LINUX.ORG.RU
ФорумTalks

Пока гром не грянет — мужик не перекрестится

 , ,


0

3

Пока у $username не грохнут его личные данные — он не будет серьёзно относится к паролям и безопасности в интернете.

А ведь Интернет — давно уже не закрытый клуб джентельменов.

Это агрессивная враждебная среда, где армия скрипт-киддисов оттачивает свои навыки на неумелых админах, где миллионная орда ботов в режиме нон-стоп сканирует устройства беспечных пользователей, где допущенный растиражированный косяк производителей компрометирует личную информацию пользователей и компаний.

Да-да, речь идет о драме с удалением данных на сервере.

Почему я создал эту тему? Почему я не отписался там же или в отдельной теме https://www.linux.org.ru/forum/linux-org-ru/10146768?

Потому что, на мой взгляд, случай более глубокий, чем просто несанкционированное удаление данных. Позвольте привести пример (я не люблю аналогии, но ведь... всё наше обучение — это сплошные аналогии и сравнения).

Автомобили, права и правила дорожного движения. Кто готов спорить с тем, что правила дорожного движения не написаны кровью? Как бы Вы себя чувствовали на дороге, когда бы могли водить все и в любом состоянии? Когда не известно, кто за рулем встречной машины — опытный водитель, малолетний стрит-рейсер или нажравшийся алкаш? На самом деле, в реальности действительно нельзя быть ни в чём уверенным, но, благодаря законам, выезжать на дорогу в нетрезвом виде чревато лишением прав и отправкой машины на штрафплощадку, а потому количество неадекватных водил всё же намного меньше, чем было бы в случае отсутствия правил.

Позвольте задать вопрос...Кто виноват в милионных ботнетах? В массовой рассылке спама? В DDoS атаках мощностью в сотни гигабайт? Прочитайте пункты:

  • Вы беспечно относитесь к паролям, на своём компе, на публичных сервисах, на компах предприятия.
  • Вы создаете «одноразовые» учётки где-либо с паролями сродни qwerty или 123456.
  • Вы игнорируете степень защищенности компов ваших знакомых, если они просят вас настроить или же просто дают доступ. Какое вам дело до них?
  • Вы считаете, что персонально Вы или ваш компьютер никому не нужен, и на нём нет важной информации.
  • Вы полезли админить, не ознакомившись с элементарщиной в плане кибербезопасности.

Если хотя бы один пункт про Вас — то в вышеперечисленных бедах виноваты конкретно Вы.

Почему же все ринулись защищать пострадавшего? Почему защищающие не удосужились в первую очередь отчитать наивного админа локалхоста за вопиюще глупый поступок?

В моих глазах пострадавший — это ребенок, который взял машину и выехал на ней на автобан без навыков вождения. Мало того, что он предсказуемо пострадал, он ещё и поставил под угрозу других участников движения.

На его комп могли установить троян, прокси, vpn, заюзать локальный сплойт, использовать для рассылки спама, или оставить бэкдор. И это могло задеть каждого из нас, как участников глобальной сети.

Поэтому я всё же за:

  • Введение каких-то экзаменов на знание элементарных правил работы Интернета. Тем, кто ратует за статус компа как обычного бытового устройства, я хочу напомнить, что любое сложное бытовое устройство снабжается инструкциями по пользованию, и там есть раздел «Запрещается», который тоже пишется кровью.
  • Применение санкций со стороны провайдера при обнаружении легкополучаемого административного доступа к устройству или сервису (в ряде случаев даже прав пользователя хватает на запуск зловредов). Пусть санкции будут хотя бы в виде блокировки порта, пока беспечный юзер не пофиксит проблему. Потому что дыра на компе юзера чревата (помимо вышеперечисленного) ещё и баном целой подсети провайдера или занесенем в блэк/спам-листы.
  • Прекращения соболезнованию дятлу, не поставившему пароль. Сегодня он положился на авось, и выставил на всеобщее обозрение свой сервер с личными данными. Кто знает, если бы ему не грохнули данные сегодня, то завтра потенциально он мог бы открыть всем личные архивы семейного досуга, профиль браузера, логины/пароли к платежным сервисам. А послезавтра он в компании на авось оставит открытый доступ к серваку с бухгалтерией (не, ну а чо случится за пару часов или дней?).

Что ж до удаления всех данных... Независимо от того, как Вы относитесь к поступку vinnni, но он сделал меньшее зло из возможных. Как на счёт установки бэкдора, слива инфы, прошаривания в бэкапах, поиск конфиденциальной инфы, которая могла бы потом тайно использоваться в личных корыстных целях, или, напротив, быть безжалостно анонимно опубликована?

vinnni наказал глупость. Жестко, бескомпромиссно и публично. Я не хочу сказать, что я оправдываю или поощряю поступок vinnni. Я хочу сказать, что безалаберное и беспечное отношение vampir1510 — это бомба замедленного действия. Которая сегодня взорвалась, громко и с пердежем, облив случайно оказавшихся рядом жиром и говном.

/me выдохнул

★★★★★

Последнее исправление: Chaser_Andrey (всего исправлений: 1)
Ответ на: комментарий от x3al

grsec единственная развитая и обновляемая система жесткой безопасности в Линукс, так что других альтернатив не имеется.

Тео всё правильно сказал тогда и это актуально и сегодня. Или начал кто-то проектировать безопасный гипервизор?

Посмотри сколько патчится дыр безопасности именно в гипервизорах. Хотя инструкции виртуализации процов тоже с линукс связаны. В Линуксе ядро изначально не спроектировано под виртуализацию, а костыль получается слишком сложный и дырявый. Надо в помощь костыль в проц для виртуализации вставлять. Вот в DragonFly BSD всё правильно сделали и виртуализация там простая - следовательно дыр потенциально меньше.

Как раз (9:1) это статистика западных админов. Наши дадут (99:1)

multihead
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.