Bandau pavyti laiką, tad šis įrašas bus rekordiškai trumpas.
Ar kada nors bandėte baigę pokalbį mobiliuoju telefonu ir atsisveikinę ne paspausti pokalbio baigimo mygtuką, bet paklausyti kas dedasi kitoje pusėje? Maždaug 20%-30% mano pašnekovų tiesiog padeda telefoną nieko nepaspaudę. Tuomet galima išgirsti kas anam gale vyksta toliau. Paeksperimentuokit, galbūt liksite nustebinti pašnekovo nuomone apie jus.

Svieki. Kurį laiką čia pabus tuščia, kol viską atstatysiu. Atrodo, kad per hostingo provaiderio trūkumus kažkas prisikasė ir iki šio blog’o. Įrašų kopijas turiu visas, o vat su komentarais bus prasčiau. Taip taip, šį blog’ą išhakino ir šiandien šiek tiek po 18:00 jis buvo defeisintas. Kai esi taikinys, tai klausimas yra ne “ar?”, bet “kada?”.

Google. Senai apie jį rašiau. Daugelis turbūt naudojatės paprasčiausia paieška be jokių specialių operatorių. O jų Google turi nemažai ir naudojantis jais galima visai neblogai "patobulinti" paiėšką. Pvz. operatorius "intitle:". Jei paieškoje panaudosi tokį operatorių, tai paieškos rezultatas bus puslapiai, kurių pavadinime yra nurodytas žodis. Dedu iliustracijas su pavyzdžiu.

Panašiai yra ir su operatoriumi "inurl:". Tik šiuo atveju rezultatas bus puslapiai, kurių adrese bus nurodytas žodis. Pvz.:

Dabar reikėtų prisiminti mano paskutinį įrašą apie WebShell'us ir panaudoti šiuos Google operatorius jų paieškai. Jei paimtumėm C99Shell WebShell'ą, tai matytumėte, kad jo puslapio pavadinimas turi žodį "c99shell" arba "phpshell". Rašom tai į google užklausą su operatorium "intitle:", dar pridedam kitą operatorių "filetype:", kuris leidžia paieškos rezultataus susiaurinti iki tam tikro tipo failų ir štai ką turim.

O gi turim nulaužtų web serverių krūvą į kuriuos jau yra įdiegti WebShell'ai. Kai kurie jų bus atstatyti, todėl kaip viskas atrodė galit pamatyti spausdami "Google kopija", bet tikrai rasite ir vis dar aktyvių. Su tokiais žiūrėkit neprisižaiskit bemaigydami, nes apkaltins po to jus viso puslapio nulaužimu.
O kaip viskas atrodytų, jei rezultatus susiaurintumėm iki Lietuvos?

Na va, kad jie buvo 2007 m. gruodį nulaužti, tai neužfiksavo niekas. Tik adminai ir Google'as.
Dabar padarom tą patį pvz. su "r57shell", tik naudokim operatorių "inurl:". Turim puslapių iš Lietuvos ir čia.

Galit nieko nesigaudyti IT sistemų saugume, bet jei į Google mokėsit tinkamai suvesti paieškos parametrus, tai ir be tų žinių galit "prisidirbti" už kokio nors psulapio defeisą.
Tiesa, kažkada pirmame bardakėlyje rašiau apie tai, kaip asterisk atstatė Baltų lankų knygyno puslapį www.blk.lt po turkų nulaužimo. Tuomet puslapyje irgi buvo paliktas WebShell'as, kurį suradus ir buvo padarytas atstatymas. Turkai puslapį nulaužė 2007 m. pačioje lapkričio pradžioje. Nors apie paliktą WebShell'ą knygynas informuotas buvo, bet pas juos jis dar prabuvo iki 2008 m. sausio. Per tą laiką to WebShell'o pagalba su jų puslapiu buvo galima daryti ką nori: žiūrėti prisijungimo prie duomenų bazės duomenis, vykdyti komandas serveryje, keisti patį puslapį ir t.t. Žodžiu, išsidirbinėti su puslapiu ir jo duomenimis kaip nori. O tam, kad paliktas WebShell'as būtų panaikintas, t.y. tiesiog ištrintas vienas failas serveryje, prireikė "tik" trijų mėnesių. Visai neblogas reakcijos laikas.

Kodėl kai aš į google įvedu ką nors neteisingai, tai jis man pasiūlymą ištaisyti mano klaidą daro latvių kalba?
Pamenu kažkada tokia pačia liga sirgo ir www.live.com. Ar latvis, ar lietuvis skirtumas turbūt tik mums patiems.

Na šis įrašas nebus apie apsaugą, bet šiek tiek į tą pusę. Dažnai web kūrėjai stengiasi padaryti visokius filtrus komentavimo formose. Toks filtras yra delfi.lt komentaruose. Jie filtruoja ten įvedamus interneto adresus, dėl to komentatoriai norėdami įdėti nuorodą į kokį nors puslapį, adresus užrašo visaip kaip išdarkytdami. Pvz. prideda pabraukimų, tarpų ir t.t. Kitiems tą adresą nusikopijavus jį reikia tinkamai pataisyti, kad viskas suveiktų. Bet Delfi šioje vietoje galima išdurti ir adresą parašyti tinkamai. Tą padaryti nesudėtinga. Delfi straipsnių komentaruose galima rašomą tekstą pastorinti arba pabraukti. Tai daroma šitaip:

Rezultatas:

Pasviręs tekstas gaunasi su šiukšlėmis, todėl jo naudoti neverta. Bet pastorintas tekstas gavosi visai gražus.
Viskas ką reikia padaryti, tai naudoti pastorinimo simbolius rašant adresą. Storinti reikia nežymias vietas, pvz. taškus adrese.

Štai kas gaunasi:

Beveik gerai. Beveik todėl, kad dėl per ilgo adreso delfi filtras pradėjo dalinti tekstą dalimis ir įterpinėti tarpus. Bandom dar kartą kitaip.

Šį kartą gavosi normaliai.

Tiek šiam kartui. Sėkmės įveikiant filtrus.

Užėjau šiandien į savo BLOG'ą. Žiūriu, kad paskutinis įrašas darytas gruodžio 7 dieną. Senokai. Greitai laikas per tuos darbus eina. Sako, kad kai yra darbo, tai uždirbi. Bet pinigai man niekuomet nebuvo didžiausias prioritetas. Šiek tiek užknisa kai turiu daug darbo, nors didelis tempas mane veža bei tuomet užsidirbu visokiom nesamonėm (pvz. būsto paskolai), bet tuo pačiu tai reiškia, kad lieka mažiau laiko naujoms idėjoms ir jų įgyvendinimui.
Dar pasižiūrėjau į RSS skaitytojų skaitliuką - skaičius mažai pakitęs. Vadinasi beveik mėnesį laukia. Dėkui. Tik man toks klausimas kilo: negi neužkniso, kad tiek laiko nieko nerašau?

Laba diena,

Prenumeruoju Jūsų blog’o informacijosapsauga.lt rss, gvildenamos temos man aktualios ir įdomios. Nusprendžiau parašyti aptikęs mano supratimu tikrą nesirūpinimo duomenų apsauga atvejį, gal Jums tai bus įdomu. Siunčiau ir “rekomenduok draugui” iš aptikto puslapio, bet nesu tikras kad gavote.

Taigi radinys - http://www.parex.lt/lt/card_paraiska/5 , tai forma virtualiai Visa kortelei užsakyti. Ten nurodoma asmens kodas, paso duomenys ir t.t. Bet ar duomenys bus perduodami šifruotai? Ir ar nėra galimybės juos kam nors perimti?

Ačiū už dėmesį ir gerą blog’ą,

Antanas

Dėkui, Antanai, už gerus atsiliepimus apie BLOG’ą, tačiau šis laiškas mane šiek tiek labiau nustebino kitkuo. Nustebino tuo, kad tai pirmas mano matomas atvejis, kada žmogus susirūpina ar jo asmeniniai duomenys iš naršyklės iki serverio bus iš tiesų perduodami saugiai ir niekas nesugebės jų perimti. Taip, laiško autorius yra teisus. Duomenys bus perduodami nešifruoti per velniai žino kiek serverių ir kitų tarpininkų. O duomenų prašoma daug ir pakankamai konfidencialių. Vietiniame tinkle (pvz. kavinėje su Zebra) esantis gudresnis kolega taip pat gali tokius duomenis perimti ir nebūdamas tarpiniu serveriu. Todėl čia turėtų būti naudojamas SSL protokolas, kuris užtikrintų perduodamų duomenų šifravimą. Tokio protokolo naudojimą puslapyje galima atskirti pagal adreso pradžią. Ji turi būti ne http://, bet https://. Taip, su papildoma raide S. Į technines detales nesigilinsiu, pasiskaitysit patys. Anksčiau žmonės į jų perduodamų duomenų saugumą visiškai nekreipdavo dėmesio ir nematydavo jokio skirtumo tarp puslapio su SSL ir puslapio be SSL. Pagal šį laišką atrodo, kad situacija po truputį keičiasi ir klientai jau geriau už patį banką pradeda gaudytis kaip turi būti persiunčiami asmeniniai duomenys.

P.S.

PAREX bankas vadovaujasi šiomis vertybėmis:

* kokybė;

* kūrybingumas ir profesionalumas;

* abipusis pasitikėjimas;

* atsakomybė klientams ir akcininkams;

* turinys svarbiau už formą;

* išmintinga bankininkystė.

Pasižiūrėjau savo BLOG'o statistiką. Skaitomiausias straipsnis buvo apie blogas.lt BLOG'ų vagystes, kurio aprašyta problema vis dar nesutvarkyta (nors ir buvo žadėta) bei kavą už 50 Lt.
Atrodo, kad mano BLOG'o skaitytojus labiau domina blogi dalykėliai ir
nutikimai nei geri. Tačiau prieš pradėdamas gan ilgą įrašų ciklą
apie tai kaip laužiamos programos, aš šiandien neatsižvelgsiu į
populiarias temas ir parašysiu apie nesudėtingas apsaugos priemones.
Pagaliau pabūsiu šiek tiek ir "geriečiu". Parašysiu apie tai, kaip
didinant saugumą nesumažinti funkcionalumo vartotojui.

Tinklalapių autoriai ir juos prižiūrintys asmenys labai gerai žino tą
problemą, kai į tinklalapį įdėjus savo el. pašto adresą labai greitai į
jį pradeda ateiti visokie reklaminiai laiškai. Tai reiškia, kad Jūsų
el. pašto adresas tinklalapyje buvo sėkmingai suindeksuotas blogų
paieškos robotų ir įtrauktas į el. pašto duomenų bazes, kuriems gali
būti sėkmingai siunčiamas spam'as. Kad apsisaugotų nuo tokių robotų,
autoriai savo el. pašto adresą pradeda visaip darkyti, kad jų
neatpažintų ir nesuindeksuotų tie blogiečiai robotai. Tada el. pašto
adresai būna užrašomi visaip taip: aaa[eta]gmail.com arba
_NO_SPAM_aaa@gmail.com, vietoj @ simbolio dedamas jį vaizduojantis
paveikslėlis ir t.t. Šie būdai dažnai suklaidina paieškos robotus, bet
įveda ir papildomo nepatogumo lankytojams. Tokiu atveju neišeina
puslapyje padaryti nuorodos "mailto:aaa@gmail.com", kad lankytojui ją
paspaudus iš karto iššoktų jo el. pašto programa su paruoštu Jums
rašyti laišku. Jūsų puslapio lankytojui būtinai reikės tinkamai
pakoreguoti Jūsų adresą, kad gautumėte laišką. Pažangesni vartotojai į
tai atkreipia dėmesį, mažiau pažengę - ne. Rezultatas - Jūs negaunate
dalies laiškų.

