21:26
4/4/2012

Jest szansa na zgarnięcie kilku fajnych nagród. Wystarczy założyć sobie VPS-a na home.pl i trochę go potestować. Szczegóły poniżej.

Pierwszy konkurs

Pierwszy, dotyczący tylko czytelników Niebezpiecznika, polega na zgłoszeniu się na testy serwerów VPS od home.pl i odpowiedzi na dwa poniższe pytania:

1. Wymień największe ryzyka związane z korzystaniem z serwerów VPS
(postaraj się zaproponować rozwiązania software’owe, które mogą te
ryzyka zminimalizować)

2. Co doradziłbyś w kwestii bezpieczeństwa IT firmie Home.pl

Odpowiedzi możecie udzielać przez najbliższe 2 tygodnie w komentarzach pod tym postem. Uwaga, adres e-mail z komentarza musi się pokrywać z adresem e-mail użytym do założenia VPS-a. Spośród Waszych odpowiedzi wybierzemy 3 najlepsze, a home.pl nagrodzi je następującymi giftami:

1 miejsce - roczny VPS
2 miejsce - pakiet domen
3 miejsce - spersonalizowana koszulka z napisem "profesor"

Od siebie dorzucamy niebezpiecznikową koszulkę ;) Udział w konkursie oznacza akceptację tego regulaminu.

Drugi konkurs – testy VPS

Po zarejestrowaniu sie na testy …well, możecie testować serwery VPS :) Dla najbardziej aktywnych testerów home.pl przygotował kilka nagród, w tym darmowy udział w naszym szkoleniu z Bezpieczeństwa Sieci Komputerowych (testy penetracyjne))

Nagrody w konkursie home.pl

Nagrody w konkursie home.pl

Zadania do wykonania są tutaj i nie wyglądają na zbyt skomplikowane. Powodzenia! …i do zobaczenia z kimś z Was na szkoleniu ;)

Zwróćcie proszę uwagę na to, że nie chodzi o testy bezpieczeństwa, a testy funkcjonalne (chować skipfishe i metasploity). Delikatnie przypominamy, że regulamin VPS-ów home.pl zabrania “prób nielegalnego wejścia w systemy komputerowe Operatora oraz innych serwerów znajdujących się w sieci Internet, tudzież uniemożliwiania lub zakłócania korzystania z zasobów systemowych lub sprzętowych Operatora przez innych Użytkowników

Przeczytaj także:

89 komentarzy

Dodaj komentarz
  1. http://prolabs.home.pl/app/forums/about?menu=2 Niby gdzie te pytania o których mowa w ostatnich podpunktach? Te wszystkie zadanie trzeba wykonać przez ich panel – Paralels Plesk?

  2. Fajny konkurs ;) chyba pierwszy taki fajny odkąd pamiętam :P
    Mam nadzieję, że nie ukryli jakichś haczyków …

  3. 5.Korzystanie z Usługi Testowej przez Użytkownika Testowego nie może prowadzić do:

    b)naruszenia dóbr osobistych i naruszenia praw autorskich,
    prób nielegalnego wejścia w systemy komputerowe Operatora oraz innych serwerów znajdujących się w sieci Internet, tudzież uniemożliwiania lub zakłócania korzystania z zasobów systemowych lub sprzętowych Operatora przez innych Użytkowników,

    • W zadaniach testowych nie ma nic o zakłócaniu porządku Internetów. Masz zainstalować WP, serwer CS-a i jakiejś innej gry, oraz wysłać kilka mejli.

  4. Te ryzyka mają być takie realne czy “z jajem” (czyt. wyssane z palca ale z dawką humoru)

  5. “Redakcja” też dostanie moje dane czy tylko home ;]?

    • My widzimy tylko e-mail, który podajesz w komentarzu. A jeśli wygrasz szkolenie, to także twoje Imię i Nazwisko.

  6. uważam, że jak na to co ludzie mogą im pokazać to nagrody są co najmniej śmieszne.

    • Nikt Ci nie da Bentleya. A warto chociażby ze względu na szkolenia Niebezpiecznika.

    • znaczy co? jak założyć server CS? czy jak zablokować ruch WWW?

  7. Komentarze z odpowiedziami będą publikowane przed zakończeniem konkursu ? Proponowałbym nie podpowiadać innym, ponieważ odpowiedzi wrzucane za 10 dni będą już ładnie posklejane ze wszystkich już umieszczonych (no chyba że wszyscy będą czekać jak do końca aukcji w internecie :)).

  8. Super, znajdę dziury w VPS-ie to w nagrodę będę mógł takiego dziurawego VPS-a przez rok uzywać :)

  9. [1]
    Ryzyka:
    -ataki DoS/DDoS
    -skanowanie portów
    -eksploitacja otwartych usług
    -eskalacja uprawnień
    -możliwa niestabilność systemu (nieumiejętne zarządzanie)

    Zapobieganie:
    -zmiana standardowych portów usług takich jak SSH, FTP, itd..
    -wyłączenie logowania na konto root (direct root login)
    -wdrożenie firewalla sprzętowego iptables/ConfigServer Firewall (+fail2ban / host.deny)
    -używanie oprogramowania AV (chkrootkit / clamAV)

    [2]
    -staranne instalowanie aktualizacji/poprawek (w odniesieniu do serwerów/usług)
    -niwelowanie błędów w skryptach/kodzie (w odniesieniu do stron/serwisu internetowego)
    -polityka bezpiecznych haseł

    • Nie będę powtarzał po powyższym, ale mogę dodać kilka rzeczy.

      1
      -teoretycznie oczywiste – utrata danych (backup do innej serwerowni, lub do domu, rozwiązań jest tak wiele, że nie będę wymieniał z nazwy)
      -problemy programowe lub sprzętowe (zapasowy serwer poczty, Cloudflare, do tego monitorowanie, np. ServiceUptime, MxToolbox, PingDom)
      -błędy w programach (częste aktualizacje, minimalizacja uprawnień procesów, np. chroot, albo lxc, jeżeli działa w VPS)
      Dodatkowo należało by sprawdzić, jak serwer zachowa się w wyjątkowych sytucjach jak brak pamięci, wysokie obciążenie, “kernel panic” i sprawdzać zużycie zasobów przez uruchomione procesy.

      2
      -Test penetracyjny, np. u Niebezpiecznika :) Albo stworzenie osobnej izolowanej sieci i pozwolenie wszystkim chętnym na próbę złamania jej zabezpieczeń.

  10. pfff, darmowy audit sobie wymyslili :P
    porazka jak dla mnie
    za porzadny audit musieliby zaplacic duzo wieksza kase niz nagrody sa warte
    przepraszam Pana Redaktora- albo sie szanujemy jako profesjonalisci, albo uwazamy ze wszyscy jestesmy “idiotami” i sie nabieramy na taki marketing

    • http://prolabs.home.pl/app/appendixes/new
      http://prolabs.home.pl/flash/swfupload.swf
      http://spzoz1.home.pl/%5Bcensored%5D
      http://galeria1.home.pl/%5Bcensored%5D

      radzilbym panom adminom z home.pl na poprawienie paru rzeczy,bo widac ze userzy nie do konca wiedza jak skonfigurowac swoje vpsy

    • http://www.caraudio.home.pl/%5Bcensored%5D
      http://ecsw.home.pl/%5Bcensored%5D

      ciekawe co jeszcze :P

    • tragedia to jest naprawde male niedopowiedzenie w ich przypadku :D
      krzysbar.home.pl/[censored]

      oo, nawet malware sie znalazl :P
      {http://www.}pelplin.home.pl/[censored] – trojan w java skrypcie

    • Te statystyki stron są widoczne dla szukajki od bardzo dawna – można fajnie konkurencje podglądać ;)

    • @angelus: zgadza się, test penetracyjny kosztowałby wiele więcej niz wszystkie nagrody razem wzięte – ale tu chodzi o testy funkcjonalne (z tego co ja wyczytuje z zasad konkursu), a nie penetracyjne. Penetracyjne są wręcz zabronione… (cyt. przez Jakuba z komentarza wyżej:

      ———
      5.Korzystanie z Usługi Testowej przez Użytkownika Testowego nie może prowadzić do:

      b)naruszenia dóbr osobistych i naruszenia praw autorskich,
      prób nielegalnego wejścia w systemy komputerowe Operatora oraz innych serwerów znajdujących się w sieci Internet, tudzież uniemożliwiania lub zakłócania korzystania z zasobów systemowych lub sprzętowych Operatora przez innych Użytkowników,
      ———

      Krótko mówiąc, to nie konkurs dla chakierów na pentest, a dla ZU na klikanie.

      PS. Wyciąłem linki do prywatnych danych poszczególnych klientów. Zachęcam do responsible disclosure podobnych błędów i przypominam, że nie chodzi o testy penetracyjne VPS-ów klientów (te błędy pewnie można zgłosić na security@), a testy funkcjonalne nowej platformy wskazanej w poście.

