鬼故事 - 這東西真爛

Credit: Corentin Penloup
靈感來源：https://www.facebook.com/UCCU.Hacker/photos/1591482147658202

如果你是一個資深的資安人員一定對這張圖很有感

故事開始

小美是一個硬體設備 RD 主管，公司雖然是在國際間的設備大廠，
公司產品還是三不五時出資安問題，比起同樣類型的競爭對手漏洞比別人多很多。
老闆：「為什麼我們跟競爭對手比起來漏洞多那麼多」
小美：「因為我們全部服務在產品裡面都用 root 跑」
老闆：「難不成我們不能改嗎！」
小美：「可以改，但我們需要大改架構所花時間然後延後的項目有!@#$%^&」
老闆(擺擺手)：「算了，還是之後弄吧。繼續先安排部分人力修回報的漏洞吧」

我相信不會有人認為這種事情"真的"存在於現實世界吧，
如果有也太危險也太不負責任了。

資安探討

原故事裡面是硬體設備廠商，而實際上有更多的設備人員也做類似的操作，
一進系統就全開 iptables 把所有服務全部允許，有 SELinux 就先關掉。
記住：當你享受便利的時候請注意背後的資安問題

credit: Joker (2019 film)
靈感來源：UCCU Hacker

所有東西都以高權限跑這件事十分危險，就有如：

• Processes In Containers Run As Root
• SELinux 直接關閉
• iptables 全部允許