luzer.sk

Tento clanok by mal co najlaickejsie podat par zakladnych informacii o anonymite na intranete, resp. pristupu z intranetu na internet. Ma byt pisany stylom, aby kazdy ziskal aspon minimalnu predstavu o tom, co "anonymita v intranete" znamena. Takze prosim nekamenujte ma zan, ale naozaj sa ho snazim pisat aby bol co najlahsie pochopitelny.
~~~
Co je to intranet?

Intranet je počítačová sieť, ktorá používa rovnaké technológie (TCP/IP, HTTP) ako internet, ale je "súkromná", teda je určená pre použitie iba malej skupiny používateľov. (napríklad pracovníci nejakého podniku).

Napriek mojej snahe uz niekolkokrat zviditelnit na internete tento problem, stale sa nan neudava dostatocna pozornost. Preto som sa rozhodol napisat tento clanok a urobit taku mensiu "kampan", aby si na tieto veci ludia davali pozor. O co vlastne ide?

Ide o bezpecnostnu chybu, najznamejsi priklad code injection v php. Jej vyuzitie je naozaj primitivne a na internete sa nachadza mnozstvo navodov, ako ju zneuzit (len na slovensko-ceskom internete ich je neurekom). Konkretne, o neosetrenu funkciu include v jazyku PHP.

Ako dochadza k vytvoreniu tejto chyby? Vacsinou ju robia programatori v php - zaciatocnici:), alebo ti, ktorych nezaujima bezpecnostna stranka ich webovej aplikacie. Lebo pri pisani takejto aplikacie sa treba zamerat nie len na to, co aplikacia MA robit, ale aj na to, co aplikacia MOZE robit. Co to znamena prakticky? Podme ku konkretnemu prikladu. Clovek, co objavil pred tyzdnom PHP a nesmierne ho zaujalo zacal pisat teraz dajaky web. Na co by jednotlive stranky robil tak, ze kazda cela stranka bude daky subor? Ked existuje funkcia include:) nemusim davat odkazy domena.sk/konkretna_stranka.php , efektnejsie, aj praktickejsie to bude domena.sk/index.php?zobraz=konkretna_stranka . Celkom jednoduche a kolko prace som si pri tom usetril.

Mate PC pripojene k internetu? Pocitac ide cim dalej tym pomalsie, pri browsovani sa same otvaraju nezname okna s roznym obsahom? Pravdepodobne nemate absolutne zabezpeceny pocitac proti dzungli zvanej internet. V tomto clanku si povieme, ako si zabezpecit poctiac s Windows aby sa vyssie zmienene veci uz nikdy neopakovali.

Vela firiem (velka vacsina) poskytujucich internet (takzvanych ISP = Internet Service Provider) sa pri pripojeni zakaznika do internetu neobtazuju oboznamit ho s moznymi rizikami, ktore idu ruka v ruke s nezabezpecenym systemom. Preto sa casto stava, ze za isty cas po pripojeni k internetu nic netusiaci clovek, ktory vyuziva pocitac na poslanie emailov, raz za cas si pokeca cez icq, pripadne si pozrie noviny na internete zrazu patri k BotNetu, jeho pocitac je vyuzivany k posielaniu spamu (nevyziadana posta), atd, atd..Co teda treba spravit, aby sme sa podobnym problemom vyhli?

A je tu posledná časť našej luzer trilógie Začiatky s heslami... V tejto poslednej časti si povieme niečo o phishingu. Pôjdeme nato ako minule, teda najprv si vysvetlime čo to ten phishing je. Phishing je formou nežiaducej aktivity, ktorá využíva prvky tzv. sociálneho inžinierstva. Postup je charakteristický pokusmi podvodne získať citlivé informácie ako napr. heslo, či detaily platobnej karty maskovaním sa za dôveryhodnú osobu alebo spoločnosť. Najčastejšie má podobu falošného oficiálneho e-mailu, prostredníctvom ktorého podvodník žiada údaje od užívateľa. Účelom je zneužiť tieto citlivé informácie v neprospech poškodeného. Ak ste to nepochopili (ako každý pravý luzer) tu je menší príklad:

Naposledy som sľúbil že napíšem pokračovanie k článku Začíname s heslami a je tu. Môžete mať heslo aké len chcete no pokiaľ ste IDIOT neochráni Vás ani heslo, jedine že ho pred sociálnym inžinierom zabudnete... Takže najprv si povieme čo je to to samotné sociálne inžinierstvo. Sociálne inžinierstvo je spôsob získavania dôverných informácií pomocou manipulácie. Metóda bežne používa telefóny alebo internet, pričom zneužíva dôverčivosť ľudí vydávaním sa za známe a existujúce spoločnosti či inštitúcie. Ako ste už mohli pochopiť, pri práci s internetom treba byť naozaj obozretný, pretože každá chyba môže byť osudná... Teraz keď už vie čo je to sociálne inžinierstvo môžeme sa s úsmevom vrhnúť do tejto problematiky (zábavy). Spomínam si, keď som sa skúšal hrať na sociálneho inžiniera a žiadal som druhých návštevníkov nemenovaného portálu (chat) o ich údaje na prihlásenie. Upozorňujem na jeden šokujúci fakt – nehlásil som o sebe že som admin ani nič podobné. Jednoducho som si vyhliadol nováčikov na webe a stačilo im napísať jednoduchý text (tzv. neskutočná hovadina spojená s gigantickou kravinou) typu (prinášam Vám tento rozhovor):

Poskytnete svoje heslá na požiadanie vašeho bankového ústavu? Áno? Potom ste pako a prečítajte si nasledovný článok:::

Ospravedlňujem sa za silný začiatok ale je to tak… Rozhodol som sa že upozorním pravých loozerov na nejaké tie veci ktoré by mali pri používaní internetu dodržiavať. A hlavne naučiť ich aké je dôležité vedieť správne nakladať s heslami!!! Heslá sú akousi bránou do Vášho súkromia a samozrejme do bankového účtu . To je dôvod nato, aby každý z Vás nato dával dostatočný pozor.

1.) Svoje heslo nikde nepíšte, ani na papier ani do svojho počítača, existuje síce veľké množstvo programov ktoré sú tvorené nato aby sa v nich archivovali všetky Vaše hesla, no nezabudnite nato čo sa dá poskladať, to sa dá rozpitvať. Ja neodporúčam používať ale to je už Vaša záležitosť.

Ci uz hladate na internete materialy na tvorbu webovych stranok, alebo si len tak, raz za cas pozriete nejaky ten bezpecnostny portal, urcite ste sa stretli so slovami ako XSS alebo script injection. V tomto clanku sa na tuto problematiku pozrieme blizsie a predvedieme niektore chyby, ktorym by ste sa urcite mali vyvarovat.

Co to teda script injection je?

Ako uz nazov hovori, jedna sa o metodu vlozenia (napr. skodliveho) kodu, do webovej aplikacie, prostrednictvom nejakej bezpecnostnej diery v danej aplikacii. Netreba zabudat, ze pri pokuse o utok na webovu aplikaciu, su kozmeticke doplnky typu JavaScript absolutne neucinne.