O vâlvă pentru acoperit găuri de securitate

Posted: 4 Februarie 2009 in bogdanice, De pe net, Din viata, IT
Etichete:, , , , , ,

Nu mai ştiu de unde am prins un link şi cum am ajuns la ei pe site, dar sunt abonat de la primele lor posturi. Mi-a placut ideea şi abordarea subiectului, iar simplul fapt că cineva aduce la vedere problema securităţii IT este un pas înainte în „Internetul Românesc”.

Şi aşa cum nici o faptă bună nu rămâne nepedepsită, iată ca se găsesc voci ce pun sub semnul întrebării atât ceea ce fac, cât şi cum o fac. Ba mai vin şi cu idei de genul:

„Idee: Sa-i angajeze cineva pe hackerii respectivi si sa-i transforme intr-o firma de consultanta pentru securitatea site-urilor. Sau sa se transforme singuri. In felul asta isi vor putea exploata inteligenta astfel dovedita si intr-un mod constructiv.”

Haida-de! Aşa ceva auzeam pe vremuri când stătea lumea la coadă la pufuleţi. Să meargă cineva în faţă să spună că nu ajunge la toată lumea. Să se dea câte două pungi să ajungă. Ridicol de ridicol!

La fel de ridicol este să te iei de unu ca a pus o poză ce conţine 20-30 de numere de telefon şi adrese de e-mail (care, vezi-doamne, ar putea fi speculate de vre-un rău-voitor prin copiere de mână) în loc să-i tragi una în mufă lu’ IMBECILU’ de la ejobs care a lăsat la îndemâna adevăraţilor căutători de comori 1.300.ooo de seturi de date complete. Lupul are o părere corectă asupra situaţiei spunând că ne concentrăm asupra scânteilor fără să vedem incendiul din jurul nostru.

Indignare mare. „Metodele dumitale ne doare!” Faci lecţii de SQL Injection şi spam dându-le astfel idei la copiii ce vor să se apuce de spam sau hacking. Haida-de! Cum dracu’ să înveţi să te aperi dacă habar n-ai cum poţi fi atacat? Există cel puţin o firmă în ţară ce organizează lecţii de hacking şi apărare pentru banuţi multişori. Aduce oameni de afară şi te învaţă de ce să te păzeşti. Adică nişte lecţioare d’astea free sunt nocive. Învaţă lumea la prostii. pericol1Învaţă lumea să nu dea click pe subtitrări cu extensia exe.

Hackersblog face ce crede de cuviinţă şi trage un semnal de alarmă GRATIS! Sunt voci ce recunosc că sunt mai buni decât orice audit. Şi ştiu ce vorbesc. Ce contează dacă sunt copii sau hackeri hârşâiţi? Ce contează dacă le ştiu numai p’alea cu scripturile sau au îndemânare şi la mai mult?

Pe alte plaiuri, firmele plătesc sume mari pentru teste de penetrare către companii de White Hat Hackers sau cum le-o mai spune. Iar testele au rezultate pozitive de peste 85%. Gaurile sunt cârpite şi companiile respiră uşurate vre-o două săptămâni. La noi, interesul pentru securitatea informaţiei este foarte aproape de zero. Investiţiile în aşa ceva se rezumă la hardware, eventual un om pe care n-ai cum să-l testezi să vezi cât ştie (că n-ai nici tu habar) şi un audit anual ce se termină în maxim o zi. Şi ne-am făcut datoria. Suntem securizaţi, avem norme şi standarde şi recomandări şi ne luăm de ăla care ne spune că totul e o varză sau de ăia care ne aduc aminte că nu am updatat kernel-ul.

Şi mi-aş dori să ştiu un lucru. Dacă vre-unul din băieţii de pe HB ajunge aici şi are bunăvoinţă, poate să-mi dea răspunsul la dilema mea. Vreau să ştiu dacă vre-unul din administratorii site-urilor crăpate de ei le-a cerut ajutorul în remediere. Dacă le-a cerut cineva vre-un sfat. (Nu sfat de genul: „Cum să sparg blogul lui Mircea Badea?” sau „Cum să sparg parola de Yahoo a lu’ gagica?”) Dacă vre-unul dintre ei a primit vre-o ofertă de angajare chiar şi ridicol de mică. Dacă vre-un arhitect de site-uri le-a cerut vre-un link către ceva care să-l ajute să securizeze mai bine. Asta m-ar interesa. Ar însemna că am intrat într-o nouă etapă. Şi că au mişcat ceva.

Comentarii
  1. 2fingers spune:

    Salut.

    Da, au fost cazuri cand ni s-au cerut sfaturi in privinta remedierii si cazuri in care oamenii au dat dovada de adevarat fairplay. Chiar si administratorul mult hulitului ejobs a fost amabil si a tratat problema asa cum se cuvine iar pentru asta jos palaria.

  2. Ionut Oprea spune:

    Salut,

    Ai inteles gresit. Sper ca semnalul de alarma sa aiba efect maxim, sa avem site-uri din ce in ce mai putin vulnerabile. Insa nu am propus decat ca datele personale folosite in demonstratie sa fie protejate. La asta se referea articolul meu.

