Door Anoniem: Door Erik van Straten:
In alle soorten software gemaakt door alle soorten programmeurs worden, aan de lopende band, securityfouten ontdekt en (in de meeste gevallen) gepatched. Als je die patches niet uitrolt moet je er niet van opkijken dat je gehacked wordt.
Maar ook de accounts waren dus niet met een 2de factor authenticatie geconfigureerd. Wel redelijke blunders.
Zeker omdat hier iedere keer vermeld dat dat Linux zo gemakkelijk te updaten is.
Alle supercomputers Linux draaien.
Userid/password bij Microsoft systemen zo vaak aangehaald wordt.
Universiteit Maastricht, was alleen Windows gehacked en niet de Linux systemen.
Alles valt nu alleen door de mand, het is ook gewoon een gatenkaas.
1) u heeft duidelijk geen ervaring in HPC omgevingen, in veel van deze situaties is mismanagement het werkelijke probleem.
"Bepalen CEO & (marketing) managers het beveiligingsbeleid, dat er uitgerold wordt en niet de mensen, die er verstand van hebben. Die laatsten manen wel, maar bepalen niet."
klopt als een bus. Er heerst namelijk een 'ziekte' van matig middlemanagement in de westerse cultuur met enkel en alleen korte termijn denkers. Doordrongen bij politie, defensie, onderwijs, zorg en politiek, het gaat maar door. Stoere baasjes spelen en excel sheets vullen met pouperpoint consultant BS viert hoogtij en betaald beter dan een vakman/vrouw zijn met ervaring! Je betaalt een vakman / expert namelijk niet voor dagelijkse dingen, je betaalt hem voor precies dat ene kritieke moment waar het er werkelijk om gaat. Het zijn op dat soort momenten weer waar de goedkopere jonge rakkers die er wel nog zijn de situatie enkel maar verergeren.
Een van de citaten in deze saga van zo een rakker is "waarom gebruiken die f*ing gebruikes geen password op hun ssh sleutel, de idiots". Dat is tekenend voor een non-oplossing en onbegrip: een key password kan server side niet afgedwongen worden, er is geen control op de kwaliteit van die passwords, met ssh-agents zijn die passwords niet effectief meer, en als als er op een machine een root exploit is geweest, dan is er ook een rootkit / keylogger en dan doen die passwords ook weer niets. De opmerking van die persoon is dus een paniek voetbal reactie:
https://www.cadosecurity.com/2020/05/16/1318/
[En de zogenaamde best-practice om ssh sleutels ipv passwords te gebruiken, is eentje die bij std beheer via een goed opgezette jumphost oid misschien van toepassing is, maar is in een grote HPC omgeving met vele internationale gebruikers die regelmatig van van UNI / werkgever veranderen, niet zo werkzaam. aldus nu pijnlijk duidelijk blijkt.]
2) er zijn ook HPC omgevingen waarbij de zaken wel beter geregeld zijn en waarbij patches dagelijks/wekelijks doorgevoerd worden, de reken machine niet direct benaderbaar is van het internet en er via een 2FA door node toegang verkregen moet worden:
https://userinfo.surfsara.nl/systems/cartesius/getting-started
3) als je eens goed naar de CVE kijkt, en de geraakte HPC systemen, dan zie je een rode draad: het zijn geen CentOS / RHEL machines, maar ze hebben allemaal een SuSE base. De exploit is ook niet bruikbaar op RHEL 7 (RHEL 8 supers zijn er vrijwel nog niet):
https://access.redhat.com/security/cve/CVE-2019-15666
4) Als je verder in de materie verdiept, dan weet je dat als je SELinux (en bijv rkhunter / AIDE) gebruikt, een hoop van dit soort exploits niet werkzaam zijn en meteen gedecteerd worden:
https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/
Kortom, wat het meest waarschijnlijke is, gezien mijn ervaringen, is dat op die plaatsen waar ze 'gehacked' zijn, de organisatie kapot gemanaged is: technisch vrij uitgehold geraakt van echte profesionals en vervangen zijn door hippe HBOertjes met een windows laptop en een helldesk ervoor die ook wel iets HPCerigs willen doen (zoals dat nu gaande is een beetje bij mijn eigen UNI waarbij veel onervaren beheerders en mensen denken ook wel HPC te doen eventjes en dus ook vele vergelijkbare soort fundamentele foutjes maken en dat gaat goed totdat het eens goed mis gaat. oh en die security officers hebben ook geen HPC ervaring en hun ISO dittem dattum dingetjes die voor kantoor omgevingen opgezet zijn, zijn vaak niet uitvoerbaar en ook niet nodig. daar is ook nog een leercurve te nemen.).
bron:
https://www.archer.ac.uk/status/
https://www.theregister.co.uk/2020/05/13/uk_archer_supercomputer_cyberattack/
https://www.theregister.co.uk/2020/05/19/supercomputers_mining_bitcoin/
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/