Statistika bezbednosnih propusta banaka u Srbiji

[Ivan]

Statistika bezbednosnih propusta banaka u Srbiji / Godina 2010: http://netsec.rs/files/Statistika%20...20-%202010.pdf

I jedno istrazivanje koje opisuje kakve informacije mogu da se nadju u online dokumentima sa ciljem da budu zloupotrebljene: Owned by document properties

[vidak]

Vrlo detaljna specifikacija, vrlo detaljna.

Da li ste uzeli u obzir da pronalaženje rupa unutar web aplikacija naših banaka ne može dovesti do prikupljanja podataka koji se mogu zloupotrebiti, t.j. da podaci koje se mogu prikupiti su irelevantni za eventualnu zloupotrebu?

Analizom ste došli do informacija da se za kreiranje PDF dokumenata koriste skoro svi dostupni kreatori PDF dokumenata. To ste mogli i odokativnom metodom da utvrdite, zar ne?

U dva dokumenta, bez uvoda i zaključka, samo 5 stranica analize ?

[McKracken]

<MD mode on>

Citat:

I jedno istrazivanje koje opisuje kakve informacije mogu da se nadju u online dokumentima sa ciljem da budu zloupotrebljene:

Istrazivanja, projekti, startapi itd. Malo ga pretera


Doduse, podaci koji nisu obuhvaceni istrazivanjem sa ili bez cilja, ne mogu biti ciljani za istrazivanje potencijalne zloupotrebe istih ili slicnih, ali ne i drugih.
</MD mode off>

[mangia]

Jel iko pokušavao sledeći scenario...

Citat:

- 'alo, Dragice, Gojko programer ovde... Kako koji Gojko, Gojko sa trećeg, Božin sin... Testiram sistem pa mi treba tvoja lozinka
- Zdravo Gojko... Joj ne sjećam se lozinke, mislim da sam zapisala... A evo piše na monitoru... "samsung"

[Ivan]

Citat:

Originalno napisao vidak

Da li ste uzeli u obzir da pronalaženje rupa unutar web aplikacija naših banaka ne može dovesti do prikupljanja podataka koji se mogu zloupotrebiti, t.j. da podaci koje se mogu prikupiti su irelevantni za eventualnu zloupotrebu?

Ne znam odakle si izveo ovakav zakljucak ? Faktor rizika ima vise promenljivih.

Citat:

Originalno napisao vidak

Analizom ste došli do informacija da se za kreiranje PDF dokumenata koriste skoro svi dostupni kreatori PDF dokumenata. To ste mogli i odokativnom metodom da utvrdite, zar ne?

Poenta istrazivanja je da skrene paznju na potencijalna mesta curenja informacija u nekom sistemu. Kombinacija email adrese, verzije aplikacija koje se vrte kod te osobe i malo socijalnog inzenjeringa moze da dovede do mnogo veceg propusta ...
U konkretnom primeru smo mogli da navedemo tacne procente za svaku aplikaciju, kao i vise detalja o tome gde se koristi i kada ali nismo iz vise razloga. Medju njima jedan je taj da za ovo istrazivanje to nije bitna informacija a drugi je da neke informacije nisu objavljene kako ne bi ugrozavali bezbednost drugih.

Citat:

Originalno napisao McKracken

Istrazivanja, projekti, startapi itd. Malo ga pretera ...

Ovo je istrazivanje koje je sprovedeno sa ciljem podizanja svesti o bezbednosti veoma bitne stavke u mnogim sferama zivota. Utrosen je rad i vreme za njegovo sprovodjenje

Citat:

Originalno napisao mangia

Jel iko pokušavao sledeći scenario...

Istrazivanje na temu socijalnog inzenjeringa se planira za neku blizu buducnost.

[Ivan]

Citat:

Originalno napisao ivanhoe

Sta ovo znaci? Ispod je slika servera, jel se to misli na open-source projekte ili na sta?

Konkretno na razne web widgete, analytics i sl. Ono sto se ucitava sa udaljenih servisa nad kojima nemamo kontrolu.

