Маразм и безопасность.
декабря 30, 2009
Сейчас очень многие говорят о необходимости следить за безопасностью, например, использовать сложные пароли, о флешках с ключами, идентификации по отпечаткам пальцев (отпечаткам ног, носа, головы и т.д), и в целом я конечно же с этим согласен, однако есть одно но — безопасность не должна переходить в маразм.
Расскажу один случай, у одного человека падает сервер, пинг есть, но ssh и остальные сервисы недоступны. Он пишет хостеру просьбу ребутнуть сервер или дать kvm. Хостер просит идентифицировать себя, написать тикет с аккаунта, данные от которого на лежащем сервере, что естественно невозможно. Хостер просит отправить с wmid сообщение или платёж в 1$ — человек делает это, но следующее требование позвонить хостеру с телефона, указанного в профиле, причём даёт номер, куда можно позвонить не сразу. А сервер тем временем уже не первый час лежит. Но и на этом не ограничилось — теперь нужен уже скан паспорта. Это при том, что нужно всего лишь поднять упавший сервер, а не получить доступ к каким-то данным.
С большим трудом человеку удаётся уговорить хостера ребутнуть сервер, но сервер не встаёт после ребута, и хостер предлагает платное администрирование. Т.к. делать нечего, доступ к kvm без скана паспорта не дадут, клиент соглашается, спустя еще час хостер просит пароль от сервера. Да, очень сложно зайти в сингл и сбросить его, ну да ладно, это не главное.
Главное — это то, что у этого хостера тикеты с абсолютно открытым доступом! Именно поэтому я и читал эту переписку в тикете, хотя по идее это должен видеть только клиент и хостер.
А ведь в тикете есть IP и пароль от сервера, т.е. любой, кто прочитал этот тикет может поймать момент и захватить контроль над сервером, и это всё после того, как они морочили голову с wmid, телефоном, сканом паспорта.
Вот так вот правила безопасности становятся фикцией и переходят в маразм.
P.S. Сервер ему таки подняли спустя почти пол-суток после начала тикета.
P.P.S. Хостера специально не называю, т.к. это не пиар\антипиар.
