ערפל כבד בענן של PHPFog

אחרי ההצלחה של Heroku וההצלחה הקצת פחות מתוקשרת (ועם הרבה פחות $$$), אבל הרבה יותר הגיונית, של Makara, שוק  ה- PaaS (ומי שעוד לא יודע מה זה שיעמוד בפינה) רותח. מי שיכולה להרשות לעצמה (דוגמת SalesForce ו – RedHat) רוכשת חברות מהתחום ועשרות חברות אחרות עסוקות בפיתוח פלטפורמה כזאת או אחרת. הפלטפורמות המצליחות כיום בתחום זה, Heroku ו – Google App Engine, התמקדו בסביבות פיתוח כגון – Ruby ו – Python ולמרות הפופולריות העצומה של PHP, בין שפות פיתוח ה – Web, שוק ה – PHPaaS נמצא בחיתוליו, עם מספר מצומצם של חברות בשלבים שונים של Beta.

PHPFog היא אחת מחלוצות התחום ולאחרונה החלה להפעיל תוכנית Beta, הזוכה לפופולריות לא קטנה. הרעיון שלהם בסיסי ופשוט. אתה מקבל מכונת Micro של אמזון ועליה PHPFog מתקינים כל מה שצריך על מנת להריץ אפליקציית PHP ודואגים לכל מה שקשור ל – Scaling, על ידי הוספת שרתים. הפשטות הזאת היא הטוב והרע בפתרון של PHPFog. טוב כי זה פשוט, קל לתפעול ותומך בכל אפליקציות ה – PHP הקיימות, רע כי נראה לי שבמוקדם או מאוחר יגלו החברה מ – PHPFog שהפתרון שלהם מוגבל מאד, הן ברמת המכונה של אמזון, הבחירה בגרסת PHP מיושנת יחסית ועוד בעיות ארכיטקטורה המגבילות את המערכת. אבל נכון להיום זאת לא הבעיה העיקרית שלהם. להם יש בעיה גדולה אחרת, בעיה שרודפת את תחום הענן כולו – אבטחת מידע.

ובמקרה של PHPFog זאת לא בעיה תאורטית וכללית, שדנים בה בכנסים ופורומים, אלא ילד מוכשר (או בר מזל למרות שלא בטוח שלאורך זמן) בן 16, שהצליח לפרוץ למערכת ולשתק אותה לארבעה ימים, תוך כדי ניצול פרצת אבטחה חמורה באחת המערכות של האתר, שהובילה את הבחור, די מהר, לקבל גישה מלאה לכל סיסמאות מערכת הניהול, חשבון הטוויטר של החברה ובעצם מה לא. למזלם של PHPFog, הנזק שעשה הפורץ היה יחסית קטן וזמני (שינוי DNS לאתר שאומר ש – PHPFog sucks) וקצת התרברבות של הפורץ בטוייטר על הפריצה והעובדה שיש לו את הקוד של המערכת. זה היה יכול להסתכם במחיקה כוללת של כל המערכת וחמור מזה, של כל החומר של הלקוחות, מה שבסופו של דבר לא קרה.

מבלי להיכנס לכל הפרטים הטכניים הקשורים לפריצה (פרטים רבים בלינק של מנכ”ל PHPFog בהמשך), השורה התחתונה היא ש – PHPFog פעלו ברשלנות גמורה, תןך השארת המערכה פרוצה לחלוטין (אמנם מדלת אחורית אבל אם יש דלת, מישהו ימצא דרך לעבור בה) ואם זה לא מספיק, הסיסמאות לכל המערכות של החברה היו גלויות לחלוטין, לכל מי שהצליח להגיע לאותה פירצה.

כבר כתבתי באחד הפוסטים הקודמים שלי בהקשר לאבטחת מידע בענן את השורות הבאות:

שוק הענן מוצף בחברות צעירות מאד, העושות ככל יכולתן להגיע לשוק כמה שיותר מהר, תוך כדי עשיית קיצורי דרך בתהליכי הפיתוח השונים. אחד הקיצורים הפופולריים, בעלי ההשפעה הרבה ביותר על לוחות זמנים, הוא הטיפול באבטחת מידע.

המקרה של PHPFog מתאים כמו כפפה לתאור זה. חברה מאד צעירה (עד לא מזמן עם אנשי צוות ספורים), בשוק רותח, עושה הכל על מנת להגיע ללקוחות כמה שיותר מהר. עושה רושם שקיצורי דרך במקרה הזה הם שהובילו את החברה למצב המביך אליו נקלעה. אני האחרון שיטען שאפשר להגן על מערכת בצורה הרמטית ופריצה היא משהו שבעלי אתר או מערכת ממוחשבת אחרת חייבים לקחת בחשבון. אבל, בניגוד למקרה זה, אין זה פותר את הבעלים מלעשות הכל על מנת לגלות ולתקן בעיות אבטחה ובטח שלא לייצר אותן בעצמו ואז לתרץ ב – Should have/Could have.

חייבים להודות שההתמודדות של PHPFog עם הארוע ראויה לציון, במיוחד ברמת השקיפות שבחר המנכ”ל שלהם בפוסט שלו בשבוע שעבר. מדובר באסון יחסי ציבור לחברה מאד קטנה, הנמצאת בשלבים מאד ראשוניים של מוצר ו – PHPFog עלולים לשלם מחיר מאד יקר על הטעויות שלהם. יהיה זה לא פשוט להתאושש מהכמויות העצומות של פרסום שלילי שגרר ארוע זה, מה שעוד ירדוף את החברה לאורך חודשים, אם לא לנצח. נכון לעכשיו, קהילת ה – PHP מקבלת די בסלחנות את הארוע האחרון ו – PHPFog זוכים לפרגון אפילו מהלקוחות, שהמערכת הושבתה עבורם לאורך מספר ימים, אבל מה שבטוח שהלקוחות לא יתנו לחברה צ’אנס נוסף. עוד תקלה מסוג זה וזה והערפל יהפוך לסופה שתמחק את PHPFog.

אודות הכותב

בועז זינימן
בועז זינימן הוא Head of Developer Relations EMEA ב - AWS, חטיבת שרותי הענן של אמזון ומנהל צוות של Developer Advocates באירופה, המזרח התיכון ואפריקה. במסגרת תפקידו, בועז עוזר לחברות להבין טוב יותר את הפוטנציאל של מחשוב ענן והשירותים השונים של AWS. לבועז עשרות שנות ניסיון בפיתוח, תפעול, ארכיטקטורה וניהול IT במגוון גדול של חברות טכנולוגיה מובילות בישראל.