Jeden z największych na świecie dostawców masowego hostingu, amerykańska firma GoDaddy, znana z agresywnego, bazującego na imponujących biustach marketingu i umiarkowanej jakości usług, nastraszyła ostatnio swoich klientów. Cała historia sprowadza się do pytania – jakie są granice ingerowania przez firmę hostingową w sprzedawane serwery?

Sucuri to producent mechanizmów ochronnych dla posiadaczy serwerów WWW, które pozwalają na śledzenie nieautoryzowanych zmian w serwisach, wpisach DNS, manipulacji przy WHOIS czy certyfikatach SSL. Właściciel tej firmy prowadzi bloga poświęconego kwestiom bezpieczeństwa – Sucuri Security. Opisał w nim swoją przygodę z GoDaddy – podjętą przez hostera próbę nieautoryzowanego dostępu do jego serwera.

Jak autor wyjaśnia, jest klientem GoDaddy od jakiegoś już czasu i nie ma z tym raczej kłopotów. Trzyma w firmie swoje domeny i wiele VPS-ów. Na jednym z nich utrzymywana jest nawet oficjalna witryna jego firmy. Jest jednak człowiekiem ostrożnym – zmienił w domyślnych ustawieniach demona sshd port dostępowy i ograniczył możliwość zdalnego dostępu do niego jedynie dla kilku wybranych adresów IP. Jednocześnie zainstalował na oficjalnym porcie SSH (22) mechanizm „garnka miodu” (honeypot), który pozwalał mu na śledzenie ataków, zmierzających do przejęcia kontroli nad serwerem.

W styczniu br. zobaczył na logach zastanawiające wpisy – próby logowania przez SSH, wykorzystujące jego nazwę użytkownika i jego hasło roota! Szczęśliwie wprowadzona przez niego blokada nieuprawnionych adresów IP nie pozwoliła napastnikowi na zalogowanie się.

Autor Sucuri Security szybko zaczął zmieniać hasła swojego dostępu, zastanawiając się nad tym, kiedy ktoś mógł wykraść jego dane logowania do GoDaddy, a potem sprawdził adresy IP, których użyto w próbie uzyskania dostępu. Okazało się, że pochodzą z wewnętrznej sieci GoDaddy’ego. Zaatakowany już miał pisać e-maila na konto abuse hostera, kiedy dostał od firmy tej e-maila.

W e-mailu pracownik GoDaddy’ego stwierdził, że podejrzewa, że serwis internetowy bohatera naszej opowieści jest zainfekowany złośliwym oprogramowaniem – i że hoster zamierza to zbadać. Poinformował jednocześnie, że „dane logowania jakie posiada dla tego serwera nie pozwalają mu na zalogowanie się do VPS-u (…), dlatego żąda wydania poprawnych danych logowania w ciągu 48 godzin – w przeciwnym wypadku serwer zostanie zawieszony”.

Oczywiście bloger nie zgodził się na taki obrót rzeczy. Nic dziwnego – z danych wynikało, że hasła w GoDaddy utrzymywane są w jawnej postaci, firma robi sobie SSH do jego serwera bez upoważnienia i „mało nie przyprawiła mnie o ataku serca” – jak podsumował sprawę. Po skontaktowaniu się z pracownikami hostera, autor Sucuri Security wyjaśnił, że zajmuje się badaniami nad malware i zagrożeniami dla Sieci i na pewno nikomu nie da dostępu do swoich serwerów. Jeśli hoster ponowi takie żądanie, to on zmieni hostera.

Ostatecznie do naszego bohatera zadzwonił sam dyrektor bezpieczeństwa GoDaddy’ego, Neil Warner. Wyjaśnił, że tego typu działania są standardem – firma wydała wiele pieniędzy na mechanizm wykrywania włamań i malware na serwerach klientów. Specjalny zespół monitoruje 24 godziny na dobę wszystkie VPS-y i serwery dedykowane, a kiedy zauważy jakiś problem, to po prostu loguje się do serwera, by usunąć zagrożenie.

Warner wyjaśnił także, że nie jest prawdą, że hasła przechowywane są w jawnej postaci – są one po prostu …szyfrowane. Odszyfrować je można dopiero w ramach procedury, w której członek zespołu bezpieczeństwa otwiera zgłoszenie i wyjaśnia powód, dla którego potrzebny jest dostęp do hasła.

Autor Sucuri Security przyjął te wyjaśnienia za dobrą monetę – i pozostał przy hosterze. Społeczność Slashdotu nie była jednak aż tak wyrozumiała. Krytykowała zarówno potrzebę wydawania hasła roota hosterowi, jak i samej legalności takich działań, porównując ją do sytuacji z rynku mieszkaniowego – gdy właściciel wynajmowanego mieszkania wejdzie do niego bez zgody lokatora, popełnia przestępstwo. Wymieniali także wiele incydentów, w których hoster ten traktował swoich klientów w sposób urągający dobrym obyczajom – np. konfiskując ich domeny i żądając okupu za ich uwolnienie (ponieważ klient rzekomo naruszył ich warunki użytkowania).

To wszystko nie przeszkadza jednak GoDaddy być jednym z największych registrarów i hosterów dla masowego klienta. Inwestycje w reklamy bazujące na imponujących piersiach ładnych dziewcząt najwyraźniej robią tu swoje.

Źródło: home.pl, slashdot.org