Bezpečnosť na internete...

Bezpečnosť na internet a všetko okolo nej....
Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12899
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Bezpečnosť na internete...

Príspevok od užívateľa Snake » Po 09. Feb, 2009, 15:58

Obrázok
...sa stáva čoraz vážnejším problémom nielen medzi administrátormi / majiteľmi samotných webov, ale aj ich užívateľov. Denne sa dozvedáme o prípadoch, kedy bola nejaká stránka (alebo dokonca inštitúcia) „prelomená“, boli ukradnuté dáta, osobné informácie, fotky, hocičo, čo by ste ako administrátor nechceli nikdy vypustiť do sveta. Pokiaľ sa máme baviť v rovine „môj web, môj dom“ tak samozrejme ide len o vaše dáta a informácie, čo ale ak máte stránku ktorú navštevujú desiatky, stovky, ba i tisícky ľudí a vy máte ich dáta udržať v bezpečí, únik takýchto informácii môže znamenať nielen únik dát užívateľov, ale aj pohromu na vašu hlavu, vy ste predsa ten čo má ich dáta a informácie ktoré vám poskytne chrániť, či nie?

Veľkú časť webov ktoré dnes vídame na internete robia bohužiaľ len deti za pomoci WYSIWYG editorov, zwarezených Photoshopov a kníh „Naučme se PHP snadno a rychle“, veľa pseudo-programátorov si ani neuvedomuje že nejaká bezpečnosť vôbec neexistuje. Vysloviť vetu: „daj idiotovi zručnosť a ukáže ti pohromu“ by bolo viac než vhodné. Tým samozrejme nechcem povedať že všetci programátori webov kašlú na bezpečnosť, ale keď sa bohužiaľ stretávame s prípadmi keď spoločnosť ktorá zinkasuje ťažké prachy za vytvorenie webu, a pritom je jej web deravý jak groš, tak to je ozaj na zaplakanie. Myslíte si, že napríklad inštitúcie ktoré sa zaoberajú bezpečnosťou sú „za vodou“? Mýlite sa, Kasperskemu siedmeho februára uniklo všetko čo sa len zobrať dalo, vrátane produktových kľúčov.

Bankové inštitúcie? Taktiež ste na omyle, na synopsi blogu nájdete dokonalý článok o tom aké audity sa na Slovensku robia pred vypustením aplikácie na web (prakticky asi žiadne). Samozrejme pri bankách sa nebavíme len o nejakých menách, heslách alebo fotkách, bavíme sa doslova v niektorých prípadoch o celoživotné úspory. Štátne inštitúcie? Žiadny problém, ani na Slovensku. Sociálne siete ako AZet.sk alebo BoooM.sk. Na margo BoooMu, osobne nepochopím ako si nejaký prevádzkovateľ vypýta peniaze za niečo, čo sa dá robiť zdarma a lepšie, keby sme žili v stredoveku, keď žiadny spôsob komunikácie nebol bez toho aby ste odkráčali niekoľko dĺžok jednotiek k tomu, s kým sa potrebujete spojiť, tak to pochopím, ale ako ľudia naivne žerú každú blbosť a ešte si za to aj platia, nechápem, ak môžete vysvetlite mi to niekto, ďakujem. Späť k sociálnym sieťam, AZet je už na poli bezpečnosti vítaná firma, koľko albumov sa pokradlo, koľko mailov sa dostalo z ich databázy von (možno aj váš, nechodí vám viacej spamu?) sa hádam ani nedá spočítať. Myslíte že u Googlu ste v bezpečí? Bohužiaľ nie (1, 2). Ste na MySpace? Bez problémov, je možné že si vás práve niekto cez ThePirateBay sťahuje. Nakupujete cez PayPal? Oh, problém. Flash? YouTube?

Spoločnosti, majitelia a administrátori samotných webov sa nám dennodenne zaväzujú chrániť naše dáta, je to ale skutočne tak? Ako ste na tom vy? Veríte každej „stránke s dobrým dizajnom“ či ste ostražití ? Dávate si pozor pri nákupoch? Kontrolujete certifikáty? Ako programátori webov, vnímate aj bezpečnosť svojich webových aplikácii? Prosím vyjadrite sa...
#rollerman

Užívateľov profilový obrázok
Gudas
VIP
VIP
Príspevky: 8195
Dátum registrácie: Po 09. Okt, 2006, 02:00
Bydlisko: Rudina (27)
Kontaktovať užívateľa:

Re: Bezpečnosť na internete...

