Posted by Marko M.
Sun, 26 Oct 2008 13:14:00 GMT
Nisam verovao da će doći dan kada ću reći nešto lepo o nekoj banci u Srbiji. Ove naše su kao najgora pošast jer ako malo bolje pogledate grad u poslednjih par godina videćete da je više ekspozitura banaka nego kioska sa pljeskavicama. Izgleda da je bankarstvo izuzetno unosan posao. Hmm.. no dobro, jednom sam rekao da na blogu neću izlagati svoje državno-društveno-političke stavove te neću sada prekršiti datu reč. Ovaj blog je posvećen Slobodnom softveru, bezbednosti i geek stvarima.
Često me ljudi pritaju šta mislim o el.bankarstvu u Srbiji. Mislim da je užasno nebezbedno i da do sada nije bilo većih problema jer ili ovde nikog ne zanima da krade preko Mreže (hahah, eto šale) ili banke uspešno kriju da tu i tamo ipak imaju probleme. Tipujem na ovo drugo. Gotovo ni jedna banka u nas ne poštuje opšta pravila bezbednog el. poslovanja a svaku moju želju da išta radim preko Interneta ubijaju činjenicom da je za takvu aktivnost potreban Internet Explorer.
Pre 3-4 dana me zovu iz "moje" banke da me pitaju da li sam zainteresovan za korišćenje nove e-banking usluge. Société Générale sam izabrao iz razloga koji nemaju ama baš nikakve veze sa kvalitetom poslovanja. Već sam otprilike rekao šta mislim o bankama u Srbiji. Ovi su mi bili simpatični jer su francuska banka, šta ću Francuzi su mi draži od ostalih i drugo, koriste crno i crveno kao svoje boje - pao sam na taj estetski momenat - dopada mi se izgled čitave banke. LOL Elem, sada će neko reći da sam potpuno lud i neozbiljan ako su mi ovo bili kriterijumi za izbor lokacije za čuvanje para. To je… moguće. Sa druge strane, kako je u ovoj državi sve apsurdno pa i to bankarstvo zašto bih se uopšte opterećivao izborom banke kada su sve do jedne pijavice? Neću uzimati kredite, ne zanima me 99% usluga koje bilo koja banka nudi a opet ne želim da novac držim u slamarici. Kada znate te činjenice onda vam moj sistem odabira banke i neće biti tako besmislen, zar ne?
Elem, da se vratimo na poentu priče i naslov ovog teksta. Dva dana pošto su me pozvali odem do banke da potpišem ugovor ili ga ne potpišem. Sve je zavisilo od toga šta će mi reći kada ih pitam koji su tehnički uslovi za taj e-banking. Došao sam do svoje ekspoziture i pre nego sam potpisao postavih ovo pitanje. Ljubazno osoblje (SoG ima izuzezno cool osoblje što se ne može reći za većinu banaka. Ljubazni su oni svuda ali su ovde u većini slučajeva i strašno cool ljudi, a posebno ekipa iz moje ekspoziture) mi je reklo da oni baš i ne vladaju tim tehničkim momentima ali da imaju prospekt koji će mi pomoći. Dobijam lepo dizajniranu knjižicu i već na prvoj strani mi se ozari lice. Strana kaže sledeće:
Da bi koristili SOGE home-bank, potrebno je da ispunite minimalne tehničke uslove:
- Internet konekcija : 28.8Kbps
- Računar sa Windows, Linux ili Mac OS operativnim sistemom i Internet pretraživač koji podržava 128-bitnu SSL enkripciju, npr:
- Windows : Internet Explorer 6.0, FireFox 2.0, Opera 9.0
- Linux : FireFox 2.0, Opera 9.0
- Mac OS : Safari 1.0, Internet Explorer 6.0, FireFox 2.0
Da, da… SoG je GNU/Linux friendly i misli na ljude koji ne koriste Windows. A što je najlepše, čak i ako se neko zezne pa koristi Win i tamo može raditi koristeći Firefox. Baš lepo od njih. Kada sam pogledao dalja uputstva sa slikama video sam da su svi primeri rađeni upotrebom Firefox-a tako da ne samo da podržavaju upotrebu tog pretraživača već je ceo prospekt pun slika kako sistem izgleda u istom.
A da li ću zaista koristiti pogodnosti ovog sistema? To ćemo tek videti. Čekam da mi stignu svi pristupni podaci pa ću onda pronjuškati da vidim koliko je zaista bezbedno koristiti ovaj sistem. Ipak ovaj pomak je zaista divna stvar i iskreno se nadam da će i ostale banke krenuti stopama SoG-a… a ne kao neke kod kojih je e-banking = Internet Explorer.
Posted in security, serbia, thoughts | Tags bankarstvo, banking, e, srbija | 6 comments
Posted by Marko M.
Thu, 11 Sep 2008 10:54:00 GMT
[tekst koji sledi je pun cinizma, sarkazma, eksplicitnog jezika i humora]
Pre čitanja ostatka teksta videti: http://www.b92.net/info/vesti/index.php?yyyy=2008&mm=09&dd=11&nav_id=318102
Dobro bre ljudi, koj’ vam je k*rac, bre! Ne stigoh juče da napišem komentar na događaje dok su trajali. Sedim tako na poslu i do mene dođe vest da su "srokali" opet nekoliko sajtova. Izgleda da juče ni mod.gov.yu nije radio neko vreme. Kada sam par puta išao na sajt umesto prezentacije sam video default stranicu CentOS Apache instalacije. WTF!? Šta treba da se desi da nekome dođe iz dupeta u glavu i da makar malo poradi na bezbednosti sajtova državnih institucija? Eto, čitam intervju sa Slobom Markovićem na B92. Voleo bih da se ono što on kaže zaista desi. Prosto mi je nezamislivo da ozbiljne institucije kao što su vojska ili Skupština sebi dozvole difejsovanje sajtova.
I jedna poruka novinarima pošto znam da pre ili kasnije neko od njih dođe na ovaj blog. Ajd’ leba vam prekinite da koristite termin "haker" u kontekstu rušenja sajtova što kod nas što drugde, jel može? Kaljate ime čitavom jednom esnafu. :D Ozbiljno. Ako želite da napišete smislen tekst kontaktirajte bar nekog ko zna šta priča. Eto, sada imate Slobu u Ministarstvu. A ja vam sigurno neću odbiti pomoć ako me kontaktirate.
Huh! Gledam ovaj tekst gore i nalazim da ne liči baš na moje uobičajeno pisanje. Eksplicitan jezik baš i nisam ja. Ali mi je prekipelo da slušam sve te priče o ‘akerima koji konstantno napadaju nezaštićene sajtove državnih institucija. Zar je tako teško uposliti ljude odavde da srede te servere? A imamo ih nije da ih nemamo. Znam da bi uobičajen srpski odgovor na ovo što se desilo bio vendeta. I verujte mi, nije problem da obrišemo celo Kosovo sa Interneta. Da sad imam nešto manje godina i da mi je glava usijana kao što je nekada bila verovatno bih zagovarao tako nešto. No, mene trenutno više zanima kako da se popravi bezbednosno stanje sajtova u Srbiji. Da mi lepo obezbednimo svoje dvorište pa ćemo lako da ugasimo Internet celom svetu. Dokle god se u našim medijima bezbednost online prisustva pominje samo u kontekstu rušenja sajtova i samo onda kada se takve stvari dešavaju ništa se neće promeniti.
I da sumiramo. Bezbednosna kultura u Srba je jednaka nuli sa tendencijama da ode ispod nje.
Posted in geek, security, serbia | Tags drzava, security, srbija | 1 comment
Posted by Marko M.
Wed, 20 Aug 2008 13:50:00 GMT
Da ne odgovaram u vidu komentara jer to onda neće biti svima vidljivo. Već me je gomila ljudi pitala koliko košta usluga koju sam ponudio nešto ranije. Cena zavisi od posla koji treba obaviti. Sledi lista šta sve mogu da odradim pa se vi nađite na njoj.:)
- Joomla! sajt auditing - pregled već postavljene Joomla! prezentacije i primena sredstava za povećanje bezbednosti.
- Pen test servera - provera bezbednostni celog servera i dostavljanje dokumentacije i propustima kao i o rešenjima za iste.
- Auditing servera - ukoliko koristite VPS ili dedicated server odradiću kompletan test, update, audit proces i zatvaranje rupa na čitavom serveru - ovo se na odnosi na UNIX i sisteme na bazi UNIXa - BSD, GNU/Linux, Solaris, AIX bla, bla…
- Bilo šta što ima veze sa bezbednošću sajta i/ili čitavog servera. Server ovde podrazumeva: web server, DB server, mail server, FTP server… ma bilo šta.
Zapravo, možemo se dogovoriti za bilo koji tip usluga bez obzira da li treba pregledati Joomla!, Drupal, WP ili neki vaš lični CMS. Meni je to sve isto.