    • nie wiem moze tylko dla mnie audyt i penetracja sa dwiema roznymi rzeczami
      a ja mowie o audycie – czy co spieprzylismy i musimy poprawic
      umiem czytac i wiem ze testy penetracyjne sa zabronione

    • @angelus: audyt to weryfikacja zgodności systemu X z normą/standardem Y. Test penetracyjny od audytu różni się tym, że nie ma konkretnej checklisty – jest kreatywność zespołu testerów i użycie najświeższych ataków/technik/metod wykorzystywanych w “prawdziwych” włamaniach. Więc tak, penetracja != audyt, ale nie na takiej zasadzie, jaką zaprezentowałeś w komentarzu – chyba, że to był jakiś bardzo mocno skompresowany skrót myślowy. (BTW: wśród testów można np. odróżnić testy funkcjonalne, penetracyjne/bezpieczeństwa, wydajności)

    • @angelus: No ale czego oczekujesz od adminów, jeśli ktoś np. poda wszystkim swoje hasło? Darmowego kursu korzystania z VPSa?

    • Mam pytanie, co mniej/więcej kryło się pod tym co zostało ocenzurowane w linkach? Sam planuję rozpocząć korzystanie z VPS i wolałbym wiedzieć jakich błędów należy unikać.

    • Linki prowadziły do zasobów udostępnionych przez użytkowników – vide: ich nieumiejętna administracja serwerem -> głębokie ukrycie. Jeśli ktoś na VPS zainstaluje dziurawego WP to wytknięcie tego nie rzutuje na platformę hostingową a na właściciela konta.

    • @Piotrze – nie chcialem sie posunac do tego ale mnie sam zmusiles
      http://pl.wikipedia.org/wiki/Audyt
      ale niech ci bedzie ze to byl skrot myslowy :P
      @m – od adminow oczekuje ze beda swoja prace wykonywac rzetelnie a nie odpierdzielac kaszany – przepraszam bardzo ale trojany hostowane na VPS-ie ? brak kontroli dostepu?
      i jeszcze pare innych rzeczy do ktorych sie mozna przychrzanic
      dlaczego to mowie? bo odemnie sie wymaga i sie musze starac – bo jak sie nie staram firma traci klienta – traci kase – moja robota jest zagrozona – proste nie ?!

    • @angelus: ale ty o audycie księgowym mówisz czy informatycznym? :> http://pl.wikipedia.org/wiki/Audyt_informatyczny
      BTW: zresztą nawet w tym podanym przez Ciebie ogólnym haśle masz: “Audyt to ocena zgodności teraz i w przeszłości.” Ocena zgodności musi być przeprowadzona w kontekście czegoś (wytyczne/standardy/normy).

      Przykład którym często obrazujemy różnice pomiędzy audytem a testem penetracyjnym jest następujący:
      Wyobraź sobie dom.
      Audyt (norma) -> “Sprawdź czy wszystkie drzwi są zamknięte” OK, “Sprawdź, czy grubość ścian ma metr” “OK”.
      Test penetracyjny -> Idziemy dookoła domu, widzimy, że okna zamknięte, ściany grube, ale w ścianie, z tyłu domu jest dziura prowadząca do dużego pokoju.
      System (dom) przeszedł audyt, jest zgodny z normą — nie było w niej pytania o dziury w ścianach, ani możliwość podkopu.
      System (dom) poddany testowi penetracyjnemu — wykazano możliwość włamania przez podkop lub wejście przez dziurę w ścianie. Dodatkowo wykonano próbę otwarcia drzwi wytrychami (udaną) oraz próbę kradzieży torebki właścicielce domu w restauracji (celem dobycia kluczy) – też udaną.

      Abstrahując już od powyższego, ja zawsze powtarzam, że teoria w bezpieczeństwie jest mniej ważna niż praktyka – nie ważne test/audyt/podatność/dziura/bug/hacker/cracker – zamiast spierać się o słowa, “działajmy”;)

    • Pozwolę sobie raz jeszcze podkreślić. Dane czy linki kierowały do danych, które:

      1. Były umieszczone na hostingu współdzielonym dotychczasowej platformy, nie zaś VPS.

      2. Zostały udostępnione niejako w gestii samego klienta home.pl. Dodam, że często w takich przypadkach, także i w tym klienci z pełną świadomością, mimo monitu naszych techników pozostawiają takie dane publicznie dostępne – nie nam (home.pl) decydować czy oceniać czy jest to właściwe, choć oczywiście zawsze reagujemy w takich przypadkach (w tym przypadku w ciągu kilku godzin od wskazania URL’i w komentarzach.

      Reasumując – to, że takie dane są publicznie dostępne to sytuacja nie do uniknięcia bo jest ona w gestii klientów, którzy świadomie bądź nie je udostępniają. Oczywiście ta dyskusja uświadamia nam, że być może po raz kolejny warto przygotować jakąś akcję edukacyjną dla naszych klientów. Pomyślimy nad tym.

