Провалы в безопасности крупных компаний. Поломка популярных библиотек и Ruby on Rails. Bonus тема

32:26
 
Поделиться
 

Manage episode 297901261 series 2953572
Сделано Yulia Semenova, Павел Дмитриев, and Константин Мирин и найдено благодаря Player FM и нашему сообществу. Авторские права принадлежат издателю, а не Player FM, и аудиоматериалы транслируются прямо с его сервера. Нажмите на кнопку Подписаться, чтобы следить за обновлениями через Player FM или скопируйте и вставьте ссылку на канал в другое приложение для подкастов.

Несколько эпичных провалов в безопасности, случившихся недавно у крупных компаний.

1) Ubiquity, известный разработчик “просьюмерских” раутеров ещё в начале января заявила о “небольшом инциденте с безопасностью, который уже решён”. На деле же оказалось что злоумышленники получили полный доступ к инфраструктуре компании в AWS и другим критическим ресурсам. Забавнее всего, что это было сделано через взлом аккаунта LastPass одного из ведущих разработчиков, содержавшего все необходимые ключи и секреты. По словам инсайдера, злоумышленники получили доступ ко всем бакетам S3, логам, базам данных, аккаунтам пользователей и даже секретам для доступа на пользовательские устройства. В сети компании были установлены несколько виртуальных машин и бэкдоров для доступа в сеть. Когда сотрудники компании обнаружили активность и вычислили один из бэкдоров, хакеры потребовали 50 биткойнов за информацию о втором бэкдоре. Платить им не стали и в итоге нашли его сами. Хотя кто знает, а было ли их всего два.

Особое возмущение общественности вызвал тот факт что Ubiquity преуменьшили масштаб проблемы из опасения что это негативно повлияет на курс акций, и просто рекомендовали пользователям сменить пароли вместо того чтоб сбросить их принудительно.

2) Вторая новость того же порядка: в интернете выложили данные о 533 миллионах пользователях Facebook из 106 стран — данные включают телефоны, имена, адреса, даты рождения и для некоторых email-адреса. Многие из этих данных продолжают оставаться актуальными, что явно сыграет на руку скамерам и другим мошенникам. Забавно то, что в утекших данных есть и частичная информация об аккаунте Цукерберга. В Facebook заявили что эти данные — результат утечки 2019 года, которая “давно была устранена” и, судя по всему, не собираются уведомлять пострадавших пользователей, несмотря на то, что законы Евросоюза и Калифорнии прямо и непосредственно требуют это сделать.

3) Третья новость звучит как сценарий какого-то киберпанка, но это — не чья-то фантазия, а факт. ФБР в США получили разрешение от суда и начали операцию по "активному противодействию" распространению malware на тысячах серверов с Microsoft Exchange пострадавших недавно от уязвимостей. Проще говоря, хакеры-разведчики из ФБР будут вламываться на пострадавшие сервера и удалять последствия работы хакеров-шпионов.

Как невинное изменение сломало Ruby on Rails и ряд других библиотек.

Одной из важных зависимостей RoR является gem mimemagic, выпущенный под лицензией MIT. Оказалось, что этот gem в свою очередь зависит от стороннего кода, выпущенного под лицензией GPLv2. Разработчик gem-а решил устранить нарушение GPL (как все мы помним, она относится к “вирусным” лицензиям) и перевыпустил его под GPLv2, удалив попутно старые версии библиотеки под MIT лицензией. Это ожидаемо привело к поломке многих популярных библиотек, в том числе и Ruby on Rails. Последовало предложение хотя бы временно вернуть старые версии библиотеки, чтоб восстановить работоспособность, но автор mimemagic отказался это сделать. После некоторых раздумий, команда RoR заменила зависимость в своей библиотеке на mini_mime, но последствия некоторым командам программистов по всему миру приходится расхлёбывать до сих пор.

Bonus тема: Что делать с токсичным сотрудником?

Что делать руководителю проекта (команды, компании), если один из ключевых разработчиков оказался очень плох по софт-скилам и своей токсичностью отправляет жизнь других членов своей команды?

22 эпизодов