GoldenLine
Zaloguj się
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: bezpieczeństwo aplikacji - czy o tym się pamięta?

Poniższy przykład mówi sam za siebie:

http://webhosting.pl/Luka.w.HyperVM.pozwolila.hakerom....

Swoją drogą firmy hostingowe tez traktują temat pobieżnie, a muszą mieć przecież świadomość, że aplikacje webowe to obecnie najczęstszy cel ataków.

pozdrawiam
MM
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: bezpieczeństwo aplikacji - czy o tym się pamięta?

To tylko pokazuje lekceważenie problemu bezpieczeństwa maszyn wirtualnych i hypervisorów (w tym wypadku softu do zarządzania nimi).

Jeżeli firma hostingowa korzysta z zamkniętego softu to jedyną rzeczą jaką może zrobić jest postawienie proxy wycinające "złe" zapytania przed aplikację zarządzającą - oczywiście jeżeli wie o exploicie (w tym wypadku producent nie ponformował o exploicie, a powinien poinformować chociaż swoich klientów)

W przypadku opensource niby można sobie naprawić samemu ale do tego trzeba zatrudnić ludzi ;] ale przynajmniej daje szybszy czas od wykrycia do załatania ;]

Swoją drogą pokazuje to też że dobry backup to podstawa np.
http://www.vaserv.com/
wyglada tak jakby przynajmniej 1/3 danych poszla sie je***.
Więc używając jakiegokolwiek hostingu jednak warto jest mieć jakiś "własny" backup ;]
Link do wypowiedziLink
Leszek Miś

Leszek Miś System
Architect/Security
Consultant
(RHCA,RHCSS), Owner
...

Temat: bezpieczeństwo aplikacji - czy o tym się pamięta?

Skoro część danych została utracona na dobre, zastanawiający jest fakt istnienia, a raczej braku istnienia systemu backup-restore, a co za tym idzie polityki Disaster recovery (to jeden z podstawoych scenariuszy dla tego typu branży IT). W końcu były to dane 100k Klientów, a to dość dużo.

Zachodzi pytanie jak z podobną sytuacją poradziłyby sobie polskie firmy świadczące usługi hostingowe? Być może macie jakieś doświadczenia?

Może warto by zainteresować się usługą tzw. safe hostingu ? Z tego co się orientuję w PL nie istnieje firma świadcząca tego typu usługę "z prawdziwego zdarzenia".
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: bezpieczeństwo aplikacji - czy o tym się pamięta?

Cóż, największym problemem jest to że nie dowiesz się o tym czy backup hostingu działa dopóki coś nie padnie ;]. A jeżeli backup jest robiony na dyskach twardych (bo tasiemki wiadomo, nagra się i idzie do szafy) to atakujący może też się tam włamać i okaże się że firma hostingowa może przywrócić backup np. sprzed miecha bo wszystkie wcześniejsze były na twardzielach które atakujący wyczyścił.
Link do wypowiedziLink

konto usunięte

Temat: bezpieczeństwo aplikacji - czy o tym się pamięta?

Cały wątek podzielę na 2 części:

1) bezpieczeństwo aplikacji

Rzadko. Warto popatrzeć na licznik CVE w tym roku i listę CWE. Problem nie zamyka się w obrębie aplikacji webowych, czyli tam gdzie jest teraz największy trend.

2) kopie zapasowe a hosting

Czy w umowach firma<->klient macie zapis o kopiach zapasowych? Jeśli tak to jak szczegółowy? Od kilku lat mam takie odczucie, że jeśli nie ma czegoś w umowie to bardzo trudno tego oczekiwać ;) Można się obrazić, ale to nie jest rozwiązanie.

Bezpieczeństwo by default (i bez zapisów w umowie) to bardzo rzadko spotykany obrazek.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj