InformacijosApsauga.lt

Apie “captcha” įveikimą jau rašiau anksčiau. Dabar internete pasirodė programėlė, naudojanti socialinės inžinerijos metodus “captcha” apsaugai įveikti. Kas yra socialinė inžinerija? Tai būdas priversti žmones daryti tai, ko tau reikia.  Šiuo atveju programoje reikia nurengti mergiotes. Kad nurengtum, reikia surinkti rodomą skaičių ir raidžių derinį.

Kaip pats matai, tas derinys - paprasčiausia “captcha”. Šiuo atveju, nurenginėjantys padeda kažkam registruoti yahoo el. pašto dėžutes. Kam jos bus naudojamos - neaišku. Gal spam'o siuntinėjimui, gal rašinėjimui forumuose ir pan. Kažkas yra suviliojamas nuogu kūnu ir įdarbinimas. Paprasta, bet veiksminga. :) Turbūt šiai programai galima pakišti bet kokius “captcha” paveikslėlius ir įdarbinti žmones bet kurio tinklalapio apsaugos apėjimui.

Rodyk draugams

Iš vieno šio BLOG'o skaitytojo gavau laišką, kuriame prašoma patarti kaip kovoti su virusais ir ypač keylogger'iais. Patarimai čia būtų nesudėtingi.


1. Naudokite atnaujintą antivirusinę sistemą

Dažniausiai antivirusinės sistemos gerai aptinka daugumą žinomų virusų ir keylogger'ių. Nepamirškite nuolat atnaujinti savo antivirusinės sistemos. Jei turite pakankamai galingą kompiuterį, tuomet galite aktyvuoti ir heuristinę analizę.

2. Naudokite specializuotą programinę įrangą

Internete galima rasti daug įvairios anti-keylogger programinės įrangos, kuri puikiai sugeba gaudyti šnipinėjančias programas. Tam skirtą priemonę Windows Defender turi ir Microsoft Windows sistemos. Tiesa, ji ne visuomet tai daro tinkamai. Dar viena iš tokių programų, gebančių pakankamai gerai gaudyti ne tik žinomus, bet ir savadarbius keylogger'ius ar kitą savadarbį žalingą kodą, yra ThreatFire (galima atsisiųsti ir nemokamą jos versiją).

3. Aptikite keylogger'į patys

Jei gan neblogai gaudotės kompiuteriuose, tuomet galite bandyti surasti keylogger'į patys. Pvz. naudodami nezinau.lt aprašytą programą Process Lasso. Identifikuojate Jums nežinomus procesus, apie juos ieškote informacijos internete ir jei randate “kažką tokio”, tuomet atjungiate ir bandote visai pašalinti iš kompiuterio. Taip pat gan dažnai lokalūs keylogger'iai turi tam tikrą klavišų kombinaciją, kurią paspaudus galima pažiūrėti ką surinko keylogger'is. Galite pabandyti atspėti tą klavišų kombinaciją spausdami ++Q arba +X ir t.t. Tiesa, pakankamai pažangūs keylogger'iai kompiuteryje moka tinkamai pasislėpti ir užsimaskuoti.

Daugiau informacijos apie keylogger'ius ir kaip su jais kovoti galite rasti securityfocus.com tinklalapyje. Jie pateikia pakankamai detalų straipsnį “Introduction to Spyware Keyloggers“. Jei nebijote ilgų straipsnių anglų kalba su techninėmis detalėmis, tuomet rekomenduoju jį perskaityti.

Kaip apsaugoti asmeninį kompiuterį, jau rašiau anksčiau įraše “Apsaugok savo kompą pats“. Ten rasite ir daugiau būdų kaip įvertinti ir bent jau minimaliai užtikrinti savo asmeninio kompiuterio apsaugą.

Žinoma, pats geriausias apsaugos būdas yra sugebėti neįsileisti žalingų programų į savo kompiuterį. :)

Sėkmės kovojant

Rodyk draugams

Taip taip, aš dar čia ir dar šiek tiek gyvas. Tiesiog turiu daug mokymų, daug mokinių ir dar daugiau darbo. O mokiniai visi skirtingi, vieni viską “pagauna” greitai, kiti kiek lėčiau. Tie greitesni po to laukia ir neturi ką veikti. Tad per savaitgalį padariau šiokį tokį mokymų tiuningą, kad greitesni visuomet turėtų kuo užsiimti. :) Dėl tų pačių mokymų daugiau nei pusę praeitos darbo savaitės prabuvau Klaipėdoje, o šią jau esu namie, tad jau šiek tiek ir laiko daugiau atsirado, galiu į BLOG'ą parašinėti. O prie jo prisijungęs radau pakankamai daug RSS skaitytojų (dėkui, nesitikėjau). Tai mane privertė pasižiūrėti kur yra nuorodos į mano BLOG'ą ir radau visai įdomių dalykų. Kai kurie atsiliepimai apie BLOG'ą nors ir paprasti, tačiau skatina jį pildyti toliau. Šį kartą noriu parašyti trumpą įrašą. Tikiuosi gausis. Ir temą tokią gan neįprastą užkabinti. SCADA tinklus. Kas per biesas ta SCADA? Tai trumpinys nuo Supervisory Control And Data Acquisition. Tokiu pavadinimu vadinami valdymo tinklai ir sistemos, skirtos valdyti įvairiems mechanizmams nuotoliniu būdu ir surinkti bei pateikti duomenis iš/į tuos mechanizmus. Pvz. Rytų skirstomieji tinklai ir Vakarų skirstomieji tinklai turėtų turėti savo SCADA tinklus įvairioms elektros pastotėms ir pan. valdyti. Atitinkamai savo SCADA tinklus gali turėti pvz. naftos, vandens valymo ar tiekimo bendrovės ir kitos įmonės, veiklą vykdančios tam tikroje industrijoje kur reikia valdyti visokius agregatus. Net nebežinau kaip tiksliau papasakoti ir apibūdinti. Nuo pat pradžių tie tinklai buvo kuriami kaip uždaros sistemos prie kurių negali niekas prieiti iš išorės. Bet, žinoma, tai nepavyko. Šiandien tokie tinklai kartais turi kanalą į internetą, o dėl to, kad jie buvo kuriami kaip uždaros sistemos, jų architektūrinės apsaugos priemonės nėra tinkamos. SCADA tinkle visiškai nesudėtinga modifikuoti tinklo paketą ir liepti kokiam nors generatoriui dirbti didesniu pajėgumu nei įprasta. Kas tuomet būna su generatorium? O kas būna žiūrėk čia:

O dabar įsivaizduok teroristą iš interneto patekusį į SCADA tinklą. Ar jau baisu? :) Čia rodomas generatorius buvo “sukūrentas” kaip vienos oficialios institucijos įrodymas, kai JAV elektrikai pasakė, kad hakeriai jiems nebaisūs. Žinoma, įrodymas buvo pateiktas su testiniu generatoriumi. Visą istoriją anglų kalba rasi čia: Mouse click could plunge city into darkness. Ilgesnis video su komentarais yra čia: cnnSTCVideo.

Jei ši problema egzistuoja JAV, tai negi Lietuvoje yra kitaip? Internetas sako, kad SCADA tinklų Lietuvoje ne tiek ir mažai:

http://www.fima.lt/index.php/puslapio_struktura/igyvendinti_projektai/14;solution;361

http://www.agava.lt/lt/portfolio/vandentvarka

http://www.santavilte.lt/lit/klientai/klientai.htm

http://www.eec.lt/index.php/pageid/74/articlepage/76/articleid/367

http://www.schneider-electric.lt/showpage.asp?PageID=1030

ir t.t.

Visai įdomu būtų “pačiupinėti” SCADA saugumą pvz. Mažeikių Naftoje arba Lietuvos Energijoje…

Rodyk draugams

Šį kartą labai trumpai. Jei ką, tai šis įrašas vadinasi “Leet google :)”. Turbūt esi girdėjęs apie interneto slengą ir “elitišką kalbą”. Jei ne, tai gali apie tai pasiskaityti. Pasirodo taip galima priversti kalbėti ir google’ą. Tiesiog spausk šią nuorodą ir naudok elitinį google: http://www.google.lt/webhp?hl=xx-hacker.

93r0$ d13|\|0$

;)

Rodyk draugams

Šiandien papildžiau “WEB HACKING: įveikti internetą” mokymų medžiagą pavyzdžiais iš blogas.lt. Pirmasis jų - anksčiau aprašytas paliktas trūkumas. Antrasis - sistemos programerio tinkama reakcija. Vienas blogas pavyzdys, kitas - geras. O vėliau perskaičiau delfyje straipsnį “Lietuvos įmonėms nerūpi informacijos saugumas“. Ir sugalvojau šį kartą pabūti nepopuliarus, nuobodus ir parašyti apie informacijos apsaugą kiek iš sudėtingesnės pusės. Taip pasielgti nusprendžiau dėl pakankamai primityvaus informacijos apsaugos suvokimo Lietuvoje. Saugi informacija, tai ne tik nepavogta informacija, bet taip pat nepakitusi ir laiku prieinama informacija. Organizacijų informacijos apsauga skirstoma į tam tikrus brandos lygius. Jų yra kiek daugiau nei čia surašysiu, tačiau pagrindines grupes galima išskirti tokias:

Lygis 0. Informacijos apsaugos nėra.

Lygis 1. Informacijos apsauga – tai “techninė problema”.

Lygis 2. Informacijos apsauga – organizacinių ir techninių priemonių kompleksas.

Lygis 3. Informacijos apsauga – organizacijos kultūros dalis.

Lietuvoje dažniausiai sutinkamas 0 ir 1 lygis. Dėl nulinio lygio nieko pasakoti nereikia, patys suprantat. Tokiais atvejais viskas visiems vienodai. Krizių atveju įmonės patiria didelius nuostolius ir jei yra labiau priklausomos nuo IT sistemų - sėkmingai bankrutuoja. :)

Pirmas lygis pasireiškia, kai informacijos apsauga atiduodama rūpintis tik IT personalui ir į tai dėmesio visiškai nekreipia vadovai. Tada viskas priklauso tik nuo konkretaus IT žmogaus žinių ir noro. Dažnai viskas apsiriboja antivirusinėm sistemom, ugniasienėm ir panašiais žaisliukais. Šie dalykai nebūna pigūs ir reikalauja nuolatinės IT personalo priežiūros (t.y. nemažai kainuoja kiekvieną mėnesį). Tai vienas labiausiai paplitusių informacijos apsaugos suvokimų Lietuvoje. Krizių atveju įmonę iš vėžių gali išmušti bet kokia ne techninė smulkmena, o viskas taip pat priklauso tik nuo IT žmogaus. Teoriškai, jei jis darbingas, gerai gaudosi situacijoje, problemas gali pašalinti vienas ir be kitų pagalbos, tuomet organizacija į įprastos veiklos vėžias gali sugrįžti gan greitai. Čia dažnai dirbama gaisrų gesinimo principu ir lenvai susitvarkoma tik su nedidelėm problemom. Praktikoje ne viskas taip gražu, nes žmonės serga, daro žmogiškas klaidas, keičia darbą (naujas IT'išnikas dar nežino kas ir kaip), technika genda ir t.t. Kaip viena dažniau sutinkamų problemų čia galėtų būti ta, kad iš backup'ų nepavyksta atstatyti duomenų. O pagal statistiką to padaryti neišeina 60% atvejų (išbandyta savo kailiu). Tuomet atrodo, kad nieko nebegalima buvo padaryti, IT'išnikas stengėsi išvengti būsimos duomenų praradimo problemos, bet va tas brokuotas dvd diskas viską pakiaulino. Ir kas galėjo žinoti? O tai žino ir tam ruošiasi sekančiame lygyje esančios organizacijos.

Antrame lygyje atsiranda jau tokie dalykai kaip pvz. bendra visos organizacijos saugumo politika. Tai yra tam tikri principai, tarsi konstitucija valstybėje, kurios pagrindu kuriamos visos kitos taisyklės. Vertinant efektyvumo ir kainos santykį, organizacinės priemonės yra pigesnės ir žymiai efektyvesnės nei techninės priemonės, tačiau turi egzistuoti ir vienos, ir kitos. Tinkamai sutvarkius organizacinius informacijos apsaugos procesus, dalies techninių sprendimų galima atsisakyti. Šiame informacijos apsaugos lygyje jau dalyvauja ir aukščiausio lygmens įmonės vadovai. Jie supranta, kad informacijos apsauga = nuolat be trikdžių veikiančios IT sistemos = stabili įmonės veikla. Vadovai pasirūpina tam tikromis procedūromis ir atsarginu planu, kad dėl bet kokių priežasčių sustojus ar tinkamai neveikiant IT sistemoms, organizacija galėtų tęsti savo darbą (nebūtinai tokiu pačiu tempu) naudodama kitas priemones. Čia su krizėmis susidorojama be didelio streso, greitai atstatoma įmonės veikla ir patiriami minimalūs nuostoliais. Tokie paprasti dalykai, kaip nauji ir dar mažai ką žinantys darbuotojai beveik neturi įtakos, nes jie net ir tinkamai nežinodami sistemos ir veiklos prinicipų jau gali spręsti kilusias problemas. Šiuo metu antrą lygį yra pasiekusios tik nedidelė dalis Lietuvos įmonių.

