Vlákno názorů k článku Čistění napadeného WordPressu: jak jsem hledal a vyhodil útočníka z webu od RRŠ - Byl propuštěn pro hrubé porušení povinnosti, nebo přišel...
-
Byl propuštěn pro hrubé porušení povinnosti, nebo přišel o prémie?
Fascinuje mne tahle potřebahledání a trestání viníků
, přesně dle hesla:po bitvě je každá generálem
!
V tomto případě zcela zřejmě udělal admin chybu (pravděpodobně zapomněl zapnout automatické aktualizace...), ale na problém přišel - podle údajů v článku zřejmě dost brzy, protože ty soubory se opravdumnoží jako králíci
a tady jich bylo celkem málo.
Takže váženíexterní personalisté
: nezapomínejte na pravidlo, žechybama se admin učí
a važte si těch, kteří se ze svých chyb poučili. Pokud nevznikla velká škoda, tak jste jim právě zaplatili cenný praktický kurs bezpečnosti v IT - a je hloupost je hned po proškolení vyhazovat. -
Nikoliv.
Tady je zřejmé, že (kdo) za to může: v první řadě darebák hacker, pak ten admin. Ale pokud vznikla jen minimální škoda a náprava byla rychlá (což zřejmě pro tento případ platí), je mnohem výhodnější to brát jako dobrou lekci.
Obrazně řečeno:svět bude lepší, když necháte lidi dělat chyba a učit se z nich, než když je pokaždé vyhodíte a nahradíte někým jiným, novým - který zřejmě udělá stejnou chybu
.
S dodatkem, že pokud hledáte někoho, kdo žádnou chybu neudělal, nesmíte zapomínat na pravidlo, žekdo nic nedělá, nic nezkazí
. -
Trošku to zveličujete či překrucujete, ale budiž...
Když se přistávalo na Měsíci, tak těch chyb nadělali všichni - včetně astronautů - hromady. Dokonce se s tím i počítalo a systémy byly navržené tak, aby se z chyb zotavily.
Ostatně, kolikrát se podařilo v kosmickém výzkumu zaměnit jednotky (metry vs. stopy), to snad ani nikdo nespočítá...16. 1. 2024, 09:47 editováno autorem komentáře
-
Je to sice smutné, ale jsme prostě lidi - se všemi přednostmi i chybami. A proto se občas někde něco nepovede a někdy to může skončit i dost špatně. Ale když třeba spadne raketoplán, identifikuje se "viník" a "potrestá se", čemu to vlastně pomůže? Život to astronautům nevrátí, peníze za raketoplán taky ne, navíc s tím onen inženýr přijde takřka jistě o práci a do smrti si na podobné pozici neškrtne, a bude do smrti žít s tím, co způsobil - což je asi nejhorší trest pro každého, kdo má alespoň špetku svědomí.
Čemu nebo komu pomůže, že ho budeš trestat ještě víc?
-
No stím by se dalo souhlasit jen na pul.
1) ano chybama se clovek uci
2) za chybu nutne musi prijit trest, protoze, kazde jednani ma sve dusleky...Nutne to nemusi byt vyhazov/premie atp. Mne kdyz se tenkrat povedla schodit produkce, tak trest v teamu byl takovy ze jsem pul roku delal updaty sam :D ( za a to nikdo nechce delat za b to delaly vzdy nej juniornejsi kolegove) Kcemu je to "pouceni" bez trestu jak dlouho si to clovek bude pomotovat? Ten "trest " tomu zveda uroven zaryti do pameti....
Od te doby uz si sakra davam pozor abych to nezopakoval, ci neudelal jinou...
Tahle ta doba kdy nidko za nic nemuze a za chyby se chvali, protoze cyhbovat je normalni, je minimalne smutna. Zachvily prijde doktro a rekne pardon nejak jsme udelal chybu, ale k slepaku jsem vam sebral i ledvinu. Holt chybama se clovek uci....
-
No sebemensi chybu?
Myslis ze jako ze svym lajdactvim vytvrorit backdor do site je sranda? myslim ze v tomhle priapde byl utocnik jeste moc hodnej ze se nesnazil do louapat dal interne....
Nebo sestreleni prodkuce na 30min, co generuje penize te firmne?
Jasne ze nebudes trestat vse, ale jsou prohresky ktere se nejak potrestat maji. A ne jen to omluvit se slovy, priste uz si na to dej pozor. Jasne dit se vlastne nic nestalo...
-
Podle všeho šlo o nějaký minoritní webový systém university (to by musel upřesnit autor), takže bych to tak tragicky neviděl.
A právěveřejný sektor
je pověstný tím, že odbornou práci neumí ohodnotit. Zjednodušeně: najmete ajťáka za tabulkový plat, a pak se divíte, že je to chyby generující začátečník - nebo rychle uteče do soukromého sektoru na lépe placené místo. (A to platí nejen o IT, ale na universitách prakticky o všem, co se netýká přímo výzkumu nebo výuky.)
Sám jsem kdysi dávno dostal nabídku na takové místo, s neoficiálním dodatkem:placený je to mizerně, ale nikdo se nebude šťourat v tom, co děláš bokem
. -
Ano jednalo se o vedlejší web co si uživatel spravuje sám. A server je na to aj uzpůsobený, aby případně nemohl způsobit velké škody. Je zajímavé, že tenable, který web několikrát scanoval na ten hack neupozornil.
Bohužel ano veřejný sektor je na tom velmi špatně, je nás(mě) tu tak málo, že se NIS2 děsím. Ani ne tak povinností jako sankcí, které budou následovat za nesplnitelnost povinností. Tuhle jsem řešil jednu věc s adminem ze střední školy a tam je to ještě horší. Učil, staral se o všechna PC na škole, internetovou přípojku, aplikace v cloudu a nově by měl ještě dělat NIS. Směšné.
-
Nejak nechapu otazku na kterou jiz byla zminena odpoved.
Ano jak jsem psal vyse, ne nevyhodily... Ale rozhodne to neznamena ze jsem si to nevyzral. A to je za mne zpravny zpuspob.
Podle mne je chyba a chyba. A jsou veci za ktere proste klepnuti pres prsty musi dojit, a na seniorite nezelezi. Co se stalo ve zminem pripade.. hmm nejakej clovek co tomu rozumi to vlastne opravil takze se "nic" nestalo. Zajmave pouceni...
Tenhle slunickovej pristup, kdy za nic nikdo nenese zodpovednost, nevyvozuji se dusledky a neprichazi "tresty" je cesta do pekel.
Ani se neporvedlo nataveni aby se to na te siti jiz nedelo, protoze jak sam autor rika, tak to nelze. Coz si nemyslim, ale je to jeho prace...
-
Pro mne byl vzdy trest rollback a postmortem analyza. V momente kdy vam nejdou pres ustrednu nouzova volani uz jde do tuheho.
Tohle se stalo byvalemu kolegovi: https://karlovarsky.denik.cz/z-regionu/zapricinila-smrt-seniora-nedbalost-20131021.html -
No - my nevíme, jaké
klepnutí přes prsty
následovalo. Takže: těžko soudit (odsuzovat).
Třebas ten nešťastník ještě teď máčí brko v kalamáři a milionkrát opisuje:Nebudu spravovat web, když tomu nerozumím.
...
- Já třebas už vím, co jsem nevěděl.
- Schválně, jestli to vím taky.
- Vím, že na odbornou práci je třeba volat odborníky.
- To jsem nevěděl.
(Byl jednou jeden král) -
Pokud někdo dokáže "spáchat" takovou chybu, pak je vinen i management, že mu to umožnil. Pokud se nejednalo o úmysl, pak nemá smysl trestat. Tím dosáhnete leda toho, že nikdo nebude chtít nic dělat. To aby něco nepokazil.
V duchu "Kdo nic nedělá, nic nezkazí. Kdo nic nezkazí, zaslouží odměnu."
Trest ničemu nepomůže. Potřebujete vyřešit situaci, která k tomu vedla. Plus zda k ní vůbec smělo dojít. Sestřelit produkci je něco, k čemu by nemělo dojít ani kdyby člověk chtěl.
-
L.Stříbrný podporovatel
No, hlavním viníkem bych viděl hlavně přebujelou administrativu, která vyžaduje, aby na všechno byla kolonka / šuplíček a dvacet schválení, takže když je potřeba WordPress web pro něco, tak jediná šance je udělat si to nějak samo domo, protože oficiální formálně správná cesta je reálně neprůchodná. Ten člověk se pravděpodobně jen snažil pomáhat, ačkoli k tomu neměl znalosti a zkušenosti. A "přebujelou administrativu" potrestáte těžko.
-
za a to nikdo nechce delat za b to delaly vzdy nej juniornejsi kolegove
Vybudovat si takové prostředí kde: updaty jsou problém a nikdo je nechce dělat; za trest se dávají nováčkům, kteří nemají zkušenosti. A potom jmenovitě hledat viníka. Gratuluju. Tohle je sovětské vedení: vždy je potřeba přísně potrestat někoho, kdo u toho zrovna stál a tím je to vyřešené.
Tohle je asi ten nejhorší způsob řešení problémů. A tyto a podobné věty jsou jasným signálem toho, že je něco systémově špatně.
V IT je vždy považoval za obrovskou výhodu to, že si můžeme ukázat na jednotlivé komponenty (ať již sw nebo hw) a přesně identifikovat, co se stane, když selžou. A následně s tím buď jenom počítat a připravit si plán na to, až tohle selže, nebo je nějakým způsobem eliminovat (typicky raid, více zdrojů, ups). A vždy mě štve, že se to jednak nedělá, ale hůře, v situaci, kdy něco (zcela očekávaného) selže, tak se dle sovětského vzoru vždy hledá jméno a tím se "vyřeší". V IT jsme (teda alespoň já) od toho, abychom to dokázali identifikovat a navrhnout řešení.
A OK, pokud teda chce někdo hledat jména a myslí si, že se to tím vyřeší, tak OK, ať teda zcela jasně a dopředu napíše, kdo za co má být odpovědný, současně s tím mu k tomu dá potřebné prostředky, školení, vzdělání a nechá jej to dělat. I tohle by ve skutečnosti vedlo ke zlepšení. Jenže ani tohle není vidět.
-
Tak tady se jmena nehledaji, tady je jasne co se stalo a ci je to vina.
Ale jako vazne si myslite ze jen njn ses blbej nic se nestalo, priste se to nezopakuje?
Tady je chyba uz v procesech a ze nerve security oddeleni. A ze neni povinsot kdyz neco takoveho provozuji, tak spnit nejakej podminky, bez kterych to nesmi ven...
Myslim ze jste natolik stary aby jste chapal, kdy je to banalita ak dy to muze byt problem. Nasledne to co dotycnej provedl, ani neni zrejme zda mu byly vysvetleny vsechny dusledky, zlvast kdyz se ani nevi jestli se to nezavleklo nikam dal...
Nikde nerikam ze maj padat hlavy atp, ale vas pristup vypada jako tech urednicku, kde je to vse jedno. Protoze kdyz se neco stane tak smula...
Nejsem zastance aby se dotycny ocejchoval, jak rikate, ale to ze z toho neni dusledek.. reakce nic.. je smutne...
-
tady je jasne co se stalo a ci je to vina
Mě ne.
Ale jako vazne si myslite ze jen njn ses blbej nic se nestalo, priste se to nezopakuje?
Jednak, můžeme si tykat. Vůbec nevím, kde se vzalo na rootu vykání.
Tohle jsem ale vůbec neřekl. Jen je potřeba zjistit co se stalo a proč se to stalo. Já třeba vůbec nevím, co se stalo v tom tvém případě, ty jsi to tady nijak nespecifikoval. Ale zažil jsem několik situací, kdy byl někdo poslán na práci, o které nevěděl vůbec nic, nikdo mu k tomu nic neřekl a podle toho to taky dopadlo. Ale tohle vůbec nepovažuju za chybu toho člověka. Tohle je chyba systémová.
Tady je chyba uz v procesech a ze nerve security oddeleni.
Já z článku vůbec nevím, o jak velký nebo významný web se jednalo. Klidně to mohlo u někoho v kanclu běžet ve virtuálce a admin si s tím chtěl jen pohrát.
kde je to vse jedno
Tohle v mém komentáři nezaznělo ani jednou!
-
To píše ve vlákně nahoře, které jsem před odpovědí nestačil přečíst. Nicméně podle počtu napadených souborů a mé zkušenosti s podobným neřádem jsem odhadoval, že k ní došlo relativně brzy - jinak by ten web byl promořený až hrůza. (Tohle je schopné vygenerovat dvojnásobný počet souborů, než kolik jich ten systém má.)
Nicméně jsem myslelbrzy po zjištění
- a vzhledem k tomu, že byl čas na výzkum typukus vyčistím a podívám se, co tam druhý den vyrostlo
, nepředpokládám, že šlo o kdovíjak kritický web.
