Comments 12
Просто для понимания масштаба проблемы — СХД обычно ж… интерфейсом в интернет не выставляют. То есть для уязвимости нужно ещё иметь маршрутизируемый или локальный доступ к устройству, что явно против любых гвайдов.
Это понятно конечно, но все равно как-то несерьезно для HP
Ну а потом с миру, как говориться, по нитке — уязвимость там, бекдор тут, раздолбайство здесь… Серьезные взломы давно штука комплексная.
Зачем интернет?
Во-первых, интернет и не надо. Сеть организации (и даже manage vlan), как правило, не настолько доверенная, чтобы давать root от СХД любому, кто способен открыть гугл и набрать «storevirtual hpsupport password».
Во-вторых, кейсы бывают разные. Я вполне могу придумать кейс, для реализации которого требовался бы доступ к СХД из не доверенной сети.
В-третьих, ж… или не ж.., а процентов 80 администраторов могут не задумываясь открыть себе удаленный доступ к СХД, чтобы в субботу в офис не ездить, если донастроить не успел. А потом забыть его закрыть.
Во-первых, интернет и не надо. Сеть организации (и даже manage vlan), как правило, не настолько доверенная, чтобы давать root от СХД любому, кто способен открыть гугл и набрать «storevirtual hpsupport password».
Во-вторых, кейсы бывают разные. Я вполне могу придумать кейс, для реализации которого требовался бы доступ к СХД из не доверенной сети.
В-третьих, ж… или не ж.., а процентов 80 администраторов могут не задумываясь открыть себе удаленный доступ к СХД, чтобы в субботу в офис не ездить, если донастроить не успел. А потом забыть его закрыть.
То есть главная «дыра» — это не HP, а «80% администраторов», что и требовалось доказать
"- У нас дыра в безопасности!
— Ну хоть что нибудь у нас в безопасности!""
"- У нас дыра в безопасности!
— Ну хоть что нибудь у нас в безопасности!""
А это для кого-то еще секрет, что 80% уязвимостей (причем, любых) — человеческий фактор?
Сначала программист ошибется в коде, потом администратор в настройке, потом аналитик просмотрит при аудите — «ой, нас взломали».
Нормальная система не должна давать выстрелить себе в ногу как минимум случайно.
Сначала программист ошибется в коде, потом администратор в настройке, потом аналитик просмотрит при аудите — «ой, нас взломали».
Нормальная система не должна давать выстрелить себе в ногу как минимум случайно.
UFO just landed and posted this here
Плохую девочку спалили :(
Sign up to leave a comment.
Новые бэкдоры в серверной продукции HP