Trečiasis - aukščiausias informacijos apsaugos lygis. Čia informacijos apsauga yra organizacijos kultūros dalis. Tai tiesiog yra visiems suprantamas dalykas, darbuotojai puikiai moka atpažinti incidentus ir apie juos pranešti atsakingiems asmenims, vadovybė tiems incidentams skiria pakankamą dėmesį ir imasi priemonių, kad jie ne tik nepasikartotų, bet ir neįvyktų kiti. Šio lygmens organizacijose nebūna krizių arba jos būna labai minimalios ir greitai pašalinamos. Beveik arba visiškai nesibaiminama kompiuterinių įsilaužėlių, nes jie gali padaryti tik minimalią žalą. Šiuo metu Lietuvoje nėra nei vienos įmonės, pasiekusios tokį apsaugos lygį. Tą puikiai parodo situacija bankuose. O jei to neturi bankai, tai ką kalbėti apie kitas? Taigi, dar vienas, tik kiek senesnis VŽ straipsnis “Slapti Hansabanko klientų duomenys - šiukšlių maišuose” arba delfio straipsnis “Šiukšlių maišuose prie Hansabanko – klientų pasų kopijos (foto)“. Šis atvejis parodo, kad banke nebuvo ir vis dar nėra (nes ji nepasiekiama baudomis, gasdinimais ir šiaip per porą mėnesių) informacijos apsaugos kultūros. Taip pat aprašoma banko atstovės reakcija. Tai, ką ir kaip ji kalba, tik dar kartą patvirtina, kad ta kultūra ugdoma nebus, o tokie ar panašūs atvejai po kurio laiko vėl pasikartos. Kaip viskas turėtų vykti, jei banke būtų buvusi informacijos apsaugos kultūra? Pvz. valytoja, pamačiusi, kad šiukšliadėžėje yra nesunaikinti klientų duomenys, turėtų tuos duomenis išimti, juos sunaikinti ir tik tuomet išmesti. Taip pat informuoti už tai atsakingą asmenį apie tame skyriuje įvykusį incidentą (netinkamą kai kurių procesų veikimą). Atsakingas asmuo turėtų imtis priemonių priežastims šalinti, pvz. papildomų mokymų to skyriaus darbuotojams surengimo. Dabar bankas gavo kokių 500 Lt baudą iš ADA (baisi bauda bankui, ane?), tačiau patyrė žymiai didesnių netiesioginių nuostolių, t.y. sugadinta reputacija, kilęs nepasitikėjimas banku ir dėl šio incidento prarasti klientai (tokių tikrai buvo). O to juk buvo galima taip paprastai išvengti ir šią istoriją pabaigti laimingai. :)

Rodyk draugams

Visą savaitę nerašiau į BLOG’ą, tad šiandien reikia pasivyti. Ar žinai kas yra “captcha” apsauga? “Captcha” apsaugos mechanzimas taikomas internete atskirti ar puslapį naršantysis yra gyvas asmuo ar kompiuterinis robotas. Tokią apsaugą labai paprasta atpažinti vizualiai iš visokių tokių paveiksliukų:

Blogas.lt sistema taip pat turi tokią apsaugą savo komentarams:

