Kažkaip tik dabar atkreipiau dėmesį, kad tinklaraštį rašau jau daugiau nei metus. Planas buvo rašyti maždaug kartą per savaitę. Tačiau vidurkis rodo, kad rašau rečiau. Taip pat atkreipiau dėmesį, kad per mažai rašau apie apsisaugojimo priemones. Tad šis įrašas bus skirtas tinklaraštininkų bendruomenei, kuri rašo dažniau už mane. Kaip pavyzdį naudosiu Wordpress platformą. Žinoma, rašysiu apie paprastas, tačiau efektyvias apsaugos rekomendacijas, kadangi jau anksčiau minėjau, kad šiame blog’e nerašysiu apie sudėtingus ir labai techninius dalykus.

Kiekvienoje turinio valdymo sistemoje (toliau - TVS) yra administravimo aplinka. Paprastai ji yra apsaugota prisijungimo vardu ir slaptažodžiu. Kaip pavyzdį šiame įraše naudosiu tarp tinklaraštininkų populiarią TVS Wordpress. Wordpress’e tokia aplinka būna adresu http://www.***.lt/wp-admin. Pvz. http://www.nezinau.lt/wp-admin. Daugelyje TVS’ų administravimo aplinka pasiekiama tiesiog “admin”, “admin.php”, “administrator” ar panašiais adresais, todėl net ir nežinant TVS’o, tą aplinką aptikti nebūna sunku. Žmonės nuspėjami, programuotojai irgi.

Skaityti visą įrašą…

Atėjo toks pasiūlymas el. paštu.

Laba diena,

Siulome paslaugas:

1. Lietuvos imoniu duomenu baze (xls formatu):
Laukai: imones pavadinimas, veilos sritis, miestas, el. pastas, vadovas, darbuotoju skaicius, adresas ir kt.;
Kaina: 299 Lt. + PVM;

2. Automazuotas pasiulymu ishsiuntimas Jusu turimai el. pasto adresu duomenu bazei.
Laisko formatas: plain, html. Galimybe prikabinti faila ar kelis failus.
Kaina (10.000 vienetu): 20 Lt + PVM (minimalus mokestis 20 Lt + PVM);

Susidomeje rasykite adresu: data@**********.com

Geros dienos!

Pagarbiai,
**********.com

Skaityti visą įrašą…

Šis įrašas bus neįprastai trumpas. Prieš tai rašiau, kaip asmeninius duomenis galima susirankioti su Google. Pati paieškos sistema nėra pajėgi viską tinkamai sukontroliuoti ir tuos duomenis laiku pašalinti iš rezultatų, dėl to Google siūlo galimybę patiems stebėti ką ir kada naujo ji suranda. Tam skirta tarnyba Google Alerts, kurią rasite adresu http://www.google.com/alerts. Tiesiog nurodykite norimą stebėti tekstą (pvz. savo vardą ir pavardę) bei el. paštą ir juo gausite pranešimus iš karto, kai tik Google kur nors suras tai, ką nurodėte. O kai ras, tuomet pasinaudodami šia instrukcija, galite prašyti pašalinti nepageidaujamus rezultatus.

Skaityti visą įrašą…

Šiemet organizuoju “WEB HACKING: įveikti internetą” mokymus. Kursui tuoj bus vieneri metai, bet visą tą laiką jis sėkmingai atnaujinamas. Savaitgalį į jį sudėjau ir paskutinio masinio nulaužimo analizę. Įdomiai ta visa ataka padaryta. Pirmą kartą mokymai truko 2 dienas, po to 3, dabar jau neaišku ar į 3 normaliai tilpti pavyks. Bet gal apie viską nuo pradžių.

