Bezpieczeństwo ponad wszystko... tak, tak ale nie w Polsce

blank

Żyjemy w dobie serwisów 2.0 gdzie content w 90% w dobrze zorganizowanym portalu tworzą sami użytkownicy. Sam szary zjadacz chleba klikaniem w linki nic nie zdziała, ale... wystarczy mała wiedza, troszkę pogooglania, małe spreparowanie adresu w pasku przeglądarki i... kaboom, nasz portal, czy witryna firmowa, a razem z nią serwer bazy danych padł na skutek ataku SQL Injection, czy co gorsza buffer overflow, a jeśli z tego samego serwera bazodanowego korzystała reszta struktury teleinf. naszej firmy...?... Ale jak to ? Przecież nasze servery są jak najlepiej zabezpieczone, a soft na bieżąco aktualizowany! Przecież... przecież, to nie mogło mi się stać!... Nic bardziej mylnego, mało, która z firm z branży przykłada wagę do aspektów bezpieczeństwa aplikacji bazodanowych, za to wszystko starają się nadrobić mydleniem oczu o zaletach aplikacji. I tutaj błąd, duże korporacje nadal posiadają prężnie rozwijające się portale, które są głównym motorem ich biznesu, żyjąc w niewiedzy, lub starając się omijać temat bezpieczeństwa. Niejednokrotnie zdarza się, że przez serwer główny komunikują się mniejsze (np. placówki w innych regionach kraju, czy nawet świata), teraz pomyślmy co by się stało, gdyby ów atak nastąpił na serwer główny. Następuje kilkugodzinny paraliż, klienci zniecierpliwieni rozglądają się za innym kontrahentem, a to jak wiadomo jest reakcja łańcuchowa (jeden klient, szepta na ucho drugiemu). Dlatego osoby na odpowiednich stanowiskach w ów firmach, powinny znać takie pojęcia jak np. pentesting czy audyt struktury teleinformatycznej, w wielu przypadkach nie chcą nawet o tym słyszeć, powołując się na "samolubną" opinię firmy tworzącej wadliwe oprogramowanie. Na zachodzie stało się już prawie normą wynajmowanie firmy DO STWORZENIA, a po wszystkim wynajęcie drugiej, całkowicie niezwiązanej z tą pierwszą, DO EXTREMALNYCH testów bezpieczeństwa. W Polsce niestety dalej nie do końca wiadomo co znaczy termin bezpieczeństwo (przykład nasza-klasa.pl), za to o wiele szybciej przywędrowali script kiddies (czyt. dzieci potrafiące zniszczyć system w przeciągu kilku minut, tylko dla zabawy/szpanu). Samych motywów jest tak wiele, jak i możliwych ataków, wina nie zawsze leży po stronie programisty czy administratora, czasami taka osoba, mająca na głowie obowiązki ponad normę dodatkowo kopiąc w tysiącach linijek kodu ma prawo przeoczyć jakiś mały szczegół, zostawić jakąś lukę, i właśnie dlatego przed wdrożeniem jakiejś poważnej aplikacji, powinna być przetestowana, przez niezależną firmę, która zajmuje się tym na co dzień. To chyba na tyle ;) Z góry przepraszam za ew. nieścisłości lub masło maślane (ponad 68 h na nogach) Pozdrawiam

Zagadnienia: bezpieczeństwo danych, bazy danych, aplikacje, telekomunikacja print