Zabezpieczenia i przewidywanie zagrożeń
Jak już pisaliśmy na naszym blogu, nie stosujemy kont DEMO dla osób chcących przetestować nasze serwery przed podjęciem współpracy. Tak samo jak ograniczyliśmy do niezbędnego minimum świadczenie usług hostingowych dla osób prywatnych. Od lat zajmujemy się głównie świadczeniem usług hostingowych oraz administracji serwerów dedykowanych dla firm i instytucji. Świadczenie profesjonalnych usług hostingowych zobowiązuje do zachowania wysokich standardów bezpieczeństwa jak i przewidywania niektórych zdarzeń.
Dlatego z wyprzedzeniem zrezygnowaliśmy z wątłej formy marketingowej do jakich można zaliczyć udzielanie konta DEMO dla celów testowania wydajności serwera. Takie testowanie może właśnie służyć do testowania podatności na wykryte luki w zabezpieczeniach. Nasz zarząd, wyprzedzając zdarzenia już w grudniu 2019 roku opracował metody bezpiecznego świadczenia usług hostingowych. To w tamtym czasie wyłączyliśmy możliwość testowania naszych serwerów przed podjęciem współpracy.
Luka w Linux od 12 lat
Z biegu czasu widać że to była bardzo dobra decyzja. Do informacji publicznej w ostatnim tygodniu stycznia 2022 roku, została podana wiadomość o odnalezieniu i załataniu luki zabezpieczeń w protokole testowym. Posiadając dostęp do serwera (np. konto DEMO), można było próbować dostać się do konsoli serwera w celu uruchomienia trybu testowego. W ten sposób można było dostać się na cały serwer. W poprzednich latach do informacji publicznej podano wiadomość o występowaniu zjawiska „echo” na procesorze i pamięci podręcznej co też umożliwiało nielegalne działania na serwerach. Co gorsza, luki te były znane przez wiele lat zanim zostały upublicznione.
Dlatego chcąc wyprzedzić zagrożenia zamiast tylko reagować na powstałe ogniska wiadrem wody, analizujemy możliwości przedostania się przez zabezpieczenia i wdrażamy działania mające przeciwdziałać.
Niestety każde kolejne takie doniesienie prasowe utwierdza nas tylko w przekonaniu że wysokie restrykcje bezpieczeństwa są najważniejszą zaporą przeciwdziałającą praktykom wykorzystywania luk znanym tylko w pewnych kręgach. Raczej mało prawdopodobne jest to że szukający luk znaleźli ją dopiero teraz i nikt nie wykorzystywał tej wiedzy do własnych celów.