  11. Przyczyna konkursu:

    Home.pl nie chce wydawać kasy na profesjonalny pentest, więc wymyśliła konkurs, żeby ludzie robotę wykonali za frajer. Nagrody pewnie zostaną przyznane jakiejś martwej duszy co spowoduje że powiedzą że był konkurs, ale nagrodę ktoś inny dostał.

    Sprowadza nas to do wniosku, że Home.pl ma nikłe bezpieczeństwo co wpływa na kiepską jakość ich usług. Dlatego postoję i pozostanę przy VPS z OVH.

    Dziękuję bardzo,
    Darek.

    • Nie hejterz tak ;) Nikogo (ani my, ani jak przypuszczam home.pl) nie zmuszamy do wzięcia udziału w konkursie. Jeśli uważasz, że testy *funkcjonalne*, czyli przeklikanie się przez kilka podstawowych czynności do wykonania w pół godziny nie jest warte ani iPada (2500pln) ani naszego szkolenia (3300pln) — nie bierz udziału — proste. Ja osobiście uważam, że kilka osób się skusi – a im mniej się skusi, tym te kilka będzie miało większe szanse na wygranie :>

      PS. zwycięzców do pierwszego konkursu wybieramy my. Będą “realni”. Jednego ze zwycięzców konkursu home.pl poznamy na szkoleniu — dam znać, czy okazał się “martwą duszą” – chyba, że mi też nie ufasz i uważasz, że jestem cyklistą i masonem i … :)

    • imho: home bardziej chodzi o to, żeby pokazać, że mają nowy panelik, przeklikajcie go, moze sie Wam spodoba, jak nie to poprawimy.

      Chetniej to polecicie klientom/pracodawcom etc. bo już będziecie go znać, oraz mieć (moze) minimalny wpływ na niego.

      Lepsze podejście niż do tej pory stosowane, przez home/netart że panele były mało intuicyjne i dość uciążliwe w obsłudze.

    • Nie, akurat w to uwierzę. A SrajPada to nie wziąłbym, nawet jakby na ulicy rozdawali. Bez jailbreaka, to tylko taka fajna podkładka pod mysz.

    • Tym komentarzem chciałeś nam przekazać to, że nie potrafisz zjailbreakować iPada? :>

    • Gdyby bugi na home miały być publiczne…

  12. Witam,
    to ja w imieniu home.pl szybko sprostuje ;)

    Tak jak pisał Piotr, w żadnym wypadku nie oczekujemy pentestów. Same testy VPS dotyczą gotowej platformy Parallels, oczywiście nigdy nie możemy wykluczyć jakiegoś security issue natomiast przede wszystkim zależy nam na testach użytkowych, chcemy poznać potrzeby odnośnie samego produktu, składników planów VPS itp.

    Gorąco zachęcam aby konkurs potraktować z zdrowym dystansem, nagrodzimy całkiem serio, ale nie próbujemy koszulką czy darmowym VPSem “zapłacić” za profesjonalne usługi. O tym zapewniam!

    Co do pokazanych danych, które są dostępne – w tej chwili nasi technicy pomagają naszym klientom odpowiednio zabezpieczyć swoje dane. Dzięki serdeczne za wskazanie!

    • jest tego duzo, duzo wiecej – to byly tylko pierwsze z brzegu rozne przyklady

  13. A jeśli nie jestem waszym czytelnikiem to nie mogę wziąć udziału? Chlip, chlip :(

  14. Najciekawsze jest to, ze aby w ogole miec jakiekolwiek szanse na testowanie ich VPS, trzeba pospamowac znajomych referal linkiem, ktory sie otrzymalo po rejestracji. Co wiecej, ten ktos musi sie rowniez regnac do testow.
    Strzał w stope ze strony home.pl, bo nie mam znajomych, ktorzy by byli chetni na testowanie ich VPS a spamowac fb nie mam zamiaru, natomiast sądze, że miałbym spory wkład.

    • Zdecydowanie nie jest to koniecznie :) Ci, którzy polecają zwiększają swoje szanse na otrzymanie dostępu w pierwszej lub jednej z pierwszych partii wysłanych kont dostępowych.

      Bynajmniej nie jest to wymóg ani żaden haczyk, to po prostu typowy mechanizm polecania member get member czy podobny pay for tweet.

    • No to w takim razie bardzo się cieszę, że będe mógł pomóc.

