Apache na uprawnieniach roota? FireEye chciało zasłonić się prawnikami

Apache na uprawnieniach roota? FireEye chciało zasłonić się prawnikami11.09.2015 20:01
Redakcja

W ostatnich dniach informowaliśmy o problemach kilku dużych firm zajmujących się zabezpieczeniami – w ich oprogramowaniu i systemach wykryto poważne dziury. W przypadku zarabiającej na dużych organizacjach FireEye sprawa potoczyła się tak, jak chyba nikt by tego nie przypuszczał: firma zasłoniła się prawnikami i chciała zablokować prezentację, która dotyczyła jej błędów.

Za część odkryć w systemie FireEye odpowiada Kristian Erik Hermansen, zupełnie inne problemy znalazł natomiast Felix Wilhelm z ERNW GmBH. Jak się okazało, na swoich serwerach korporacja wykorzystała m.in. konfigurację, której zdecydowanie nie można nazwać bezpieczną: serwer Apache działał z poziomu konta root. Oznacza to, że jeżeli komuś udałoby się wykorzystać jakieś z jego luk, mógł przejąć kontrolę nad całym systemem, a także przejąć dane klientów FireEye. Serwer webowy oczywiście może tak pracować, ale jeżeli jest wystawiony publicznie, w żadnym razie nie powinien być skonfigurowany w taki sposób.

Problem został zgłoszony już pięć miesięcy temu, a Wilhelm współpracował z firmą w celu jego jak najszybszego wyeliminowania i zabezpieczenia podatnych serwerów. Wczoraj w Londynie odbyła się natomiast od dawna planowana konferencja 44CON poświęcona bezpieczeństwu komputerowemu. Jednym z jej najważniejszych punktów miało być przemówienie tego właśnie badacza i zaprezentowanie problemów, jakie dotyczyły FireEye. Jak się jednak okazało, firma zdecydowała się, że nie chce ujawniać żadnych informacji na ten temat. Postanowiła zapobiec przemówieniu, zaprzęgła do pracy swoich prawników i złożyła stosowny wniosek do niemieckiego sądu. Ostatecznie Wilhelm swoje przemówienie wygłosił, ale niektóre informacje dotyczące technologii FireEye zostały odpowiednio zredagowane, zgodnie z orzeczeniem sądu.

Firma zaprzecza zarzutom, jakoby chodziło jej o ukrycie poważnych zastrzeżeń dotyczących bezpieczeństwa. Według jej pracowników informacje, jakie miały znaleźć się w przemówieniu, stanowiły problem ze względu na ochronę własności intelektualnej klientów. Zaznaczyli oni także, że wiele razy kontaktowano się z ERNW, w celu zmiany planu przemówienia w celu ochrony tajemnicy handlowej, ale firma na prośby nie reagowała. Jedynym wyjściem było więc pójście do sądu. W żadnym razie nie chodziło natomiast o ukrywanie faktów związanych z nieprawidłową konfiguracją, a także innymi znalezionymi podatnościami.

Jak wyglądała cała sytuacja, najlepiej wiedzą jedynie sami zainteresowani – pewne jest natomiast, że FireEye zajmujące się ochroną innych użytkowników i firm, samodzielnie nie było w stanie zbudować odpowiednio bezpiecznej infrastruktury. Uruchamianie serwera webowego na uprawnieniach administratora to błąd, który może popełnić ktoś, kto dopiero raczkuje w tej tematyce, a nie specjaliści od zabezpieczeń. Jeżeli dodamy do tego informacje od Erika Hermansena, który przez 18 miesięcy starał się bezskutecznie zgłaszać inne problemy, wyłania się nam obraz firmy, która najwyraźniej potrzebuje zmian organizacyjnych.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na