Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

вторник, 29 марта 2011 г.

Сапожники без сапог

После совсем свежей удачной атаки на RSA с похищением информации о SecurID, каждый хакер (а также каждый думающий, что он хакер) посчитал своим долгом увековечить себя на страницах желтой прессы интернета историей как он сломал сайт поставщика услуг по информационной безопасности.

Неделя еще только начинается, а уже сломаны mysql.com и sun.com (при помощи банальной sql-injection!). Сайт McAfee оказался слабоват против XSS атак. Да и securitylab.ru, которая активно это все освещает, имеет ряд уязвимостей. Рискну предположить, что список не полный и данный флешмоб пополнит список в ближайшее время новыми громкими именами.

И попадают консультанты по безопасности в ту же ситуацию что и, например, банки, отдающие на аутсорс кому попало свои сайты. Сайт сломали, написали матерное слово на главной странице (на больше не хватило ума и навыков). А СМИ напишут "проникли в банковскую сеть" или подобную формулировку. У клиентов первая мысль - "могли украсть мои деньги" (к которым доступа нет - сайт вообще не в банковской сети).

Пора консультантам по безопасности уделить чуть-чуть времени и себе. Перечитать свои же советы и хотя бы позакрывать дырки на сайте. Ведь не важно, что взломанный сайт может содержать только публичную информацию и никакие секреты похитить не удалось. Факт этот труднодоказуем, позиция оправдывающегося всегда проигрышна, а репутация пострадала.
Да и СМИ  лучше написать "масштаб убытка не известен, пострадавшая компания от комментариев отказалась", чем "никто не пострадал и ничего не украли". Ибо нужен скандал, иначе никто читать не будет.

Комментариев нет:

Отправить комментарий