post Cum ajung utilizatorii romani de internet victime colaterale

February 2nd, 2009

Insemnare despre: internet — clickio @ 5:31 pm

Sunt la moda si pe val demonstratiile de hacking menite sa arate fragilitatea bazelor de date ale site-urilor romanesti.  Exista si un blog dedicat, la link-ul de mai sus.

Ca unele din site-urile romanesti sunt slab securizate e un lucru rusinos in sine, si pe care il condamn vehement.

Insa vreau sa atrag atentia asupra faptului ca utilizatorii acestor site-uri ale caror date personale sunt facute publice si puse la indemana spammerilor tocmai de catre robin hoozii care incearca o fapta buna prin expunerea gaurilor de securitate.  Si ei n-au nici o vina, si eu am avut cont pe eJobs, cum probabil au avut multi dintre voi. Ca sa nu mai spun ca e posibil sa fie chiar ilegal, de doua ori (intrarea in posesia lor fara autorizare, si publicarea lor).

Idee: Sa-i angajeze cineva pe hackerii respectivi si sa-i transforme intr-o firma de consultanta pentru securitatea site-urilor. Sau sa se transforme singuri. In felul asta isi vor putea exploata inteligenta astfel  dovedita si intr-un mod constructiv.

Insa pana atunci e condamnabil modul in care au ales sa arate barna din ochiul unor site-uri romanesti…

28 Comments »

  1. 1.Acele date nicidecum nu sunt facute publice,deci nu au cum sa ajunga pe mana spammerilor. In primul rand datele respective, nici macar nu sunt extrase sau salvate de cel care descopera vulnerabilitatile sau face print screenurile,ori scrie articolul. (Sincer nu cred ca vreun spammer ar sa stea sa copieze 4-5 adrese de email, sau cate se vad in poze) Pozele sunt facut full sa se vada inclusiv sintaxa doar cand parametrul vulnerabil este deja securizat.Altfel sunt blurate.
    2.Despre legalitatea/ilegalitatea interogarilor de orice fel exlusiv din browser se poate discuta.(Sintaxele sqli se fac doar din browser).Pana nu modifici,strici, nu te loghezi si/sau nu te folosesti de acele date poti face orice sintaxa in browser..parerea mea
    3.In ro. nimeni -cel putin pana acuma,din cate stiu eu- nu plateste sau n-ar plati pt astefel de consultante,teste de securitate,de penetrare.

    Comment by unu — February 2, 2009 @ 6:16 pm

  2. [...] uite ca ia si Ionut Oprea atitudine in privinta pseudo-hackerilor cu care m-am luat in gura pe blogul lui zoso(nu mai gasesc postul, oricum s-a lasat cu comentarii [...]

    Pingback by hackers vs. script kiddies » microblogul lui CTI97 — February 2, 2009 @ 8:44 pm

  3. Salut,

    OK, nu faceti publice toate datele respective, dar cred ca si ce faceti public ar trebui protejat. Apoi, nu e vorba de tehnica, ci de faptul ca intrati in posesia unor date personale, care sunt un tip de informatii reglementate printr-o lege dedicata si folosirea lor nu e similara cu folosirea unui simplu program sau a unui fisier.

    Da, nu cred ca se plateste inca in .ro pentru securizare, insa poate e momentul sa creati voi piata pentru asta. O puteti lua ca un fel de nivel urmator in activitatea pe care o desfasurati.

    Inca o data, respect inteligenta si abilitatile unor oameni care pot face lucruri pe care eu nu le pot face, insa doar incerc sa va explic sa fiti mai atenti pana nu e prea tarziu,.

    Comment by clickio — February 2, 2009 @ 9:45 pm

  4. Cred ca ar trebui sa ne ingrijoreze mai tare probabilitatea ca foarte multe baze de date sunt furate pe tacute fara ca cineva sa afle vreodata, multe vulnerabilitati si exploatarea acestora ramanand in umbra, decat aceste cazuri prezentate pe hackersblog.org care ar trebui sa trezeasca la realitate administratorii dar si utilizatorii asupra riscurilor majore la care se expun pe 90% din site-urile de succes romanesti.

    La ce ajuta sa ascundem gunoiul sub pres?

    Comment by Oribilul — February 3, 2009 @ 8:20 am

  5. Dar nici n-am zis asta, nu vreau sa ascundem faptul ca exista vulnerabilitati pe anumite site-uri, ci doar sa protejam DATELE PERSONALE ALE UTILIZATORILOR CU CARE SE FACE DEMONSTRATIA. Ei nu au nici o vina, utilizatorii.

