma non conoscete la portata dell'attacco e dove sia andato l'aggressore, o se ci siano backdoor dal passato.

Come si decide?

Non fate nulla e cercate prima di tutto di analizzare l'incidente.
Il server viene messo offline. Non si conosce l'entità del danno e l'aggressore può continuare a penetrare nel server e a rubare dati. Allo stesso tempo, ciò significa che molti siti non sono disponibili.
Eseguite un ripristino di un sito specifico da un backup di un giorno fa e nel frattempo vi occupate di ciò che è successo. Ma l'aggressore può riottenere l'accesso e continuare a rubare i dati.
Un'altra soluzione...

Jan Barášek Více o autorovi

Autor článku pracuje jako seniorní vývojář a software architekt v Praze. Navrhuje a spravuje velké webové aplikace, které znáte a používáte. Od roku 2009 nabral bohaté zkušenosti, které tímto webem předává dál.

Rád vám pomůžu: