–55 голосов |
«Бесплатно» и «качественно» не всегда антонимы. Но вот «бесплатно» и «безопасно» – пожалуй, уже да. На днях наткнулся на интересную заметку о том, как ненавязчиво воспользовались предприимчивые люди всенародной любовью к «варезам», получив совершенно бесплатно доступ к астрономическому количеству интернет-магазинов.
В чем суть? Ребята сделали портальчик, посвященный OpenCart'у (это такая популярная CMS для интернет-магазинов), через который распространяли свою «сборку» с дополнительными модулями (и, конечно же, бэкдорами). Все его радостно скачивали и ставили, пока однажды не забыли заплатить за хостинг, и на всех зараженных сайтах вылезли баннеры хостера. Проблему решают кто как может, но что-то мне подсказывает, что меньше сайтов с эксплойтами не станет. Как, впрочем, и любителей всего «побесплатнее».
Что ж, давайте теперь обратимся к более близким и понятным ИБ-специалисту вещам, чем электронная коммерция. Даже без специфического движка сайта, на компьютерах практически любого пользователя в организации можно найти целую кучу разных «сборок». Грешат этим не только домашние пользователи, но и системные администраторы. Ради интереса, спросите как-нибудь кого-нибудь из них, какую они предпочитают сборку Total Commander'а.
Естественно, каждая из таких сборок – это потенциальная (а на самом деле, даже не потенциальная, а вполне себе реальная) угроза информационной безопасности организации, связанная с имеющимися в таких сборках эксплойтами и бэкдорами, сознательно внедряемыми в них «разработчиками».
Лечение это проблемы на удивление простое. Это использование лицензионного программного обеспечения (желательно сертифицированного, конечно же), ну и сотрудничество с надежными поставщиками в лице реселлеров и интеграторов. Да, дороже чем скачать варез. Но сэкономив сто долларов на лицензии, можно потерять миллионы на атаке злоумышленников.
Всех погубит любовь к бесплатному...
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
–55 голосов |
А проприетарный софт с закрытым кодом, сбором хз каких данных с системы и отказом от ответственности в лицензии, конечно, _по-определению_ безопаснее, ага? Особенно если куплено через "надежного" поставщика, который, наверное, коробки святит и молитвы над лицензиями читает от сглаза и бекдора. Вот в ваших DLP проектах, вендор или интегратор несут ответственность за ущерб возникший из-за бага продукта или кривого дизайна/внедрения решения?
Не обобщайте.
Большинство свободного ПО от ядра linux до приложений типа nginx, бесплатны и очень безопасны. В отличии от многих платных и даже сертифицированных решений, которые в лицензиях прописывают, что ваши данные не просто могут, а будут передаваться третьим лицам.
Не все лицензионное ПО платно и не все оно безопасно. Опять таки не обобщайте. Кстати лицензионное соглашение opencart и поставляемых модулей кто-то читал? А вообще кто-то читает лицензии ПО?
Сертифицировано - это да. Это показатель. Кем сертифицировано? Это уже большой вопрос...
Ваш пример - это пример отдельной бесплатной услуги, которая изначально так была сделана. Какая причина была у создателей, нам неизвестно. Возиможно, желание заполучить ваши данные.
Это просто случай, когда вы взяли кошелек на асфальте, а вас развели на деньги.
Так что не обобщайте.