Souhlas, jen kreten v dnesni dobe ulozi hesla jako "plain text". Alespon MD5knout by to stacilo - neni to sice buletproof, ale poradnou chvili to zabere vygenerovat z toho heslo.
Především si myslím, že když jste se o "napadení", tj. zveřejnění FTP účtů a hesel, dozvěděl, měl jste kontaktovat Hosting90, celou záležitost jim oznámit a ne ji jen zapsat do svého blogu a - IMHO škodolibě - čekat, jestli si toho všimnou sami nebo ne.
IMHO se tak měl zachovat každý, kdo četl původní příspěvek i váš blog - aby to nebylo jen na vás. Úplně zbytečně byly ohroženy webové prezentace a později data uživatelů hostingových služeb; tenhle přístup "z cizího krev neteče" nechápu a docela se mi hnusí.
(Pokud jste Hosting90 28.10. kontaktoval a zapomněl se o tom ve svém článku zmínit, pak se Vám omlouvám. Ale opravte, prosím, článek - působí dojmem, že "vědět o problému, ale neoznámit ho" je dle Vás normální.)
A jaky by me melo potom vychovny element, kdyby jim to oznamil tak to potichoucku ututlaj. Je to dobre ze jim takto dal zausi, aspon se za ne priste chytnou...
naprostý souhlas
jinak článek je moc pěknej, zajímalo by mě jak se má bránit člověk který je u takové firmy zákazníkem - přece nebudu přecházet vždy když admin něco nezvládne - to bych nedělal nic jinýho
Povazuji za soucast "profesni cti" cloveka stojiciho na teto strane "bojove linie", ze pokud zjisti podobnou vec, kontaktujte a informuje postizeneho. Publikovat pouze informaci na blogu je dle meho nazoru jeste horsi, nez neudelat nic.
Kdyz nekdo mediu oznami, ze v nemocnici je bomba, myslim, ze redakce kontaktuje (v tomto pripade) policii, namisto toho, aby otiskla clanek s titulkem "Sestricky si dnes zaletaji". I kdyz co ctu posledni dobu iDnes, kdo vi...
Pokud mluvim o "bojove linii", nechci aby to vypadalo, ze odsuzuji hackera/y. Minimalne v tomto pripade mohli (pokud by chteli) byt mnohem destruktivnejsi. Takto se snad alespon cela vec zjistila vcas, nez na ni prisel pubescent, ktery by se nerozpakoval cely system promaznout.
Ja bych to neřešil, teď se to stalo jedné firmě, zítra se to stane druhé. Každý kdo alespoň trošku v oboru dělá ví, že velká většina hostingových firem nějakou bezpečnost příliš neřeší. Ono se ani není co divit, hostingy založené na posledním Linuxu, Apache2, poslední verzi PHP, poslední verzi MySQL atd. jsou zranitelné už ze své podstaty. Nebo snad znáte někoho, kdo by jel na ověřených stable verzích? Ani by to nešlo, zákazníci by ho roztrhali.
Takže se všichni modlí, updatují vybavení při každé nové verzi (i to je svým způsobem ochrana :) a doufají že hackerovi nebudou stát za útok.
Možná to někde dělají jinak, ale za svou kariéru jsem takovou firmu nepotkal (a to byste se někdy divili, jak vypadá "hosting" velké hostingové, webdesignové, nebo full service firmy)
no ja nevim, ale ja se nemoh na ftp dostat se svym starym heslem uz ve ctvrtek rano(kolem 8:00). Takze u mne bylo ftp "free" vlastne "jenom" pres noc. Jak to bylo s databazi, to nevim. Nemoznost prihlasit se jsem zaregistroval v sobotu vecer.
A jaky smysl tento hack mel? Banda pubescentu se pobavila, vyborne. Pokud chteli na neco poukazat, tak snad jen na to, ze by se meli zabyvat smysluplnejsi praci, protoze ten kdo na to doplatil, byl vicemene zakaznik hostingu...
