Korporativna sigurnost/security researcheri

[zextra]

@degojs: bas neces da razmislis o tome sto covek pokusava da kaze, moras da budes uvek u pravu...

Evo ti malo opipljiviji primer.

Web portal. Powered by phpNuke. Default instalacija. Nepromenjena default admin/admin (ili neka slicna, ali dobro poznata) superuser login kombinacija. Admin login forma (po defaultu) javno dostupna svima preko linka u meniju. Nakon sto se uveris da pomenuta kombinacija funkcionise (dakle, NE sedis dva sata pokusavajuci da provalis neciji password), posaljes e-mail adminu sajta sa obavestenjem da bi to neko drugi mogao da uradi i da unisti portal, pa da ne bi bilo zgoreg da nesto preduzme, radi sopstvene sigurnosti i sigurnosti svojih korisnika.

I ko je tu kriv?

Necija logika bi bila, nemas sta da trazis na admin loginu. Zasto? Linkovan je sa glavne strane.

Druga logika bi bila, zasto bi uopste pokusao da se ulogujes kroz admin login sajta koji ne posedujes? Mislim da bar 3 coveka sa ovog foruma mogu da posvedoce o tome sta su sve u stanju da urade pojedini korisnici iz neznanja (pa recimo i da se loguju sa svojim e-mail user/pass na forum na koji nikad nisu otisli...)

Dakle?

[jablan]

Neznanje nije opravdanje ni za jedno krivično delo. Ti si došao na tuđ sajt i neovlašćen upao u administrativni interfejs. Tačka.

Ako upadneš u tuđu kuću neće ti mnogo pomoći činjenica da je taj neko zaboravio da je zaključa.

[zextra]

Ok.

Za li neko da li postoji neki zakon koji regulise obavezu postavljanja obavestenja na vidnom mestu o tome da je, recimo, neovlascen ulazak u admin panel kaznjiv zakonom?

[cvele]

Citat:

Originalno napisao jablan

Neznanje nije opravdanje ni za jedno krivično delo. Ti si došao na tuđ sajt i neovlašćen upao u administrativni interfejs. Tačka.

Ako upadneš u tuđu kuću neće ti mnogo pomoći činjenica da je taj neko zaboravio da je zaključa.

Da li je tvoja kuca javni servis?
Da li upadom u tvoju kucu ugrozavam privatnost nekoga drugog osim tebe?

Sto se tice onog komentara "udji u banku pa radi security research"... postoje kompanije koje su usko specijalizovane za takve stvari. Cak se u 3-4 navrata desavalo da neke od kompanija obiju banku i udju u sef (usput se snimajuci) i pozovu direktora da im se pridruzi. Za dva sucaja znam jedan je neki casino u Vegasu, a drugi je banka u Klivlendu.
Ti ljudi ne da nisu odgovarali, vec im se direktor javno zahvalio i dao goleme pare da naprave novi security plan.

Dalje, web prostor i fizicki prostor su dve potpuno razlicite stvari. Razlike u sigurnosnim izazovima i njihovim posledicama su ogromne i nemaju dodirnih tacaka.

[degojs]

Citat:

Originalno napisao cvele

Da li je tvoja kuca javni servis? Da li upadom u tvoju kucu ugrozavam privatnost nekoga drugog osim tebe?

So? Ako je nešto na internetu ne znači da nije nečije vlasništvo...

Citat:

Sto se tice onog komentara "udji u banku pa radi security research"... postoje kompanije koje su usko specijalizovane za takve stvari. Cak se u 3-4 navrata desavalo da neke od kompanija obiju banku i udju u sef (usput se snimajuci) i pozovu direktora da im se pridruzi. Za dva sucaja znam jedan je neki casino u Vegasu, a drugi je banka u Klivlendu.
Ti ljudi ne da nisu odgovarali, vec im se direktor javno zahvalio i dao goleme pare da naprave novi security plan.

Isto tako, mogao je da naiđe neko iz obezbeđenja dok su ulazili u sef, potegne pucu i izrešeta ih.

Naravno da nećeš da tužiš ljude ako su oni to već uradili i ponudili ti rešenje za problem. Ali ti uzimaš 2 primera koja su uspela i gde ljudi nisu imali loše namere (da su i otišli na sud, možda ne bi bili ni osuđeni).

Mislim, šta, ti ako vidiš nekog da ti obija sef, trebaš da ga pitaš: "Izvinite, da li vi to stvarno obijate sef ili samo testirate sigurnost?"

Nemaš ti pravo da radiš takve stvari, generalno. Ni web sajt, ni banka, ni muzej, itd.. nije to tvoje vlasništvo. Vežbaj sigurnost na svom sajtu, otkud uopšte ideja da koristiš tuđu imovinu za vežbanje i slično?

Citat:

Dalje, web prostor i fizicki prostor su dve potpuno razlicite stvari. Razlike u sigurnosnim izazovima i njihovim posledicama su ogromne i nemaju dodirnih tacaka.

Nema velike razlike. Osnovna stvar je da i jedno i drugo imaju vlasnika. Ako imaju vlasnika, a to nisi ti, e onda baš i ne bi bilo poželjno da izvodiš koješta, jer jednostavno nije tvoje.

[degojs]

Citat:

Originalno napisao zextra

Necija logika bi bila, nemas sta da trazis na admin loginu. Zasto? Linkovan je sa glavne strane.

Pa ne verujem da će neko da te tuži za to. Nije to isto kao i probavati username/password kombinacije, probavati SQL injection i slično. A i da te tuže, čisto sumnjam da će neki sud da te nađe krivim samo što si kliknuo na link.