  15. Oj tam. Jak dają to można brać – przymusu nie ma. A mi się podobają “treści warezowe”. ;-)

    • Poza tym, czy ktokolwiek nie chciałby być w Ekskluzywnej Lidze Niezwykłych Testerów? `(:~p

  16. Czy jest na sali jakiś prawnik? Wydaje mi się, że regulamin może zawierać klauzule niedozwolone http://imgur.com/tOKi1

    • Chyba wkleiłeś nie to co chciałeś ;)

    • Tak się u mnie wyświetla “ten” regulamin. (Opera) Chociaż przyznaję – nie sprawdzałem w innej przeglądarce bo google zawołało o login i hasło do docsów.

  17. “Na podany przez Ciebie adres mailowy w ciągu najbliższych kilku dni
    otrzymasz zaproszenie.”
    Ile to może potrwać? Jest szansa że nie przyjmiecie mojego zgłoszenia? Np. ponieważ nie podałem numeru tel. Czy ilość VPS-ów jest jakoś ograniczona?

    “Nagrody gwarantowane – VPS z domeną dla aktywnych testerów”
    Na jaki okres czasu?

    • No ciekawe kiedy – na tamtej stronie już widać pierwszych testerów.

    • Jeszcze przed świętami powinniśmy wysłać pierwsze partie kont dostępowych, kolejne w tygodniu po świętach.
      Prawdę mówiąc zainteresowanie pozytywnie nas zaskoczyło więc kilka dni to potrwa, ale postaramy się aby oczekiwanie nie było zbyt długie.

  18. Jeśli nikt nie będzie chętny regnąć się z mojego linku to nie będę mógł się sprawdzić?

    • Jak wspomniałem wyżej – nie, polecanie nie jest konieczne, ale przyspiesza otrzymanie dostępu.

  19. Narzekać nie zamierzam, szans może nie mam super dużych, ale warto spróbować, szczególnie że nagrody fajne:D

  20. 1. Ryzyko

    Ryzyko jest zawsze, no risk, no fun, pytanie czy możemy sobie na jakiekolwiek pozwolić – zdecydowanie nie.
    Zależność VPS od stanu serwera dedykowanego może nas martwić jeśli zapominamy o kanonach bezpiecześtwa, albo akceptujemy ją pamętając przede wszystkim o backupie.

    W celu zapewnienia bezpieczeństwa naszego VPS -a powinniśmy:

    – Włączyć open_basedir i mod_userdir
    – Zdecydowanie jestem za wyłączeniem możliwości używania wszelakich kompilatorów na koncie zwykłego użytkownika
    – Podobnie jak kolega uważam, że powinno się zablokować możliwość bezpośredniego logowania na konto root
    – Aktualizacja systemu operacyjnego i oprogramowania!!!
    – :(){ :|:& };: , o tak ograniczamy maksymalną ilość procesów
    – zdefiniowanie polityki bezpieczeństwa i bezwzględne jej przestrzeganie
    – itd…

    2. Co doradziłbyś w kwestii bezpieczeństwa IT firmie Home.pl

    – Przede wszystkim przestrzeganie polityki Bezpieczeństwa Systemów zawartej w norme ISO 27001:2005, którą Państwo z powodzeniem wdrożyli

    – Kontynuowanie akcji dotyczących testowania nowych usług (oczywiscie w odseparowanym srodowisku)

  21. Nagroda dodatkowa (szkolenie Niebezpiecznika) wydaje się o wiele fajniejsza niż nagroda główna (iPad) – ciekawe czy jakaś zamiana będzie wśród pierwszych dwóch miejsc ;)

    • Ja tam wolę iPada :) Przydał by się w charakterze mobilnego (4G) terminala SSH. Bez obrazy dla Niebezpiecznika. Jeśli będę na 2 miejscu (w co wątpię) to byłbym skłonny się zamienić.

      Można wiedzieć ile osób się zarejestrowało?

    • ta nagroda bedzie przyznana przez Nibezpiecznik, a nie home.pl
      Piotr pisal o tym wyzej

    • Jeśli chodzi o chętnych mogę powiedzieć, że ilość przekroczyła nasze najśmielsze oczekiwania. Liczbę liczymy już w tysiącach i nie ma w tym żadnej kokieterii :)

      Na pewno podamy do publicznej wiadomości po udostępnieniu platformy wszystkim, którym uda nam się udostępnić VPSy.

    • podejmujac sie najprostszej pracy za 10PLN/h przec caly rok po godzine dziennie, zamiast siedziec tutaj i juz macie iPada :) liczac po czasie (nie licze kosztow produ, zuzycia PC, kawy i innych napojow zuzytych podczas przegladania niebezpiecznika). Juz pewnie niektorych wyjsc by moglo iz samo nieczytanie pozwala zaoszczedzic. Akurat chyba dobra pora na takie przemyslenia ile inwestujecie w czyjs prywatny interes :).