Príspevok od užívateľa Gudas » Po 09. Feb, 2009, 19:54

Hm, AD certifikáty, celkom "veselé" bolo sledovať, keď borci len nedávno zverejnili spôsob, ako pomocou hack-u MD5 algoritmu (hašovacia funkcia používaná pri dig. podpisoch - a teda aj certifikátoch) je možné vytvoriť komplente nový certifikát, ktorý je uznaný akýmkoľvek prehliadačom. Stačilo teda potom iba podsunúť nejakú podarenú phising stránku s falošným certifikátom a bordel bol dokonalý.

Nič také sa síce nestalo, pod pokrievkou sa to držalo až do zverejnenia na konferencii (nevedeli o tom ani bezpečnostné firmy týmto sa živiace) a ani potom sa nič podstatné pre útok na verejnosť nedostalo, no zarážajúce na tom bolo to, že aj keď sa o "narodeninovom" útoku na MD5 vedelo už dlhé roky, stále sa používal pri certifikátoch. Vyplynulo nakoniec z toho to, že asi cca 14% všetkých používaných certifikátov by potenciálne mohlo byť nebezpečných (alebo ináč - useless). Až to donútilo MD5 zanechať a prejsť na iné, bezpečné (alebo radšej - bezpečnejšie).

...čiže ako väčšinou - veci sa pohnú, až keď je problém...
Spoiler: ukázať
Desktop| ASRock Z68 Pro3-M | Core i3 3220 @ 3,4GHz + Phanteks PH-TC14PE (pasívne) | 12GiB DDR3 1333MHz | MSI GTX760 Gaming | SuperFlower Golden King 550W 80+ Platinum | Crucial m4 256GB + WD 1TB Red 2,5" 5400rpm @ Scythe Quiet Drive| Fractal Design Define Mini + Nexus D12SL-12 + Noiseblocker PK-1 + Scythe Gentle Typhoon | LG IPS235 + LG L225WT | Creative Inspire T2900 + Beyerdynamic DT990 Pro + Creative X-Fi HD | Logitech MX1100 + QcK Steel mini
Laptop| Acer Aspire One 753 | Celeron U3400 (1,06GHz) | 2x2GiB DDR3 | A-DATA S599 128GB
PC.sk IRC kanál PC.sk
Práve testujem: - Next: -

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12899
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: Bezpečnosť na internete...

Príspevok od užívateľa Snake » Po 09. Feb, 2009, 20:03

Ano Gudas, počul som, avšak treba brať do úvahy aj tú realizáciu chyby, že na vytvorenie takéhoto certifikátu potrebuješ obrovsky výpočtový výkon (obrovský s veľkým O)
#rollerman

Užívateľov profilový obrázok
Gudas
VIP
VIP
Príspevky: 8195
Dátum registrácie: Po 09. Okt, 2006, 02:00
Bydlisko: Rudina (27)
Kontaktovať užívateľa:

Re: Bezpečnosť na internete...

Príspevok od užívateľa Gudas » Po 09. Feb, 2009, 21:40

The most computationally intensive part of our method required about 3 days of work with over 200 game consoles
(PlayStation 3)

:cool:
Spoiler: ukázať
Desktop| ASRock Z68 Pro3-M | Core i3 3220 @ 3,4GHz + Phanteks PH-TC14PE (pasívne) | 12GiB DDR3 1333MHz | MSI GTX760 Gaming | SuperFlower Golden King 550W 80+ Platinum | Crucial m4 256GB + WD 1TB Red 2,5" 5400rpm @ Scythe Quiet Drive| Fractal Design Define Mini + Nexus D12SL-12 + Noiseblocker PK-1 + Scythe Gentle Typhoon | LG IPS235 + LG L225WT | Creative Inspire T2900 + Beyerdynamic DT990 Pro + Creative X-Fi HD | Logitech MX1100 + QcK Steel mini
Laptop| Acer Aspire One 753 | Celeron U3400 (1,06GHz) | 2x2GiB DDR3 | A-DATA S599 128GB
PC.sk IRC kanál PC.sk
Práve testujem: - Next: -

faugusztin
Moderátor
Moderátor
Príspevky: 15169
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Bezpečnosť na internete...

Príspevok od užívateľa faugusztin » Po 09. Feb, 2009, 21:48

Ved sa necuduj, tych 200 kusov PS3 dava dokopy iba 50GB pamate, a to este neratam kolko z tych 256MB zobral beziaci linux... Urcite to kazdu chvilu museli synchronizovat s nejakym centralnym servrom. :D

Napísať odpoveď

Návrat na "Security"