Vlákno názorů k článku
Otázky okolo hacku Banán.cz zůstávají

Vladimír Kutna

25. 1. 2010 9:14

otázka bezpečnosti hesel je bezpředmětná

Vůbec bych neřešil, jestli jsou hesla MD5 anebo tzv. "osolená".

Když si na jejich serverech crackeři podávají dveře a kromě roota mají tisíc backdoorů (toto jsou autentické zprávy z undergroundu), tak je úplně jedno, v jaké podobě unikla hesla uživatelů.

Takže nejde vůbec o to, jestli provozovatel uživatelům hesla změní, anebo jim přidá další zabezpečení.

Důležité je, jak provozovatel zareagoval. A při kompromitaci serveru je nutné server odstavit, nainstalovat nový s aktuální verzí OS, zabezpečit a poté na něj nainstalovat data ze záloh.

Jakýkoliv jiný postup (pouhá změna hesel na zkompromitovaném stroji) je principielně vadný a mám indicie, že provozovatel tento nutný krok NEUDĚLAL!

Článek by měl tuto informaci obsahovat!

Odpovědět

Tom (neregistrovaný) 78.108.147.---

25. 1. 2010 10:59

Re: otázka bezpečnosti hesel je bezpředmětná

Souhlas, tak by to udělal každý schopnější admin. Pokud by se opravdu jednalo o schopnějšího admina, tak by přece nezanedbal bezpečnost jako se tomu stalo banánoidů. Už při instalaci systému přece není problém provést konfiguraci kritických služeb a bezpečnostních protokolů na vyšší úroveň zapezpečení s jistou mírou paranoi, které je u webhostingu dle mého názoru zdravou součástí admina.
A když už to všechno vesele funguje, tak nesedět jak pecka a tahat si triko na diskuzích jak mám skvěle zabezpečené servery. Hlavní je sledovat co se děje na serverech nejen pasivně (monitoring, který upozorní až když něco nefunguje), ale i aktivně hedat na internetu, co se vlastně ve světě děje a jestli náhodou není něco z toho i na mých serverech.
Společnost, která toto nedělá, nemá ve sféře jakýchkoli IT služeb co pohledávat.