P.S. Par ljudi iz nekih firmi su mi tražili CV da bi objasnili šefovima koga bi to da unajme. Izvol’te: http://rehash.eccegeek.info/files/marko_cv.pdf
Posted in admin, geek, security | Tags geek, paranoia, security, servers | 2 comments
Posted by Marko M.
Wed, 20 Aug 2008 10:46:00 GMT
Dan prvi
"Hakovana mi je Joomla! Šta da radim?"
"Ne brinite. Mi ćemo Vam je srediti i vratiti u prethodno stanje."
Nekoliko minuta kasnije pošto je vraćen backup i provaljeno da korisnik ima Joomla! 1.5.1.
"Poštovani, prezentacija Vam je vraćena. Ipak, bilo bi pametno da uradite ažuriranje na novu verziju. Ovih dana je izašla zakrpa koja rešava baš problem koji imate."
"Aha. Hvala puno. Evo odmah."
Dan drugi
"Opet mi je hakovna Joomla!"
"Jeste li uradili ažuriranje na novu verziju?"(dok se postavlja to pitanje proverava se sajt - naravno da nije ažuriran sistem)
"Ah. Nisam. A trebalo je?"
I tako već skoro 10 dana. Trudim se da nađem razumevanje za ovakvo ponašanje. Ali mi nekako ne ide. Zato obaveštavam javnost, kako fizička lica tako i firme, koju mrzi da čita šta pišemo na Joomla! Serbia forumu da sam odlučio da ponudim uslugu profesionalnog Joomla! konsultovanja. Ukoliko nećete sami da lupate glavu kako da povećate bezbednost svog sistema i kako da održavate ceo sajt slobodno mi se obratite i ja ću vam za ne tako visoku cenu odraditi sve što je potrebno da malo mirnije spavate. A možemo se dogovoriti i za stalno održavanje. Zapravo, šta god je potrebno samo da se ne ponavljaju razgovori odozgo.
Moja email adresa je: marko[at]joomlaserbia.com pa mi se slobodno javite.
Posted in admin, geek, security | Tags consulting, joomla, security | 3 comments
Posted by Marko M.
Mon, 18 Aug 2008 11:46:00 GMT
Uvek se slatko nasmejem kada čujem za sve te "hakerske" napade. U poslednjih par dana to je jedna od najvrelijih vesti većine domaćih medija. "Razvaljeni" su sajt SPC-a, Ministarstva poljoprivrede, raznih firmi, političkih partija i sl. Gotovo svi sajtovi su dobili identično novo ruho u bojama plemena sa juga. No, dva najzabavnija su osvanula na B92 sajtu: Sajtovi bez zaštite od upada hakera i Novi napad hakera sa Kosova. Hakeri, hakeri, hakeri… nije nego.
Hajde da uradimo malu regresiju i pogledamo onako forenzički šta se tu sve dešavalo. Ako malo pažljivije izanaliziramo sve te žrtve moćićemo da izvedemo sledeći zaključak: 90% njih čine Joomla! 1.5.x instalacije. Ok. Dakle Joomla! je grozna i ona je kriva za sve, jel tako? Možda bih i progutao tu priču da kojim slučajem ne radim za Joomla! tim od nultog dana postojanja dotičnog CMS-a. Bez trunke pristrasnosti smem reći da ovog puta Joomla! nije kriva. Svi ovi slučajevi su školski primer ljudskog faktora kao problema u bezbednosti. Ali ne, ovog puta nije bilo naprednih NLP tehnika kako bi se jadni korisnici prevarili. Ne, ovog puta su ti jadni korisnici pogazili ono zlatno pravilo upotrebe gotovih softverskih rešenja za izradu web prezentacija. Ne jednom sam za vreme Joomla! dana u Beogradu prošle godine rekao da je jako važna stvar koristiti najnoviju verziju Joomla! softvera. Mislim da sam i zidovima u Rexu dosadio ponavljajući to.
