חופש הדיבור

הקטסטרופה חוגגת אצל ISV's ישראלים

לא מזמן, התבקשתי לסייע באיזשהו פרוייקט אצל חברה, מהמובילות בתחומה במשק הישראלי.

כחלק מאותו פרוייקט, היתה גם הקמה של מערכת מסויימת של חברה מוכרת מאד בשוק הישראלי.

אישית, סייעתי בהקמה של השרת , ואכן הוא הועבר לאחריות של אותו ISV (שמו לא מתפרסם על מנת לתת לו את הזמן לתקן את הדרוש תיקון ועל מנת למנוע פגיעת שרשרת בלקוחות אחרים שלו ).

היום, פנה אותו יצרן תוכנה ללקוח , בטענה שיש לו בעיות בשרת (לדוג': הוא לא הצליח בעזרת הפקודה date להגדיר שעה נכונה ) , ולמעשה הוא סיים את תפקידו .

במסגרת הרצון שלי לסייע, הצעתי לו לכוון NTP , והוא ענה שאין זה בתחום האחריות שלו .

ברור, שלנגד עיניי, עמדה טובת הארגון בו הקימו את השרת , וביקשתי להתחבר מרחוק על מנת לסדר את העיניין .. ואז חשכו עיניי , שערי נשר, עורי הפך אפרפר ועיניי קפצו להם מארובותיהן.

הדבר הראשון שבלט לעיניי היה של root אין history .. מסתבר שחברת האפליקציה (שהיא זו שהתקינה את השרת שלהם ) , מוחקת את ה history על מנת שהלקוח שלהם לא יידע מה עשו במערכת …. פעם ראשונה שאני רואה שחברה מסתירה מהלקוח שלה מה הם עושים על השרתים שלו .

זה שהם (חברת האפליקציה) רצו להשאיר את פורט 10000 פתוח (webmin ) – מילא . אני אישית לא חושב שצריך להשאיר אותו , אבל מכוון שאני כן מבין שלא כולם אנשי לינוקס בחברות השונות, אם שירות זה נשאר פתוח יש להגביל אותו רק לגישה מכתובת ה IP של המכונה של מנהל הרשת האחראי על השרת , וכמובן להפעיל אותו עם SSL  .

אבל .. נבנו שם כ 50 משתמשים – ממתי צריך 50 משתמשים על מנת להריץ אפליקציה ?

לאותם 50 משתמשים יש גישת shell למערכת .. (! ) ממש נפלא ..

פתחו להם ftp server – לא ברור לי למה , כי מראש הבעתי את התנגדותי לקיומו של ftp וכתבתי להם בטרם השרת הועבר אליהם שבמקום ftp יואילו המכובדים לעבוד עם sftp (בסה"כ אם הם עובדים מ windows זה מצריך מהם להתקין אצלהם את winscp ) – הכל כדי שללקוח יהיה שרת שגם עובד וגם לא משמש נקודת פריצה לרשת הארגונית ..

לפתע , הרגשתי כאילו אכלתי סברס עם הקליפה והקוצים , שומו שמיים , על המערכת הותקן telnet server .

אישית , לא התקנתי telnet server מתחילת שנות ה 2000 , מבחינתי , האופציה של להפעיל telnel כלל לא קיימת ..

טוב אז מחקו את ההיסטוריה, אבל את הלוגים , לא מחקו , ואת בסיס הנתונים של last ו- lastb לא מחקו .. בדיקה מהירה העלתה, שככל הנראה בגלל "נוחות" של מישהו , לא רק שהתקינו telnet גם איפשרו התחברות שלו מרחוק .. ולא רק שאיפשרו את הדבר הזה – אפילו התחברו מרחוק, ולא רק זה , אלא השאירו אותו פתוח לאורך תקופה ! .

רק כדי לסבר את האוזן , מדובר בשרת פנימי בארגון , כלומר , ביצעו מעקף של ה firewall וה DMZ , ובאמצעות port forward העבירו הכל היישר אל השרת החדש .

בקיצור , חברה בישראל , לא צריכה האקרים /קראקרים , ספקי התוכנה שלה הם אלו המנקבים לה את הרשת .

למי שלא מבין את המשמעות , כל מי שנמצא ב subnet של ה ISP שממנו התחברו והפעיל סניפר , או כל מי שנמצא ב subnet של ה ISP של החברה שבה עשו את הפרוייקט והפעיל סניפר – יודע עתה את שמות המשתמשים במערכת ואת הסיסמאות שלהם .

כל מי שביצע סריקט פורטים אקראית .. יכול למצוא את השרת הבעייתי הזה (ואז להפעיל סניפר ).

בשלב הזה , אני אישית התנתקתי מהשרת והודעתי לחברה שבה בוצע הפרוייקט שאני ממש חושש מהמצב, ושאינני יכול לעבוד ככה . כמובן 2 אדוולים על מנת להרגיע את כאב הראש שתקף אותי .. כי כאלה דברים , כזה זילזול בלקוח שלהם .. לא ראיתי המון זמן .

ולמה אני כותב את כל זה … אם יש לכם אפליקציה של חברה ישראלית , שרץ על לינוקס, אנא , תדאגו שמישהו ייכנס אל המערכת , יריץ netstat -Nap ויבדוק מה פתוח על השרת …

עם כאלו חברות אפליקציה, מזל שעדיין יש ארגונים שמשתמשים בלינוקס .

ובעיניין של החברת אפליקציה , אם הם ימשיכו לעבוד בצורה הזו , לא תהיה לי ברירה אלא לפרסם את שמם . כי מי שעשוי להיפגע מכך זה לא הם .. הם יסירו מעצמם כל אחריות – אלא אתם .

אם אתם בדיוק חושבים לרכוש אפליקציה עסקית תוצרת ישראל .. אנא שלחו לי מייל וספרו לי , אם תקבלו ממני תגובה מאד ידידותית – אתם אולי במקום טוב, אם תקבלו תגובה קרירה ורשמית .. בדקו ב 7 עיניים מה עושים לכם בשרתים . בעצם .. תמיד תבדקו ב 7 עיניים מה עושים לכם בשרתים .

תגיות: אבטחה, לינוקס, לינוקס בעסקים, קוד פתוח בעסקים