Как оказалось, в самой новости мало что нового: о данном случае в интернете (наткнулся, пока искал копии своей статьи). Интересное тут другое: сама статья, общение с техподдержкой и комментарии к статье показывают, что в обществе назрело довольно большое недопонимание. И это недопонимание, в общем-то влияет на ИБ и его оценку разными слоями этого общества.
Давайте попробуем разобраться более детально что произошло и к чему всё это привело.
Изначально статья называлась "Хостер FirstVDS оставил бэкдоры в поставляемых клиентам VDS" именно в таком виде она и засветилась . Появились первые комментарии, что, мол, статья-то желтовата: хостер и так имеет, при желании, доступ к виртуалкам. А ключ - действительно для техподдержки, если у пользователя что-то пошло не так. В связи с этим я решил подкорректировать название на менее громкое и более близкое к сути. Проскочило сообщение, что провайдер и выделенные сервера поставляет со своим ключом (у хостера для серверов отдельный сайт - firstdedic.ru). Через какой-то момент времени комментаторы разделились на несколько групп.
- Первые: "а что тут такого? Нормальная практика".
- Вторые: "да как они (разработчики) смеют!"
- Третьи: "автор статьи не достиг дзена в общении с техподдержкой, потому он сам дурак"
Далее появились участники, у которых был опыт работы в техподдержке. И они, оправдывая хостера, писали, что действительно, порой ключ - очень удобный способ решить проблему, возникшую у клиента. А клиенту ничего не мешает этот ключ удалить, если ему это не нравится. Правда, неясно почему хостер не предупреждает о таком варианте доступа конечного пользователя заранее.
Надо сказать, что проблемы во взаимопонимании между пользователями и разработчиками не новы. В 2014 году сотрудники .
В какой-то момент дискуссия повернулась в сторону обсуждения потенциальной небезопасности хранения одного и того же публичного ключа на всех виртуалках пользователей. И возможности авторизоваться у любого, к кому этот ключ попадёт. И кому может передать приватный ключ уволенный сотрудник, и чем всё это может закончиться для конечных пользователей. Правда, некоторые участники сообщили, что это только так выглядит: на самом деле приватный ключ закрыт паролем, к нему имеют доступ только несколько человек и т.д. В общем, неочивидные для простого обывателя вещи. Которые решили не сообщать пользователям: мол, а зачем? Звонок-то для учителя, а не для учеников.
В общем, пост не оставил равнодушным очень многих, как бы они не относились к содержимому статьи. Не осталась равнодушным и администрация ресурса, где была первоначально размещена статья. Вашему покорному слуге намекнули, что статья больше похоже на жалобу, чем на что-то полезное. В связи с этим, без участия автора статьи, его творчество осталось только в копиях. А возожность творить самому автору ограничили на недельку.
Краткий итог: пользователи не всегда знают как работают ресурсы, которыми они пользуются. А работники этих ресурсов не торопятся делать свою работу полее прозрачной для конечного потребителя. Пользователи и работники услуг по-разному относятся к понятию своей и чужой территории. Вспоминается фраза: "ваша свобода заканчивается там, где начинается свобода другого человека". А раз этому принципу следуют далеко не все работники сферы услуг - читателю пора задуматься: где кончается свобода разработчиков антивирусов, телефонов, почтовых и других провайдеров.
