Šis įrašas bus neįprastai trumpas. Prieš tai rašiau, kaip asmeninius duomenis galima susirankioti su Google. Pati paieškos sistema nėra pajėgi viską tinkamai sukontroliuoti ir tuos duomenis laiku pašalinti iš rezultatų, dėl to Google siūlo galimybę patiems stebėti ką ir kada naujo ji suranda. Tam skirta tarnyba Google Alerts, kurią rasite adresu http://www.google.com/alerts. Tiesiog nurodykite norimą stebėti tekstą (pvz. savo vardą ir pavardę) bei el. paštą ir juo gausite pranešimus iš karto, kai tik Google kur nors suras tai, ką nurodėte. O kai ras, tuomet pasinaudodami šia instrukcija, galite prašyti pašalinti nepageidaujamus rezultatus.

Tokiu pačiu būdu galite stebėti naujai pasirodančius pranešimus apie mėgstamą sproto komandą, aktorių, kaimyną ar bet ką kitą. Taip, Google jums padeda tapti sekliu ir stebėti ne tik kieno nors spaudos pranešimus, bet ir kitus asmenis. Kaip manot, gerai tai ar blogai? Ar šią paslaugą galima išnaudoti kokiai nors nesąžiningai veiklai? Kaip tai galima padaryti? Siūlykit savo galimus variantus komentaruose. Diskutuosim, nagrinėsim ir kelsim naujas idėjas. Pažiūrėsim ką naujo bendrai visi sugalvosim.

Šiemet organizuoju “WEB HACKING: įveikti internetą” mokymus. Kursui tuoj bus vieneri metai, bet visą tą laiką jis sėkmingai atnaujinamas. Savaitgalį į jį sudėjau ir paskutinio masinio nulaužimo analizę. Įdomiai ta visa ataka padaryta. Pirmą kartą mokymai truko 2 dienas, po to 3, dabar jau neaišku ar į 3 normaliai tilpti pavyks. Bet gal apie viską nuo pradžių.

Skaityti visą įrašą…

Nuo 2007 metų konferencijos CanSecWest metu vyksta konkursas “PWN to 0WN”. Šiemet konkursas vyko antrą kartą. Visas veiksmas vyksta tris dienas, o jo metu saugumo analizei pateikiami 3 nešiojami kompiuteriai su standartinėm OS instaliacijomis ir visais atnaujinimais. Šiemet konkurse dalyvavo:

• Sony VAIO VGN-TZ37CN su Ubuntu 7.10
• Fujitsu U810 su Vista Ultimate SP1
• MacBook Air su OSX 10.5.2

Konkurso tikslas - išlaužti kurią nors sistemą. Tačiau tam egzistuoja kelios taisyklės. Kadangi konkurso trukmė yra trys dienos, tai pirmąją dieną galima išnaudoti tik nuotolinius pažeidžiamumus be jokių įsikišimų iš sistemų vartotojų. T.y. tiesiog tinkle yra įjungtos šios trys sistemos ir tikslas yra surasti jose rimtus pažeidžiamumus. Pirmam tai padariusiam atitektų išlaužtas kompiuteris ir 20 000 USD piniginis prizas. Antrąją dieną sąlygos šiek tiek keičiasi. Jau galima išnaudoti ne tik nuotolinius pažeidžiamumus, bet ir standartinių klientinės dalies aplikacijų pažeidžiamumus (pvz. paspausti el. paštu atėjusią nuorodą, nueiti į kokį nors tinklalapį ar pasinaudoti pokalbių programa). Pirmam tai padariusiam antrąją dieną atitektų išlaužtas kompiuteris ir 10 000 USD piniginis prizas. Trečiąją dieną sąlygos dar palengvėja. Dabar jau galima diegti į sistemas populiarias trečiųjų šalių aplikacijas. Žinoma, mažėja ir prizas. Trečią dieną laimėti galima išlaužtą kompiuterį ir 5000 USD piniginį prizą. Vienu metu viena komanda gali dirbti tik su viena sistema. Sistemos keičiasi kas tam tikrą laiko tarpą.

Skaityti visą įrašą…

Na va, rodos į Blogin vis tik pakliūsiu. Susitiksim ten. O šiandien noriu pristatyti dar vieną nemokamą dalyką internete. Jei prieš tai pristatinėjau BackTrack operacinę sistemą, tai dabar bus informacijos apsaugos tema rašantis žurnalas (IN)SECURE. Žurnalas tik PDF formatu, apie 130 puslapių ir išeinantis nereguliariai. Tarp numerių gali būti 2, o gali būti ir 4 mėn. skirtumas. Jį rasite adresu http://www.net-security.org/insecuremag.php.