Mokymai vyks gegužės 19-21 dienomis Vilniuje. Dalyvaudami šiuose kursuose Jūs perprasite įsilaužėlių naudojamą metodiką (būtent ji daugiausiai ir nagrinėjama), išmoksite mąstyti kaip įsilaužėlis ir veikti kaip įsilaužėlis. Žinoma, žinodami jų metodus žinosite ir kaip geriau nuo to apsisaugoti. Temų kurso metu apimama daug. Juk tinklalapis negali veikti be operacinės sistemos, tinklo, serverio, jį prižiūrinčių žmonių ir t.t. Todėl nagrinėjam ne tik tinklalapius, bet ir tinklo, operacinių sistemų pažeidžiamumus, naudojam įvairią programinę įrangą ir savas galvas. Beveik po kiekvienos temos yra atliekama praktinė užduotis. Kartais detaliai nagrinėjam įvairius įsilaužimus ir atvejus kodėl taip nutiko. Žinoma, tokie pavyzdžiai visi yra su lietuviškais tinklalapiais (yra ten ir blogas.lt įtrauktas, ir kitų žinomų sistemų). Daugiausiai praktikos būna 3 dieną. Jei prieš tai visi praktiniai pavyzdžiai būna suskirstyti pagal temas, tai tą dieną tokio atskyrimo nėra, nes visi bando surasti tinkle paslėptą serverį, išsiaiškinti jo pažeidžiamumus, laužti elektroninį banką. Bankas, žinoma, nėra tikras ir specialiai paruoštas tik mokymams. Tiesa, šioje užduotyje dalyviai gali nuspręsti ką nori daryti: ar laikinai tapti saugumo auditoriumi ir išgaudyti kuo dagiau banko pažeidžiamumų ar atlikti banko “deface” tituliniam puslapiui. Pastarąjį padaryti nėra paprasta ir kol kas pavyko tik vienam žmogui. Žodžiu, veikti mokymuose būna ką ir tik skaidrių ekrane akimis sekti netenka. Pagal dalyvių vertinimus ir atsiliepimus matau, kad su kursų turiniu viskas daugiau nei gerai. Iki šiol mokymuose dalyvavo bankų, valstybinių įstaigų, didelių ir mažų bendrovių atstovai bei privatūs asmenys. Žodžiu, apribojimų pagal veiklos sritį nėra. Po gegužės mėn. sekanti data mokymams numatoma jau tik antroje rudens pusėje. Detalesnis aprašymas su turiniu, data ir kaina yra šiuo adresu: http://www.isec.lt/pdf/Web_hacking.pdf. Laisvos vietos belikusios tik kelios, tad dar gali prisijungti ir tu.

Nuo 2007 metų konferencijos CanSecWest metu vyksta konkursas “PWN to 0WN”. Šiemet konkursas vyko antrą kartą. Visas veiksmas vyksta tris dienas, o jo metu saugumo analizei pateikiami 3 nešiojami kompiuteriai su standartinėm OS instaliacijomis ir visais atnaujinimais. Šiemet konkurse dalyvavo:

• Sony VAIO VGN-TZ37CN su Ubuntu 7.10
• Fujitsu U810 su Vista Ultimate SP1
• MacBook Air su OSX 10.5.2

Konkurso tikslas - išlaužti kurią nors sistemą. Tačiau tam egzistuoja kelios taisyklės. Kadangi konkurso trukmė yra trys dienos, tai pirmąją dieną galima išnaudoti tik nuotolinius pažeidžiamumus be jokių įsikišimų iš sistemų vartotojų. T.y. tiesiog tinkle yra įjungtos šios trys sistemos ir tikslas yra surasti jose rimtus pažeidžiamumus. Pirmam tai padariusiam atitektų išlaužtas kompiuteris ir 20 000 USD piniginis prizas. Antrąją dieną sąlygos šiek tiek keičiasi. Jau galima išnaudoti ne tik nuotolinius pažeidžiamumus, bet ir standartinių klientinės dalies aplikacijų pažeidžiamumus (pvz. paspausti el. paštu atėjusią nuorodą, nueiti į kokį nors tinklalapį ar pasinaudoti pokalbių programa). Pirmam tai padariusiam antrąją dieną atitektų išlaužtas kompiuteris ir 10 000 USD piniginis prizas. Trečiąją dieną sąlygos dar palengvėja. Dabar jau galima diegti į sistemas populiarias trečiųjų šalių aplikacijas. Žinoma, mažėja ir prizas. Trečią dieną laimėti galima išlaužtą kompiuterį ir 5000 USD piniginį prizą. Vienu metu viena komanda gali dirbti tik su viena sistema. Sistemos keičiasi kas tam tikrą laiko tarpą.

Šių metų konkurso rezultatai tokie, kad pirmąją dieną prizo negavo niekas. Antrąją dieną buvo jau šiek tiek įdomiau. Antrosios dienos konkursas prasidėjo 12:30, o 12:38 jau buvo pirmoji laimėjusi komanda. Pažeidžiamumas buvo surastas Apple Safari naršyklėje. Kol gamintojas nepašalins pažeidžiamumo, tol apie jį daugiau detalių atskleista nebus, tačiau MacBook Air iš žaidimo iškrito pačioje antrosios dienos pradžioje, o Charlie Miller, Jake Honoroff ir Mark Daniel iš Independent Security Evaluators Gavo Mac’ą ir 10 000 USD. Taip taip, tai tie patys, kurie pirmieji paturėjo iPhone’ą. Taigi, žaidime toliau dalyvauja Vista su SP1 ir Ubuntu 7.10. Antroji diena taip ir baigiasi. Šios dvi sistemos atsilaikė. Trečiosios dienos konkursas prasidėjo tuo pačiu metu, t.y. 12:30, o 14:30 dar nebuvo jokių rezultatų. Tačiau 19:30 buvo išloštas Fujitsu su Vista ir 5000 USD. Prizą gavo Shane Macaulay iš Security Objectives po to, kai į Vista įdiegė Adobe Flash paskutinę versiją. Taip ir baigėsi trčioji diena. Šis pažeidžiamumas veikia visose OS su naujausiu Flash grotuvu, todėl Ubuntu turbūt tiesiog pasisekė, kad jo “pačiupinėti” ši komanda jau nebespėjo. Pažeidžiamumas taip pat yra neviešinamas, kol jo nepašalins gamintojas.

Taigi, konkurse eilinį kartą ypač blogai pasirodė Apple’as. Blogai su jais. Labai blogai. Prieš metus jie apturėjo the Month of Apple Bugs, kai kiekvieną 2007m. sausio dieną buvo atskleidžiama po vieną Mac’ų pažeidžiamumą su išnaudojimo įrodymu (Proof of Concept). Dabar praėjus metams nedaug kas pasikeitė. Konkurse teprireikė vos 8 min. Mac’ui nukalti. Linux sistemos savo apsauga jau senai garsėjo, o Vista galima tik pagirti. Nebūdingas rezultatas Windows sistemai. Atrodo, kad šioje vietoje Microsoft’as iš tiesų gerai padirbėjo per paskutinius kelerius metus.

Pridedu ir trumpą video iš YouTube apie tą patį.

Na va, rodos į Blogin vis tik pakliūsiu. Susitiksim ten. O šiandien noriu pristatyti dar vieną nemokamą dalyką internete. Jei prieš tai pristatinėjau BackTrack operacinę sistemą, tai dabar bus informacijos apsaugos tema rašantis žurnalas (IN)SECURE. Žurnalas tik PDF formatu, apie 130 puslapių ir išeinantis nereguliariai. Tarp numerių gali būti 2, o gali būti ir 4 mėn. skirtumas. Jį rasite adresu http://www.net-security.org/insecuremag.php.