Pouze jsem prebral informaci od "zdroje", overil ji a zverejnil. Nepatral jsem po tom, jestli se informace o hacku uz nekde na internetu objevila nebo ne. Proto jsem ani nevedel, jestli o incidentu sama spolecnost vi. To, ze Hosting90 nic nevedel, jsem pochopil az po rozhovoru s panem Koptou (patek 29.10.), ktery je kontaktoval a udalost jim de facto oznamil.
Urcite nebylo zamerem kohokoliv poskodit. Pokud bych zverejnil odkaz na stranku s FTP pristupy, pak by to jiste skodolibost byla. To se ale nestalo.
Myslím že zákazník tohoto hostingu může být rád, že nyní se snad v této firmě bezpečnost zvýší, tím i částečně obhajuji ten útok (c; třeba se nad tím zamyslí i ostatní
Pridam jeste jeden mozny smysl - zamerny utok od nejake konkurence. Nemusi to sice byt prave tento pripad, ale sam jsem se v praxi s timto setkal u mensi hostingove spolecnosti a ona konkurencni firma (prave zacinala podnikat) pote velmi intenzivne obvolavala jejich zakazniky a vychvalovala svoje zabezpeceni...
---> 1. Docela chápu, že Jan Horna nevěděl, jak se má v takové situaci zachovat - je to jen blogger. Považoval informaci za zveřejněnou a jen si ji poznamenal do blogu.
Pro mě naopak šlo o oficiální zveřejnění až ve chvíli, kdy jsem o tom psal - proto bylo třeba informaci experimentálně ověřit (prostě se připojit, nahrát data, kouknout na ně na webu, smazat data, odpojit se) a získat vyjádření poškozeného.
Mít víc času, obvolal bych i některé klienty společnosti a zeptal se, jak jim společnost incident oznámila a jak je informovala o nápravných krocích.
---> 2. Jestli zveřejněním této informace na Lupě došlo ke škodě na straně poskytovatele služeb, nedokážu posoudit. Každopádně společnost jsem kontaktoval telefonicky a emailem mezi desátou a jedenáctou hodinou, zprávička vyšla až ve tři (bez odkazu na seznam loginů), takže měla možnost chybu napravit, obeslat klienty, vydat oficiální vyjádření (pět hodin je dlouhá doba).
Zveřejnění této informace je důležité ze dvou důvodů: a) informovat klienty společnosti o potenciálním nebezpečí (společnost je vystavila možné újmě a neinformovala je), b) působit preventivně (ať už to znamená, že potenciální zákazník má lepší informace pro zvážení rizik, že konkurenční společnosti si dají na tento typ úniku informací důležitých dat pozor, sám poskytovatel bude věnovat více pozornosti zabezpečení, protože už ví, že to neututlá).
Informovat veřejnost o úniku takových dat je vpodstatě povinností masového sdělovacího prostředku. Je to informace o hrozícím nebezpečí. Podobně, jako když třeba z chemičky uniká nějaký plyn (akorát tady nehrozí poškození zdraví, ale "jen" hospodářský dopad pro poškozené klienty). A myslím, že Lupa v tomhle případě jednala vůči klientům splečnosti citlivě, když dala poskytovateli služeb dost času na zajištění bezpečnosti (i kdyby třeba jen shodila FTP server).
---> 3. Bývá zvykem, že konkurenční společnosti obvolají nebo obepíší klienty při takovémhle incidentu. Spíš se divím, že si u tohodle článku ještě žádný hosting nezaplatil reklamu. ;-) Taky bývá zvykem, že konkurence obepíše své klienty, aby je ubezpečila, jaké kroky podnikla k zamezení podobného incidentu. Každopádně, ze zveřejnění té informace nemám osobní prospěch a Lupa také bezprostředně ne. A ke zveřejnění informace nás nehnal špatný úmysl, spíš naopak - proto nechápu, proč mi zástupci společnosti opakovaně vyhrožovali soudem a trestním stíháním.