Ten pat yra ir visų anksčiau išleistų numerių archyvas. Rašo apie viską po truputį saugos tema. Dažnai pradeda nuo technologinių sprendimų apžvalgos, kurioje pakankamai daug vietos užima to žurnalo rėmėjai. Kai kuriuos straipsnius skaitant būtina žinoti bent jau techninius terminus, kituose tokios žinios visai nebūtinos. Kaip jau supratot, temų yra įvairaus pobūdžio. Pvz. paskutiniame numeryje yra tema apie manipuliaciją žmonėmis, t.y. socialinę inžineriją. Skiriama dėmesio ir įvairiems informacijos apsaugos standartams. Kiekviename numeryje apžvelgiamos knygos informacijos apsaugos tematika. Neužmirštama ir su tuo susijusi programinė įranga. Manau, kad žurnalas turėtų būti įdomus tiek pradedančiam domėtis informacijos apsauga, tiek jau ir pažengusiam toje srityje (nes čia tiesiog nėra kada sustoti).

P.S. Gal galit man pasakyti kodėl aš sugalvojau savo tinklaraščiui (taip taip, pradedu kalbėti lietuviškai) užmauti savo dizainą? Jų tiek visokių neblogų ir su tinkamu išdėstymu pripiešta yra, o aš sau tik papildomo darbo prisidariau…

Visuomenėje žodis hakeris yra suprantamas labai skirtingai. Vieniems tai nerealus “profas”, kuris pasitaiko tik Holivudo filmuose, kitiems - daugiau kompiuteriuose suprantantis kaimynas ir t.t. Tad šiame įraše pabandysiu kuo tiksliau papasakoti kas gi yra tas hakeris arba, anot kalbininkų, programišius, kokie jie būna ir į ką yra skirstomi.

Hacker. Iki atsirandant kompiuteriams, pirminė šio žodžio reikšmė anglų k. žodyne visą laiką buvo nurodoma kaip “kažkas, iš medžio galintis gaminti baldus kirviu”. Vėliau šis žodis buvo naudojamas kalbant žargonu, o šiandien retas kuris supranta šio žodžio reikšmę kitaip nei “kompiuterių nusikaltėlis”. Iš esmės visi kiti terminai atsirado vėliau, o pats terminas “hacker” šiandien turi labai plačią reikšmę. Iš esmės hakeriu būtų galima apibūdinti asmenį, kuris daugiau nei įprasti vartotojai nagrinėja įvairias IT sistemas, siekdamas surasti ir išnaudoti jų pradiniame funkcionalume nenumatytas galimybes. Tai nebūtinai reiškia, kad tų “galimybių” ieškoma tik blogiems tikslams. Kartais hakeris visa tai daro iš idėjos tiesiog siekdamas tobulumo, o kartais priešingai. Apie tai bus vėliau.

Cracker. Šis žodis daugiau reiškia neigiamą hakerį, kurio tikslas yra įveikti sistemų apsaugą siekiant tam tikros naudos. Taip dažnai apibūdinami žmonės, kuriantys programinės įrangos apsaugos pašalinimo mechanizmus. Žinoma, jie tai daro pažeisdami autorines teises ir nusižengia įstatymui, tačiau yra vertinami tokios įrangos naudotojų. Patys cracker’iai neplatina nulaužtos programinės įrangos (tuo užsiima piratai), bet tik jos nulaužimo mechanizmus (cracks, keygens, patches etc.), todėl dažnai juos nubausti yra sunku.

Skaityti visą įrašą…

Pasižiūrėjau savo BLOG’o statistiką. Skaitomiausias straipsnis buvo apie blogas.lt BLOG’ų vagystes, kurio aprašyta problema vis dar nesutvarkyta (nors ir buvo žadėta) bei kavą už 50 Lt. Atrodo, kad mano BLOG’o skaitytojus labiau domina blogi dalykėliai ir nutikimai nei geri. Tačiau prieš pradėdamas gan ilgą įrašų ciklą apie tai kaip laužiamos programos, aš šiandien neatsižvelgsiu į populiarias temas ir parašysiu apie nesudėtingas apsaugos priemones. Pagaliau pabūsiu šiek tiek ir “geriečiu”. Parašysiu apie tai, kaip didinant saugumą nesumažinti funkcionalumo vartotojui.

Tinklalapių autoriai ir juos prižiūrintys asmenys labai gerai žino tą problemą, kai į tinklalapį įdėjus savo el. pašto adresą labai greitai į jį pradeda ateiti visokie reklaminiai laiškai. Tai reiškia, kad Jūsų el. pašto adresas tinklalapyje buvo sėkmingai suindeksuotas blogų paieškos robotų ir įtrauktas į el. pašto duomenų bazes, kuriems gali būti sėkmingai siunčiamas spam’as. Kad apsisaugotų nuo tokių robotų, autoriai savo el. pašto adresą pradeda visaip darkyti, kad jų neatpažintų ir nesuindeksuotų tie blogiečiai robotai. Tada el. pašto adresai būna užrašomi visaip taip: aaa[eta]gmail.com arba _NO_SPAM_aaa@gmail.com, vietoj @ simbolio dedamas jį vaizduojantis paveikslėlis ir t.t. Šie būdai dažnai suklaidina paieškos robotus, bet įveda ir papildomo nepatogumo lankytojams.
Skaityti visą įrašą…

Jei užvakar programinau iki 3 nakties (prisijungiau prie Open Source bendruomonės (pats netikiu)), tai šiandien visą dieną prasėdėjau internete. Iš esmės skaičiau tai, kas per porą savaičių prisirinko į rss reader'į. Dabar dar liko neperžiūrėti 86 nezinau.lt pranešimai. Be informacijos akimis, visą dieną siurbiau info ausimis iš audio book'ų. Daugiausiai apie pardavimus ir šiaip visokias ne IT nesamones. Po tokio kiekio informacijos, vakarop kilo noras parašinėti. Vienos didesnės temos šį kartą neturiu (o gal tingiu daug rašyti?), tad parašinėsiu apie viską po truputį. Dėl to ir šio įrašo pavadinimas toks.

Pradėsiu nuo savo BLOG'o ir paskutinės temos jame “Kodėl nulaužiama tiek mažai tinklalapių?“. Tiksliau, užkliuvo asterisk komentaras. Cituoju:

Nežinau kodėl blk.lt neišsitaiso savo svetainės klaidų Būdamas draugiškas pašalinau tą turkų 'hakerių' žinutę, tikiuosi už tai neduos per galvą niekas

Fainei. Žmogus atėjo, surado turkų pasidarytą priėjimą prie tinklalapio ir atstatė viską atgal, kad nebūtų kaip su horn.lt per visą ilgą velykų savaitgalį buvo. Tik dar reikėtų blk.lt informuoti, kad susitvarkytų turkų “palikimą”, nes kas nors vėl išlauš. Nespės asterisk atstatinėti. Šitas komentaras man priminė kaip tinklalapių savininkai kartais reaguoja į tokį altruistinį darbą. Kai tinklalapio autoriui Lietuvoje parašai, kad jo kurtas tinklalapis skylėtas ir konkrečiai nurodai kur, tai dažniausi atsakymai būna du. 1) jokio atsakymo. 2) “Ai, tai čia nieko tokio. Čia nieko padaryt negalima“. Kai parodai kaip padaroma, tada dažniausiai būna tyla. Nei ačiū pasako, nei pasiunčia kur nors. Įdomu kaip blk.lt sureaguos.

Dar radau tokį visai įdomų šaltinį greitam pasižiūrėjimui. JAV ~30 įvairių įstatymų ir įsakymų liepia paviešinti faktą apie duomenų praradimą/paviešinimą, kai prarandami duomenys, susiję su privačiais asmenų duomenimis. Jei tie duomenys buvo patikimai užšifruoti, tuomet tokio fakto paviešinti nėra būtina. Taigi, informacija apie JAV duomenų paviešinimo įvykius. Asmens duomenų praradimai įvyksta beveik kiekvieną dieną. Ir atkreipkit dėmesį, kad ne visi įvykiai susiję tik su įsilaužimais ir technologijomis. Dalis informacijos išviešinta ir popieriuje. Pvz. 2007 metų sausio 2 d. įvykis. Cituoju:

About 40 boxes of financial paperwork, thought to be from loan applications, was found in a dumpster. One of the boxes visible to news reporters was said to contain paperwork with bank account details, photocopies of driver's licenses, SSNs and “other private information.”

Kažkaip iš karto priminė šį įvykį: Šiukšlių maišuose prie „Hansabanko“ – klientų pasų kopijos (foto). Žodžiu, kaip ten, taip ir čia. Tik ten įpareigojama apie tai viešai pranešti, o čia nebent žurnalistai atkapsto arba kas pasiskundžia.

Na ir dar viena trumputė tema. Šį kartą kaip pagrindu pasinaudosiu nezinau.lt įrašu: Geriau vėliau, bet su robots.txt. Kas gi yra tas robots.txt failas? Šis failas yra vienas iš būdų įsilaužėliui sužinoti apie “slaptas” tinklalapio vietas. Pvz. ar galite pasakyti, kokiu adresu yra www.maxima.lt administravimo aplinka? O kokia turinio valdymo sistema naudojama? Žvelgiant šiaip į puslapį, tai padaryti sudėtinga. Bet jei žvilgtelėtumėte į www.maxima.lt/robots.txt, tuomet į abu klausimus galėtumėte atsakyti iš karto. Tad robots.txt faile nuorodos ir instrukcijos gali būti ne vien paieškos sistemoms.

Ką gi, gero vakaro. O aš einu dar WordPress išsibandysiu ir pabandysiu į savo nenaują 20 Gb iPod'ą, pirktą už 50 EU, susidėti Linux'ą. Tikiuosi gauti platesnių galimybių audio book'ų valdymui. Jei bus kam įdomu, tai galėsiu parašyti kaip sekėsi.