כחלק מהתפקידים שלי בחברה (SPD) אני רשום לקבוצות Facebook שונות על מנת לחפש אזכורים (לטוב ולרע) ולהגיב (טכנית) אם יש בכך צורך.
תוסיפו לזה את העובדה שאני נוהג לקחת דברים ללב.. ותקבלו שילוב מנצח.
הפוסט שראיתי היה חלק מקבוצה המתמחה ב-wordpress, בזו הלשון:
אני בתמימותי ציפיתי שהתגובות לפוסט יהיו בין "זה תלוי" (בחברת האחסון / כמה זמן הקבצים שם / התריאו לך בעבר?/ וכו') לבין "ממש לא!".
לא יודע איך, אבל רוב התגובות (בתחילת הדיון בכל אופן) נעו בין "זה מוצדק" ל-"מוצדק מאוד מאוד".
רגע, כולם השתגעו?
האם תפקיד חברת האחסון הוא רק לאחסן את הנתונים שלנו או שמא חברת האחסון נותנת פלטפורמה כלשהי?
האם הפלטפורמה לא כוללת אבטחת מידע כלשהי? האם הכול הוא באחריות הלקוח ועליו בלבד?
ואם כך, מה בעצם תפקיד חברת האחסון? לקנות מחשב, לשים עליו מערכת הפעלה של Linux וממשק ניהול? – האם בזה מסתכם הידע הטכני של חברת האחסון?
אוקי – הכנסתי את עצמי לבעיה, בעיקר כי התשובה מאוד מורכבת.
לדעתי:
- אחריות חברת האחסון: אני נוגע פה אומנם בחלק מאוד רחב, אבל אסביר את דעתי בקצרה:
האחריות היא אחריות לכלל הלקוחות, כלומר – במידה ומדובר בשרת שיתופי, חברת האחסון צריכה להעדיף (באופן כללי) את טובת כלל הלקוחות ולא את טובת לקוח ספציפי.
Said that.. כל לקוח הוא חשוב, אין לקוח שחשוב פחות מלקוח אחר, גם לא זה שבדיוק פרצו לו לאתר.
כלומר, בתמונה הכללית אני מסכים – עדיף אתר אחד למטה מאשר 50, בטח אם האחד הזה יכול לגרום נזק לכל שאר ה-50.
אבל – לא אפשרי ליצור מצב שבו משביתים ללקוח את העבודה ב"strik 1" – נכון, ישנם מקרי קיצון (למשל, הלקוח העלה קמפיין של YNET בשרת שיתופי) בהם יש צורך לבצע זאת
אבל קבצים זדוניים? באיזה עולם הם מקרי קיצון? - קבצים זדוניים: שם מאוד כללי לקבצים שהועלו ע"י תוקף – הקבצים יכולים לשמש לטובת משלוח ספאם, כמו כן הקבצים יכולים לשמש לשם הרחבת הפריצה והשתלטות על השרת.
הטענה במקרה זה תהיה "היי, הקבצים מסכנים את כלל הלקוחות, וזאת מכיוון שעקב פריצה ללקוח אחד – התוקף יוכל להרחיב את הפריצה ולהשתלט על השרת"לכאורה – טענה לגיטימית.
זהו ש.. לא, אם כבר יש ציפיה בסיסית מחברת האחסון היא שתדע למגן את עצמה מ-webshell שונים (מכולם? מחלק? אני מניח שזה כבר תלוי ברמה הטכנית של החברה).
מה הכוונה? שהחברה תדאג לחסום את כל הפונקציות שצריך לחסום, למנוע גישה לתיקיות של משתמשים שונים, שתכיר את ה-webshell השונים, שתנסה להפעיל אותם ותראה כיצד הם משפיעים (אם בכלל) על השרת. - חקירת פריצות: חברת האחסון לסגור את נושא העלה של הקבצים ב"האפליקציה שלך פריצה, תעדכן" – חובתה של חברת האחסון היא לספר כיצד פרצו לאתר: פלאגין פרוץ? איזה בדיוק, גרסת wordpress בעייתית? מה הגרסה?
עבור כל פריצה, אתם צריכים לדרוש מחברת האחסון למצוא עבורכם את ה-Point-Of-Entry. - הגנה אקטיבית והגנה פאסיבית: אי אפשר לצפות מחברת האחסון שתגן על הקוד של כל אתר של כל לקוח, כן אפשר לצפות שתנהל מערך הגנה בסיסי עבור אתר הלקוח, מנגנון כזה צריך לכלול סריקה של קבצים המועלים באמצעות ה-Web או באמצעות ה-FTP, מנגנון שיסרוק קבצים המועלים לשרת אל מול חתימות מוכרות של webshells, מנגנון שיחסום באופן אקטיבי נסיונות הזרקת SQL, LFI, XSS (לדוגמא: שירותי ה-WAF של SPD, המגיעים כסטנדרט בכל חשבון אחסון).
- אנטי ספאם יוצא: אם ישנו אנטי ספאם למיילים היוצאים מהשרת – הסיכון הכרוך בהעלאת קובץ ע"י תוקף שמטרתו לשלוח ספאם קיים, אך הוא נמוך משמעותית (מכיוון ששליחת SPAM מהשרת לא תגיע ליעד, אלה תעצר באנטי ספאם) – אבל בוודאות לא ברמה של לסגור את חשבון האחסון של הלקוח כאן ועכשיו.
או בקצרה: תפקיד חברת האחסון הוא הרבה יותר ממחשב + מערכת הפעלה + ממשק ניהול.
תפקיד חברת האחסון הוא לספק את מלוא הפלטפורמה הנדרשת להרצת האתר, החל מגרסאות של תוכנה (php, mysql וכו') ועד לאנטי וירוסים, מערכות Firewall חכמות ובעיקר- המון ידע טכני ונסיון.
לא מקבלים את כל זה מחברת האחסון הנוכחית שלכם? אולי זה הזמן לעבור לחברת אחסון שדואגת לכם קצת יותר 😉
- ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
- Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
- PHPMailer Exploit - דצמבר 28, 2016
השאר תגובה