Temat: wykop DB compromise
Przemysław S.:
...
Od tego są odpowiedni ludzie by zwracać na to uwagę. Uważam, że bezpieczeństwo środowiska aplikacji webowych to osobny temat, bo nie chcę teraz mieszać dwóch dużych zbiorów ciekawych zagadnień. Fakt, bezpieczeństwo aplikacji i środowiska są ze sobą w relacji. Jeżeli sama aplikacja wymusza degradację bezpieczeństwa środowiska to jest to idealny moment (są lepsze, ale może nie teraz o tym) by zapytać wykonawcę po co to i dlaczego. Przyznam szczerze, że miałem sporo takich przypadków i czasami wbrew pozorom okazywało się, że wystarczyło tylko trochę zmodyfikować konfigurację by zadziałał tylko jeden "ugly-hack" w aplikacji. Do tego stosowne monitorowanie i voila.
Czasami nawet nie trzeba robić "ugly-hack", wystarczy zastosować się do standardu i dobrych praktyk.
Przykład: baza danych firebird + aplikacja która kontaktowała się z bazą bezpośrednio na lokalnej instalacji domyślnie, choć była (aplikacja) przewidziana do pracy sieciowej - rozwiązanie: uruchomienie bazy jako usługi + konfiguracja dostępu aplikacji na adres localhosta.
Natomiast standardowa rada helpdesku tej aplikacji (komórka w Banku)- "Proszę dać pełne prawa odczytu do plików bazy dla wszystkich" - poprawka skryptu instalatora trwała 15 minut (z tego 10 na przeczytanie manuala do skryptu).
(aplikacja ta często była aktualizowana więc bez poprawki u producenta było to dość męczące)
PS. z aplikacjami web jest łatwiej IMHO, mamy większe pole manewru (od strony serwera) i przeważnie wgląd w źródła. Inaczej często sprawa wygląda od strony terminala/komputera użytkownika, gdzie nie mamy takiego pola manewru.
PS2. Pisząc z pozycji administratora, obejścia i rozgryzanie dlaczego coś nie działa poprawnie zabiera cenny czas, szczególnie gdy brak kontaktu z wykonawcą , ktoś powinien za ten czas płacić, a zwykle klient nie jest do tego chętny.
PS3. niestety w pewnych wypadkach zadając pytania wykonawcy (a nie będąc zleceniodawcą tylko stroną która ma to coś wdrożyć) trafiasz na przysłowiowy "Beton".
PS4. przypomina mi się pewien konkurs firmy z branży security, chodziło o przełamanie ich oprogramowania bezpieczeństwa, wygrał gościu który wykorzystał niezałataną dziurę w OS (solarisie zdaje się) na którym postawiono system, nawet nie zajął się hakowaniem ich oprogramowania.
Michał Panasiewicz edytował(a) ten post dnia 08.09.09 o godzinie 02:33