Korporativna sigurnost/security researcheri

[bluesman]

Od kada se bavim community sajtovima imao sam prilično često priliku da raspravljam o tome "šta je čije i na šta ko ima prava". Ono što najčešće nisu mogli da shvate je da im to što plaćaju pristup ne daje za pravo da rade šta hoće. Da bih im plastičnije objasnio, poredio sam sa kupovinom karte za autobus, to što si je platio ne znači da možeš da pišaš po podu.

Elem, od ovoga što sam pročitao najbliži sam ovome što reče degojs (valjda?) da kada vidiš nekoga da obija sef nećeš da ga pitaš da li obija sef ili samo testira sigurnost. Mislim da za početak treba odvojiti bar 2 zarličita slučaja

1. Kada korisnik "slučajno" otkrije grešku, preko operacija na strani
2. Kada korisnik "traži" grešku i pokušava razne exploite.

To može da se uporedi sa:
1. Kada ti komšija pozvoni na vrata i kaže "mister, ostala su ti otključana vrata od stana"
2. Kada ti komšija gura kalauz u bravu, pa ako ne prođe - pokušava sa širim arsenalom.

Kao što autobus nije vlasništvo putnika koji se voze tako i web sajt nije vlasnistvo clanova koji ga posecuju. Ne vidim tu ništa problematično.

[zark0vac]

Aman ne morate iskoristiti bug da se ulogujete u sistem da bi znali da postoji. Postoji mnogo bezazlenih query-ja koje mozete pokusati koji ce vam potvrditi da postoji ova ili ona ranjivost. Nema potrebe da trosite resurse servera, gadjate server maljem i sl.

Sto znaci da mu to dodje kao da gadjate zrnima peska komsijina vrata, i ako se odbije daleko ostavis mu pismo u sanduce da ima rupu u ulaznim vratima 128cm vertikalno, 24cm horizontalno jer se zrno odbilo na tom mestu i da bi bilo pametno sa njegove strane da zakrpi to. Svako normalan ce ti se najljubaznije zahvaliti.

Nije potrebno koristiti zolju trositi resurse, niti narusavati bezbednost sajta kada radite 'usputni audit'..

PS. Da se ne bi pogresno protumacilo, preopterecivanje resursa, koriscenje exploita radi dobijanja admina/roota, brute force napad, i sl. niko ne treba odobravati, nego sankcionisati. Ali ono o cemu sam ja pisao je malo drugacije.

[bluesman]

Ne razumem psihologiju ljudi koji dođu na neki sajt, vide formular i pomisle "gle, formular, daj da probam neki exploit".

Čemu sve to? Da bi posle pričao ortacima uz piwo kako je "haker"? Na žalost, većinu (ako je uopšte i jedan) od tih expliota nije on smislio nego neki "pravi hacker"... Da pomogneš nekome da mu bude bezbedniji sajt? Uz izvinjenje na vulgarnosti, šta te boli **** za njegov sajt i da li je bezbedan ili ne? Da bi zaradio pare tako što ćeš da ga ucenjuješ? Da mu srušiš server iz zezanja? Get a life. Da mu deface-uješ sajt? To mora da ima neke veze sa fetišima, što bi rekli "tell me something about your childhood..." ... Ne znam, baš bih voleo da saznam porive za tako nešto, neka mi neko objasni kao da imam 6 godina.

[zark0vac]

Mnogo decurlije koja cim vide "powered by" jure da nadju 'exploit'. Licno sam protiv toga. I to su ti koji to rade da bi ispali 'xakepu', face, ili sta znam vec sta jos o kojima si ti upravo pricao, ali na takve se ne treba ni obazirati. Ono sto ja podrzavam je dobrovoljna light provera bez nanosenja stete u bilo kom vidu vlasniku sajta, bez ikakvih skrivenih motiva (citaj: ucena, hvaljenje, uzdizanje u ocima slicnih gubitnika, etc.).

Ja to vidim kao dobro delo, mozda gresim..

Edit: Nije bas da me je bas briga ako znam da moze da dodje neko od te sorte koju si ti naveo i da mu 'srusi sajt iz zezanja'.

Ako vidis nekog slepog coveka da ce upasti u saht, da li bi mu rekao da pripazi i pomogao mu da ga zaobidje, ili bi ga iskulirao i sutradan citao o tome u novinama?

[cvele]

Rece bluesman da mu nije jasno zasto bi to neko radio...

Pazi kada dodjem na neku stranu i vidim gresku pracenu sa sql query... pa 5 FBI-a i 10 MUP-ova me nebi sprecilo da probam da isprintam drugi result set ili promenim naslov sajta sa "Test!" u "Test?"... to je jednostavno nesto sto je zabavno.