Pošto u Srbiji svi znaju da prave sajtove i svi se razumeju u sve što ima veze sa online postojanjem tako smo se našli u sledećoj situaciji: oborene desetine satova u neverovatno kratkom vremenskom roku. Opasni neki hakeri? Ne bih rekao. Vrli admini dotičnih sajtova su valjda bili previše zauzeti da bi brinuli o bezbednosti svojih kreacija pa smo tako mogli da vidimo Joomla! sajtove koji koriste i po 6 meseci stare verzije Joomla!. Sve što osoba zadužena za život tog Joomla! sajta treba da radi jeste da bar jednom u nedelju dana ode na Joomla! glavni sajt ili Joomla! Srbija forum i vidi da li se dešava nešto jako važno. Ali ne! Mnogo je lakše postaviti i zaboraviti. Bitno je da radi. Dragi moji web stručnjaci, softver je živo biće. On se konstantno razivija i unapređuje. Posebno ako koristite neki jako živ projekat kakvi su Joomla!, phpBB ili WordPress. Apsurdno je očekivati da jednom napisan sistem ostane nepromenjen i bezbedan zauvek. Softver nije savršen i kako stvari stoje to neće ni postati u skorije vreme.
Već dva meseca radim kao stariji sistem administrator u SezamPro hostingu. Firma ima ogroman broj sajtova i neki od sajtova koji su našli svoje mesto na listi napada se nalaze kod nas. Tako sam imao priliku da pogledam šta se vrtelo na tim sajtovima kada su "odvaljeni" i da pomognem korisnicima da povrate svoje prezentacije. Prva stvar koju sam radio kada bi mi javili da je taj i taj sajt srušen jeste provera fajla CHANGELOG.php koji ima svaka Joomla!. Od 10 pregledanih sajtova ni jedan nije imao najnoviju verziju Joomla! Da stvar bude zabavnija, svi sajtovi su u proseku koristili Joomla! 1.5.x iz februara 2008. Ako znamo da je pre nedelju dana objavljena hitna zakrpa u vidu verzije 1.5.6 onda je krajnje interesantno kako to da niko nije ažurirao svoj sajt.
Neko mi onda reče da je možda komplikovana procedura za ažuriranje. Hmmm… hajde da je razmotrimo u nekoliko koraka:
1. Odlazak na Joomla! sajt i preuzimanja fajla koji se zove: Patch_1.5.x_to_1.5.6.zip. gde umesto ovog X stoji verzija Joomla! koju trenutno imate. Ako baš ne znate koja je uđete u svoj admin panel i gore desno jasno stoji potrebna informacija.
2. Raspakujete preuzetu arhivu na svom računaru.
3. Koristeći omiljeni program za FTP nakačite se na svoj sajt, uđete u direktorijum sa sajtom i prevučete sve datoteke iz arhive sa svoje mašine na sajt. Program će vas pitati da li želite da pregazite sve datoteke i vi ćete reći DA.
4. Nema 4. Ažuriranje je gotovo.
I takooo…
Bezbednosna kultura na srpskoj interenet sceni je toliko niska da je apsolutno sjajno što neko i ima sajt koji se ne obara par puta dnevno.
Idemo dalje. Naslovna strana Gazete od četvrtka, ako se ne varam, govori o pornografiji na sajtu jedne osnovne škole. "Stručnjaci" koje su kontaktirali iz dotičnog lista su komentarisali kako su hakeri napunili stranice tog sajta materijalom od kog bi se i markiz De Sad zacrveneo. Opet mene cimaju jer je sajt na našim serverima. Alatke u ruke pa u glib. Rezultat: na samom sajtu nije bilo nikakvog pornografskog sadržaja ali je zato forum bio urnisan. Nije mi bilo potrebno ne znam kakvo znanje da bih sračunao da dotični forum ima oko 100 korisnika od kojih skoro 80 čine botovi. Za neupućene, botovi su programi koji sami krstare Interenetom i obavljaju zadatke za koje su isprogramirani. Sledeća stvar koja mi pada u oči jeste činjenica da je na sajtu phpBB2 koji nije ažuriran ko zna od kada. Sećate se kada su pre par godina phpBB2 forumi padali kao zrele kruške? Izgleda da admin ovog foruma nije čuo za to.
Ako pak problem ne bude u softveru na sajtu onda obično bude do samog servera tj. opet lenjosti admina da ponekad proveri da li mu je softver možda bušan ili loše podešen. Primer - sajt SPC. Nalazi se na dedicated serveru u USA a za pokretanje sajta koriste Drupal ako se ne varam. Posle pada su lepo počistili kod kako bi se sakrilo koji se CMS tu vrti. Što je super. Ipak, to nije dovoljno. Drupal tim, kao i Joomla!, u poslednje vreme često izdaje zakrpe koje bi valjalo primenjivati. Pošto sajt SPC-a ima svoj server nisam mogao da odolim i da ne pogledam malo sam server. Samo ću reći: nmap -sS -sV -O 74.53.26.200 i sve će vam se samo kazati. Neko je mogao malo više da poradi na bezbednosti ovog servera.
