Posted by Marko M.
Sat, 23 Aug 2008 15:30:00 GMT
Verovatno najveći FOSS događaj do sada kod nas će se dešavati od 4. do 6. septembra i to u Nišu. U pitanju je IT manifestacija posvećena slobodnom i otvorenom softveru sa velikom Mozilla žurkom na kraju. Za detalje pogledajte http://e-tvrdjava.com/cms/ Ukoliko ste blizu Ništa tih dana nikako nemojte propustiti ovo dešavanje. Ja ću u tokom E-Tvrđave držati dva predavanja. Prvog dana ću nastupati ispred FSFE/FTF i govoriti o GNU/GPL, softverskim licencama, i tome kako FTF radi na suzbijanju kršenja GNU/GPL-a. Biće to jedno pravničko predavanje sa interesantnim primerima iz našeg rada na mnogim slučajevima širom sveta. Drugog dana ću govoriti u ime Joomla! Serbia i tada ću održati promociju Joomla! 1.5. A trećeg dana nameravam da uživam u žurci i pivu.
Vidimo se u Nišu!
Posted in free software, fsfe, serbia, events | Tags e, fortress, foss, fsfe, ftf, serbia | 2 comments
Posted by Marko M.
Mon, 18 Aug 2008 11:46:00 GMT
Uvek se slatko nasmejem kada čujem za sve te "hakerske" napade. U poslednjih par dana to je jedna od najvrelijih vesti većine domaćih medija. "Razvaljeni" su sajt SPC-a, Ministarstva poljoprivrede, raznih firmi, političkih partija i sl. Gotovo svi sajtovi su dobili identično novo ruho u bojama plemena sa juga. No, dva najzabavnija su osvanula na B92 sajtu: Sajtovi bez zaštite od upada hakera i Novi napad hakera sa Kosova. Hakeri, hakeri, hakeri… nije nego.
Hajde da uradimo malu regresiju i pogledamo onako forenzički šta se tu sve dešavalo. Ako malo pažljivije izanaliziramo sve te žrtve moćićemo da izvedemo sledeći zaključak: 90% njih čine Joomla! 1.5.x instalacije. Ok. Dakle Joomla! je grozna i ona je kriva za sve, jel tako? Možda bih i progutao tu priču da kojim slučajem ne radim za Joomla! tim od nultog dana postojanja dotičnog CMS-a. Bez trunke pristrasnosti smem reći da ovog puta Joomla! nije kriva. Svi ovi slučajevi su školski primer ljudskog faktora kao problema u bezbednosti. Ali ne, ovog puta nije bilo naprednih NLP tehnika kako bi se jadni korisnici prevarili. Ne, ovog puta su ti jadni korisnici pogazili ono zlatno pravilo upotrebe gotovih softverskih rešenja za izradu web prezentacija. Ne jednom sam za vreme Joomla! dana u Beogradu prošle godine rekao da je jako važna stvar koristiti najnoviju verziju Joomla! softvera. Mislim da sam i zidovima u Rexu dosadio ponavljajući to.
Pošto u Srbiji svi znaju da prave sajtove i svi se razumeju u sve što ima veze sa online postojanjem tako smo se našli u sledećoj situaciji: oborene desetine satova u neverovatno kratkom vremenskom roku. Opasni neki hakeri? Ne bih rekao. Vrli admini dotičnih sajtova su valjda bili previše zauzeti da bi brinuli o bezbednosti svojih kreacija pa smo tako mogli da vidimo Joomla! sajtove koji koriste i po 6 meseci stare verzije Joomla!. Sve što osoba zadužena za život tog Joomla! sajta treba da radi jeste da bar jednom u nedelju dana ode na Joomla! glavni sajt ili Joomla! Srbija forum i vidi da li se dešava nešto jako važno. Ali ne! Mnogo je lakše postaviti i zaboraviti. Bitno je da radi. Dragi moji web stručnjaci, softver je živo biće. On se konstantno razivija i unapređuje. Posebno ako koristite neki jako živ projekat kakvi su Joomla!, phpBB ili WordPress. Apsurdno je očekivati da jednom napisan sistem ostane nepromenjen i bezbedan zauvek. Softver nije savršen i kako stvari stoje to neće ni postati u skorije vreme.