Eto vsjo z mé strany. Těším se na slíbenou soudní obsílku - nebyla by první, ale určitě by to bylo poprvé, kdy by soud uznal pochybení na straně média.
Urcity posun ve vnimaji tady je. Pred sedmi lety by byla diskuze na tema zdali je dobre zverejnit cely seznam pass a provozovateli nic nerict. Ted je diskuze na tema zdali nejste darebak, kdyz jste mu to nenapsal a za pet let vas budou kadrovat, proc jste nezavolal hned, ale az za 2 hodiny - az po obede. A vy budete argumentovat, ze mate vredy a ze jste musel nejprve v klidu dojist ;-)
To je blba analogie. Tady nikdo nepsal o tom, ze Janu Novakovi co hostuje u Hosting90 hackli web. Vina pada na toho, kdo mel jeho bezpecnost zajistit. Cili na tu autobusovou zastavku by sousedi mohli napsat leda tek jmeno firmy, co autorovi delala zabezpeceni dveri.
Mozna by tu bylo dobre rict ze prvni kdo na utok byl upozornen byl samotny hosting90. Proto mi prijde napadani koholiv tady ze nic nerekl uplne nesmyslne! Vse ostatni bylo zverejneno az potom co H90 odmitl zverejnit svou chybu a na svych strankach lhal ze byla zavada v HW. Zamerem bylo varovat verejnost pred lhostejnosti jejich providera a upozornit potencialni klienty co je ceka! Pokud nekdo toto odsuzuje tak mozna jen proto ze je admin nebo spolecnik spolecnosti H90, nebo provozuje hosting za stejnych podminek jako oni a modli se ze si ho nikdo nevsimne. Tyto vsechny bych rad upozornil ze vsimne!
Ano, tahle informace se ke mne taky dostala, ale jako naprosto nepotvrzena a neoveritelna. Pry utocnik sam kontaktoval Hosting90 a upozornoval na bezpecnostni diry webhostera, udajne pred nekolika tydny, snad mesicem ...
Já naopak Hornovi velmi děkuji za zveřejnění. Copak Hosting90, ten je již odepsaný. Ale pro ostatní nechť je to memento.
Každý natáhne software z CD-čka, obtáhne skripty z internetu, a pak spustí suverénní reklamu, jaký je mezi providery borec. To potom jinak dopadnout nemůže.
Jen jediný dotaz na Hosting90. Kolikrát týdně (v průměru) některý jejich správce projde logové soubory? - A odpovězte sami, ne nějakým neznalým právníkem!
v ankete mi chybi moznost ze to priznat nemeli.
vsechny moznosti jsou jen ANO a posledni je ze nevim takze jsem debil bez nazoru. neni to az prilis cilena anketa k jednomu vysledku...?? v ramci objektitivy nazoru cternare by tam moznosti melo byt vic, minimalne jedna univerzalni NE urcite.
Aniz bych si chtel delat reklamu, tak skutecne znam... dokonce jsou i zakaznici, kterym je temer jedno, zda-li maji last version nebo ne... spise ocenuji stabilnost nabizeneho reseni....<p>A to "zazemi" na ktere narazite... ryba smrdi od hlavy, tak treba zacnete tim, jak vypadaji hostingova centra temer vsech vetsich ISP...:-)))
Myslim, ze autor tohoto clanku se zachoval naprosto korektne. Neni policajtem, aby napravoval chyby ostatnich, kteri jsou za spravu webhostingu placeni. Navic chybu nijak nezneuzil a ani nenapsal navod, ale pouze overil. To, ze hosting90.cz byl hacknut, neni chyba SW, ale spravcu, kteri ho spravuji. Proto take najednou (behem nekolika desitek minut) meli na serveru vse v poradku. Zrejme probudili sveho quru na site a ten sel zase jednou zaplatovat... :o)
Hosting90 neni odepsany. Clanek na Lupe nema vliv na uspech v podnikani. Stejne jako negativni kampan AAA Auto. Kdyz to vysilali (pro 10 000x sirsi populaci nez je zde) tak jsem si myslel, ze to druhy den zavrou, a jak se jim dari.