Taigi, jei esi žmogus, tai savo komentarą be problemų patvirtinsi įvesdamas matomą kodą. Jei tai bus robotas, tuomet jam bus sunkoka atpažinti matomą užrašą paveikslėlyje ir į komentarus nepavyks įdėti tokio įrašo kaip pvz. “Cheep Viagra…“, “Nice girls on…” ar “Replica watches…” ir pan. Žodžiu, apsaugos paskirtis priklauso nuo puslapio, bet iš jos tikimasi vieno: atpažinti tikrą žmogų. “Captcha” vaizdavimo mechanizmų yra įvairių ir kai kuriems yra iš tiesų sudėtinga realizuoti užrašo paveikslėlyje atpažinimo algoritmą. Bet kaip visuomet turi būti paprastesnis būdas ir jis žinoma yra. Čia sprendimą man pasufleravo mano kolega. Užrašams iš paveikslėlių atpažinti reikia įdarbinti kitus žmones. Kaip tai padaryti? O gi paprastai. Tam reikia pakankamai aktyviai lankomo tinklalapio, kuriame karts nuo karto jame naršantiems būtų parodomas reikiamas atpažinti paveikslėlis iš svetimos sistemos. Naršantysis turėtų suvesti reikšmę iš paveikslėlio norėdamas tęsti naršymą. Žinoma, suvesta reikšmė būtų panaudojama svetimoje sistemoje. Vieni labiausiai internete lankomų tinklalapių yra erotiniai ir pornografiniai. Taigi, tam puikiai tiktų tokio pobūdžio nemokamas tinklalapis. Užtektų šiek tiek reklamos įvairiuose forumuose ir lankytojų srautas garantuotas, o už nemokamą turinį juos belieka įdarbinti “captcha” įveikimui. Štai ir paprastas, universalus bei nesudėtingai realizuojamas apsaugos apėjimas.

Rodyk draugams

Vakar buvau operoje “Bohema” kongresų rūmuose. Viskas būtų kaip ir gerai, jei ta opera nebūtų itališkai arba bent jau turėtų lietuviškus subtitrus apačioje. Kai aš itališkai žinau vos kelis žodžius (pizza, grazie, cagna) ir tuos daugiau iš filmų, tai kas ir ką dainuoja susigaudžiau nedaug. Nelabai perpatau aktorių vaidinamų personažų jausmus ir išgyvenimus, bet kaip visuomet, kažkas buvo apie nelaimingą meilę. Šiaip visai patiko vaidyba ir kelios masinės scenos, bet tai ir yra viskas ką gero galiu pasakyti apie “Bohemą”. Nesu operinio dainavimo mėgėjas ir nesimėgauju juo taip kaip pvz. Chemical Brothers, todėl vien tai, kad ten yra opera ir nesvarbu kokia kalba, manęs labai nesužavėjo. Na jo, vat toje spektaklio vietoje iš to veikėjo išsityčiojo. Bet tai žinojau tik iš trumpo spektaklio aprašymo. Tai buvo pirmas ir paskutinis kartas, kai ėjau į spektaklį kalba, kurios nemoku. Tiesa, tokių nesuprantančių kalbos buvo kokie 99% žiūrovų salėje, tik nežinau kiek iš jų spektaklyje rado tiek, kiek tikėjosi. Aš nesijaučiu stipriai praplėtęs akiratį, tad po poros savaičių turbūt jau pamiršiu apie ką buvo visas veiksmas. Na bet užteks apie kultūrines pramogas už didelę kainą ir laikas papasakoti ką žadėjau, t.y. kaip pavogti BLOG'ą iš blogas.lt. Pradėsiu nuo šiokios tokios trumpos istorijos ir teorijos. Pats web'as atsirado kaip terpė, skirta dalintis