Već dva meseca radim kao stariji sistem administrator u SezamPro hostingu. Firma ima ogroman broj sajtova i neki od sajtova koji su našli svoje mesto na listi napada se nalaze kod nas. Tako sam imao priliku da pogledam šta se vrtelo na tim sajtovima kada su "odvaljeni" i da pomognem korisnicima da povrate svoje prezentacije. Prva stvar koju sam radio kada bi mi javili da je taj i taj sajt srušen jeste provera fajla CHANGELOG.php koji ima svaka Joomla!. Od 10 pregledanih sajtova ni jedan nije imao najnoviju verziju Joomla! Da stvar bude zabavnija, svi sajtovi su u proseku koristili Joomla! 1.5.x iz februara 2008. Ako znamo da je pre nedelju dana objavljena hitna zakrpa u vidu verzije 1.5.6 onda je krajnje interesantno kako to da niko nije ažurirao svoj sajt.
Neko mi onda reče da je možda komplikovana procedura za ažuriranje. Hmmm… hajde da je razmotrimo u nekoliko koraka:
1. Odlazak na Joomla! sajt i preuzimanja fajla koji se zove: Patch_1.5.x_to_1.5.6.zip. gde umesto ovog X stoji verzija Joomla! koju trenutno imate. Ako baš ne znate koja je uđete u svoj admin panel i gore desno jasno stoji potrebna informacija.
2. Raspakujete preuzetu arhivu na svom računaru.
3. Koristeći omiljeni program za FTP nakačite se na svoj sajt, uđete u direktorijum sa sajtom i prevučete sve datoteke iz arhive sa svoje mašine na sajt. Program će vas pitati da li želite da pregazite sve datoteke i vi ćete reći DA.
4. Nema 4. Ažuriranje je gotovo.
I takooo…
Bezbednosna kultura na srpskoj interenet sceni je toliko niska da je apsolutno sjajno što neko i ima sajt koji se ne obara par puta dnevno.
Idemo dalje. Naslovna strana Gazete od četvrtka, ako se ne varam, govori o pornografiji na sajtu jedne osnovne škole. "Stručnjaci" koje su kontaktirali iz dotičnog lista su komentarisali kako su hakeri napunili stranice tog sajta materijalom od kog bi se i markiz De Sad zacrveneo. Opet mene cimaju jer je sajt na našim serverima. Alatke u ruke pa u glib. Rezultat: na samom sajtu nije bilo nikakvog pornografskog sadržaja ali je zato forum bio urnisan. Nije mi bilo potrebno ne znam kakvo znanje da bih sračunao da dotični forum ima oko 100 korisnika od kojih skoro 80 čine botovi. Za neupućene, botovi su programi koji sami krstare Interenetom i obavljaju zadatke za koje su isprogramirani. Sledeća stvar koja mi pada u oči jeste činjenica da je na sajtu phpBB2 koji nije ažuriran ko zna od kada. Sećate se kada su pre par godina phpBB2 forumi padali kao zrele kruške? Izgleda da admin ovog foruma nije čuo za to.
Ako pak problem ne bude u softveru na sajtu onda obično bude do samog servera tj. opet lenjosti admina da ponekad proveri da li mu je softver možda bušan ili loše podešen. Primer - sajt SPC. Nalazi se na dedicated serveru u USA a za pokretanje sajta koriste Drupal ako se ne varam. Posle pada su lepo počistili kod kako bi se sakrilo koji se CMS tu vrti. Što je super. Ipak, to nije dovoljno. Drupal tim, kao i Joomla!, u poslednje vreme često izdaje zakrpe koje bi valjalo primenjivati. Pošto sajt SPC-a ima svoj server nisam mogao da odolim i da ne pogledam malo sam server. Samo ću reći: nmap -sS -sV -O 74.53.26.200 i sve će vam se samo kazati. Neko je mogao malo više da poradi na bezbednosti ovog servera.