Když jsem byl v létě u moře, tak jsem si říkal, jak Globtour se (na rozdíl od naší cestovky) stará daleko lépe o zákazníky. - Až na to, že už nedojeli domů! (A s Fischerem to bylo loni zrovna tak.)
Ale AAA auto a Hosting90 jsou úplně jinak vedené a úplně solidní firmy.
Mate obrovskou pravdu (vic, nez je prijemne), ze dneska se do IT a podnikani v IT pousti kde kdo a dela kde co. Od prodeje hardware pres spravu siti, webdesign a webhosting az po vyuku. Neni neobvykle potkat cloveka, ktery sam sebe nazyva pocitacovym expertem od doby, kdy se naucil preinstalovat si Wi(n)dows. A bohuzel takovy clovek obvykle mnoho navic ani neumi.
Ale i presto, ze vsechny obory souvisejici s pocitaci jsou dnes preplnene ruznymi diletanty a takyexperty, nepouzivejte slovo "kazdy" - to slovo oznacuje vsechny bez vyjimky a treba uz ja sam se proti tomu musim ohradit.
S timto mam jiste zkusenosti - pres trivialni chybu (includovani parametru) jsem se dostal k FTPku kde bylo (a do ted je) shromazdeno asi 300 webu. Informoval jsem webmastera, ktery odpovedel neco o tom ze to spravi. Nespravil, dira tam je porad, a dokonce se ani neobtezovali zmenit heslo na ftp, takze obcas kdyz se v TotalCommanderu ukliknu tak tam skoncim. A pokazde mam nutkani je upozornit nejak vyrazneji nez mejlem. To ze jsem to doted neudelal svedci o mem vyjimecne silnem charakteru ~_^
castym jevej je zalovat komplet vsechny registratory, protoze si dle sveho vyjadreji pro svou rychlost vybral nas system i pavel simon tu a tam prijde obsilka od soudu, kupodivu jsou tam casto velmi pestre veci :)
naposledy bylo v zalobe ze casopis xxx spolecnesky zabavny jedinecne vtipny, cenove dostupny urceny k pobaveni siroke verejnosti .....
Zustanu u tehle analogie - hned po znasilneni pachatel utekl a sousedka zavolala policii sama. Vy jste si cele veci vsiml, az kdyz policie prijela. Budete volat 158? Ctete dvakrat, nez neco napisete, podle me to autor docela jasne vysvetlil.
"Mít víc času, obvolal bych i některé klienty společnosti a zeptal se, jak jim společnost incident oznámila a jak je informovala o nápravných krocích."
Tak ja vam trosku prace usetrim a ozvu se sam.
Firma oznamila pouze to, ze hesla byla zmenna z duvodu rozsahleho upgrade systemu (ktery umozni spusteni novych planovanych sluzeb). O problemech se zabezpeceni a hacknuti ani zminka. Neco se da vycist mezi radky z toho, ze doporucuji pouzivani dlouhych hesel s kombinacemi cisel a pismen, ale jinak nic. Docela me stvou, tohle neni seriozni jednani.
a panove pozor, promluvil odbornik, tady konci legrace, veskere nase polemiky a diskuze nemaji cenu, kdyz tady pan tvrdi, ze nezna firmy, ktere tam nenaserou vzdy up-to-milisecond-date verzi, tak asi neexistujou njn. jdu zavolat kamosum at ty hostingy zrusej, kdyz vlastne neexistujou a svymu poskytovateli taky, v podstate ja mu uz ted ani nemusim platit - vzdyt neexistuje ...
je usmevne, ze probehla podle Vaseho vyjadreni "dukladna analyza utoku a zabecpeceni serveru" ihned po zverejneni ftp uctu (mimochodem ty jiz kolovali na internetu 5ty den), kdyz jiz druhy den daslo k zverejneni platnych uctu klientu k databazim
pan Horna ma pravdu, ze h90 nebyl (a neni) schopen danou situaci resit (zaloba za poskozeni dobreho jmena spolecnosti? vzdyt zadne nemate :)
vase tvrzeni, ze vase firma podnikla "rozsahla bezpecnosti
opatreni" nuti k zamysleni proc bezpecnosti problemy na vasich serverch stale pretrvavaji?!