Navíc zcela zřejmě provozovaný/spravovaný laikem, který si s opravou sám neporadil - takže nepředpokládám, že měl vpopisu práce
pravidelný bezpečnostní audit, záplatování a okopávání nějaké webové prezentace. Mnohem spíš to bylo nutné zlo v rámci jeho odborné činnosti. -
Lidi, vysoké školy a IT jsou v tomto ohledu velmi specifické prostředí. Kdysi jsem dělal a studoval na veliké univerzitě, která má i velmi známou fakultu informatiky.
Celá univerzita byla prolezlá miniaturními (co do významu) servery, které obsluhovaly jednoduché weby...
A třeba na té fakultě informatiky mělo mnoho učitelů takový servřík často v kabinetě pod stolem. Univerzita měla tehdy na každé zásuvce veřejnou IP, tak to fakt nebyl problém. Paradox byl, když jeden učitel měl serverovnu kousek od kabinetu a neustále řešil, že mu někdo ten server v kanceláři vypíná a odpojuje od sítě - občas mu někdo vytrhnul kabel ze síťovky. Do serverovny ho dát nechtěl. Byla to výhoda pro studenty, kteří získávali body v jeho předmětech za opravy toho serveru.
No a na druhém konci budovy sídlil celouniverzitní IT tým, který poskytoval věci jako server jako službu nebo webhosting... Pro potřeby univerzity to bylo bezplatné a údržba byla v ceně.
Po skončení na univerzitě jako student jsem v tomto týmu více než 10 let pracoval a některé tyto služby pro univerzitu jsem měl ve správě - přenos serveru z kabinetu do serverovny jsem nabízel mnohokrát a stejně častokrát jsem byl odmítnut. Do prvního bezpečnostního incidentu. My jsme nabízeli aktualizace, zálohování, garantovali jsme dostupnost... To v těch kabinetech neměli. Hlavně si mysleli, že to přeci zvládnou a nic to není...
Proč bys měl trestat učitele za nebezpečný web? To bys rovnou měl trestat za zavirovaný počítač. To byly horší problémy, které skončily až zavedením centrální správy a odebráním lokálního admina většině uživatelů (jo, to bylo napřed křiku).
V době, kdy jsem na univerzitě končil, tak jsme měli denně cca 15000 unikátních uživatelských zařízení - desktopy v kancelářích, notebooky a mobily/tablety studentů i učitelů. Serverů dle unikátní IP byly tisíce. Zajisti v tomto prostředí bezpečnost a trestej za každý (bezvýznamný) bezpečnostní incident...
-
Skola ma nejake vedeni, to jsou presne ti, kteri maji byt trestani. A to proto aby nasledne pozadovali po svych podrizenych prislusne zajisteni at uz bezpecnostni nebo provozu.
Takovy servrik nekde v kumbale by proste technicky nemelo byt vubec mozne zprovoznit.
Jak vypada realita samozrejme vim velmi dobre, takovych desitky let nikym neudrzovanych stroju tam pomezi tisice. WP je jen takova tresinka stejne jako to, ze si vubec nekdo vsiml ze to je hackle.
-
No... i u nas v korporatu mame servriky po kanclech/labech. Ale samozrejme nejsou vystrcene ven a jen vybrana individua muzou pres vpn do jejich vlanu. Obcas je nutne doplnit nejakou adhoc komunikaci do jinych siti. Existuji pripady kdy si domu desku fakt nemuzete odnest a ani do lokalni serverovny to nevrazite ... no nekdy to nesmite odnest. Takze ty veci se ladi tak ze je na stole rozlezla deska s hromadou konektoru na spinaci zasuvce a servrik resi jtagy, swd,uarty, back to back ethernet, povely nejake jine krabici a jine digifundace co embedaci chteji.
PLCcko uz jsem tez videl nakonektorovane na miniservriku i s kamerkou. QA tym dovede byt kreativnejsi nez zhuleny student s krabici lega.Jsou to obcas aplikace zavisle na tom aby to bezelo nekde na lokalnim zeleze a mohl s tim nekdo verglovat. Coz je idealni pro home opice.
No a pak jsou tu servriky ktere treba jsou zavisle na near realtime odezvach nejakeho srotu co v nich bude potom sumet. To taky ze zacatku do DC clovek neda.17. 1. 2024, 15:07 editováno autorem komentáře