  22. @angelus, pewnie Olek pytanie o ilość osób kieruje do czytających komentarze home’owiczów.

    @Olek, dobra, to się zamieniamy ;) Ja nie potrafię wymyśleć dla mnie praktycznego zastosowania iPada (niepraktyczne potrafię, np. oglądanie seriali w wannie byloby super albo bieganie po ogrodzie grając w grę wyścigową też mogłoby być funem).

  23. Na jaki okres czasu jest nagroda gwarantowana?
    Dlaczego nie ma o tej nagrodzie gwarantowanej nic napisane w regulaminie?

    • marek vps jest na rok

    • Czyli że każdy kto się zarejestruje i zrobi te zadania dostanie za free na rok VPS-a i będzie mógł zrobić z nim co zechce?

    • W przypadku konkursu niebezpiecznik.pl VPS jest na okres 1 roku. W przypadku Ligi Testerów zostawiamy sobie tą decyzję na koniec testów. Tak jak miało to miejsce w przypadku innych testów usług prowadzonych jeszcze na rozwijaj.home.pl nagradzaliśmy tych, którzy naszym zdaniem mieli największy wkład w testy czy po prostu rozwój produktu. Aby rozwiać wątpliwości, nie będziemy z automatu rozdawać usług, za samo wypełnienie formularza vps.home.pl. Jednak z pewnością, uczciwie będziemy doceniać tych, którzy realnie zaangażowali się w testy. Od poziomu zaangażowania będzie też zależeć okres ważności.

  24. Przepraszam za OT.Pytanie z innej beczki.Czy korzystajac z przegladarki AURORA 9.0.1 (za TORem :D ) z wlaczona obsuga JavaScript (JVM – to wylaczone!) – moze dojsc do wycieku OFICJALNEGO IP przez Script.Coś ala GetIPAddress() (ale w Object)?RAtunku!
    Javascript won’t reveal your IP, because any connections established by javascript will still be handled by your browser. ? It’s prawda..?

  25. informuje ze za tak bezczelne reklamy obrazkowe kampani VPS, kasuje od dzis wszystkie. Wlacznie z niebezpiecznikowymi. Period.

  26. Przypominam że home.pl NIE JEST najlepszym/najbezpieczniejszym. serwerem w Polsce.
    Ponadto wydajność jest zaniżona. Od 3 lat Undderground miał wjazd na home.

  27. boszee jaki trolling się zrobił.

    Moim zdaniem fajna kampania.
    Nigdy nie potrzebowałem VPS, a teraz będę mógł się trochę pobawić i sprawdzić czy przypadkiem nie warto zainwestować w taki serwerek :)

    Jedynie treść banneru trochę dezinformuje:
    “Myślisz, że nie można go zagiać. Może Ty dasz radę?”
    Sugeruje testy penetracyjne.

  28. Właśnie dostałem zaproszenie :)

  29. Odpowiedzi:
    1.
    – (dla providera) Możliwość wyjścia poza maszynę wirtualną do hosta a więc i uzyskanie dostępu do każdej maszyny wirtualnej na danym serwerze fizycznym.
    – (dla providera) Przy błędnej konfiguracji kart sieciowych wirtualnych być może da się zesniffować to co inni przez nią przesyłają? Jeśli się jeszcze nie da, to trzeba założyć, że się da – w myśl zasady “nie ma takiego zabezpieczenia którego nie da się złamać” (-;
    – Poinstruowanie użytkowników jak poprawnie skonfigurować najpopularniejsze usługi (serwer webowy, bazodanowy, PHP, serwery gier czy (shout|ice)cast)
    – Jako, że VPS to taki “dedyk” tylko współdzielony z innymi “dedykami”, poprawna konfiguracja zależy od administratora. Na pewno poza instalacją firewalla trzeba go pooprawnie skonfigurować. Jakieś fail2ban też będzie przydatne
    – z oczywistych: utrata danych (admin sam musi sobie robić backupy, nikt mu ich nie zrobi jak przy hostingu współdzielonym), D?DoS, dziurawe oprogramowanie (jak np. popularny proftpd umożliwiający wjazd na roota)

    2.
    – Na pewno poinstruowanie użytkowników jak obchodzić się z hasłami/kluczami SSH. Widać, że te VPS-y są nastawione na userów trochę “mniej pr0” jako, że dostęp przez panel Pleskowy jest dość duży.
    – Regularne aktualizacje oprogramowania systemu-gościa

  30. Podstawowa wada wielu hostingów VPS: przesyłają hasła do hostingu zwykłym tekstem na email. Hasła powinny być co najwyżej dostępne w panelu przez HTTPS, by default ukryte i dostępne dopiero po naciścięciu jakiegoś przycisku.