"rozsahla bezpecnosti opatreni" podle vas znamena
"zmenili jsme hesla ted uz to je v pohode"? co to bude priste? "komplexni bezpecnostni audit?" :)
pravniky v pravde zalostny stav vaseho hostingoveho "systemu" nezachranite
mimochodem zdrojove kody toho soucasneho(pozor! psalo to nejake prase: :) sic) se prave ted vydali na svou dlouhou pout internetem
do noveho roku vam timto prejeme mnoho dalsich uspechu a
spokojenych zakazniku
Nikoli zlomyslnych lidi je na netu porad jeste dost - myslim ze FTP pristup na nahodne ci cilene vybrane virtualni servery klientu 'hosting90' si ze zvedavosti vyzkouselo hodne lidi, ale zatim jsem nikde necetl o tom, ze by byli zakaznici 'hosting90' poskozeni neopravnenou zmenou www obsahu. Take jsem ale nikde nenasel statistiku FTP provozu 'hosting90' za ony inkriminovane dny - na kolika strojich ted lezi kopie dat?
Vas pristup nesvedci pouze o vyjimecne silnem charakteru, ale i o lehkovaznosti. Prestoze zjevne take verite v lidskou slusnost, svemu webmasterovi liknavost v otazkach bezpecnosti netolerujte - ten clovek za svou praci bere penize stejne, jako Vy za svou. Obratte se na jinou odpovednou osobu, v nejhorsim pripade primo na majitele spolecnosti. Jiz zde byl citovan clanek http://underground.cz/548 - vrele doporucuji.
Dobry den,
tento clanek a tato diskuse jsou pro me velice uzitecne informace a rad bych pozadal o radu.
Pred par lety mi emailem prisla od nekoho informace, ze mame v nasem systemu bezpecnostni diru a ze dotycny clovek nam ji rad za 1000,- prozradi. Priznavam se, ze tehdy jsem situaci nezvladl a nevim, jak bych to udelal dnes.
Firma nechtela penize jen tak nekomu dat a platit ze sveho jsem to take nechtel (postupem casu by mi z vyplaty moc nezbylo). Asi 2 mes. jsem prolezal cely nas system, ale marne. Pote jsem se odhodlal napsat dotycnemu o radu, ale bez reakce. Dodnes si na to obcas vzpomenu a trapi me to :-)
Zajimalo by me, jak by jste se v teto situaci zachovali vy?
Dekuji
Chtel bych dukaz, ze chyba realne existuje. (Ve stylu "Firma v oblasti IT prijme hackera na plny uvazek. Strukturovany zivotopis zanechte, prosim, na pocitaci STANICE1 v adresari C:\Dokumenty\Konkurs" ;-)
Stala se proste typicka situace jako vsude jinde.. dokad nenastane poradnej pru*er tak proste spolecnost prachy na bezpecnost neda, a taknejak se to pytlikuje a jakmile nastane problem, vse se ututlava kazdej se tam chyta za hlavu jak se to mohlo stat a pritom stacilo tak malo mit v rozumne vysi fond na bezpecnost jak hw&sw tak na lidi...
Pro Eregon:
Když už chcete mít dokonalý WebHosting, tak si dejte TITLE až za META.
(Ale to má také špatně každý - třeba i Národní knihovna a ti už mají s Webem daleko více zkušeností než leckterý sebevědomý provider.)