Ako ima jos nekoga koga zanima o mom detinjstvu, samo recite ljudi... da vidimo koliko vas ima. Ko zna? mozda bi bila dobra knjiga :P

Sto se tice vlasnistva sajta... slozicemo se da sadrzaj cini sajt. Sadrzaj pripada autorima, dakle najvazniji deo sajta pripada autorima. Ali na stranu to sto je ovaj post moja intelektualna svoina(:P) mnogo je delikatniji primer mog email-a (posto imamo i clanova zenskog pola, cak i godiste mozemo da podvedemo pod ovo :P ). Ja jednostavno zelim da znam da su moji podaci sigurni, odnosno da mi se nece desiti da neki kiddie dodje do njih i iskoristi ih za moju "kompromitaciju". (nemojte da ulazimo u to kako moze da ih iskoristi, zato sto mi se ovo vec desilo u poroslosti i ne zelim da navoidim sajt niti situaciju... neki od clanova znaju o cemu pricam)

Sto se tice cuvenog "I AGREE" jednom sam pri uclanjenju na sajt u uslove koje clanovi prihvataju stavio da se obavezuju da mi licno i personalno do kraja meseca uplate svoju celokupnu platu na devizni racun (cak sam i racun ukljucio). Nazalost nisam dobio ni cent! (buuu) Mislite da imam pravo da ih tuzim ? Mislim ako mogu to da uradim, what the hell am I doing here! odoh na Bali!

Mnogo smo se ovde odaljili od teme... tako blizu a toooliko daleko.

[cvele]

Evo me opet, zaboravih jos nesto da napomenem.

Ovde vodimo pricu o nalazenju rupa na sajtu, a ne o deface, rusenju sajta ili sta vec. Dve razlicite stvari.

Nije tanka linija izmedju dolazenja do informacija i nacina koriscejna tih informacija.

Citat:

Originalno napisao jablan

BTW, "ne znaš" se piše odvojeno.

hvala. ne znam sta bi bez ove informacije :P

[robi-bobi]

Off Topic:

Citat:

Originalno napisao bluesman

Da bih im plastičnije objasnio, poredio sam sa kupovinom karte za autobus, to što si je platio ne znači da možeš da pišaš po podu.

dobar!
nego, primecujem da cesto imas slicna poredjenja za svakakve situacije, daj saberi to i stavi na blog il dpt
osim sto je , moze biti i korisno

[bluesman]

Citat:

Originalno napisao cvele

Sto se tice vlasnistva sajta... slozicemo se da sadrzaj cini sajt. Sadrzaj pripada autorima, dakle najvazniji deo sajta pripada autorima.

Ovo je strašno pogrešno shvatanje i nema veze ni sa logikom ni sa realnošću. I TV dnevnik čine vesti o nekim ljudima, znači TV stanica pripada tim ljudima o kojima se priča na vestima i koji time doprinose gledanosti tog TV dnevnika?

I filmove gledaju ljudi, da nema ljudi - filmovi bi propali, da li onda i ti filmovi pripadaju ljudima koji ih gledaju samo zato što ih gledaju? Jesi ti išao nekada da tražiš "svoj deo" zato što si gledao neki film? I jesi dobio?

Ne, web sajt je jedan proizvod, neko ga je napravio, uložio nešto i pozvao ljude da ga posete (da gledaju film). Ako je web sajt (film) dobar - više ljudi ga posećuje (gleda), ako ne valja - džaba ste krečili. Malo si pomešao definicije svojine.

[degojs]

Ili, ako novinar objavi tekst u novinama, onda on polaže neka prava na samu tu izdavačku kuću? (Ne računamo tu honorar za tekst ako je dogovoren, itd.)

Ili, glumac u filmu posle polaže neka prava na taj filmski studio (tj. ili producentsku kuću) koji je izdao film ili na bioskop koji je prikazao film?

Ili, ostaviš nešto u sefu u nekoj banci na čuvanje i sad šta - imaš pravo da isprobavaš sigurnost te banke? Svašta.. Pa ima odmah da te uhapse.

Cvele je izgleda okoreli krimos Ne možeš nikako da ga odvratiš

Citat:

Originalno napisao zark0vac

Ja to vidim kao dobro delo, mozda gresim..

Pazi, nije isključeno da u slučaju da te neko tuži, da bi bio oslobođen ako se pokaže da si radio stvari dobronamerno, pomogao im (tako što si ih obavestio) i slično - verovatno bi sud pokazao razumevanja, itd. Ali, ako ne nađeš exploit na nekom sajtu, kako ćeš onda da pokažeš da si radio dobronamerno? Teže malo..

[Ivan]

Samo malo da pojasnim:

Rupa, propust, sta vec, ... je jedno tj greska u aplikaciji koja utice na sigurnost. I otkrivanjem iste se ne desava nista "lose" u sistemu. Izuzetak su rupe otkrivene bruteforce metodom.

Exploit, exploatisanje, ... je iskoriscavanje pronadjenog propusta, svejedno u koje svrhe, i to jeste "lose". "Lose" je jer se koriste delovi aplikacije koji nisu predvidjeni za koriscenje.