Hakeri, blogeri i srećna nova 2012

Početkom ove, 2011 godine, krenuo sam sa pisanjem. Nakupilo se 10 tekstova, uglavnom na stručne teme. Ideja ima na pretek, pa ukoliko imate volje i umeća javite se, konkurs je uvek otvoren :)

Tri najčitanija posta u 2011 su, redom:

Pomalo neočekivano na listi nema .NET Stringova, a najposećenija stranica na blogu je about stranica, očigledno vas zanima ko stoji iza Bug-a, nisam siguran da li je to pozitivno ili negativno :)

Ono što je obleležilo 2011 na Bug.Rs, nije ogromna popularnost mojih postova ;), već hakerski napad. Tačnije neko je iskoristio sql inject propust u wordpress-u da izmeni administratorsku lozinku, zatim je zamenio naslovnu stranu nekom svojom porukum, tj. uradio je tzv. deface sajta.

Prosečan bloger i wordpress

WordPress nije baš poznat po sigurnosti, tako da ukoliko želite da imate jako siguran sajt, otporan na ovakve napade, nemojte koristiti wordpress.  Sa druge strane, prosečan bloger koji, ako baš bude stani pani, može sve svoje postove da izvuče iz google cache-a, pre svega ceni platformu koja mu štedi vreme i novac, a takođe nudi i puno različitih tema, dodataka, plugin-ova i ostalih džirlo zezalica.

Hakeri prodavci

Činjenica da sam zaštitio backend stranice korisničkim imenom i šifrom, pored toga što ima za cilj da spreči naivne pokušaje izmene sadržaja, pre svega ima za cilj da pošalje poruku “ovo je moje”. Da prevedem na offline svet, Bane Sombor cilindrični ulošci nisu baš najsigurniji, tj. verujem da ima ljudi koji znaju da ih slome, otključaju ili šta već. Međutim, zaključan stan šalje jasnu poruku da vlasnik ne želi da ulazite u stan bez njegove dozvole, iako možete da razbijete vrata. Nije neophodno da koristim neki skup sistem da bih poslao poruku, ne ulazi unutra!

U odbranu našeg prijatelja, stručnjaka za sigurnost, on nije uradio ništa preterano maliciozno, promenio je šifru, izmenio home page, ali nije brisao ništa od podataka. Moglo bi se reći da je na nevaspitan način viknuo: “mogu da slomim tvoj cilindrični uložak”.

A sada najzanimljiviji deo, sudeći po poruci koju je ostavio na sajtu, naš stručnjaka za sigurnost je pokušavao da proda svoju uslugu, ostavljajući čak i svoju email adresu!? Da ukratko prepričam, poruka je glasila: “vaš sajt ima sql inject propust, vidite šta može da se desi, mi se bavimo rešavanjem takvih problema”. Otprilike kao bravar koji bi reklamirao svoju uslugu tako što otvara stanove po kraju i priča kako su njegove brave mnogo bolje.

Stručnjače za sigurnost nemoj to da radiš! Ne želim da poslujem sa nekim kome je etika na tom nivou da upada u tuđe stanove, a verovatno postoji rizik i od ozbiljnijih posledica.

Konstruktivan predlog za stručnjake za sigurnost je da kada nađu neki sigurnosni propust, obavezno prijave uočeni propust razvojnom timu, i aktivno učestvuju u rešavanju problema. Uz puno rada i malo sreće verujem da će struka i klijenti znati da cene njihov doprinos i znanje.

Nova godina

Nadam se da će Bug.Rs rasti i naredne godine, obećavam još postova, nadam se da će biti i zanimljivi i po kome korisni. Hvala svima na podršci, pre mojoj porodici koja toleriše izbegavanje kućnih obaveza, kao i prijateljima i kolegama koji čitaju cenzurišu, popravljaju, podržavaju, lajkuju i šeruju ;)

U novoj godini vam želim da budete zdravi, dobri i srećni.

Pages:

Leave a Comment

NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>