Docker Hub úspěšně napaden, unikla data 190 000 uživatelů

Když se stane v letectví nebo na železnici průšvih (a nemusí přitom být ani mrtví), vyšetřují to úřady. Výsledkem je veřejná zpráva, která má za následek, že výrobci i provozovatelé jsou pod veřejnou kontrolou.

Digitální průšvihy ovlivňují ještě víc životů, než o tři metry projeté návěstidlo nebo přistání bez vztlakových klapek. Přesto není žádný úřad, který by to vyšetřoval a veřejnost se obvykle nedoví, jestli šlo o technickou závadu, o selhání jednotlivce, nebo celkově špatné zabezpečení provozu.

Uvítal bych vědět, co za takovými úniky stojí - provozovatel by se pak daleko víc snažil, aby se nic takového neopakovalo.

Od průšvihu na železnici, v letectví nebo třeba ve stavebnictví je poměrně zřejmá kauzální linka k ohrožení lidí na životě, proto je důraz na vyšetření obrovský. Únik "pár" hesel z nějakého Docker čehosi těžko můžete srovnávat s mimořádností přistávajícího letadla.

Tak především, mimořádných událostí na železnici a v letectví je daleko víc, než jen ty, při kterých umírají lidé. Lidé neumírají tak moc, i právě protože se vše poměrně důkladně prošetřuje.

No a za druhé, software je mnohdy součástí i systémů, kde o životy jde. Nemusí to být zrovna jaderná elektrárna. Představte si, co všechno se může přihodit v provozech potravinářských, farmaceutických, ... Nevím, třeba by stačilo u vymývání vratných flašek od piva nastavit program aby méně vypláchl lahev vodou po vyčištění louhem? Maličko změnit recepturu léku? Nenachlorovat vodu ve vodárně?

A jen pro srovnání, v letectví je celosvětově několik set mrtvých (cca 500?). Ano, nehodu vlaku či letadla doprovází velká rána, stoupající kouř, hasiči, prostě je novinářský špektákl. V důsledku digitálnich průšvihů nevíme kolik je zničených a zmařených životů, ale rozhodně 500 není nedostižné číslo.

Softwarová bezpečnost se dnes už stává nadřazenou oblastí a nevidím důvod čekat na to, až mrtví opravdu budou.

To, že je něco zdarma nebo veřejné, Vás nemůže zprostit odpovědnosti.

Představte si třeba nadšence do aut, který by po večerech zdarma opravoval známým auta: kdyby jednoho dne špatně namontoval brzdy a někdo přišel o život, půjde před soud naprosto nehledě na to, jestli to dělal zdarma nebo za úplatu. Nebo třeba obchod či trhovec, který by rozdával zdarma závadné (prošlé) potraviny. Na něj by skočila hygiena a kdyby se někdo přiotrávil, taky skončí před soudem.

Do důsledku, každý autor viru, malwaru by byl beztrestný, protože i on přece svůj kus "prográmku" dává zadarmo a za nic neručí, ne? :-)

Takže podmínky typu "nikdo neručí za nic" jsou samozřejmě v mnoha ohledech neplatné, a co se týče bezpečnosti, je čas i přitvdit.

Docker Hub i GitHub mají především privátní úložiště pro firmy, to je to, co je placené a na čem vydělávají. Ta veřejná část, která je zdarma, je jenom taková reklama na jejich placené služby, ani Microsoft ani Docker to neprovozují jako charitu.

To, co se prošetřuje na železnici a v letectví, jsou jen typy událostí, kde potenciálně jde o životy. To, že v daném konkrétním případě shodou okolností o životy nešlo, se zjistí právě až během toho vyšetřování, kdy se prozkoumají ty okolnosti. Pokud unikne heslo výpravčího do systému na objednávání stravenek, tak to drážní inspekce opravdu nevyšetřuje.

Napsal jste to totiž nepřesně, a to na obou stranách. Ono se mluví o mimořádných událostech na železnici a v letectví, ale to nejsou všechny netypické události u všech firem, které mají něco společného s železnicí nebo letectvím. Vyšetřují se ty události, které mohou mít vliv na bezpečnost provozu. Stejně tak je nesmyslné vyšetřovat stejným způsobem všechny mimořádné události v IT. A takové, které mají dopad na bezpečnost něčeho, se vyšetřují úplně stejně, jako kdyby to nebylo IT. Takže na železnici při události, které se zúčastnil i traťový zabezpečovač, se vyšetřuje i funkce toho zabezpečovače, teď u Boingu je hlavní podezřelý software MCAS a samozřejmě se také vyšetřuje. A pokud by se přihodilo něco v potravinářských nebo farmaceutických provozech, vyšetřovalo by se to úplně stejně, ať by v tom IT hrálo nebo nehrálo roli.

Software je jenom jeden z mnoha nástrojů, není důvod se k němu chovat nějak jinak jenom proto, že je to nástroj relativně nový.

Stejně tak je nesmyslné vyšetřovat stejným způsobem všechny mimořádné události v IT. A takové, které mají dopad na bezpečnost něčeho, se vyšetřují úplně stejně, jako kdyby to nebylo IT.

Posouzení závažnosti a dopadů by mělo být na konzumentovi služby / software. Já zde mluvím hlavně o tom, že např. Docker Hub dnes není ničím nucen spolupracovat se svými zákazníky - tedy oběťmi. Pro Docker Hub, ale i pro další je nejlepší strategií pasivní rezistence, nic nepřiznat, nic nesdělit. A díky tomu zde chybí jakýkoliv tlak, jakákoliv smysluplná kontrola stavu.

Samozřejmě, můžete na to nahlížet tak, že nikdo Vás nenutí jejich služby využívat. To máte pravdu, ale ostatně jezdit vlakem a létat letadlem také nikdo nikoho nemůže nutit, že. Společnost se vyvinula do určitého stupně, a to, co ještě před 20 lety šlo odbýt smluvní volností stran, je dnes už skutečná nevyhnutelnost a ochrana chybí.

Myslim, ze postesk je myslen obecne, nejde jen o DockerHub nebo GitHub. A celkem ho chapu. Ono na ruznych sluzbach maji dnes lide napr. postavene zivobyti, nemusi jit hned o mrtvoly...