Baš sam se raspisao, zar ne? Žao mi je ako sam vas smorio ali mi je preko glave naslova u medijima i priča o hakerima. Kakvi bre hakeri? Svaki klinac je mogao da nađe exploit za problem u Joomla! za sve verzije pre 1.5.6. i da se uloguje kao administrator. Problem nije u softveru već u lenjim korisnicima. Ažurirajte softver. Pravite rezervne kopije na dnevnoj bazi. Ako vam je sajt izuzetno posećen onda rezervne kopije treba praviti i češće. Primenite makar minimum bezbednosnih podešavanja za koja uputstva imate na svim matičnim sajtovma CMS-ova koje koristite. Ili unajmite nekog ko se zapravo razume u posao bezbednosti sajtova i servera.
Mental note: Otvoriti firmu za security consulting.:)
P.S. Dok ovo pišem čujem kako je jedan od sajtova koji je bio "srušen" prošle nedelje a koji smo vratili u život opet pao. Kako se ispostavilo korisnik nije našao za shodno da uradi update iako mu je predočeno u čemu je bio problem. Ahhh… the road to stupid is paved with good intention.
Posted in admin, security, serbia | Tags hacking, media, security, serbia | 9 comments
Posted by Marko M.
Fri, 25 Jul 2008 10:11:00 GMT
Beograd, 25.07.1984.
Vest sa Internodijuma je jutros prostrujala srpskim Internetom i blogovima neviđenom brzinom. Dat je niz negodujućih komentara sa kojima se bez rezerve slažem. Ne mogu reći da ovo nisam očekivao u jednom momentu. Regulativa u USA, nekih zemalja EU i UK već neko vreme ograničavaju svoje građane ovakvim praksama. Hoće li ovo naše negodovanje rešiti taj problem? Gotovo sigurno ne. Poduže su naši sugrađani toliko apatični da kakav god vid represije pseudodemokratske vlasti se sprovodio svi će samo ćutati(meni su još na prvoj godini prava profesori rekli da demokratija ne postoji). Valjda su se izduvali onog oktobra ili misle da je svaki trud besmislen jer na kraju opet neko sprovede represiju. Fino. Gomila blogera, geekova ili običnih korisnika Interneta će neko vreme pisati i buniti se. A onda će opet zavladati tišina kao i za sve do sada. I šta onda?
Kripcija bato. Ljudi me gledaju belo kada im kažen da digitalno potpisujem poruke, da koristim kriptovanje za emailove, da su mi svi čatovi preko Jabbera kriptovani. Kažu paranoičan sam. Paranoik je čovek koji samo malo bolje shvata šta se dešava oko njega. Iskreno, mislio sam da ovaj "novi" blog započnem malo drugačijim tekstovima. To će sada morati da sačeka. Namera mi je da u nizu od nekoliko tekstova pokažem ljudima kako se koriste napredne i manje napredne tehnike kriptovanja svega živog.. Kako da kriptujete ono što gledate u svom browseru. Kako da kriptujete podatke na hard disku. Kako da kriptujete hard disk. Ma kako da kriptujete sopstvene misli.
Da se razumemo. Sasvim je opravdano presretati razgovore i Internet aktivnost manje ili više opravdano sumnjivih pojedinaca ili grupa. Ali tek kada se utvrdi da je tako nešto potrebno. Ovo što ovde imamo jeste konstantno praćenje svih i svega. Naravno, daleko od toga da će neko biti zainteresovan za to šta pričam sa svojom devojokom preko Jabber-a. Ali nije poenta u tome. Problem je što se beleži svaka aktivnost bez obzira da li je maliciozna ili ne. Iz onog što saznajem o sličnoj aktivnosti u DE ili UK znam da čak i sa ovakvim regulativama tajne službe i policija imaju probleme da prate aktivnost korisnika online. Nemačka obaveštajna služba poprilično negoduje što ne može da prati Skype razgovore.
Jedan moj prijatelj mi često kaže da je sav taj trud da se neke privatne informacije sakriju uzaludan. Pre ili kasnije OZNA sve dozna, kaže on. Moguće. Ali zašto joj ne otežati to saznavanje?
Pitam se samo kada će u kod nas doneti zakon i nelegalnosti ključeva za kriptovanje jačih od 256k ili za skrivanje istih? No, kao što reče jednom jedan mudar čovek, ima načina i načina!
Posted in geek, politics, security | Tags human_rights, law, security, serbia | 5 comments