    • bogdanic spune:

      @ Ionut Oprea: Hello!
      Am inteles punctul tau de vedere. Problema este de perspectiva. Este similar cu a te lua de o batrana care pleaca din padure cu un brat de vreascuri si, in acelasi timp, sa iti exprimi ingrijorarea ca sunt 50 de malaci cu drujba in spatele ei care darama copacii. Sincer, mi-as fi dorit un articol in care sa fie exact invers de cum este la tine. Sa scrii doar o fraza despre cum condamni vehement modul de prezentare a cazurilor pe HB si doua-trei paragrafe despre inconstienta celor raspunzatori de protectia datelor. Mi se pare mai firesc asa.

  3. WhiteWolf spune:

    Ionut, datele personale folosite in demonstratie e treaba celor care le colecteaza sa le protejeze; asa cum, ne place sau nu, e treaba celor de la hackersblog sa le arate atunci cand ele sunt disponibile sau mult prea usor de gasit, din pacate nu din vina lor
    Puteau sa le gaseasca altii. Sa le colecteze pe tacute si apoi sa le foloseasca in cele mai josnice moduri, sa faca rau la modul clar, fara sa spuna sau sa arate ceva, cuiva. Asta ar fi facut site-urile mai sigure?

    • bogdanic spune:

      @2fingers: Ma bucur sa aud asta. Administratorul ejobs are, in opinia mea, o mai mica parte din vina si e meritoriu pentru el ca-si cunoaste limitele. Cine l-a pus acolo, cine l-a verificat, cine gandeste conceptul, cine face mentenanta – toti sunt in aceeasi oala. Platesti un om sa faca o treaba, dar il si verifici. Ii platesti cursuri ca sa stea la curent cu ce e mai nou, dar te uiti sa vezi si daca-i folosesc sau se duce acolo sa manance gratis. Protectia informatiei este raspunderea atat a tehnicianului cat, mai ales, a bossului care profita de afacere.

    • bogdanic spune:

      @WhiteWolf: E prea mult spus ca e treaba celor de la Hackersblog sa le arate gaurile. Este o sarcina pe care si-au asumat-o din motivele lor. Hacking-ul – etic sau nu – este hacking. Ceea ce face diferenta este intentia celui care „opereaza”. Daca te plateste chiar cel pe care-l ataci chiar este ca la antrenamentul de karate. Ti-o furi de la antrenor ca sa nu ti-o furi de la „bad guys”. Pentru ca ei sunt adevarata problema.

    • bogdanic spune:

      @ all: Multumesc de comentarii!

  4. WhiteWolf spune:

    @bogdanic, „Attitude is no substitute for competence” Am sa sustin asta ori de cate ori este necesar.
    Cat despre „Hacking-ul – etic sau nu – este hacking”, sa fim seriosi: n-ai cum vorbi de hacking cata vreme te uiti la capturi de pe p.c.-uri care ruleaza sun Win. Poti vorbi cel mult despre jocuri de socializare. Insa eu nu vad problema in curtea celor de la hackers blog; asta pare sa nu inteleaga chiar toata lumea. Si nici nu m-am antrenat in diverse discutii pe teme de hacking din plictiseala; asa cum ziceam si la mine „hackers build things, crackers break them”. Deci, zau, sa lasam….
    Insa refuz sa iau opinia lui Ionut Oprea drept cea corecta si echilibrata.
    Poti spune orice si oricum despre cei de la hackers blog. Asta nu face mai putin condamnabila atitudinea celor care gestioneaza cu o atitudine mult prea laxa si jenant-tupeista informatiile confidentiale cand vine vorba de on-line-ul romanesc.

  5. unu spune:

    o sa-ti dau cateva exemple pozitive de administratori, admini, wemasteri sau ce o fi: pe langa ejobs.ro ne-au raspuns fff amabil, ba chiar ne-au multumit de ajutor cei de la didactic.ro, price.ro si sentimente.ro . Dar sa nu para totul roz voi da si 3 exemple negative. Cei de la evz.ro (evenimentul zilei), hi5.ro care nici pana azi, dupa 3 mailuri trimise de mine personal n-au securizat parametrul vulnerabil si cei de la libertatea.ro care au rezolvat numai parametrul buclucas, dar le ziceam ca mai au 2-3 cu probleme..n-au mai fost interesati sa intrebe care-s aia.

    • bogdanic spune:

      @WhiteWolf: Sunt de acord cu tine sa nu mai continuam. La fel de acord privind adevarata problema a site-urilor romanesti. O sa urmaresc ce scrii si in continuare.
      @unu: E bine de stiut care-s cu plus si care-s cu minus. De obicei, se zice ca cei indolenti si nepasatori isi merita soarta. Nu e cazul asta – fiindca victimele sunt cei ale caror date pot fi luate de pe site-urile astea. Astept cu nerabdare primul proces in care un e-bussiness sa piarda o gramada de bani ca nu a securizat informatia. Probabil ca, in Romania, asta va fi in vre-o 20 de ani.

  6. Escu spune:

    [..]Ce gluma buna. Citeam pe cateva blog-uri despre tipii..[..]

  7. Tocsixu spune:

    O completare la ce a zis 2fingers: au fost si un caz in care am primit o „oferta de angajare”.

  8. Tocsixu spune:

    a fost*, initial intentionam sa vorbesc despre mai multe oferte, insa nici una nu presupunea „angajarea”, pacat ca nu se pot edita comentariile

Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s