Citat:

U svakom slucaju, mislim da vam nije dobar pristup sa svom tom "misterioznoscu"... ne navodis ni jedan konkretni primer, cak ni spisak banaka koje su testirane, kako su testirane, zapravo, za svaku pojedinu tvrdnju mi treba da ti verujemo na rec da je to bas tako... nije frka ja verujem, ali zasto bi ti verovao neko ko te ne poznaje? Morate neke konkretne podatke da navedete da bi ovo bio teaser, ovako je samo gomila nekakvih grafika koji su mozda tacni, a mozda ste se jedno vece naduvali i nacrtali ih u Photoshopu...

Nema misterije, jednostavno kako nijedna strana ne bi bila ugrozena a da ipak dodjemo do nekih bitnih podataka za javnost, prilikom objavljivanja dolazi do selekcije informacija. Konkretno nema povezanosti izmedju konkretne web lokacije i propusta.

Spisak banaka je naveden u dokumentu kao link na: http://www.ubs-asb.com/Default.aspx?tabid=567. Metodi su takodje opisani (prilozen je link): (http://netsec.rs/UserFiles/File/Test...0tehnikama.pdf i info da je utroseno po 10 min za svaku lokaciju.

Kakve konkretne podatke bi tacno zeleo da vidis a da ne pritom ne ugorzavaju bezbednost (korisnika,davalaca usluga,istrazivaca,...) ni sa jedne strane ?

[vidak]

@Ivan

Ajde daj neki konkretan propust koji si uočio pa da i mi, koji čitamo ove postove, naučimo nešto novo.
'Vako SQL injection, email adresa i verzija PDF kreatora su previše opšte teme, a postoji puno tutorijala na YouTUBE-u, gde klinci od 10tak godina objašnjavaju neke od ovih problema.

[ivanhoe]

Citat:

Korišdenje javno dostupnih i besplatnih servisa može dovesti do iznenadnih
prekida u radu, kao i “curenja” informacija.

Sta ovo znaci? Ispod je slika servera, jel se to misli na open-source projekte ili na sta?

U svakom slucaju, mislim da vam nije dobar pristup sa svom tom "misterioznoscu"... ne navodis ni jedan konkretni primer, cak ni spisak banaka koje su testirane, kako su testirane, zapravo, za svaku pojedinu tvrdnju mi treba da ti verujemo na rec da je to bas tako... nije frka ja verujem, ali zasto bi ti verovao neko ko te ne poznaje? Morate neke konkretne podatke da navedete da bi ovo bio teaser, ovako je samo gomila nekakvih grafika koji su mozda tacni, a mozda ste se jedno vece naduvali i nacrtali ih u Photoshopu...

[Ivan]

@vidak kao sto rekoh cilj ovih istrazivanja nije da analiziramo konkretan propust i njegovu eksploataciju vec samo da skrenemo paznju na njegovo postojanje.

A ako zelis da naucis vise o web sigurnosti mozes za pocetak da pogledas moje slajdove sa raznih predavanja ili da se prijavis za neki od kurseva.

Pisanje uputstava za eksploataciju mi se ne cini kao tema koju bi izabrao a i kao sto si rekao vec ima toga puno po webu ...

[vidak]

Citat:

Originalno napisao Ivan

kao sto rekoh cilj ovih istrazivanja nije da analiziramo konkretan propust i njegovu eksploataciju vec samo da skrenemo paznju na njegovo postojanje.

Iz ovoga se nameće zaključak da ste istraživali na apstraktnom uzorku t.j. da niste istraživali konkretnu situaciju??? Ne razumem ovakav koncept?


Napredni security kursevi!?
Jednodnevni kurs "PHP Security Coding"?
Dvodnevni kurs "Linux za Windows administratore"?
Jednodnevni kurs "Web Security"?

Verovatno sam ja idiot kada mi su mi za sve ovo trebale godine...
...još ako ti kažem da sam 10 nedelja slušao LPIC1 i LPIC2 u CET-u, sigurno ćeš me proglasiti totalnim moronom. ... ali to je samo moj problem