Ten pat yra ir visų anksčiau išleistų numerių archyvas. Rašo apie viską po truputį saugos tema. Dažnai pradeda nuo technologinių sprendimų apžvalgos, kurioje pakankamai daug vietos užima to žurnalo rėmėjai. Kai kuriuos straipsnius skaitant būtina žinoti bent jau techninius terminus, kituose tokios žinios visai nebūtinos. Kaip jau supratot, temų yra įvairaus pobūdžio. Pvz. paskutiniame numeryje yra tema apie manipuliaciją žmonėmis, t.y. socialinę inžineriją. Skiriama dėmesio ir įvairiems informacijos apsaugos standartams. Kiekviename numeryje apžvelgiamos knygos informacijos apsaugos tematika. Neužmirštama ir su tuo susijusi programinė įranga. Manau, kad žurnalas turėtų būti įdomus tiek pradedančiam domėtis informacijos apsauga, tiek jau ir pažengusiam toje srityje (nes čia tiesiog nėra kada sustoti).

P.S. Gal galit man pasakyti kodėl aš sugalvojau savo tinklaraščiui (taip taip, pradedu kalbėti lietuviškai) užmauti savo dizainą? Jų tiek visokių neblogų ir su tinkamu išdėstymu pripiešta yra, o aš sau tik papildomo darbo prisidariau…

Visuomenėje žodis hakeris yra suprantamas labai skirtingai. Vieniems tai nerealus “profas”, kuris pasitaiko tik Holivudo filmuose, kitiems - daugiau kompiuteriuose suprantantis kaimynas ir t.t. Tad šiame įraše pabandysiu kuo tiksliau papasakoti kas gi yra tas hakeris arba, anot kalbininkų, programišius, kokie jie būna ir į ką yra skirstomi.

Hacker. Iki atsirandant kompiuteriams, pirminė šio žodžio reikšmė anglų k. žodyne visą laiką buvo nurodoma kaip “kažkas, iš medžio galintis gaminti baldus kirviu”. Vėliau šis žodis buvo naudojamas kalbant žargonu, o šiandien retas kuris supranta šio žodžio reikšmę kitaip nei “kompiuterių nusikaltėlis”. Iš esmės visi kiti terminai atsirado vėliau, o pats terminas “hacker” šiandien turi labai plačią reikšmę. Iš esmės hakeriu būtų galima apibūdinti asmenį, kuris daugiau nei įprasti vartotojai nagrinėja įvairias IT sistemas, siekdamas surasti ir išnaudoti jų pradiniame funkcionalume nenumatytas galimybes. Tai nebūtinai reiškia, kad tų “galimybių” ieškoma tik blogiems tikslams. Kartais hakeris visa tai daro iš idėjos tiesiog siekdamas tobulumo, o kartais priešingai. Apie tai bus vėliau.

Cracker. Šis žodis daugiau reiškia neigiamą hakerį, kurio tikslas yra įveikti sistemų apsaugą siekiant tam tikros naudos. Taip dažnai apibūdinami žmonės, kuriantys programinės įrangos apsaugos pašalinimo mechanizmus. Žinoma, jie tai daro pažeisdami autorines teises ir nusižengia įstatymui, tačiau yra vertinami tokios įrangos naudotojų. Patys cracker’iai neplatina nulaužtos programinės įrangos (tuo užsiima piratai), bet tik jos nulaužimo mechanizmus (cracks, keygens, patches etc.), todėl dažnai juos nubausti yra sunku.
Phreaker. Dar viena specifinė hakerių rūšis, kuri specializuojasi telefonų sistemose. Phreak yra sudarytas iš žodžių Phone Freak. Jie susiję su kompiuterinėmis sistemomis besidominčiais hakeriais tuo, kad telefonų stotelės jau kokių 30 metų kartu yra ir kompiuteriai. Seniau telefono linijos ir modemai buvo pagrindinės priemonės duomenų mainams, todėl jie ir sulaukė tokio dėmesio. Žinoma, tas dėmesys dažnai būdavo nukreiptas į tai, kaip už tą duomenų perdavimą ar pokalbius telefonu nieko nemokėti. Stipriai pasikeitus technologijoms, šiandien ši hakerių rūšis yra beveik išnykusi.

