Nedavno na Elastic blogu , koji izvještava da su glavne sigurnosne funkcije Elasticsearch-a, puštene u open source prostor prije više od godinu dana, sada besplatne za korisnike.
Zvanični blog post sadrži “ispravne” riječi da open source treba da bude besplatan i da vlasnici projekta grade svoje poslovanje na drugim dodatnim funkcijama koje nude za poslovna rješenja. Sada osnovne verzije verzija 6.8.0 i 7.1.0 uključuju sljedeće sigurnosne funkcije, koje su ranije bile dostupne samo uz zlatnu pretplatu:
- TLS za šifrovanu komunikaciju.
- Datoteka i izvorno područje za kreiranje i upravljanje korisničkim unosima.
- Upravljajte korisničkim pristupom API-ju i klasteru zasnovanom na ulogama; Višekorisnički pristup Kibani je dozvoljen korištenjem Kibana Spacesa.
Međutim, prijenos sigurnosnih funkcija u besplatni dio nije širok gest, već pokušaj da se stvori distanca između komercijalnog proizvoda i njegovih glavnih problema.
I on ima neke ozbiljne.
Upit “Elastic Leaked” vraća 13,3 miliona rezultata pretraživanja na Google-u. Impresivno, zar ne? Nakon puštanja sigurnosnih funkcija projekta u open source, što se nekada činilo dobrom idejom, Elastic je počeo imati ozbiljnih problema s curenjem podataka. U stvari, osnovna verzija se pretvorila u sito, jer nitko nije podržavao te iste sigurnosne funkcije.
Jedno od najozloglašenijih curenja podataka sa elastičnog servera bio je gubitak 57 miliona podataka američkih građana, o čemu u decembru 2018. (kasnije se ispostavilo da je zapravo procurilo 82 miliona zapisa). Zatim, u decembru 2018. godine, zbog sigurnosnih problema sa Elastic-om u Brazilu, ukradeni su podaci 32 miliona ljudi. U martu 2019. „samo“ 250 povjerljivih dokumenata, uključujući i one pravne prirode, procurilo je sa drugog elastičnog servera. I ovo je samo prva stranica za pretraživanje za upit koji smo spomenuli.
Zapravo, hakiranje se nastavlja do danas i započelo je ubrzo nakon što su sigurnosne funkcije uklonili sami programeri i prenijeli na otvoreni izvorni kod.
Čitalac može primijetiti: „Pa šta? Pa, oni imaju sigurnosnih problema, ali ko ih nema?”
A sada pažnja.
Pitanje je da je prije ovog ponedjeljka Elastic mirne savjesti uzimao novac od klijenata za sito zvano sigurnosne funkcije, koje je pustio u open source još u februaru 2018. godine, odnosno prije 15-ak mjeseci. Bez ikakvih značajnih troškova za podršku ovim funkcijama, kompanija je redovno uzimala novac za njih od zlatnih i premium pretplatnika iz segmenta poslovnih klijenata.
U nekom trenutku, sigurnosni problemi postali su toliko toksični za kompaniju, a pritužbe kupaca postale su toliko prijeteće, da je pohlepa otišla u pozadinu. Međutim, umjesto da nastavi razvoj i “krpi” rupe u vlastitom projektu, zbog kojih su milioni dokumenata i ličnih podataka običnih ljudi otišli u javni pristup, Elastic je bacio sigurnosne funkcije u besplatnu verziju elasticsearch-a. I on to predstavlja kao veliku korist i doprinos cilju otvorenog koda.
U svjetlu ovakvih “djelotvornih” rješenja, drugi dio blog posta izgleda krajnje čudno, zbog čega smo, zapravo, i obratili pažnju na ovu priču. Radi se o - zvanični Kubernetes operater za Elasticsearch i Kibana.
Programeri, potpuno ozbiljnog izraza lica, kažu da će se zbog uključivanja sigurnosnih funkcija u osnovni besplatni paket sigurnosnih funkcija elasticsearch smanjiti opterećenje korisničkih administratora ovih rješenja. I generalno, sve je super.
„Možemo osigurati da će svi klasteri koje pokreće i kojima upravlja ECK biti zaštićeni prema zadanim postavkama od pokretanja, bez dodatnog opterećenja za administratore“, navodi se na službenom blogu.
Kako će rješenje, napušteno i ne baš podržano od strane originalnih programera, a koje se u proteklih godinu dana pretvorilo u univerzalno šibanje, korisnicima pružiti sigurnost, programeri šute.
izvor: www.habr.com