Norint apsisaugoti ir nuo robotų, ir išlaikyti funkcionalumą
vartotojui, reikėtų el. pašto adresą formuoti su JavaScript'u. Dešinėje
pusėje nuoroda į mano pašto adresą formuojama būtent tokiu būdu.
Nuorodos suformavimo funkcija gali būti tokia:

Parametras “galas” tyčia sudurstomas iš gabalų, kad paieškos robotams
būtų sunkiau aptikti labai gerai žinomus domenus. Toliau tiesiog
suformuojama ir išvedama nuoroda. Suformavimas vėl daromas iš gabalų
apsunkinant paieškos robotams žymės “mailto:” atpažinimą. Viskas,
pagrindinis darbas padarytas. Šį primityvų iškraipymą ir durstymą
gabalais galite pasidaryti kokį tik norite. Kol robotai neras jiems
tinkamų frazių ir kol nesugebės patys indeksavimo metu įvykdyti
puslapyje parašyto JavaScript kodo, tol jie Jūsų el. pašto adreso
nesuras.

Norėdami panaudoti šią funkciją, tiesiog reikiamoje puslapio vietoje įdėkite tokią eilutę:

Čia funkcijai "email" nurodoma el. pašto adreso pradžia. Kai naršyklė
vykdys puslapyje esantį JavaScript kodą, tuomet ji automatiškai
vartotojui suformuos ir pateiks normalią "mailto:" nurodą, lankytojas
galės ją paspaudęs iš karto parašyti laišką, o email'ų surinkimo
robotai liks išdurti. Efektyvu ir tuo pačiu eilinį kartą paprasta.

Gero adresų taisymo. Labanakt.

Vienos temos komentaruose gavau labai ilgą klausimą į kurį labai ilgai neatsakiau. Bet pagaliau prisiruošiau. Skeliu jį į dvi dalis ir atsakinėju.

Žiuriu hebra čia gana protinga.



Bet gerai gal galima paklausti keliu elementariu klausimu kurie mane domina (o gal ir nauja tema blogo įrašui)



Jeigu turiu paprastą tarkim kokio serveriai.lt arba kokio evaizdas.net hostingą. Vardas iš serveriu tarkim xyz.lt Mano puslapis pats papraščiausias HTML. (sudėtis: index.html, apie.html , paslaugos.html ir kontaktai.html) ir jokiu daugiau pribumbasu. pats puslapis tiesiog paprastutis photoshopo paveikslėlis supjaustytas ir backgroundas. Adreso laukelyje rodo (pvz.: www.xyz.lt/contacts.html) Ar esu saugus? Paswordas neįpatingas bet Tikrai gan sudėtingas Žodis. Tarkim Belzebubas Kiek aš esu saugus? ir kokiu budu yra nulauzti? gal kokių video yra(apsisaugojimo tikslais)

Jei puslapis yra visiškai statinis ir nepriima jokių duomenų iš lankytojo, tuomet pačio puslapio, pasinaudojant jo klaidomis, nulaužti turbūt nepavyks. Tokiu atveju tinklalapio laužimas galėtų vykti per kitas tarnybas, kurios yra būtinos tinklalapiui veikti. Tokia tarnyba pvz. galėtų būti web serveris ar duomenų bazių valdymo sistema. Jei pats serverio nekontroliuoji, tai tokias klaidas pašalinti bus sudėtinga, nes tai daryti turi serverio administratorius.