informacija (moksliukai juo naudojosi pasidalinti fizikos dokumentais) ir jo veikimo principas buvo labai paprastas. Daug paprastesnis nei yra dabar. Vėliau, pvz. dėl ribotų HTML galimybių ir statiškumo, papildomai buvo sukurta įvairių kitų technologijų, pvz. skriptai. Taip pat dėl to paprastumo HTTP protokolas neturi realizuoto vartotojo sesijos išlaikymo, t.y. kiekviena užklausa serveriui tolygi naujam vartotojui. Dėl pastarosios priežasties atsirado visokie patobulinimai lankytojų įsiminimui. Vienas iš tokių patobulinimų yra cookies. Cookies vartotojo kompiuteryje saugo įvairius parametrus ir jų reikšmes, kurias perduoda web serveris vartotojui. Tuo tarpu naršyklė, kiekvieno kreipinio į web serverį metu, tuos parametrus su reikšmėmis gražina atgal serveriui. Pagal tas gautas reikšmes serveris ir atpažįsta sugrįžusį vartotoją. Tai tik vienas iš būdų atpažinti sugrįžusį vartotoją ir blogas.lt naudoja būtent jį. T.y. po to, kai į blogas.lt suvedi savo prisijungimo vardą ir slaptažodį, iš serverio į kompiuterį atkeliauja trys pagrndiniai cookies parametrai: username=zzzzzz; password=xxxxxx; u_id=yyyyyy. Parametras username atitinka prisijungusio vartotojo vardą, password yra šifruotas prisijungusio vartotojo slaptažodis (panašu, kad algoritmas nėra sudėtingas), o u_id yra kažkoks unikalus to vartotojo identifikatorius. Štai pagal šiuos tris parametrus blogas.lt ir identifikuoja prisijungusį vartotoją ir atitinkamai suteikia jam prieigos teises prie jo BLOG'o. Taigi, belieka serveriui užklausos metu pakišti svetimus šiuo tris parametrus ir blogas.lt tave priims kaip visiškai kitą vartotoją ir nepaprašys įvesti jokių prisijungimo duomenų. Bet kurio vartotojo parametrus username ir u_id galima paprastai sužinoti, tačiau dar lieka parametras password, kurio reikšmę žino tik tikrasis vartotojas ir galbūt blogas.lt. Čia esmė tame, kad įsilaužėliui visiškai nebūtina žinoti tikrosios password reikšmės ir pakanka gauti šifruotą jo reikšmę, kuri turi būti perduota į blogas.lt serverį kartu su užklausa. O šią reikšmę galima paprastai iš vartotojo pavogti ir tą galimybę suteikia… pati blogas.lt sistema. Tam tereikia joje susikurti savo BLOG'ą ir priversti į jį užeiti prisijungusį vartotoją. Kaip ir minėjau, ką tiksliai savo BLOG'e reikia patiuninguoti nerašysiu, bet papasakosiu patį principą ir kodėl yra didelė tikimybė, kad į tą BLOG'ą užeis prisijungęs kitas blogas.lt blogeris. Kaip ir turi būti, viskas čia yra paprasta. :) Šiuo atveju blogas.lt turi visas cookies vagystei tinkamas savybes. Pirmoji, ypač nervinanti ilgesnius įrašus rašančius vartotojus, yra ta, kad jei prisijungimo metu neuždedi štai šios varnelės, tai blogas.lt po tam tikro laiko tavęs nebepriims atgal į sistemą kaip autentifikuoto vartotojo, nors tu po ją ir naršai aktyviai.

