Korporativna sigurnost/security researcheri

[degojs]

Citat:

Originalno napisao cvele

Da li je tvoja kuca javni servis? Da li upadom u tvoju kucu ugrozavam privatnost nekoga drugog osim tebe?

So? Ako je nešto na internetu ne znači da nije nečije vlasništvo...

Citat:

Sto se tice onog komentara "udji u banku pa radi security research"... postoje kompanije koje su usko specijalizovane za takve stvari. Cak se u 3-4 navrata desavalo da neke od kompanija obiju banku i udju u sef (usput se snimajuci) i pozovu direktora da im se pridruzi. Za dva sucaja znam jedan je neki casino u Vegasu, a drugi je banka u Klivlendu.
Ti ljudi ne da nisu odgovarali, vec im se direktor javno zahvalio i dao goleme pare da naprave novi security plan.

Isto tako, mogao je da naiđe neko iz obezbeđenja dok su ulazili u sef, potegne pucu i izrešeta ih.

Naravno da nećeš da tužiš ljude ako su oni to već uradili i ponudili ti rešenje za problem. Ali ti uzimaš 2 primera koja su uspela i gde ljudi nisu imali loše namere (da su i otišli na sud, možda ne bi bili ni osuđeni).

Mislim, šta, ti ako vidiš nekog da ti obija sef, trebaš da ga pitaš: "Izvinite, da li vi to stvarno obijate sef ili samo testirate sigurnost?"

Nemaš ti pravo da radiš takve stvari, generalno. Ni web sajt, ni banka, ni muzej, itd.. nije to tvoje vlasništvo. Vežbaj sigurnost na svom sajtu, otkud uopšte ideja da koristiš tuđu imovinu za vežbanje i slično?

Citat:

Dalje, web prostor i fizicki prostor su dve potpuno razlicite stvari. Razlike u sigurnosnim izazovima i njihovim posledicama su ogromne i nemaju dodirnih tacaka.

Nema velike razlike. Osnovna stvar je da i jedno i drugo imaju vlasnika. Ako imaju vlasnika, a to nisi ti, e onda baš i ne bi bilo poželjno da izvodiš koješta, jer jednostavno nije tvoje.

[degojs]

Citat:

Originalno napisao zextra

Necija logika bi bila, nemas sta da trazis na admin loginu. Zasto? Linkovan je sa glavne strane.

Pa ne verujem da će neko da te tuži za to. Nije to isto kao i probavati username/password kombinacije, probavati SQL injection i slično. A i da te tuže, čisto sumnjam da će neki sud da te nađe krivim samo što si kliknuo na link.

A sve skupa, ako zakonima i nije precizno definisano, budi siguran da će u budućnosti biti. Na šta bi to ličilo kad bi svi smeli da koriste tuđu imovinu da vežbaju: npr. student stomatologije ide ulicom pa ščepa nekog i krene da mu popravlja zub (bez odobrenja)

[cvele]

Citat:

Originalno napisao degojs

Nema velike razlike. Osnovna stvar je da i jedno i drugo imaju vlasnika. Ako imaju vlasnika, a to nisi ti, e onda baš i ne bi bilo poželjno da izvodiš koješta, jer jednostavno nije tvoje.

Da ima.

Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd
Tada sajt jednostavno vise ne pripada samo tebi!

Od celog tog sajta tebi pripada kod i dizajn baze, kompletan sadrzaj nije tvoj i pripada tvojim posetiocima. Svaki posetilac ima pravo da se uveri u to koliko su njegovi podaci bezbedni. Obicno se iz aviona vidi da li je neki sajt "busan" ili nije, a vecina "exploita" se postavljaju kao proof da je sajt busan ko sir, samim tim sluze kao upozorenje konzumentima, a ne tebi.

Ajmo jos jedan primer, odakle tebi kao potrosacu pravo da proveravas da li je Carnex pasteta otrovna ili nije?

Ako neznas sam da proveravas odakle pravo Ziki Petrovicu iz ulaza 21 pravo da ti kaze da je proveravao i da je otrovna?

PS.
pasteta je sa webom povezana koliko i kisna glista sa kvarom svemirske stanice mir, u istom su odnosu sef u banci i neciji online community ili korporativni sajt.

[degojs]

Citat:

Originalno napisao cvele

Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd
Tada sajt jednostavno vise ne pripada samo tebi!

Ha? Kakva prava ti (ili ja) polažemo na DPT? Polažemo možda prava na svoje poruke, ali na sam DPT nikakva. Ako Goran odluči da sutra promeni sajt ili ga zatvori, kao mi bi mogli da to sprečimo?

Što se MySpace i sličnih tiče, zaista nemam pojma, ali pretpostavljam da kada otvaraš nalog negde klikćeš na "I AGREE" i pristaješ na neke uslove korišćenja?



Ti jednostavno, nećeš da prihvatiš (ili vidiš) činjenicu da nemaš pravo da "drndaš" tuđu imovinu bez odobrenja. Nemaš pravo da koristiš tuđe resurse da bi se ti vežbao u bilo čemu, ako ti to taj vlasnik ne odobri. Ne znam kako tako jednostavna stvar može biti nejasna? Druga je stvar da li će da te tuži i slično, da li bi uvek tužbu dobio, itd.

Pogledaš ispred kuće, a ono klinac uzeo da ti prčka po automobilu - vežba čovek za automehaničara??? Kako da ne..

[jablan]

Citat:

Originalno napisao cvele

Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd
Tada sajt jednostavno vise ne pripada samo tebi!

Po toj logici imaš pravo da bušiš ebanking sistem svoje banke (kako bi se uverio da su svi korisnici sigurni, jelte), da kao putnik pre nego što uđeš u avion malo zaviriš i pročeprkaš ispod haube da vidiš da se nisu zamastile svećice (jer čim u avion uđu putnici, on više nije svojina aviokompanije, nego putnika, jel tako) itd itd.

Momci, kriminal je kriminal i neovlašćeni upad bilo u tuđ infosistem (u šta spada i sajt) bilo u tuđ stan je kažnjiva stvar.

BTW, "ne znaš" se piše odvojeno.

[bluesman]

Od kada se bavim community sajtovima imao sam prilično često priliku da raspravljam o tome "šta je čije i na šta ko ima prava". Ono što najčešće nisu mogli da shvate je da im to što plaćaju pristup ne daje za pravo da rade šta hoće. Da bih im plastičnije objasnio, poredio sam sa kupovinom karte za autobus, to što si je platio ne znači da možeš da pišaš po podu.

Elem, od ovoga što sam pročitao najbliži sam ovome što reče degojs (valjda?) da kada vidiš nekoga da obija sef nećeš da ga pitaš da li obija sef ili samo testira sigurnost. Mislim da za početak treba odvojiti bar 2 zarličita slučaja

1. Kada korisnik "slučajno" otkrije grešku, preko operacija na strani
2. Kada korisnik "traži" grešku i pokušava razne exploite.

To može da se uporedi sa:
1. Kada ti komšija pozvoni na vrata i kaže "mister, ostala su ti otključana vrata od stana"
2. Kada ti komšija gura kalauz u bravu, pa ako ne prođe - pokušava sa širim arsenalom.

Kao što autobus nije vlasništvo putnika koji se voze tako i web sajt nije vlasnistvo clanova koji ga posecuju. Ne vidim tu ništa problematično.

[robi-bobi]

Off Topic:

Citat:

Originalno napisao bluesman

Da bih im plastičnije objasnio, poredio sam sa kupovinom karte za autobus, to što si je platio ne znači da možeš da pišaš po podu.

dobar!
nego, primecujem da cesto imas slicna poredjenja za svakakve situacije, daj saberi to i stavi na blog il dpt
osim sto je , moze biti i korisno

[zark0vac]

Aman ne morate iskoristiti bug da se ulogujete u sistem da bi znali da postoji. Postoji mnogo bezazlenih query-ja koje mozete pokusati koji ce vam potvrditi da postoji ova ili ona ranjivost. Nema potrebe da trosite resurse servera, gadjate server maljem i sl.

Sto znaci da mu to dodje kao da gadjate zrnima peska komsijina vrata, i ako se odbije daleko ostavis mu pismo u sanduce da ima rupu u ulaznim vratima 128cm vertikalno, 24cm horizontalno jer se zrno odbilo na tom mestu i da bi bilo pametno sa njegove strane da zakrpi to. Svako normalan ce ti se najljubaznije zahvaliti.

Nije potrebno koristiti zolju trositi resurse, niti narusavati bezbednost sajta kada radite 'usputni audit'..

PS. Da se ne bi pogresno protumacilo, preopterecivanje resursa, koriscenje exploita radi dobijanja admina/roota, brute force napad, i sl. niko ne treba odobravati, nego sankcionisati. Ali ono o cemu sam ja pisao je malo drugacije.

[bluesman]

Ne razumem psihologiju ljudi koji dođu na neki sajt, vide formular i pomisle "gle, formular, daj da probam neki exploit".

Čemu sve to? Da bi posle pričao ortacima uz piwo kako je "haker"? Na žalost, većinu (ako je uopšte i jedan) od tih expliota nije on smislio nego neki "pravi hacker"... Da pomogneš nekome da mu bude bezbedniji sajt? Uz izvinjenje na vulgarnosti, šta te boli **** za njegov sajt i da li je bezbedan ili ne? Da bi zaradio pare tako što ćeš da ga ucenjuješ? Da mu srušiš server iz zezanja? Get a life. Da mu deface-uješ sajt? To mora da ima neke veze sa fetišima, što bi rekli "tell me something about your childhood..." ... Ne znam, baš bih voleo da saznam porive za tako nešto, neka mi neko objasni kao da imam 6 godina.

[zark0vac]

Mnogo decurlije koja cim vide "powered by" jure da nadju 'exploit'. Licno sam protiv toga. I to su ti koji to rade da bi ispali 'xakepu', face, ili sta znam vec sta jos o kojima si ti upravo pricao, ali na takve se ne treba ni obazirati. Ono sto ja podrzavam je dobrovoljna light provera bez nanosenja stete u bilo kom vidu vlasniku sajta, bez ikakvih skrivenih motiva (citaj: ucena, hvaljenje, uzdizanje u ocima slicnih gubitnika, etc.).

Ja to vidim kao dobro delo, mozda gresim..

Edit: Nije bas da me je bas briga ako znam da moze da dodje neko od te sorte koju si ti naveo i da mu 'srusi sajt iz zezanja'.

Ako vidis nekog slepog coveka da ce upasti u saht, da li bi mu rekao da pripazi i pomogao mu da ga zaobidje, ili bi ga iskulirao i sutradan citao o tome u novinama?