Black Hat/White Hat. Terminas Black Hat atsirado praėjusio amžiaus paskutiniame dešimtmetyje ir išpopuliarėjo su “Black Hat” konferencija (www.blackhat.com). Tai Jeff Moss (aka Dark Tangent) organizuojama konferencija, stipriai orientuota į techninius dalykus ir skirta saugumo profesionalams. Tas pats asmuo organizuoja ir kitą konferenciją “Defcon” (www.defcon.org). Pastaroji yra senesnė, pigesnė, bet sako ir bardakas joje didesnis, ir su organizuotumu prasčiau. Žodžiu, “Defcon” laikoma blogesnės reputacijos konferencija. Kaip yra iš tikro, nežinau, nes sudalyvauti teko tik BlackHat’e. Gerai, grįžkim prie pačių terminų. Black Hat lietuviškai reiškia “juoda skrybėlė” ir jau intuityviai nurodo į “blogiukus”, t.y. blogus hakerius, darančius nusikaltimus. Atitinkamai terminas White Hat reiškia “balta skrybėlė” ir apibūdina gerus hakerius.

Senesniuose vesternuose blogi kaubojai paprastai būdavo su juodomis skrybėlėmis, o geri su baltomis. Vienas tokių man patinkančių senų vesternų yra “The good, the bad and the ugly“. Turi savo žavesio. Pasižiūrėk, gal patiks ir tau.

Grey Hat. “Pilkos skrybėlės”. Tai nei tokie, nei tokie. Priklausomai nuo požiūrio vienu atveju gali būti laikomi White Hat’ais, kitu atveju Black Hat’ais. Pvz. hakeriai nemėgstantys kokio nors gamintojo (dažniausiai Microsoft), apie pažeidžiamumą praneša viešai prieš tai neįspėję gamintojo. Gamintojas dėl to patiria didesnių nuostolių nei tokiu atveju, jei būtų informuotas apie tai iš anksto. Vieni laiko, kad taip daryti negalima ir gamintoją reikia įspėti prieš paskelbiant viešai apie pažeidžiamumą. Kiti tai laiko normaliu procesu, nes anot jų, taip gamintojai verčiami kurti kokybiškesnius produktus. Ir kurių požiūris dabar yra teisingas? Kadangi tavo nuomonė turbūt irgi skirsis nuo kieno nors kito nuomonės ir vieniems toks hakeris gaunasi White Hat’as, o kitiems toje pačioje situacijoje jau Black Hat’as, tai tokiu atveju hakeris ir apibūdinamas kaip Grey Hat’as.

Script Kiddie. Tai daugiau pašiepiantis terminas, kuris apibūdina mažai išmanančius asmenis, naudojančius hacker’ių ir cracker’ių sukurtas programas ir skriptus. Jeigu hakeris turi tam tikrų žinių, įgūdžių ir vadovaujasi savo etika, tai Script Kiddies dažnai ne tik mažai išmano, bet ir iš vis nesupranta kodėl ir kaip veikia koks nors skriptas ar programa, neturi jokių įgūdžių ir nesivadovauja jokia etika. Jie tiesiog spaudžia ir žiūri kas bus. Jei nesuveikia, tai iš karto meta tą programą šalin ir bando sekančią. Ir taip kol pavyksta (arba ne). Taip pat jie būna didžiausi warez’o (nelegalios programinės įrangos ar turinio) platintojai ir labai gerai žino kaip jo gauti iš kitų.

Kaip jau supratot, Script Kiddie nors kiek ir pašiepiantis terminas, reiškia, kad asmuo turi daugiau žinių nei vidutinis kompiuterių vartotojas. Script Kiddie yra visiškai priklausomas nuo hacker’ių ir cracker’ių, todėl jų kartais būna pavadinamas lamer’iu (nemokša).Manau pradžiai terminų pakaks. Gal vėliau, jei užeis toks noras :), parašysiu apie hakerių motyvaciją ir kodėl bei kaip elgiasi skirtingi hakeriai.