Kitą būdą jau paminėjai pats - slaptažodžiai. Žodis “Belzebubas” tik iš pirmo žvilgsnio gali atrodyti sudėtingu slaptažodžiu. Taip, jis pakankmai ilgas, tačiau tai yra normalus žodis apibūdinantis mitologinę dievybę. Iš tokių žodžių slaptažodžių spėliojimui yra sudaromi žodynai. Į tokį žodyną įeina didžioji dalis tam tikros srities ar temos žodžių. Pvz. jei pažiūrėtumėm į šį žodynų rinkinį http://www.phreak.org/html/wordlists.shtml ir iš šio sąrašo patikrintumėm žodyną “Literature - Myths and Legends“, tai rastume jame ir žodį “baalzebub”. Taip, šiuose žodynuose nėra lietuviškų žodžių, bet tokius žodynus nėra sudėtinga susikurti ir lietuvių kalba bei panaudoti juos slaptažodžių spėliojimui. Kaip žinoti kokį žodyną naudoti? O čia jau spėliojimas. Kuo geriau pažįsti žmogų, jo pomėgius, tuo paprasčiau yra parinkti tinkamą žodyną. Netinka vienas - bandai sekantį. Jei netinka nei vienas, tuomet nepasisekė. Todėl saugiems slaptažodžiams reikėtų naudoti visokias sunkiai įsimenamas ir pakankamai ilgas įvairių simbolių kombinacijas. Bet tuomet iškyla kita problema - kaip atsiminti sudėtingą slaptažodį? Tačiau šį kartą apie tai nekalbėsiu, nes tema kita.

Jei su pačiu puslapiu viskas OK, su operacine sistema ir serveryje veikiančiomis tarnybomis viskas OK bei su slaptažodžiais viskas OK, tačiau puslapis yra hostinamas pas kokį nors hostingo teikėją, tuomet puslapį galima bandyti laužti per kitus tame pačiame serveryje veikiančius nesaugius tinklalapius. Šiuo atveju sėkmė priklausytų nuo serverio konfigūracijos ir serverio administratoriaus. Be šių įvardintų būdų puslapio laužimas gali priklausyti pavyzdžiui ir nuo to, kur yra puslapio savininkas ir kur yra įsilaužėlis. Taip pat galima panaudoti ir socialinės inžinerijos metodus, bei kitus būdus ar jų junginius. Todėl yra negerai visą saugumą sukoncentruoti tik į kažkurią vieną sritį pamirštanat apie kitas.

Antras. Gerai tarkim įmanoma iš daliez suprasti kaip hakeriukai hakina. Žaidžia su url, google, ir CMD ar telnetu (tiesa nelabai suprantu kaip pastarieji veikia bet nevermind)O kaip po galais ADMINISTRUOTI? Kaip aptikti ir pamatyti kada tave hakina (net jei turi kokia Joomla susimetęs) kaip jam užkirsti kelią? kaip susekti hakeri? kaip atremti jo atakas? Ar gali būti toks dalykas kiaip per filmą :hakers” kad į tavo serveri ildeidžia “besidauginančius kiškučius” kurie naikiną vietą serveryje? ir kaip juos išnaikinti. Na būtu labai gerai išsamus straipsnis apie Admistravima. Jei jau pastebi kai prie taves bando lįsti

Administravimo vien straipsniu neišmokinsi. Pamatymui “kada tave hakina” yra ne ką mažiau būdų, nei hakinimo metodų. Tam yra sukurtos įvairios stebėjimo programos ir organizaciniai metodai. Pvz. iš techninių priemonių tam yra skirtos IDS/IPS sistemos. IDS yra įsibrovimų aptikimo sistema, kuri veikia kaip automobilio signalizacija. Jei kas nors lenda, tai praneša apie tai. IPS yra įsibrovimų prevencijos sistema. Tai tiesiog tobulesnė IDS sistema, kuri moka ne tik pranešti bet ir pati imtis atsakomųjų veiksmų, pvz. blokuoti IP iš kurio vyksta ataka. Kaip apsaugos priemonė gali būti naudojami ir honeypot’ai. T.y. specialios sistemos, kuriose tyčia palikta saugumo skylių, kad nuviliotų įsilaužėlį nuo tikrųjų sistemų. Taip pat įvairūs vartotojų atliekami veiksmai dažnai būna išsaugomi log’uose. Jų būna įvairių ir priklauso nuo naudojamų sistemų. Nagrinėjant log’us galima nustatyti ar kažkas kažką bandė ir t.t. Tiesa, jei kažkas bandė ir jam pavyko, tai log’ai gali būti atitinkamai pravalyti. Dar vienas iš apsaugos būdų yra saugumo auditas, taip vadinamas “penetration test“, kurio metu atliekami tokie patys veiksmai, kokius daro hakeriai. Labai konkrečiai ir tiksliai atsakyti į klausimą “kaip apsisaugoti” yra pakankamai sudėtinga, nes tiek apsaugos, tiek hakerių metodai priklauso nuo naudojamų sistemų, turimų resursų ir t.t. Nuo to taip pat priklauso ir atakų atrėmimas, ir hakerių susekimas. Pvz. po finansinių nusikaltimų, vagysčių iš bankinių sistemų hakerius bandoma susekti dviem būdais. Pirmasis būdas yra bandyti atsekti per IT sistemas, o antrasis būdas yra keliauti paskui pinigus ir sučiupti bandantį juos išsigryninti. Šiuo metu vis dar yra neišsiaiškintų įsilaužimų ir vagysčių iš internetinių bankų būdų, tačiau šių nusikaltimų organizatoriai ir vykdytojai sėkmingai susekti gaudant juos pinigų kelių.