Čia yra netinkamai realizuotas sesijos išlaikymas. Įsivaizduok vartotoją, kuris rašo ilgą įrašą ir kai paspaudžia “išsaugoti”, jį tiesiog permeta į titulinį blogas.lt puslapį ir paprašo iš naujo autentifikuotis. Įrašas, žinoma, neišsaugomas. Vartotojas susinervina. Kaip tokiu atveju nervinasi Gravel lyderis Sinickis, galite paskaityti čia. Jam įrašas neišsisaugojo pagal aprašytą situaciją. Šis blogas.lt trūkumas verčia vartotojus uždėti varnelę ir visuomet būti prisijungus savo vardu prie blogas.lt. O tai reiškia, kad nesvarbu ką tu darytum blogas.lt sistemoje ar kažką tvarkytum savo BLOG'e, ar tiesiog skaitytum svetimus BLOG'us, tačiau kiekvienos bet kokios užklausos į blogas.lt metu, visuomet bus perduodami tavo trys esminiai cookies parametrai, pagal kuriuos esi identifikuojamas!!!

Antroji, cookies vagystei tinkama savybė yra ta, kad blogas.lt sistemoje BLOG'o savininkas gali redaguoti savo BLOG'o HTML kodą be jokių apribojimų. O tai leidžia patalpinti tą kodą, kuris ir įvykdo į BLOG'ą užsukusio lankytojo cookies vagystę. Tai ir yra dvi esminės blogas.lt savybės, stipriai palengvinančios darbą įsilaužėliui. Naršyti prisijungusius vartotojus verčia pati blogas.lt sistema, o įsilaužėliui tereikia tik tinkamai pakeisti savo BLOG'o kodą ir belieka sugalvoti metodą, kaip į jį įvilioti prisijungusį vartotoją. Taigi, jei po svetimus bolgas.lt BLOG'us naršai prisijungęs savo vardu, tai kiekvieną kartą, kai tu užeini į svetimą BLOG'ą, iš tavęs galima pavogti tris reikiamus cookies parametrus ir prisijungti prie tavo BLOG'o. Tiesa, šis BLOG'as yra “švarus”, tad nebijok į jį sugrįžti. Gero naršymo pas kitus. :)

Rodyk draugams

Svaigstu nuo deezer.com… Jau visą valandą ruošiuosi pradėti rašyti šį įrašą ir niekaip neatsitraukiu nuo naujos muzikos garsų. Nesu tas, kuris nuolat seka muzikines naujienas, todėl Deezer SmartPlaylist'as surado krūvą man tinkančios muzikos, kurią noriu išgirsti visą. Ir žinoma dabar. Visą iš karto. Dėl to ir negaliu atsitraukti. :) Na bet ne apie tai šį kartą. Juk reikia parašyti apie informacijos apsaugą ir apie tai, ko kartais niekuomet nereikėtų daryti, kad ir kaip norėtūsi.

Prieš kurį laiką buvo nulaužtas šis blogas. Taip taip, perskaitei teisingai. Tiesa, tą nulaužimą provokavau. Žinojau, kaip išvengti kai kurių blogas.lt bėdų, bet to padaryti nesistengiau ir netgi lankiausi atitinkamuose bloguose (kam reikia, tas supras) tyčia sudėjęs visas varneles. :) Bet reikėtų pradėti nuo pradžių. Pats šis blog'as prasidėjo kaip eksperimentas. Pradėjau jį paskatintas kitų žmonių, pasirinkau pirmą pasitaikiusią sistemą internete (anksčiau blog'ų nei skaičiau, nei rašiau ir buvau šios srities atsilikėlis) ir pradėjau rašinėti. Vos pradėjus nagrinėti blogas.lt galimybes, iš karto pamačiau jo “nerealų funkcionalumą”. Žinoma, tas “nerealus funkcionalumas” man yra kažkokios saugumo problemos (apie tai sekančiam įraše). Kadangi mano blog'as buvo tik eksperimentas, tai labai nekreipiau į problemas dėmesio. Taip pat gan greitai pastebėjau, kad jo turinį skaityti pradėjo tokie veikėjai kaip Critical Security, kurie pastaruoju metu bando tapti labai rimta kompanija. Jie mane šiek tiek laiko kažkokia nerealia grėsme ir taip jau pasitaiko, kad stebi ką aš veikiu. Taigi, ryžausi dar vienam eksperimentui, kurio aš nesiruošiau viešinti, bet kadangi komentatoriai to labai trokšta (spėju, kad kai kurie jų yra tie patys Critical), tai tebūnie. Nusprendžiau patikrinti, ar Critical Security išties tapo tokiais rimtais kokiais dedasi. Ir pasirodo, kad nė velnio, nes jie paprasčiausiai nesusilaikė. O susilaikymas yra dorybė. Ypač kai dirbi saugumo srityje. Jei saugai, tai negali laužti, kad ir kaip tai būtų lengva ir tuo labiau negali apie tai garsiai skelbtis. Kodėl? Priežastis paprasta - pasitikėjimas. Ar samdytumėte Falck Security ar Ekskomisarus savo būsto apsaugai, jei jie laisvu nuo darbo metu įsilaužinėtų į butus? Ne. Dėl to jie ir neįsilaužinėja, nors tai ir gali padaryti.

Viskas atrodė maždaug taip (ačiū Raimundui už vaizdą):

Ar tai normalus poelgis iš IT security kompanijos? Kaip atsakymą į klausimą galiu tik kiek foto užrašą pataisyti: Business is serious. :)

O sekančiame įraše aprašysiu dalį būdo, kaip blogas.lt sistemoje perimti svetimo blogo valdymą. Kodėl tik dalį? Dėl to, kad neprasidėtų masinės kitų blog'ų vagystės. Pagrindinius principus išdėstysiu čia, o smulkmenas nusiųsiu tik blogas.lt komandai.

Rodyk draugams