    Comment by clickio — February 3, 2009 @ 8:28 am

  6. Ionut, oamenii trag un foarte serios semnal de alarma. Cum vrei sa o faca daca nu prezentand DOVEZILE?
    Crezi ca se mai sperie cineva de afirmatii dure sau i-ar crede cineva PE CUVANT?
    Este foarte stresant pentru un manager IT sa vada ce-a patit munca lui, dar pe de alta parte era treaba lui sa nu pateasca asta.
    Si eJobs nu e okey.ro sa fim seriosi :-) Eu am avut cinci incidente si de fiecare data am gasit singur ce e de facut si cum sa previn alte probleme.
    Pe urma eu nu sunt un expert in domeniu! Si nici nu pierd mare branza…

    Deci vorbim de unii care au castigat bani aiurea, altii care nu au investit in protectie, altii carora nu le-a pasat de datele lor…

    Comment by Dan — February 3, 2009 @ 11:35 am

  7. Dan, sunt de acord cu tine, nu incerc sa minimizez importanta semnalului de alarma.

    Evident ca toate aceste companii sunt responsabile pentru securizarea datelor personale ale utilizatorilor lor, scrie si-n legea care reglementeaza folosirea datelor personale.

    Eu vreau doar ca acele date personale sa poata fi minim protejate, pentru a nu cadea fix de pe blogul care trage semnale de alarma, in mana hackerilor.

    Adica in loc de publicarea datelor pe blogul respectiv in formatul: costelus_panseluta@yahoo.com, un *****lus***seluta@yahoo.com ar fi suficient pentru a trage acelasi semnal de alarma si pentru a dovedi aceeasi gaura de securitate. Si n-ar mai pune datele respective la indemana micilor spammeri.

    Comment by clickio — February 3, 2009 @ 11:45 am

  8. [...] ma trage de urechi ca, in graba de a publica informatii despre siteuri sparte, incurajez spamul, de care profita alte [...]

    Pingback by Despre vorbit frumos si victime colaterale » zoso's blog — February 3, 2009 @ 12:52 pm

  9. Spunand “Ca unele din site-urile romanesti sunt slab securizate e un lucru rusinos in sine, si pe care il condamn vehement.” nu lasi loc de absolut nici un dubiu. Si ma bucur ca este asa
    Insa, asa cum am mai intrebat si prin alte parti, repet si aici: de ce sa ne limitam in a discuta doar despre niste script kiddos cu ale lor bune si rele ?
    De ce sa continuam sa ne facem ca nu .. vedem faptul ca cei care administreaza si securizeaza acele (mai mult decat) vulnerabilitati sunt platiti ca sa poata mai mult si mai bine decat sa dovedeasca disprest si lipsa de respect fata de cei care le incredinteaza date sensibile ?
    La modul serios, acum, cate site-uri, portaluri, publicatii on line pun la dispozitia internautului din Romania conexiuni SSL ? De ce nu o fac ? Cand vor incepe sa o faca ?
    E discutabil si condamnabil ceea ce fac respectivii pe acel blog. E scuzabila lipsa de reactie a administratorilor ? Nivelul lor scazut de cunostiinte pentru care mai sunt si platiti ?
    Un exemplu : anul trecut in vara, pagina Senatului Romaniei semana cu un svaitzer. Singura masura luata ? Obligarea eventualului utilizator de a folosi exclusiv I.E. :)

    Comment by WhiteWolf — February 3, 2009 @ 1:20 pm

  10. Ideea ta este simpla, dar mult mai greu de pus in aplicare. Ceea ce se intimpla astazi in orice proces de dezvoltare de soft, securitatea daca vine, vine la urma. Citeodata este prea tirziu. Securitatea ca orice alta chestie costa bani pe care cultura IT din Romania nu o i-a in considerare. Ceea ce ai prezentat acolo este un caz mai mult sau mai putin de SQL Code injection. Toate limbajele de programare actuale au deja lucruri cu care poti sa te protejezi si sa faci filtrarea a tot ceea ce este trimis de user. Programatorii nu stiu asta.

    Comment by Cezar — February 3, 2009 @ 2:50 pm

  11. WhiteWolf, nu ne limitam. EU unul ma bucur ca a inceput aceasta discutie, si incerc sa o sustin si mai departe. E bine ca a inceput,Pana acum poate s-a mai discutat doar printre cei pasionati de securitate, insa nu a fost atat de evidenta pentru restul lumii nevoia cresterii securitatii.

