April 2009

You are currently browsing the monthly archive for April 2009.

suggest

Nepotrebna naglašavanja i obaviještenja

26. April 2009. in Blog | 2 comments

Jutros, tačnije oko pola jedanaest, dok pravim doručak, upalio sam neki naš radio da slušam. I taman što sam se uključio, počinje neka emisija, nešto sevdah, i ispunjavaće muzičke želje. Ali odma iza toga uvoda, naglašava da se radi o muzičkim željama sevalinke.

Ja se u tom momentu pitam, zašto je to potrebno naglasiti, ako se već naziv emisije zove nešto oko sevdaha. Ali nakon drugog poziva sam dobio odgovor na svoje pitanje. Zove tip, i želi da mu se Šaban pusti.

Ja nisam sada nešto posebno muzički obrazovan, a nisu biće ni ostali, pa dopuštam sebi da komentarišem i reagujem na ovaj način, ali ja sam mislio, da Šaban nije sevdalija.

Isto tako, sjećam se slične situacije, sjedim i slušam tako ujutro radio neki, mislim da je bio Radio Kalman, i weekend je, pa su neke vijesti gdje obaviještavaju informacije oko policije predhodnu noć, koliko je intervencija bilo i tako to. Nakon čega dolazi stanje na putevima, i tu speaker govori, da su putevi glatki i da se pazi kod preticanja. Kontam, zašto je potrebna ta informacija? Zašto se naš narod mora o banalnim stvarima obaviještavati i upozoravati.

Ali siguran sam da je imao razloga to reći. Jer sam vidio kako se vozi i pretiže dole. Dole prestizanje nije mogućnost, već pravo. Ulijeće se izlijeće se kako kome prahne, pa ti koći, jeste nekoga briga. Smiješno i žalosno u istu ruku.

Tags: , , , , , , , , , ,

help

Šta ti radiš da osiguraš svoj blog?

24. April 2009. in Znanje | No comments

Neki dan sam vidio kod AmilaBosnae da je imala napad na blog od strane nekog egipćana ili njih više, pa me je to bacilo u razmišljanje da skontam kakva se bagra vrzma u mene po postovima.

Nije da me nešto posebno interesuje, ali želim da eliminiram takve, ne sa moje stranice, već i sa interneta. Već duži niz godina prijavljivam spam botove i postavljam im zamke pomoću kojih ih hvatamo. Više o tome kasnije.

Instalirao sam neke security dodatke (plugins) za WordPress i pregledao instalaciju istoga. Sve je kao što sam i očekivao bilo u redu, ali sam ipak dodao par još stvari.

Ono što se Amili desilo, ne znam jel do nje bilo, do WordPress verzije, ili do nečeg trećeg.

  • Do Amile je moglo biti to da je imala lošu lozinku. Ali sam se uvjerio da lozinka nije loša bila barem ne za WordPress. Može biti da je Windows imao neki propust pa joj je ukrao lozinku.
  • Druga stvar može da bude, da je WordPress instalacija bila zastarijela, a pored toga imala i neke propuste koji su zakrpljeni u novijim verzijama, ali ne u baš njenoj verziji. Važno je uvijek imati najnoviju verziju programa.
  • Trece nešto je moglo da bude to, Amila se nalazi na serveru kojeg dijeli sa drugim korisnicima. Ako je ona imala pogrešne postavke za svoju mapu, i drugi korisnici imali pristup mapi moglo se na taj način uletjeti.
    Na modernim operativnim sistemima svaki korisnik ima ili moze da ima zaštićenu mapu kojoj samo on ima pristup, i članovi administracije. Ali ako taj korisnik namjerno ili u neznanju postavi da su te fascikle dostupne svima, onda neko može da pomoću malog znanja zloupotrijebi taj slučaj i izbriše/izmijeni sadržaj tih fascikla i datoteka. I svi dokazi koje sam ja vidio su ustvari vodili na to da je ovaj slučaj bio krivac da je taj napad uspiješan bio.

Ali kako je to moguće?

Pa vjerovatno ovako. Kao što već rekoh, taj blog se nalazi na serveru kojeg jedna mušterija ustvari dijeli sa više mušterija. Najvjerovatnije više hiljada mušterija. Oni svi imaju neki sistem oko naziva pojedinih mapa i korisničkih imena, jer to mušterije u većini slušajeva nemogu da sami odaberu. Tako kada kupiš mjesto na tome serveru, obično ti bude korisničko ime isto kao i domen koji je asociran sa tim korisničkim imenom. Znači, kupiš domen.ba i tvoje korisničko ime će biti “domen.ba”. Jednostavno za upravljati, još jednostavnije za mušteriju i za upamtiti. Ali isto tako jednostavno za napadača da masovno napada sistem sa jednom alatkom i od desetine hiljada korisnika neko će da napravi neku grešku i onda potencionalno imaš sistematski napad na sve mušterije.

Neki napadač je vjerovatno uletio nekome, na neki način na FTP konto, preko kojeg je mogao da lansira napade na druge mušterije, jer već sada zna dovoljno dosta o sistemu da može lansirati napade. Nemoraju oni davati ploda, ali je mogućnost tu. Kod amile je njena fascikla bila dostupna cijelom tom serveru, jer je imala čitaj/piši prava za cijeli server.

Znači, napadač je uletio nekome, i sada zna da svi korisnici imaju ista korisnička imena kao i domene. Sa malo muke i znanja može da dobije sve domene, a time i korisnike, koji se nalaze na tome serveru. Onda može da posjećuje ili skanira te domene i skonta koju verziju content-management sistema (CMS) koriste. Recimo da je tražio ako može listati sadržaj fascikla ovih korisnika. Pri tome je naletio na amilinu fasciklu i vidio da može da lista sadržaj. Vidio je ubrzo i da može da piše.