  31. …a w ogóle co to za zwyczaje, żeby hasło było przechowywane u dostawcy w plaintext. Hasła powinny być w postaci hasha, plus ewentualny link resetujący.

  32. A dla providera podstawowy czynnik ryzyka jest taki, że mu klient narobi kłopotów natury społeczno-prawnej, w związku z czym providerem zainteresują się organizacje trzyliterkowe i paru arabów.

  33. @Piotr – to ze haslo zostalo wyslane na mail nie oznacza, ze nie zostalo ono chwile pozniej shashowane. Piszac skrypty rejestracji czesto przed zakodowaniem hasla wysylam je na mail. Co prawda podczas rejestracji nie podaje sie zadnych danych poufnych, wiec moge sobie na takie “ryzyko” pozwolic, jednak jednorazowe wyslanie plaintextowego hasla a pozniej jego zakodowanie nie jest moim zdaniem wielkim grzechem…

  34. 1.
    – Nie ma możliwości wyeliminowania zagrożenie przy możliwościach jakie daje nam VPS. Jednak trzeba wykrywać np. ewentualne łamanie prawe i im zapobiegać nie sprzedawać/dawać do testów VPSów bez danych osobowych. Dane właścicieli VPSów do testów można weryfikować przy pomocy np. przelewu na kwotę 0.01zł
    – Wykorzystanie całego fizycznego procesora przez proces jednego VPSa – zapobieganie jak w 2. np. Minimum jeden rdzeń na jeden VPS
    – Oczywiście utrata danych, Home to nie … z zasadą “Niczego nie gwarantujemy” no oczywiście backupu, snapshoty
    – Oczywiście przydały by się firewall sprzętowy przed cała maszynką z wirtualkami.

    2.
    – VPS – minimum jeden core na jeden VPS, aby nie było problemów z “rozpychającymi” się procesami na rdzeniu. Staranie się o taki podział, o jak najmniejszą liczbę współdzielonych elementów. Wiadomo wszystkie nie da się wyeliminować tj. np. płyta główna.
    – Stawiać na pewne dystrybucje Linuksa tzn. nie umożliwiać instalacji wersji testowych czy dystrybucji ciągłych.
    – Jakieś poważne hashowanie haseł do panelu dużo skryptów używa jeszcze MD5 a może np. SHA-256 z solą. O plaintekscie to już nie warto wspominać.
    – Logowanie po SSH do VPS tylko z wykorzystaniem kluczy i do tego ładny poradnik jak się z tego korzysta.
    – Umiejętne ustawianie uprawnień użytkowników i grup, tak aby po ewentualnym wrzuceniu PHP Shella tj. R57 C99 itp. atakujący nie miał dostępu do innych katalogów niż home.
    – Idąc dalej tym tropem – Stworzenie skryptu zapobiegającego, wykrywającego PHP Shell.
    – Stworzenie skryptu dla użytkowników mniej zaawansowanych który ułatwi podstawową bezpieczną konfigurując.
    – Testy, testy, testy.

    Pamiętajcie że nie powinno wymuszać się na właścicielach VPS aktualizacji oprogramowania, mogą mieć tam uruchomione usługi które działa z wersja z X.Y ale z X.Z już niekoniecznie. Dlatego przydałoby się informowanie o tym że aktualnie używana wersja nie jest bezpieczna.

    • Sorry ale głupoty piszesz.
      – nie ma możliwości wykorzystania w VPS całego procesora przez jeden proces. Ustawiasz limity z góry i żadna wirtualizacja nie pozwala na przekroczenie przez obojętnie jaki proces limitów przyznanych odgórnie. Z resztą nawet w systemie wykrywa Ci jeden wątek (no w przypadku openvz, który nie rozpoznaje fizycznych rdzeni).

      – to rdzeń czy wątek? Jak ktoś nie ma potrzeby korzystania z jednego pełnego fizycznego rdzenia to po co mu to?

      – backup to sprawa oczywista

      – A po co? Wystarczy brzegówka, by systematycznie wycinać pakieciki.

      2.
      – nie skomentuje
      – raczej nie masz dostępności do instalacji testowych systemów, no chyba że korzystamy z kvm
      -lol
      – wystarczy mocne hasło oraz zmiana domyślnego portu

      Dalej już mi się nie chce. Teraz już wiem skąd Ci spamerzy na testach home.

