iT邦幫忙

2021 iThome 鐵人賽

DAY 7
0
Security

網路奇妙物語 - IT&Security 系列 第 7

鬼故事 - 這東西真爛

  • 分享至 

  • xImage
  •  

鬼故事 - 這東西真爛

未提供相片說明。
Credit: Corentin Penloup
靈感來源:https://www.facebook.com/UCCU.Hacker/photos/1591482147658202

如果你是一個資深的資安人員一定對這張圖很有感

故事開始

小美是一個硬體設備 RD 主管,公司雖然是在國際間的設備大廠,
公司產品還是三不五時出資安問題,比起同樣類型的競爭對手漏洞比別人多很多。
老闆:「為什麼我們跟競爭對手比起來漏洞多那麼多」
小美:「因為我們全部服務在產品裡面都用 root 跑」
老闆:「難不成我們不能改嗎!」
小美:「可以改,但我們需要大改架構所花時間然後延後的項目有!@#$%^&」
老闆(擺擺手):「算了,還是之後弄吧。繼續先安排部分人力修回報的漏洞吧」

我相信不會有人認為這種事情"真的"存在於現實世界吧,
如果有也太危險也太不負責任了。

資安探討

原故事裡面是硬體設備廠商,而實際上有更多的設備人員也做類似的操作,
一進系統就全開 iptables 把所有服務全部允許,有 SELinux 就先關掉。
記住:當你享受便利的時候請注意背後的資安問題

可能是文字的圖像
credit: Joker (2019 film)
靈感來源:UCCU Hacker

所有東西都以高權限跑這件事十分危險,就有如:

  • Processes In Containers Run As Root
  • SELinux 直接關閉
  • iptables 全部允許

上一篇
鬼故事 - 我們有通過國際資安 OOO 標準
下一篇
靈異現象 - 我是你的惡夢
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言