Pane Bohuslave, taková pěkně použitá anafora. Skoro jako z učebnice! Bohužel to je pojem z básnických figur a ne normálně psaného textu vyjadřujícího se k nějaké věci. IMHO si tedy myslím, že používat IMHO a IMHO hned dvakrát za sebou na začátku dvou vět jdoucích po sobě je poněkud špatně vypadající.
Mé vyjádření k článku? Pan Honza Horna je zajisté magor, ale určitě nééé hajzlík ani mamlas, možná trochu cvok. Vím to, protože ho znám a IMHO je docela v pohodě a když už jsem u těch "anglických výrazů" je taky prostě cool... :)
shrnu:
1. predbezna opatreni jsou bezna
2. casto jsou zalovani komplet vsici registratori
3. casto jsou zaloby opatrenyo az komickymi zduvodnenimi
4. pavel simon ma u nas par takto problematickych domen takze to od soudu chodi dost casto.
jinak zdravim, ted z odstupem uz je to snad v poho. pozdravuj doma (1,2,3 nebo kolik vas ted je:)
..a ked ten pachatel utiekol tak Vam zavolal na mobil ze znasilnil vasu susedku, vy ste to napsal do novin, susedka
si precitala noviny a zistila ze ju niekto znasilnil a zavolala vam jak to ze ste to napisal do novin a nekontaktoval ju osobne.. akurat mi nieje jasne kto volal policiu a kedy, z clanku to nieje moc jasne ;)
Spíš je to tak, že si v průchodu pod dálnicí přečtete "znásilnil jsem vaši sousedku, má na krku mateřské znaménko" a jelikož je pod tím připsán časový údaj půl dne starý, žeknete si, že to sdělení určitě už viděla spousta lidí a prvních několik určitě alarmovalo policii a nejspíš i místní pochůzkář od městské už nápis také viděl, a tak si poznamenáte do deníčku: "dneska se v jednom průchodu pachatel přiznal, že znásilnil naši sousedku, prý má na krku znaménko, ověřil jsem to, opravdu ho tam má".
Ale přirovnání vždycky pokulhávají a tohle přirovnávání je spíš hra , než že by to o něčem vypovědělo.
Pro některé své webové účty z pohodlnosti používám ftp. dlouhá hesla jsou zajímavá jen kvůli útoku hrubou silou (odhadování hesla). Jelikož je ftp otevřený protokol, není nic snazšího, než si heslo cestou mezi klientem a serverem odchytit. Proto neni vhodne ftp pouzivat pro komercni aplikace.
Použítí nějakého secure ftp nebo scp by bylo z hlediska ochrany uživatelů lepší -- tedy za předpokladu, že útočník hesla jen odchytává, pokud si pro ně přijde na server, scp vás nezachrání.
existuje mnohem elegantejsi reseni - mit ve webadminu (ci jak se prislusna rozhrani jednotlivych firem jmenuji) moznost zakazit FTP ucet. Rada zakazniku to uspesne pouziva treba proto ze jim obsah webu zajistuje nekdo jiny a i kdyz heslo zna/da se zmenit tak ftp vubec neni povoleno. Odemceni je pak zalezitost par minut. Ovsem predpoklada to mit moznot kompletne oddelit hesla od jednotlivych sluzeb a mit centralni login na veskera nastaveni (pristupne pouze pres SSL).
Z praktickych zkusenosti lze ovsem prohlasit ze casteji se k souborum/datum ze serveru dostane clovek mnohem primocareji a nemusi nachazet odkudzepak to nekdo nahrava data pres ftp. Pouzije nejakou chybu v www aplikaci a uz ani ftp nepotrebuje dostane tam nejake webftp ci sve "tools" precte celej ten web zjisti hesla ....
a pak spamuje :) je zajimave kolik lidi se tomu venuje a kolik lidi nema ani tu zakladni otrlost prejmenovat ruzne formail.php/asp sendmail.php nebo pouzit nejakou primitivni autorizaci (treba nejaky treba 10 minut platny hash obsahujici i mail prijemce )
pekny den, osobne si o hacku hostingu90 myslim pouze to ze jiste ma souvislost s vypadkem elektricke energie v housingu casablanca. nic proti adminovi nemam, ale troska vice skromnosti by obcas prospela! /uff az se mi od huby prasi :)/
je to specifikum jedne ceske kynologicke firmy :) jen ktere kdyz se uz zase prejmenovala. puvodne jsem reagoval ze pisete ze je odsouzena k zaniku (odepsana) pak nasledne ze je u vas odepsana - ne neni zivot de dal 85% zakazniku se to dle meho ani nedozvi.
