Πρόσφατα στο Elastic blog , το οποίο αναφέρει ότι οι κύριες λειτουργίες ασφαλείας του Elasticsearch, που κυκλοφόρησαν στον χώρο ανοιχτού κώδικα πριν από περισσότερο από ένα χρόνο, είναι πλέον δωρεάν για τους χρήστες.
Η επίσημη ανάρτηση ιστολογίου περιέχει τις «σωστές» λέξεις ότι ο ανοιχτός κώδικας πρέπει να είναι δωρεάν και ότι οι ιδιοκτήτες έργων χτίζουν την επιχείρησή τους σε άλλες πρόσθετες λειτουργίες που προσφέρουν για επιχειρηματικές λύσεις. Τώρα οι βασικές εκδόσεις των εκδόσεων 6.8.0 και 7.1.0 περιλαμβάνουν τις ακόλουθες λειτουργίες ασφαλείας, που προηγουμένως ήταν διαθέσιμες μόνο με χρυσή συνδρομή:
- TLS για κρυπτογραφημένη επικοινωνία.
- Αρχείο και εγγενές πεδίο για τη δημιουργία και τη διαχείριση καταχωρήσεων χρηστών.
- Διαχειριστείτε την πρόσβαση των χρηστών στο API και στο σύμπλεγμα που βασίζεται σε ρόλους. Η πρόσβαση πολλών χρηστών στο Kibana επιτρέπεται χρησιμοποιώντας το Kibana Spaces.
Ωστόσο, η μεταφορά λειτουργιών ασφαλείας στην ελεύθερη ενότητα δεν είναι μια ευρεία χειρονομία, αλλά μια προσπάθεια δημιουργίας απόστασης μεταξύ ενός εμπορικού προϊόντος και των κύριων προβλημάτων του.
Και έχει κάποια σοβαρά.
Το ερώτημα "Elastic Leaked" επιστρέφει 13,3 εκατομμύρια αποτελέσματα αναζήτησης στο Google. Εντυπωσιακό, έτσι δεν είναι; Μετά την απελευθέρωση των λειτουργιών ασφαλείας του έργου σε ανοιχτό κώδικα, που κάποτε φαινόταν καλή ιδέα, η Elastic άρχισε να αντιμετωπίζει σοβαρά προβλήματα με διαρροές δεδομένων. Στην πραγματικότητα, η βασική έκδοση μετατράπηκε σε κόσκινο, αφού κανείς δεν υποστήριξε πραγματικά αυτές τις ίδιες λειτουργίες ασφαλείας.
Μία από τις πιο διαβόητες διαρροές δεδομένων από έναν ελαστικό διακομιστή ήταν η απώλεια 57 εκατομμυρίων δεδομένων πολιτών των ΗΠΑ, για την οποία τον Δεκέμβριο του 2018 (αργότερα αποδείχθηκε ότι διέρρευσαν πράγματι 82 εκατομμύρια δίσκοι). Στη συνέχεια, τον Δεκέμβριο του 2018, λόγω προβλημάτων ασφαλείας με την Elastic στη Βραζιλία, κλάπηκαν τα δεδομένα 32 εκατομμυρίων ανθρώπων. Τον Μάρτιο του 2019, «μόνο» 250 εμπιστευτικά έγγραφα, συμπεριλαμβανομένων εκείνων νομικής φύσης, διέρρευσαν από άλλο ελαστικό διακομιστή. Και αυτή είναι μόνο η πρώτη σελίδα αναζήτησης για το ερώτημα που αναφέραμε.
Στην πραγματικότητα, το hacking συνεχίζεται μέχρι σήμερα και ξεκίνησε λίγο μετά την αφαίρεση των λειτουργιών ασφαλείας από τους ίδιους τους προγραμματιστές και τη μεταφορά του σε ανοιχτό κώδικα.
Ο αναγνώστης μπορεί να παρατηρήσει: «Και λοιπόν; Λοιπόν, έχουν προβλήματα ασφάλειας, αλλά ποιος δεν έχει;»
Και τώρα προσοχή.
Το ερώτημα είναι ότι πριν από αυτή τη Δευτέρα, η Elastic, με ήσυχη τη συνείδησή της, έπαιρνε χρήματα από πελάτες για ένα κόσκινο που ονομάζεται λειτουργίες ασφαλείας, το οποίο κυκλοφόρησε σε ανοιχτό κώδικα τον Φεβρουάριο του 2018, δηλαδή πριν από περίπου 15 μήνες. Χωρίς να επιβαρυνθεί με κανένα σημαντικό κόστος για την υποστήριξη αυτών των λειτουργιών, η εταιρεία έπαιρνε τακτικά χρήματα για αυτές από συνδρομητές χρυσού και premium από το τμήμα εταιρικών πελατών.
Κάποια στιγμή, τα προβλήματα ασφαλείας έγιναν τόσο τοξικά για την εταιρεία και τα παράπονα των πελατών έγιναν τόσο απειλητικά, που η απληστία μπήκε σε δεύτερη μοίρα. Ωστόσο, αντί να συνεχίσει την ανάπτυξη και να «επιδιορθώσει» τις τρύπες στο δικό της έργο, εξαιτίας των οποίων εκατομμύρια έγγραφα και προσωπικά δεδομένα απλών ανθρώπων μπήκαν σε δημόσια πρόσβαση, η Elastic έριξε λειτουργίες ασφαλείας στη δωρεάν έκδοση του elasticsearch. Και το παρουσιάζει ως μεγάλο όφελος και συνεισφορά στην υπόθεση του ανοιχτού κώδικα.
Υπό το φως τέτοιων «αποτελεσματικών» λύσεων, το δεύτερο μέρος της ανάρτησης του ιστολογίου φαίνεται εξαιρετικά παράξενο, εξαιτίας του οποίου, στην πραγματικότητα, δώσαμε προσοχή σε αυτήν την ιστορία. Είναι περίπου - ο επίσημος χειριστής Kubernetes για το Elasticsearch και το Kibana.
Οι προγραμματιστές, με μια εντελώς σοβαρή έκφραση στα πρόσωπά τους, λένε ότι λόγω της συμπερίληψης των λειτουργιών ασφαλείας στο βασικό δωρεάν πακέτο λειτουργιών ασφαλείας elasticsearch, ο φόρτος στους διαχειριστές χρηστών αυτών των λύσεων θα μειωθεί. Και γενικά όλα είναι υπέροχα.
«Μπορούμε να διασφαλίσουμε ότι όλα τα συμπλέγματα που λανσαρίζονται και διαχειρίζονται το ECK θα προστατεύονται από προεπιλογή από την κυκλοφορία, χωρίς πρόσθετη επιβάρυνση για τους διαχειριστές», αναφέρει το επίσημο ιστολόγιο.
Πώς η λύση, που εγκαταλείφθηκε και δεν υποστηρίζεται πραγματικά από τους αρχικούς προγραμματιστές, η οποία τον περασμένο χρόνο μετατράπηκε σε ένα καθολικό αγόρι μαστίγωσης, θα παρέχει στους χρήστες ασφάλεια, οι προγραμματιστές σιωπούν.
Πηγή: www.habr.com