Filmo “Hakeriai” nemačiau, bet pagal aprašymą “besidauginantys kiškučiai” yra vienas iš Denial-of-Service metodų. Šios atakos metu yra tiesiog užlaužiama sistema, kad ji daugiau nebeveiktų. Sistemos užlūšta ne tik dėl programuotojų klaidų, bet ir dėl to, kad joms pradeda trūkti resursų. “Besidauginantys kiškučiai” filme tik dėl grožio, kad ir ne IT žmonės suprastų kas čia vyksta, o realiose sistemose tai gali būti tiesiog stipriai didėjantys failai sistemoje, kurie išnaudoja visą laisvą disko vietą. Be disko vietos išnaudoti galima operatyvinę atmintį, tinklo pralaidumą ir t.t.

Šis įrašas skirtas į skyręlį “ne į temą”. Tiesiog paprastas, su informacijos apsauga nesusijęs įvykis iš gyvenimo, apie kurį, manau, vertėtų žinoti ir jums. Šiandien pietavau Pomodoro Domus galerijoje. Ten prie baro stovi priglaustas stalas. Barmenas bedėliodamas gėrimus ant baro, išvertė stiklinę pomidorų sulčių tiesiai ant prie to stalo sėdėjusio vyriškio striukės. Striukė medžiaginė, pomidorų sultys sėkmingai į ją gertis pradėjo. Padavėjos lyg ir bandė valyti, bet nelabai kas ten gavosi. Porelė iš karto suirzo, paprašė sąskaitos ir matėsi, kad ruošiasi dingti nesulaukę savo pietų. Man atnešė sąskaitą, aš padavėjai ir sakau: “šiaip jau žmogui turėtumėte pasiūlyti išvalyti tą rūbą”. Padavėja nustebusi: “Kas? Aš?”. Ryškiai jai tokie dalykai yra naujiena. Paprastai paaiškinu, kad tai turėtų padaryti Pomodo, o ne ji. Ji pabėga, su kažkuo pasitaria, dar kažkas iš aptarnaujančio personalo prieina prie aplieto vyriškio, atneša jam ir jo draugei kavos, kažką pakalba. Tiek vyriškis, tiek jo draugė sėdi stipriai suirzę. Man pasidarė smalsu, ar Pomodoro yra vertas restorano vardo, ar gerbia savo klientą ir ar apsiėmė nuvežti rūbą į cheminę valyklą išvalyti. Mano paltas kabėjo netoli nukentėjusiojo, tad besirenkdamas vyriškio to ir paklausiau. Atsakymas buvo paprastas:

- Ne, kavos nemokamos pasiūlė…

Šis atsakymas prajuokino tiek mane, tiek mano kolegą, tiek patį nukentėjusį. Tik keista, kad būdami tokiais kiauliukais Pomodoro dar drįsta save restoranu vadinti. Nors maistas jų visai neblogas, bet nebeisiu ten daugiau ir kitiems nerekomenduosiu vien dėl jų tokios nepagarbos savo klientui.
Apipylė tik vieną, bet klientus sugebėjo iš karto prarasti kelis…