Baš sam se raspisao, zar ne? Žao mi je ako sam vas smorio ali mi je preko glave naslova u medijima i priča o hakerima. Kakvi bre hakeri? Svaki klinac je mogao da nađe exploit za problem u Joomla! za sve verzije pre 1.5.6. i da se uloguje kao administrator. Problem nije u softveru već u lenjim korisnicima. Ažurirajte softver. Pravite rezervne kopije na dnevnoj bazi. Ako vam je sajt izuzetno posećen onda rezervne kopije treba praviti i češće. Primenite makar minimum bezbednosnih podešavanja za koja uputstva imate na svim matičnim sajtovma CMS-ova koje koristite. Ili unajmite nekog ko se zapravo razume u posao bezbednosti sajtova i servera.
Mental note: Otvoriti firmu za security consulting.:)
P.S. Dok ovo pišem čujem kako je jedan od sajtova koji je bio "srušen" prošle nedelje a koji smo vratili u život opet pao. Kako se ispostavilo korisnik nije našao za shodno da uradi update iako mu je predočeno u čemu je bio problem. Ahhh… the road to stupid is paved with good intention.
Posted in admin, security, serbia | Tags hacking, media, security, serbia | 9 comments
Posted by Marko M.
Fri, 25 Jul 2008 10:11:00 GMT
Beograd, 25.07.1984.
Vest sa Internodijuma je jutros prostrujala srpskim Internetom i blogovima neviđenom brzinom. Dat je niz negodujućih komentara sa kojima se bez rezerve slažem. Ne mogu reći da ovo nisam očekivao u jednom momentu. Regulativa u USA, nekih zemalja EU i UK već neko vreme ograničavaju svoje građane ovakvim praksama. Hoće li ovo naše negodovanje rešiti taj problem? Gotovo sigurno ne. Poduže su naši sugrađani toliko apatični da kakav god vid represije pseudodemokratske vlasti se sprovodio svi će samo ćutati(meni su još na prvoj godini prava profesori rekli da demokratija ne postoji). Valjda su se izduvali onog oktobra ili misle da je svaki trud besmislen jer na kraju opet neko sprovede represiju. Fino. Gomila blogera, geekova ili običnih korisnika Interneta će neko vreme pisati i buniti se. A onda će opet zavladati tišina kao i za sve do sada. I šta onda?
Kripcija bato. Ljudi me gledaju belo kada im kažen da digitalno potpisujem poruke, da koristim kriptovanje za emailove, da su mi svi čatovi preko Jabbera kriptovani. Kažu paranoičan sam. Paranoik je čovek koji samo malo bolje shvata šta se dešava oko njega. Iskreno, mislio sam da ovaj "novi" blog započnem malo drugačijim tekstovima. To će sada morati da sačeka. Namera mi je da u nizu od nekoliko tekstova pokažem ljudima kako se koriste napredne i manje napredne tehnike kriptovanja svega živog.. Kako da kriptujete ono što gledate u svom browseru. Kako da kriptujete podatke na hard disku. Kako da kriptujete hard disk. Ma kako da kriptujete sopstvene misli.
Da se razumemo. Sasvim je opravdano presretati razgovore i Internet aktivnost manje ili više opravdano sumnjivih pojedinaca ili grupa. Ali tek kada se utvrdi da je tako nešto potrebno. Ovo što ovde imamo jeste konstantno praćenje svih i svega. Naravno, daleko od toga da će neko biti zainteresovan za to šta pričam sa svojom devojokom preko Jabber-a. Ali nije poenta u tome. Problem je što se beleži svaka aktivnost bez obzira da li je maliciozna ili ne. Iz onog što saznajem o sličnoj aktivnosti u DE ili UK znam da čak i sa ovakvim regulativama tajne službe i policija imaju probleme da prate aktivnost korisnika online. Nemačka obaveštajna služba poprilično negoduje što ne može da prati Skype razgovore.
Jedan moj prijatelj mi često kaže da je sav taj trud da se neke privatne informacije sakriju uzaludan. Pre ili kasnije OZNA sve dozna, kaže on. Moguće. Ali zašto joj ne otežati to saznavanje?
Pitam se samo kada će u kod nas doneti zakon i nelegalnosti ključeva za kriptovanje jačih od 256k ili za skrivanje istih? No, kao što reče jednom jedan mudar čovek, ima načina i načina!
Posted in geek, politics, security | Tags human_rights, law, security, serbia | 5 comments