A zašto je u Amile fascikla imala prava za čitanje i pisanje od strane drugih korisnika?

Vjerovatno prilikom instaliranja WordPress-a je ona lično postavila takva prava ili je administracija servera napravila neke module gdje se WordPress instalira automatski, a pritome izostavila taj mali lapsus koji je koštao Amilu napada.

Pa s toga, nikada ne treba imati čitaj/piši prava na fasciklama osim ako baš ne želiš da svako može da zaviriva tu i vidi šta ima.

Šta sam ja uradio kod sebe?

Kao što rekog, pregledao sam i ja svoja prava. Nikada ne škodi pregledati stvari par puta, da se gradivo utvrdi. To je bilo svom srećom u redu kod mene. Ali nisam tu stao. Želio sam da vidim šta se vrzma i šta pokušavaju da učine.

Instalirao sam dodatak za statistiku, kako bih mogu vidjeti ko dolazi, gdje dolazi, i šta radi, ili šta pokušava. Nakon toga, sam zaštitio admin sekciju sa dodadnom lozinkom koja je na samom serveru. I ovo služi kao dodatni sloj sigurnosti za napade sa vana.

Pored toga, prateći statistiku izgrađivam dodatne mjere, gdje sortiram korisnike od botova.
Korisnici završavaju na blogu, a botovi idu na “teglu meda” (eng. honey pot), gdje ih čeka analiza i prijava na crne liste, širom interneta. Tako ih hvatam, kako bi drugi koji koriste ove sisteme mogli da imaju dobit od mog “truda”, a vice versa. Kolaboracioni sistem za suzbijanje majmunluka na netu.

I sve to opet ne garantuje da je moj blog siguran, ali eto eliminišem neke stvari koje se često koriste, a ne zahtijevaju aman zaman vremena da se učine. Pa onda zašto da ne?

Evo jedan važan dodatak za .htaccess datoteku u WordPress instalaciji.

Options -Indexes
<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>

Prva linija Options -Indexes će da kaže serveru da ne prikaziva sadržaj fascikla koje nemaju neku index datoteku, kao recimo index.html ili index.php, i time otkrivaju sadržaj fascikla.

Ostale tri linije su za zaštitu wp-config.php datoteke. Tako da niko sa neta nema pristup njoj. Samo server, lokalno.

Druga stvar je da se recimo wp-admin fascikla zaštiti sa lozinkom. Više o tome ovdje.

notice

Tags: , , , , , , , , ,

store
podcast

Očekivanje pojedinih…

21. April 2009. in Blog | 3 comments

Radim u hotelu i imam dosta kontakta sa gostima širom svijeta, i tom prilikom sam primjetio par stvari, kod pojedinih nacija. Dođu ti i pričaju ti na svom maternjem jeziku. Pitam se zašto? – Mislim, predpostavljam zašto, jer vjerovatno ne znaju neki drugi, zajednički jezik pomoću kojeg bi mogli da komuniciraju. Ali potruditi se barem? – Ne to nije opcija.

Recimo, francuzi i njemci, su poznati po tome da ne žele pričati engleski u svojoj državi, jer su ponosni svojim jezikom i očekivaju da poznaješ lokalni jezik. Donekle ih i razumijem, vele sile su bili, i sada su.

Također je sasvim u redu, što se mene tiče da ne znaš stranih jezika, hrpu jednu. Ne može svako znati sve, ali kao što rekoh, probati komunicirati. A ne očekivati da svako drugi zna tvoj jezik. To je ustvari ono što me čudi.

Često mi se desi dođe gost i počne mi nešto mrmljati na italijanskom ili španskom. To su ustvari te dvije najgore nacije koje očekivaju da svi drugi znaju njihov jezik. Priča meni talijan na talijanskom, ja ga lijepo zamolim i objasnim da ne razumijem, ali i dalje se nastavlja italijanski. Isti je slučaj sa španskim.

Ja na to počnem ili na danskom onda da pričam, ili na bosanskom. Ono koji ti je đavo, ako ćeš ti na svome, mogu i ja na svome. Pa ćemo vidjeti dokle će mo stići. I kome će prije dosaditi. Meni pravo zabavno, dok me kolege gledaju u čuđenju kao, zašto pričam danski sa špancem, ili bosanski. Bosanski je i njima crn, pa se onda pitaju, šta mi bi?

Čak imam kontakta i sa ljudima iz istočne Evrope, “nepismeni” ljudi, u očima ovih “evropljana”, i oni znaju da nemogu očekivati da ja znam, rumunski, bugarski ili šta već. Oni i ako nekad ne znaju engleski, pokušavaju. Također slučaj sa arapima i ljudima još dalje udaljeni od “civilizacije” Evrope. Samo eto pojedini evropljani imaju dovoljno tog nekog nacionalnog ponosa da oni mogu, i uzimaju sebi za pravo, da zahtijevaju/očekivaju od drugih da se priča na njihovom maternjem jeziku.

*Zvoni telefon*
*Javljam se*
*Rumendžanje na španskom*
- “I am really sorry, but I don’t understand spanish”.
*Rumendžanje na španskom*
- “Ma daj koji ti je, ne razumijem Vas kada pričate na španskom”!
*Spusti se slušalica*
*Hmm, možda razumije bosanski”?

Tags: , , , , , , ,

partner
faq
help