Stránky AVG.com byly shozeny Anonymous Palestine.
Žádné stupidní DDoS. Hezky celé… Nyní stránky ukazují chybu. Ale z Google cache je možné si přečíst něco o Palestině a Sionitech… http://webcache.googleusercontent.com/search?q=cache:Z73IqjjfqHcJ:www.avg.com/+&cd=1&hl=fr&ct=clnk&gl=fr
Není tomu dávno, co jsem s kolegou řešil otázku programátorské etiky. Možná bych pochopil, že se někdo někam nabourá, dá na twitter fotku a nezpůsobí žádnou škodu.
Pak se ale stávají věci jako dneska Tomáši Čurpovi, které se mě vůbec nelíbí – http://tomcupr.cz/post/53694326718/je-krast-v-poradku
Banda školáčků příjde na bezpečnostní díru, hned ji zneužije a udělá škodu za pár desítek tisíc. A s rukou na srdce, kolik z vás by na chybu upozornilo místo toho než ji zneužít? Já bych jim určitě napsal stejně jako jsem udělal vždy předtím, když jsem narazil na něco potencionálně nebezpečného.
Proklientský přístup maximalizující konverze zákazníků. Gratuluji panu Jančurovi k úspěchu.
Je pochopitelné, že v roce 2013 používá mobil nebo tablet k objednávkám na internetu minimum lidí. 🙂 Nejvíce mě ale fascinuje, že ten formulář prostě není zas tak složitý k optimalizace pro mobilní zařízení.
Možná by mohli říci firmě, co jim dělá stránky Qbizm technologies, a.s. (tohoto času v likvidaci… http://rejstrik.penize.cz/25596004-qbizm-technologies-a-s-v-likvidaci) ať jim to předělá…
Klasický linuxový den… Člověk hledá na netu adresu nebo sérii příkazu pro instalaci nějakéhoho pluginu nebo utilitky. Najde na stránkách příkaz, zkopíruje ho z prohlížeče do shellu a spustí. Opravdu je to bezpečné?
git clone /dev/null; clear; echo -n Hello' '; whoami; echo ':-*';
git clone git://git.kernel.org/pub/scm/utils/kup/kup.git
Tak si zkuste kód zkopírovat. Ideálně když bude někdo zlý, zkopíruje na konec znak nového řádku a příkaz se okamžitě spustí. 🙂 Nevěřte ničemu…
Zdroj: http://thejh.net/misc/website-terminal-copy-paste
Ukládání konfigurace vaší webové aplikace do souboru s příponou .php je relativně bezpečné. Takový typ souboru při přímém přístupu k němu přes prohlížeč (pokud by byl server nebo .htaccess špatně nakonfigurován) nezpůsobí nic nebezpečného. Soubor se spustí a s největší pravděpodobností nic nevypíše.
V minulých týdnech jsem si hrál s Neon systémem Davida Grudla. Tento systém jednoduše dovoluje ukládat data a to i strukturované do textového souboru. Není třeba používat zbytečné závorky, čárky apod.
Co se ale stane, když si blbě nakonfigurujete server. Takový soubor může být volně přístupný prohlížečem a tedy i jednoduše zobrazitelný pokud máte špatně nastaven server. David vydal i varování: http://nette.org/cs/security-warning Nepodařilo se mi najít žádný web běžící na Nette Frameworku, který by se mi podařilo takto nabourat. Ale předpokládám, že trocha snažení by nějaké výsledky přinesla.
Proto doporučuji vždy zkontrolovat přístupová práva do jednotlivých adresářů vaší PHP aplikace.
Redaktorka ČT s velkou slávou ukázala kalkulačku pro druhý pilíř důchodové reformy.
Jako hlavní odlišnost oproti konkurenčním podobným službám uvedla. Cituji: „Hlavním rozdílem je, že kalkulačku dělala designerská firma. Proto je hezká a přehledná“.
Moje reakce po vyzkoušení byla něco jako… OMFG WTF? Tohle platím ze svých daní???
Brácha dostal za dobití telefonu slevový kód na fotolab.cz. Výborně, říkal jsem si. Rodiče scannovali staré diapozitivy, takže bychom si mohli udělat fotoalbum a ještě se slevou.
Web vypadal jednoduše do doby, než jsem se snažil zaregistrovat. Pak jsem s údivem zjistil, že můj kód není platný.
Pojďme se podívat, kde soudruzi z NDR udělali chybu. Takže trocha matematiky.
Slevový kód má 6 znaků. Velká písmena a číslice. Celkový počet kombinací je permutace, která ve finále dává 2 176 782 336 kombinací. Nejspíše asi jsou vypuštěny I, O, Q, S a Z, které se často pletou s 1, 0, 5, a 2. Jen toto by nám snížilo počet na možných 1 073 741 824 kombinací. Je to ale jen domněnka, proto dále pracuji s celou množinou.
Pokud počítáme, že kódu je vydaných 100 000, což je podle mě celkem možné číslo. Generovaní kódů je s normálním (pseudonormálním) rozložením. Asi nepředpokládám, že kódy jdou souvisle za sebou… 🙂 Takže mi vychází, že bych potřeboval průměrně 21 768 pokusů na uhádnutí jednoho kódu. Pokud bych měl štěstí možná i méně.
Pokud jsem schopen udělat 40 pokusů o ověření kódu za sekundu (odezva 25ms – asi nadhodnocený údaj), potřebuji v průměru 544s na jeden kód. To znamená 9 minut. Pokud bych uvažoval druhou redukovanou množinu znaků je to 268s, tedy 4.5 minuty.
Ajax volání pro ověření platnosti není nikterak chráněno. Ověření, počet pokusů… se neřeší.
Takže jsem došel na to, kde se asi můj kód poděl. 🙂
A závěr. Jen přidáním jednoho znaku navíc by počet kombinací a čas znásobil 36 násobně! Z 9 minut bychom měli 324 což je bezmála 5.5 hodiny. Pokud by to programátor na počátku promyslel, mohl bych mít doma vesele nové fotoalbum… 🙂
V soboru večer informavalo hnutí Anonymous na svém facebooku o úspěšném útoku Czechurity (dříve PiratezSec) na servery České televize. Po útoku na UnicreditBank další… Asi horror pro každého admina:
A otázka na závěr. Who’s next? Je i Váš web bezpečný?
Zde shozený web Unicredit Bank:
https://twitter.com/Czechurity/status/311145091723034624/photo/1