    Companiile care au suferit atacuri, si care cu ocazia asta afla ca au de investit si in securitate, daca vor sa existe in continuare pe internet, sunt vinovate pentru faptul ca nu au luat asta in calcul pana acum.

    Insa sa nu bagam si site-urile de stat in povestea asta, ca alea-s o cu totul alta mancare de peste.

    Cezar, ce se intampla azi e doar inceputul. Cred ca pentru prima oara site-urile mari isi pun problema asta, si probabil in scurt timp va exista o piata si pentru solutii/servicii de securitate/securizare. Ceea ce sustineam in articol e tocmai asta: ca e momentul perfect sa fie creata aceasta piata. Trebuie cineva sa ia initiativa. Si nu eu, ca eu ma pricep la marketing, nu la securitate:)

    Comment by clickio — February 3, 2009 @ 2:56 pm

  12. clickio, nu vad de ce ar trebui, la fel ca si in alte domenii, sa reinventam roata sau sa o dam politicianist pe “sa vedem, sa discutam…”.
    Exista bloguri mai bine securizate decat site-urile cu sute de mii de utilizatori. Exista site-uri personale mai bine securizate decat portalurile de e-comerce.
    Si nu din cauza ca proprietarii lor ar fi toti keeks ori security guru ci, pur si simplu, pentru ca le pasa
    Exista data center-e bune, moderne si stabile in Romania, exista deja solutii dedicate securitatii si securizarii; Gecad, de exemplu, pune la dispozitia celor interesati instrumente multiple. Si nu doar ei. Hostingul meu, (alt exemplu) ofera oricui doreste “* O adresa de IP dedicate pe care va fi mutat website-ul dumneavoastra 30 RON + TVA / AN * Un certificat digital Rapid SSL 58 RON + TVA /AN”. Neffind cel mai performant ori profesional hosting din Ro, ti se pare ca impun consturi enorme ?
    Pur si simplu nu ii intereseaza si nu le pasa
    Timpul trece, noi incasam si pana la urma “nu o sa ni se intample chiar noua”
    Aici trebuie schimbata optica, aici trebuie insistat in a pune intrebari si a cere ca cei vinovati sa mai si raspunda
    Pustii aceia de la hackers… se joaca, mai mult sau mai putin inconstient. Dar ziua in care unul chiar priceput se apuca sa fure tot ce prinde, pe tacute, sau sa probeze cat din on-line-ul dot ro se stinge daca se joaca serios nu e prea departe

    Comment by WhiteWolf — February 3, 2009 @ 3:47 pm

  13. idealistule … ce naiba, nu vrei si tu sa construim un internet mai bun in romania?

    daca da … lasa`i sa desconspire. Eu ii injur in fiecare zi ca`mi blocheaza mailul cu sql injection stuff, dar sunt buni, atunci cand trebuie.

    si de cele mai multe ori sunt muult mai buni decat orice !! ORICE Audit !

    Comment by Piticu21 — February 3, 2009 @ 4:01 pm

  14. Sa deconspire, zic. Dar cu atentie, sa nu se lase cu victime colaterale.

    Comment by clickio — February 3, 2009 @ 4:03 pm

  15. [...] Ionut Oprea ne vorbeste despre victime colaterale. Victimele despre care vorbesti tu dragul meu Ionut sunt [...]

    Pingback by HackersBlog » Blog Archive » Inca o pierdere de timp — February 3, 2009 @ 5:32 pm

  16. Apoi dacă ejobs la câţi bani face nu a fost în stare să îşi facă un audit, ar merita să fie dată în judecată de fiecare client şi să nu mai facă afaceri cu atâta lăcomie.

    În rest ce să zic: Bravo pentru că aduceţi toate aceste informaţii în gura lumi. Să se povestească iar firmele ce îşi bat joc de datele clienţilor să plătească!

    Succes http://hackersblog.org!

    Comment by Adi Roiban — February 3, 2009 @ 5:54 pm

  17. [...] zilei 3 Februarie 2009 18:06 Pornit de la print screen-ul cu vulnerabilitatea ejobs, deschis de Ionut, continuat la Zoso, inchis (oare?) pe hackersblog acolo de unde a pornit. Yey, fun [...]

    Pingback by Vulnerabilitati - subiectul zilei - dece? blog — February 3, 2009 @ 6:06 pm

  18. [...] 3, 2009 Posted by Cezar in Security News. Tags: flash-back, news trackback Flash-back cauzat de postul lui  Ionut Oprea despre ejobs via [...]