  35. Czy tylko mi się ten regulamin otwiera jako czysty dokument ?

    • Tak

  36. 1.
    a) Najsłabszym ogniwem zawsze jest człowiek czyli domyślne konfiguracje programów, proste hasła (np. admin1) lub ich brak, brak szyfrowania itd.
    b) przy założeniu że każdy vps ma publiczny adres to kiedy spamuje jeden vps, na listę spamową może trafić cała podsieć czyli vpsy innych userów, no i mamy skończoną liczbę adresów ipv4 to kiedy użytkownik zrezygnuje z tego vpsa(ip) to następny użytkownik który go dostanie będzie miał pod górkę z pocztą lub pozycjonowaniem,
    c) Brak limitów na wirtualkę co do liczby procesów, ruchu tcp/udp/icmp itd. odbije się na pracy innych wirtualek które są na tym samym serwerze,
    d) Przejęcie maszyny fizycznej poprzez dostęp do maszyny wirtualnej,
    e) Najczęsciej wszystkie usługi są na jednym serwerze np. www, poczta, ftp, dns, pada vps=pada wszystko,
    f) Stare wersje skryptów/programów z dziurami należy łatać bądź aktualizować
    g) chroot, zmiana domyślnych portów, fail2ban, mod_security, rsback, acl’ki itd itd nie ma chyba sensu wymieniać zresztą to nie tylko vps dotyczy ale wszystkich serwerów

    2.
    a) Monitorowanie luk w pakietach i informowanie użytkowników o nich jeżeli nie ma czegoś takiego jak 1h pracy technika w cenie vpsa czy coś podobnego, uniknie się w ten sposób pretensji użytkowników iż nie mogą dostać się do vpsa po ataku jak i wycinania sporych ilości pakietów na firewallach,

    Narazie nie przychodzi mi nic więcej do głowy, może jak dostanę dostęp do tego testowego vpsa to mi się coś nasunie;>

  37. No i przyszło wyjaśnienie – za dużo chętnych. Obiecują za to zniżki gdy oferta wejdzie już do sprzedaży a także iż “Podczas następnych testów potraktujemy Cię priorytetowo i zaprosimy do udziału w pierwszej kolejności.”.

    No cóż, szkoda. :)

  38. Co to za bzdura ktoś ma bazę maili home/niebezpiecznika?

    Jakis oszukanczy spam od ‘a.staniek@ffwcommunication.pl’, zeby podac dane, bo niby wygralem.

    • ffwcommunication to agencja, która reprezentuje Symanteca. (Na marginesie, wygrali wszyscy, którzy udzielili odpowiedzi – a nie jak początkowo zakładano tylko 3 osoby).

    • Też się zastanawiałem skąd mieli maila i czy to na pewno spam … ;D

  39. Drogi użytkowniku “sp”:
    Biorąc udział w konkursie zaakceptowałeś regulamin, który mówi, że adresy email zwycięzców zostaną udostępnione w celu przekazania nagrody, a Ty jesteś szczęśliwym zwycięzcą. Jeżeli zrzekasz się nagrody poinformuj nas o tym za pośrednictwem maila – nie jest tu chyba konieczne udostępnianie maila nadawcy na forum.
    W każdym razie, serdecznie gratulujemy wygranej i prosimy o kontakt w tej sprawie.

    Pozdrawiam,

    a.staniek

  40. “Od siebie dorzucamy niebezpiecznikową koszulkę ;)”
    “wygrali wszyscy, którzy udzielili odpowiedz”

    Czyli każdy kto wygrał dostaje dwie koszulki, jedną prO z home a drugą z niebiezpiecznika? Wolę się upewnić żeby nie było później rozczarowania przy unzipowaniu paczki;>

  41. Michał, to do ciebie też wysłali maila?
    Przecież news opublikowano 4/4/2012.
    Napisano: Odpowiedzi możecie udzielać przez najbliższe 2 tygodnie w komentarzach pod tym postem. (Mi wyszło 18/4/2012)
    A ty napisałeś 2012.04.21, przeszło trzy dni po terminie…

    • Szczerze powiedziawszy nawet nie zwróciłem uwagi na te terminy, jakoś w nocy się natknąłem na to i po prostu napisałem coś od siebie, a później była niespodzianka na skrzynce;]

  42. Czemu nie ma listy zwycięzców?czy w ogóle pojawi się takowa lista?

    • Wygrali wszyscy, ktorzy udzielili odpowiedzi. Home.pl poszło na rękę i nagrodziło nawet tego osobnika, który wysłał zgłoszenie po czasie – wniosek: warto brać udział w konkursach :-)

  43. Ok fajnie tylko czemu nie ma informacji VPS na rok w opcji Advanced/Basic dostał nick taki a taki lub osoba taka a taka?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.