21 Января, 2016

Где кончается свобода разработчиков и начинается свобода пользователя?

Агиевич Игорь aka Shanker
На протяжении вчерашнего и сегодняшнего дня произошли события, подчёркивающие, что проблемы между пользователями услуг и работниками, эти услуги обеспечивающие, остаются довольно острыми. И это затрагивает область ИБ. Поводом прослужила моя публикация о том, что хостер FirstVDS оставил ключ доступа по SSH в поставляемых клиентам VDS. Из первоисточника статья была удалена (об этом чуть ниже подробно), но успела разойтись по просторам интернета (напимер, тут копия вместе с комментариями, которые были в первоисточнике ).

Как оказалось, в самой новости мало что нового: о данном случае в интернете писали ещё в октябре 2015 года (наткнулся, пока искал копии своей статьи). Интересное тут другое: сама статья, общение с техподдержкой и комментарии к статье показывают, что в обществе назрело довольно большое недопонимание. И это недопонимание, в общем-то влияет на ИБ и его оценку разными слоями этого общества.

Давайте попробуем разобраться более детально что произошло и к чему всё это привело.
Изначально статья называлась "Хостер FirstVDS оставил бэкдоры в поставляемых клиентам VDS" именно в таком виде она и засветилась в одном из копипастов в интернете . Появились первые комментарии, что, мол, статья-то желтовата: хостер и так имеет, при желании, доступ к виртуалкам. А ключ - действительно для техподдержки, если у пользователя что-то пошло не так. В связи с этим я решил подкорректировать название на менее громкое и более близкое к сути. Проскочило сообщение, что провайдер и выделенные сервера поставляет со своим ключом (у хостера для серверов отдельный сайт - firstdedic.ru). Через какой-то момент времени комментаторы разделились на несколько групп.
  • Первые: "а что тут такого? Нормальная практика".
  • Вторые: "да как они (разработчики) смеют!"
  • Третьи: "автор статьи не достиг дзена в общении с техподдержкой, потому он сам дурак"
На этом этапе участники дискусии, пытаясь доказать друг другу свою позицию, начали приводить различные сравнения. Например, про гостиницу, номер которой арендуется, и к этому номеру есть ключ у персонала гостиницы. Действительно, такой момент вряд ли сейчас кого-то сильно беспокоит. Давайте продолжим эту мысль. Храним почту на сервере? У провайдера есть доступ к вашим письмам. Пользуетесь услугами VPN-провайдеров - у них есть возможность записывать трафик. Так что это только иллюзия, что ваше - только ваше. На самом деле, оно как бы общее.
Далее появились участники, у которых был опыт работы в техподдержке. И они, оправдывая хостера, писали, что действительно, порой ключ - очень удобный способ решить проблему, возникшую у клиента. А клиенту ничего не мешает этот ключ удалить, если ему это не нравится. Правда, неясно почему хостер не предупреждает о таком варианте доступа конечного пользователя заранее.

Надо сказать, что проблемы во взаимопонимании между пользователями и разработчиками не новы. В 2014 году сотрудники Samsung удалённо удалили приложение ВКонтакте со SmartTV, не проинформировав об этом пользователей .

В какой-то момент дискуссия повернулась в сторону обсуждения потенциальной небезопасности хранения одного и того же публичного ключа на всех виртуалках пользователей. И возможности авторизоваться у любого, к кому этот ключ попадёт. И кому может передать приватный ключ уволенный сотрудник, и чем всё это может закончиться для конечных пользователей. Правда, некоторые участники сообщили, что это только так выглядит: на самом деле приватный ключ закрыт паролем, к нему имеют доступ только несколько человек и т.д. В общем, неочивидные для простого обывателя вещи. Которые решили не сообщать пользователям: мол, а зачем? Звонок-то для учителя, а не для учеников.

В общем, пост не оставил равнодушным очень многих, как бы они не относились к содержимому статьи. Не осталась равнодушным и администрация ресурса, где была первоначально размещена статья. Вашему покорному слуге намекнули, что статья больше похоже на жалобу, чем на что-то полезное. В связи с этим, без участия автора статьи, его творчество осталось только в копиях. А возожность творить самому автору ограничили на недельку.

Краткий итог: пользователи не всегда знают как работают ресурсы, которыми они пользуются. А работники этих ресурсов не торопятся делать свою работу полее прозрачной для конечного потребителя. Пользователи и работники услуг по-разному относятся к понятию своей и чужой территории. Вспоминается фраза: "ваша свобода заканчивается там, где начинается свобода другого человека". А раз этому принципу следуют далеко не все работники сферы услуг - читателю пора задуматься: где кончается свобода разработчиков антивирусов, телефонов, почтовых и других провайдеров.
comments powered by Disqus