    Pingback by Monster sau Ejobs? « Aspects of computer security — February 3, 2009 @ 9:21 pm

  19. “Insa sa nu bagam si site-urile de stat in povestea asta, ca alea-s o cu totul alta mancare de peste. “
    Cu alte cuvinte dar in aceeasi ordine de idei, e mai bine sa nu aducem in discutie site-urile platite din bani publici ? sau am inteles gresit
    Poate sunt eronat insa, mai ales cele platite din banii publici sunt de condamnat atunci cand vine vorba de gaurile de securitate. Tocmai pentru ca cei care le administreaza si intretin tot din taxele si impozitele mele si alte tale isi iau salariile, clickio

    Comment by WhiteWolf — February 4, 2009 @ 12:10 am

  20. [...] nepedepsită, iată ca se găsesc voci ce pun sub semnul întrebării atât ceea ce fac, cât şi cum o fac. Ba mai vin şi cu idei de genul: “Idee: Sa-i angajeze cineva pe hackerii respectivi si [...]

    Pingback by O vâlvă pentru acoperit găuri de securitate « Bogdanic’s Notes & Opinions — February 4, 2009 @ 3:10 am

  21. WhiteWolf, discutia daca impozitele pe care le platim cu totii sunt sau nu investite optim, cel putin in ce priveste componenta online a administratiei publice merita o discutie separata, esti de acord cu mine? N-am zis ca nu conteaza, doar ca merita sa fie discutata separat, pentru ca acolo sunt si alte lucruri de mentionat.

    Comment by clickio — February 4, 2009 @ 8:28 am

  22. N-ai dreptate. Oamenii spun ca baza de date e “la liber”, nu au publicat adresele userilor. Decat sa nu se stie, e bine si asa.

    Si ce zici tu cu firma .. nu, nu e bine. Trebuie sa vine cineva sa ii angajeze?.. Cine?

    Comment by aerosoul — February 4, 2009 @ 1:06 pm

  23. O fi fost la liber doar pentru cei care au stiut cum sa o sparga, pana au facut ei asta si i-au anuntat pe proprietari. Insa spammerul mic si prost care trimite mesaje analfabete si agramate nu cred ca are astfel de abilitati.

    Pai sa-si schimbe ei jobul, din robin hoozi impotriva sistemului, in consultanti la costum si cu masini scumpe care sa protejeze site-urile clientilor care platesc pt asta :) Daca nu exista o astfel de firma, sa si-o faca singuri :)

    Comment by clickio — February 4, 2009 @ 1:12 pm

  24. Precizare… unul dintre siturile construite de mine a avut o bresa de securitate din cauza unei configurari a serverului.

    Oamenii astia m-au anuntat cu cateva zile inainte de a publica articolul respectiv, mi-au detailat cum au procedat si mi-au si sugerat metode de rezolvare a problemei.

    Datele celor de pe ejobs nu sunt facute publice, nu mai exagera.

    Comment by Cezar — February 4, 2009 @ 7:33 pm

  25. [..]Ce gluma buna. Citeam pe cateva blog-uri despre tipii..[..]

    Comment by Escu — February 4, 2009 @ 9:14 pm

  26. Nu sunt facute publice toate, asta ar mai fi trebuit. Eu ma refeream la datele pe care le-au expus in screenshot-ul cu demonstratia, pe care puteau sa le ascunda cu cateva asteriscuri. E atat de greu de inteles???

    Comment by clickio — February 5, 2009 @ 8:19 am

  27. Am citit articolul si majoritatea commenturilor apropo de firme si daca se plateste sau nu in ro. testarea site-urilor. Raspunsul meu: sunt tester la o firma de programare, dar cel mai ciudat este ca acest job este considerat cel mai elementar pentru un programator, deci si cel mai prost platit. Nu ma laud cu programarea, de asta am luat jobul cel mai putin “solicitant”. Dar invat, citesc si sper ca o sa si obtin ajutor din partea celor mai experimentati.
    Tai Tai

    Comment by Roxi — March 31, 2009 @ 9:02 am

  28. Succes, Roxi, eu cred ca vei putea invata suficient cat sa ii arati angajatorului ca meriti mai mult, in fond cei care testeaza trebuie sa gaseasca lucruri care au scapat programatorilor care au lucrat efectiv la site, asa ca daca reusesti si acum sa faci asta bine,iti mai trebuie probabil doar putina perfectionare la locul de munca.

    Comment by clickio — March 31, 2009 @ 9:17 am

RSS feed for comments on this post. TrackBack URI

Leave a comment
steve

mulu


Powered by WordPress, Web Design by Template Monster
Entries (RSS) and Comments (RSS)