ערפל כבד בענן של PHPFog

אחרי ההצלחה של Heroku ושל Makara, שוק ה-PaaS רותח. אך יחד עם הפופולאריות מגיעות גם הבעיות. חברה צעירה בשם PHPFog שהשאירה בטעות את הדלת האחורית פתוחה נפרצה על-ידי ילד בן 16.

תמונה: אתר PHPFog

אחרי ההצלחה של Heroku וההצלחה הקצת פחות מתוקשרת (ועם הרבה פחות כסף), אבל הרבה יותר הגיונית, של Makara, שוק  ה-PaaS רותח. מי שיכולה להרשות לעצמה (דוגמת SalesForce ו – RedHat) רוכשת חברות מהתחום ועשרות חברות אחרות עסוקות בפיתוח פלטפורמה כזאת או אחרת. הפלטפורמות המצליחות כיום בתחום זה, Heroku ו–Google App Engine, התמקדו בסביבות פיתוח כגון Ruby ו–Python ולמרות הפופולריות העצומה של PHP, בין שפות פיתוח ה–Web, שוק ה–PHPaaS נמצא בחיתוליו, עם מספר מצומצם של חברות בשלבים שונים של Beta.

PHPFog היא אחת מחלוצות התחום ולאחרונה החלה להפעיל תוכנית Beta, הזוכה לפופולריות לא רעה כלל. הרעיון שלהם בסיסי ופשוט. אתה מקבל מכונת Micro של אמאזון ועליה PHPFog מתקינים כל מה שצריך על מנת להריץ אפליקציית PHP ודואגים לכל מה שקשור ל–Scaling, על ידי הוספת שרתים. הפשטות הזאת היא הטוב והרע בפתרון של PHPFog. טוב כי זה פשוט, קל לתפעול ותומך בכל אפליקציות ה – PHP הקיימות, רע כי נראה לי שבמוקדם או מאוחר יגלו החברה מ–PHPFog שהפתרון שלהם מוגבל מאד, הן ברמת המכונה של אמאזון, הבחירה בגרסת PHP מיושנת יחסית ועוד בעיות ארכיטקטורה המגבילות את המערכת. אבל נכון להיום זאת לא הבעיה העיקרית שלהם. להם יש בעיה גדולה אחרת, בעיה שרודפת את תחום הענן כולו – אבטחת מידע.

ילד בן 16 הצליח לשתק את המערכת לארבעה ימים

ובמקרה של PHPFog זאת לא בעיה תאורטית וכללית, שדנים בה בכנסים ופורומים, אלא ילד מוכשר (או בר מזל למרות שלא בטוח שלאורך זמן) בן 16, שהצליח לפרוץ למערכת ולשתק אותה לארבעה ימים, תוך כדי ניצול פרצת אבטחה חמורה באחת המערכות של האתר, שהובילה את הבחור, די מהר, לקבל גישה מלאה לכל סיסמאות מערכת הניהול, חשבון הטוויטר של החברה ובעצם מה לא. למזלם של PHPFog, הנזק שעשה הפורץ היה יחסית קטן וזמני (שינוי DNS לאתר שאומר ש – PHPFog sucks) וקצת התרברבות של הפורץ בטוייטר על הפריצה והעובדה שיש לו את הקוד של המערכת. זה היה יכול להסתכם במחיקה כוללת של כל המערכת וחמור מזה, של כל החומר של הלקוחות, מה שבסופו של דבר לא קרה.

מבלי להיכנס לכל הפרטים הטכניים הקשורים לפריצה, השורה התחתונה היא ש – PHPFog פעלו ברשלנות גמורה, תןך השארת המערכה פרוצה לחלוטין (אמנם מדלת אחורית אבל אם יש דלת, מישהו ימצא דרך לעבור בה) ואם זה לא מספיק, הסיסמאות לכל המערכות של החברה היו גלויות לחלוטין, לכל מי שהצליח להגיע לאותה פירצה.

שוק מוצף בחברות צעירות

שוק הענן מוצף בחברות צעירות מאד, העושות ככל יכולתן להגיע לשוק כמה שיותר מהר, תוך כדי עשיית קיצורי דרך בתהליכי הפיתוח השונים. אחד הקיצורים הפופולריים, בעלי ההשפעה הרבה ביותר על לוחות זמנים, הוא הטיפול באבטחת מידע. המקרה של PHPFog מתאים כמו כפפה לתאור זה. חברה מאד צעירה (עד לא מזמן עם אנשי צוות ספורים), בשוק רותח, עושה הכל על מנת להגיע ללקוחות כמה שיותר מהר. עושה רושם שקיצורי דרך במקרה הזה הם שהובילו את החברה למצב המביך אליו נקלעה. אני האחרון שיטען שאפשר להגן על מערכת בצורה הרמטית ופריצה היא משהו שבעלי אתר או מערכת ממוחשבת אחרת חייבים לקחת בחשבון. אבל, בניגוד למקרה זה, אין זה פותר את הבעלים מלעשות הכל על מנת לגלות ולתקן בעיות אבטחה ובטח שלא לייצר אותן בעצמו ואז לתרץ ב – Should have/Could have.

חייבים להודות שההתמודדות של PHPFog עם הארוע ראויה לציון, במיוחד ברמת השקיפות שבחר לוקאס קרלסון, מנכ”ל החברה, בפוסט שלו בשבוע שעבר. מדובר באסון יחסי ציבור לחברה מאד קטנה, הנמצאת בשלבים מאד ראשוניים של מוצר ו – PHPFog עלולים לשלם מחיר מאד יקר על הטעויות שלהם. יהיה זה לא פשוט להתאושש מהכמויות העצומות של פרסום שלילי שגרר ארוע זה, מה שעוד ירדוף את החברה לאורך חודשים, אם לא לנצח. נכון לעכשיו, קהילת ה – PHP מקבלת די בסלחנות את הארוע האחרון ו – PHPFog זוכים לפרגון אפילו מהלקוחות, שהמערכת הושבתה עבורם לאורך מספר ימים, אבל מה שבטוח שהלקוחות לא יתנו לחברה צ’אנס נוסף. עוד תקלה מסוג זה וזה והערפל יהפוך לסופה שתמחק את PHPFog.

פורסם במקור בבלוג מעונן חלקית

בועז זינימן

בועז זינימן מנהל את מעונן חלקית, בלוג בעברית המוקדש ברובו למחשוב ענן (Cloud Computing) וטכנולוגיה בכלל. בועז משמש כדירקטור טכנולוגיה ותשתיות ענן בחברת Zend Technologies ובארבעת השנים האחרונות הוא ניהל את הצוותים הטכנולוגיים ב – Zend, כולל תיכנון ופיתוח כל מערכות ה – Web, פתרונות Hosting, אסטרטגיית IT ותשתיות.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

wpDiscuz

תגיות לכתבה: