|
e-Business Elektronsko poslovanje, e-Commerce, poslovanje uopšteno. Sponzor: |
|
Alati teme | Način prikaza |
|
19. 06. 2007. | #1 |
Rade Joksimović
Professional
Datum učlanjenja: 27.10.2006
Poruke: 220
Hvala: 0
1 "Hvala" u 1 poruci
|
^^Ja sam konkretno kada pominjes www.fbi.gov pronasao xss propust pre nekih godinu dana u jednom odeljku www.nasa.gov. Nisi mogao da ownas server nasa-e ili bilo sta ozbiljnije sa tim bugom, jedino zadovoljstvo sto si pronasao nesto u takvom jednom sajtu. Naravno odmah sam prijavio bug posle cega su bolje izfiltrirali formu. I da, niko mi nije kucao na vrata zbog toga
Ti ne zloupotrebis takve stvari, nije to kao sto je onaj englez pre par godina ownao neke .gov servere, sto znaci da je preuzeo root privilegije, imao uvid u mozda zasticene odseke koje ne bi smeo da vidi, pa ga tuzili i osudili, ako se dobro secam. Alarm u necijoj kuci da proveravas nije isto kao da gledas sajt jer je sajt javno dostupan. To bi bilo kao da je tastatura za sifru na alarmu predvidjena da ljudi kucaju po njoj, svi prolaznici da kucaju. I ti dodjes i ukucas neku kombinaciju i ispise ti da ako potvrdis dobices kljuc od te kuce. I ti se okrenes i odes i jos ostavis pismo ispred vrata sa opisom kako da srede ili makar sta. Ti saznas 'kombinaciju'(recimo RFI vuln) koja ne bi smela da prolazi, i ne iskoristis je, a mogao bi da ownas sistem sa njom, to nemoze da bude ilegalno. Mozda je moja logika pogresna, ali ja tu ne vidim nista ilegalno, cak dobrotvorni rad. Poslednja izmena od zark0vac : 19. 06. 2007. u 01:48. |
19. 06. 2007. | #2 | ||
I'm a PC too.
Wrote a book
Datum učlanjenja: 05.06.2005
Lokacija: Kanada
Poruke: 1.354
Hvala: 82
130 "Hvala" u 89 poruka
|
Citat:
Citat:
__________________
Commercial-Free !!! Poslednja izmena od degojs : 19. 06. 2007. u 03:25. |
||
19. 06. 2007. | #3 |
Boris
Grand Master
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
|
@degojs: bas neces da razmislis o tome sto covek pokusava da kaze, moras da budes uvek u pravu...
Evo ti malo opipljiviji primer. Web portal. Powered by phpNuke. Default instalacija. Nepromenjena default admin/admin (ili neka slicna, ali dobro poznata) superuser login kombinacija. Admin login forma (po defaultu) javno dostupna svima preko linka u meniju. Nakon sto se uveris da pomenuta kombinacija funkcionise (dakle, NE sedis dva sata pokusavajuci da provalis neciji password), posaljes e-mail adminu sajta sa obavestenjem da bi to neko drugi mogao da uradi i da unisti portal, pa da ne bi bilo zgoreg da nesto preduzme, radi sopstvene sigurnosti i sigurnosti svojih korisnika. I ko je tu kriv? Necija logika bi bila, nemas sta da trazis na admin loginu. Zasto? Linkovan je sa glavne strane. Druga logika bi bila, zasto bi uopste pokusao da se ulogujes kroz admin login sajta koji ne posedujes? Mislim da bar 3 coveka sa ovog foruma mogu da posvedoce o tome sta su sve u stanju da urade pojedini korisnici iz neznanja (pa recimo i da se loguju sa svojim e-mail user/pass na forum na koji nikad nisu otisli...) Dakle?
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams |
19. 06. 2007. | #4 |
VD IT Direktora
Invented the damn thing
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
|
Neznanje nije opravdanje ni za jedno krivično delo. Ti si došao na tuđ sajt i neovlašćen upao u administrativni interfejs. Tačka.
Ako upadneš u tuđu kuću neće ti mnogo pomoći činjenica da je taj neko zaboravio da je zaključa. |
19. 06. 2007. | #5 |
Boris
Grand Master
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
|
Ok.
Za li neko da li postoji neki zakon koji regulise obavezu postavljanja obavestenja na vidnom mestu o tome da je, recimo, neovlascen ulazak u admin panel kaznjiv zakonom?
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams |
19. 06. 2007. | #6 | |
Banned
Knowledge base
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
|
Citat:
Da li upadom u tvoju kucu ugrozavam privatnost nekoga drugog osim tebe? Sto se tice onog komentara "udji u banku pa radi security research"... postoje kompanije koje su usko specijalizovane za takve stvari. Cak se u 3-4 navrata desavalo da neke od kompanija obiju banku i udju u sef (usput se snimajuci) i pozovu direktora da im se pridruzi. Za dva sucaja znam jedan je neki casino u Vegasu, a drugi je banka u Klivlendu. Ti ljudi ne da nisu odgovarali, vec im se direktor javno zahvalio i dao goleme pare da naprave novi security plan. Dalje, web prostor i fizicki prostor su dve potpuno razlicite stvari. Razlike u sigurnosnim izazovima i njihovim posledicama su ogromne i nemaju dodirnih tacaka. |
|
19. 06. 2007. | #7 | |||
I'm a PC too.
Wrote a book
Datum učlanjenja: 05.06.2005
Lokacija: Kanada
Poruke: 1.354
Hvala: 82
130 "Hvala" u 89 poruka
|
Citat:
Citat:
Naravno da nećeš da tužiš ljude ako su oni to već uradili i ponudili ti rešenje za problem. Ali ti uzimaš 2 primera koja su uspela i gde ljudi nisu imali loše namere (da su i otišli na sud, možda ne bi bili ni osuđeni). Mislim, šta, ti ako vidiš nekog da ti obija sef, trebaš da ga pitaš: "Izvinite, da li vi to stvarno obijate sef ili samo testirate sigurnost?" Nemaš ti pravo da radiš takve stvari, generalno. Ni web sajt, ni banka, ni muzej, itd.. nije to tvoje vlasništvo. Vežbaj sigurnost na svom sajtu, otkud uopšte ideja da koristiš tuđu imovinu za vežbanje i slično? Citat:
__________________
Commercial-Free !!! Poslednja izmena od degojs : 19. 06. 2007. u 14:38. |
|||
19. 06. 2007. | #8 | |
I'm a PC too.
Wrote a book
Datum učlanjenja: 05.06.2005
Lokacija: Kanada
Poruke: 1.354
Hvala: 82
130 "Hvala" u 89 poruka
|
Citat:
A sve skupa, ako zakonima i nije precizno definisano, budi siguran da će u budućnosti biti. Na šta bi to ličilo kad bi svi smeli da koriste tuđu imovinu da vežbaju: npr. student stomatologije ide ulicom pa ščepa nekog i krene da mu popravlja zub (bez odobrenja)
__________________
Commercial-Free !!! Poslednja izmena od degojs : 19. 06. 2007. u 14:56. |
|
19. 06. 2007. | #9 | |
Banned
Knowledge base
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
|
Citat:
Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd Tada sajt jednostavno vise ne pripada samo tebi! Od celog tog sajta tebi pripada kod i dizajn baze, kompletan sadrzaj nije tvoj i pripada tvojim posetiocima. Svaki posetilac ima pravo da se uveri u to koliko su njegovi podaci bezbedni. Obicno se iz aviona vidi da li je neki sajt "busan" ili nije, a vecina "exploita" se postavljaju kao proof da je sajt busan ko sir, samim tim sluze kao upozorenje konzumentima, a ne tebi. Ajmo jos jedan primer, odakle tebi kao potrosacu pravo da proveravas da li je Carnex pasteta otrovna ili nije? Ako neznas sam da proveravas odakle pravo Ziki Petrovicu iz ulaza 21 pravo da ti kaze da je proveravao i da je otrovna? PS. pasteta je sa webom povezana koliko i kisna glista sa kvarom svemirske stanice mir, u istom su odnosu sef u banci i neciji online community ili korporativni sajt. |
|
19. 06. 2007. | #10 | |
Ivan Dilber
Sir Write-a-Lot
|
Citat:
Elem da se vratimo na prizemnije stvari, meni se recimo cesto desava da u ssh otkucam pogresno domen (ispustim neko slovo i sl.), i zakacim se na pogresan server i onda pokusavam da se ulogujem kao root... i naravno da nema smisla da me neko hapsi zbog toga... ali sa druge strane stalno u logovima nailazim na likove koji pokusavaju da mi bruteforsuju roota preko ssh, i to definitivno "nije lepo" od njih... znaci prilicno je jasna podela da li je neko nesto slucajno uradio ili je npr pokrenuo brute force skriptui... sto se mene tice, cak iako to radi dobronamerno, on meni trosi resurse i puni mi log glupostima, i posto mu ja to nisam trazio, on to nema prava da radi.. i tacka... a narocito nema prava da to radi iz razloga iz kojih vecina security likova to radi, a to je sopstvena promocija i zarada... Ako je neko jako zabrinut za sigurnost mojih podataka i/ili klijenta sto mi lepo ne posalje mail i kaze ja bih voleo da u periodu od tad do tad, sa te i te IP adrese, besplatno, u promotivne svrhe, isprobam sigurnost vaseg sistema, i da vas onda obavestim o rezultatima... i ja (a i vecina drugih webmastera) bi pristali, sto da ne... To bi onda bio profesionali postupak, ovako je cisti hakeraj i sociopatija... EDIT: Usput, mnogi sistemi i software se u licencama stite da npr. nemas pravo da radis javni benchmark njihovih sistema, bez njihovog odobrenja... i to je naprosto tako, ako ti se ne svidja, nemoj da ga koristis... ja za sad nemam ni jedan community sajt, ali mozes da se kladis da cu kad ga budem pravio da ukljucim odgovarajucu klauzulu u ugovor, cisto zbog ovakvih prica...
__________________
Leadership is the art of getting people to want to do what you know must be done. Poslednja izmena od ivanhoe : 19. 06. 2007. u 16:43. |
|
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Sigurnost i zastita informacija, na jednom mestu | Ivan | Opušteno | 13 | 05. 07. 2008. 20:54 |
Skolski e-dnevnik i sigurnost?! | salebab | Opušteno | 59 | 17. 10. 2007. 15:40 |
Sigurnost i poslovna politika... | LiquidBrain | Web Hosting, web serveri i operativni sistemi | 11 | 06. 05. 2007. 01:25 |
ptt i sigurnost | nixa | Opušteno | 5 | 23. 03. 2007. 15:50 |
Firefox i sigurnost | Ilija Studen | Web aplikacije, web servisi i software | 43 | 04. 03. 2006. 23:24 |