A sve skupa, ako zakonima i nije precizno definisano, budi siguran da će u budućnosti biti. Na šta bi to ličilo kad bi svi smeli da koriste tuđu imovinu da vežbaju: npr. student stomatologije ide ulicom pa ščepa nekog i krene da mu popravlja zub (bez odobrenja)

[cvele]

Citat:

Originalno napisao degojs

Nema velike razlike. Osnovna stvar je da i jedno i drugo imaju vlasnika. Ako imaju vlasnika, a to nisi ti, e onda baš i ne bi bilo poželjno da izvodiš koješta, jer jednostavno nije tvoje.

Da ima.

Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd
Tada sajt jednostavno vise ne pripada samo tebi!

Od celog tog sajta tebi pripada kod i dizajn baze, kompletan sadrzaj nije tvoj i pripada tvojim posetiocima. Svaki posetilac ima pravo da se uveri u to koliko su njegovi podaci bezbedni. Obicno se iz aviona vidi da li je neki sajt "busan" ili nije, a vecina "exploita" se postavljaju kao proof da je sajt busan ko sir, samim tim sluze kao upozorenje konzumentima, a ne tebi.

Ajmo jos jedan primer, odakle tebi kao potrosacu pravo da proveravas da li je Carnex pasteta otrovna ili nije?

Ako neznas sam da proveravas odakle pravo Ziki Petrovicu iz ulaza 21 pravo da ti kaze da je proveravao i da je otrovna?

PS.
pasteta je sa webom povezana koliko i kisna glista sa kvarom svemirske stanice mir, u istom su odnosu sef u banci i neciji online community ili korporativni sajt.

[ivanhoe]

Citat:

Originalno napisao cvele

Da li je tvoja kuca javni servis?
Da li upadom u tvoju kucu ugrozavam privatnost nekoga drugog osim tebe?

kafana je javni servis, ali ako te neko zatekne kako brljas oko kase, tesko da ces uspeti da im objasnis da si samo hteo da prebrojis pare da vidis da konobari ne kradu...


Elem da se vratimo na prizemnije stvari, meni se recimo cesto desava da u ssh otkucam pogresno domen (ispustim neko slovo i sl.), i zakacim se na pogresan server i onda pokusavam da se ulogujem kao root... i naravno da nema smisla da me neko hapsi zbog toga... ali sa druge strane stalno u logovima nailazim na likove koji pokusavaju da mi bruteforsuju roota preko ssh, i to definitivno "nije lepo" od njih...

znaci prilicno je jasna podela da li je neko nesto slucajno uradio ili je npr pokrenuo brute force skriptui... sto se mene tice, cak iako to radi dobronamerno, on meni trosi resurse i puni mi log glupostima, i posto mu ja to nisam trazio, on to nema prava da radi.. i tacka... a narocito nema prava da to radi iz razloga iz kojih vecina security likova to radi, a to je sopstvena promocija i zarada...

Ako je neko jako zabrinut za sigurnost mojih podataka i/ili klijenta sto mi lepo ne posalje mail i kaze ja bih voleo da u periodu od tad do tad, sa te i te IP adrese, besplatno, u promotivne svrhe, isprobam sigurnost vaseg sistema, i da vas onda obavestim o rezultatima... i ja (a i vecina drugih webmastera) bi pristali, sto da ne...

To bi onda bio profesionali postupak, ovako je cisti hakeraj i sociopatija...

EDIT: Usput, mnogi sistemi i software se u licencama stite da npr. nemas pravo da radis javni benchmark njihovih sistema, bez njihovog odobrenja... i to je naprosto tako, ako ti se ne svidja, nemoj da ga koristis... ja za sad nemam ni jedan community sajt, ali mozes da se kladis da cu kad ga budem pravio da ukljucim odgovarajucu klauzulu u ugovor, cisto zbog ovakvih prica...

[degojs]

Citat:

Originalno napisao cvele

Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd
Tada sajt jednostavno vise ne pripada samo tebi!

Ha? Kakva prava ti (ili ja) polažemo na DPT? Polažemo možda prava na svoje poruke, ali na sam DPT nikakva. Ako Goran odluči da sutra promeni sajt ili ga zatvori, kao mi bi mogli da to sprečimo?

Što se MySpace i sličnih tiče, zaista nemam pojma, ali pretpostavljam da kada otvaraš nalog negde klikćeš na "I AGREE" i pristaješ na neke uslove korišćenja?



Ti jednostavno, nećeš da prihvatiš (ili vidiš) činjenicu da nemaš pravo da "drndaš" tuđu imovinu bez odobrenja. Nemaš pravo da koristiš tuđe resurse da bi se ti vežbao u bilo čemu, ako ti to taj vlasnik ne odobri. Ne znam kako tako jednostavna stvar može biti nejasna? Druga je stvar da li će da te tuži i slično, da li bi uvek tužbu dobio, itd.

Pogledaš ispred kuće, a ono klinac uzeo da ti prčka po automobilu - vežba čovek za automehaničara??? Kako da ne..

[jablan]

Citat:

Originalno napisao cvele

Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd
Tada sajt jednostavno vise ne pripada samo tebi!

Po toj logici imaš pravo da bušiš ebanking sistem svoje banke (kako bi se uverio da su svi korisnici sigurni, jelte), da kao putnik pre nego što uđeš u avion malo zaviriš i pročeprkaš ispod haube da vidiš da se nisu zamastile svećice (jer čim u avion uđu putnici, on više nije svojina aviokompanije, nego putnika, jel tako) itd itd.

Momci, kriminal je kriminal i neovlašćeni upad bilo u tuđ infosistem (u šta spada i sajt) bilo u tuđ stan je kažnjiva stvar.

BTW, "ne znaš" se piše odvojeno.