Na druhou stranu mozna kladete prilis prisna meritka. Nevidim duvod, proc by mel byt povinnen tuto informaci predat zdarma.
Rekneme ze ten "cracker" by predstavoval spolecnost zabyvajici se konzultacema v oboru internetove bezpecnosti. Potom nevidim moc velky rozdil mezi jeho nabidkou sluzby vylepseni zabezpeceni a nabidkou, napriklad od marketingove spolecnosti, na vylepseni propagace vaseho produktu.
Rozdil by byl, kdyby dotycny vyhrozoval zverejnenim nebo dokonce zneuzitim, pak by se jednalo o vydirani.
Aj, vyznelo to jinak, nez jsem chtel. No, co uz, pozde bycha honit.
Jsem jeste pul krucku za preinstalaci DirectX - poradim si i s vecmi jako ./configure; make; make install; to uz ale do Windows nepatri.
Tak to je ubohe a je zrejme ze Vam neslo o to komukoli pomoci, ale jen o to jak ziskat publicitu pro Vas smnesny blog. Coz je dos smutne a poukazuje to na Vasi ¨Inteligenci¨ i povahu.
jsem jednatelem menší hostingové společnosti (cca. 300 domén) a denně trnu hrůzou, že náš hosting někdo hackne, přestože děláme maximum pro zajištění bezpečnosti (stát se to prostě může - jde jen o hru mezi hackery a sysadminy).
právě proto mě zarazilo, že je bezpečnost hostingu90 natolik mizerná, že mají někde v databázi uložená plaintextová hesla k FTP/mySQL!!! to je přeci fatální bezpečnostní selhání!!!
abych vás trochu pobavil, nebudu zastírat, že se občas porozhlédnu po serverech konkurence, když pomáhám novým zákazníkům přejít od webhostera, u kterého nejsou z různých důvodů spokojeni (myslete si o mě co chcete), a podělím se o následující zjistění:
- mnoho hostingových společností nepoužívá ani základní bezpečnostní opatření, takže získat heslo roota do mySQL není problém - pomocí skriptíku v PHP často není problém otevřít cron, najít skript, který v noci provádí zálohování, a zjistit z něj heslo (mysqldump --all-databases -u root -pMojeHeslo) :-)
- z mé vlastní zkušenosti jsou nejhorší firmy, které poskytují tzv. "webhosting" jako součást připojení k Internetu, tj. nainstalují pár balíčků, tak nějak je zkonfigurují, aby chodily, a na všechno ostatní kašlou
- zažil jsem už i větší společnost, která poskytuje serverhosting, a některým zákazníkům zapomněla nastavit heslo pro roota do databáze (takže http://www.doména.cz/phpmyadmin, root bez hesla a jupí)...
- znám pár lidí, kteří se zabývají legálním dobýváním firemních sítí, hostingů a podobných (tedy že si sám majitel/provozovatel nechá provést externí bezpečnostní audit), a také se nestačím divit, na co přicházejí...
- myslím si, že kdyby někdo hackerům platil za hackování webhostingů, až do Vánoc by lupa nepsala o ničem jiném než o hostingu90 a jemu podobných :-)
- když i Portál veřejné správy Ministerstva vnitra (za mnoho miliard) obsahoval několik fatálních SQL-injection a do databáze se připojoval pod superuserem (viz starší článek na underground.cz), nedělám si o významu slova "bezpečnost" v české společnosti vůbec žádné iluze...
ČLÁNKY DO MAILU