Olguta la tranta cu internetul

Olguţa Vasilescu fost senator PRM actual senator PSD vrea sa initieze o lege prin care  injuraturile, obscenitatile, amenintarile ce apar pe internet sa fie monitorizare de o structura a statului. Iar ca propunere ar fi CNA-ul.

Initial am vrut sa ma abtin de la comentarii pentru ca mi s-a parut cel putin hilar modul in care a fost pusa problema.
Sa comentam un pic problema din punct de vedere tehnic:

  1. Un site “mare” ( agentie de stiri , site de televiziune , forum ) are cel putin 5000 de comentarii. Presupunind ca exista un om numit in continuare Georgel care citeste/aproba la fiecare  30 secunde un comentariu ar insemna ca Georgel va munci 41 de ore. Asta ar insemna de fapt ca Georgel este de fapt 5 Georgei. De 5 ori Georgel. Pentru un site mare. Avand in vedere ca sint cel putin 100 de site-uri mari asta inseamna din start 500 de Georgei care sa monitorizeze / modereze comentariile. Un Georgel cu un salariu mediu de 1000 de ron ar insemna o cheltuiala de 500.000 RON pe luna ( asta net ) … Daca vreti sa calculati brut exista calcutatoare de la net la brut pe net dar o sa va speriati…Aici ar fi de discutat daca problema se paseaza la ownerii de site si aruncarea costurilor catre privat dar nu povestim despre asta acum.
  2. Presupunind ca se gaseste o solutie pentru 1. urmeaza intrebarea . Ce face moderatorul cu comentariul ? Blocheaza IP-ul ? Sau nu aproba comentariul ? Daca blocheaza ip-ul avand in vedere ca exista open proxy-uri , renew la lease-ul de DHCP , zombie bots in cit timp credeti ca vor aparea nu 100 ci 100000 de posturi identice sau similare venite de pe n ip-uri ? Problema de secunde pentru un script kiddie cu o minima experienta. Daca nu aproba comentariul se poate intimpla acelasi lucru . Respectivul posteaza o gramada de comentarii astfel incit sa omoare orice incercare de moderare in timp util. Daca a postat 200.000 de comentarii intr-o ora a linisitit orice incercare de moderare indiferent de numarul de angajati. Exista metode a contracara o parte din efecte dar nu exista o metoda 100% safe a opri acest lucru
  3. O alta problema de ordin tehnic este faptul ca site-urile au fost programate diferit utilizind frameworks sau nu, folosind limbaje de programare diferite, cu baze de date diferite . Accesul unei structuri ale statului la bazele de date interne ale unei companii mi se pare aberanta. Pentru ca practic la asta duce aceasta lege.
  4. Din punct de vedere etic ce opreste aceasta structura a statului sa nu intervina in mod abuziv in niste comentarii . Ce opreste aceasta structura sa nu publice de exemplu pe un site un comentariu cum ca “Am o caseta cu basescu ca a batut un copil” si pe alt site sa-l lase sa treaca ? Faptul ca un moderator e “responsabil” ? Sau nu.
  5. Un sistem automat de moderare bazata pe keywords exista. E folosit pe aproape tot ce inseamna blog in Romania. Si este eficient in proportie de 95 – 96% . Deci nu e bullet prof .
  6. Ce credeti ca opreste un owner de site sa isi mute site-ul in mod anonim in Taiwan , China , Rusia sau alta tara  si sa eludeze astfel reglementarile din Romania ? Nimic …

Acuma avand in vedere cele 6 lucruri de mai sus … ia incercati sa scrieti pe o foaie A4 cu font de 14 o lege care sa reglementeze acest aspect … Ce-mi plac mie legile care se fac la stilul “ca asa mi s-a sculat mie de dimineata”. Olgutaaaaaaa s’audeeeee ? Intreaba si tu un specialist inainte de a deschide gura … Ca dupa faza asta o sa ajungi ciuca misto-urilor pe internet.

Noapte cu luna plina

Noaptea cu luna plina nu prieste serverelor. Probabil din cauza insomniacilor care in lipsa de alte distractii “se dau” pe site-uri. Serverul de baze de date de la evz.ro se pare ca a intrat in greva.

Si nu da semne ca lasa pe cineva sa se apropie de el. Probabil se manifesta ca un taur ranit atacat din toate partile si scuipa erori pe unde poate. Dar vedeti voi … Din toata “distractia” asta aflam lucruri intesante.

Ce anume e interesant la o eroare ? Aparent e o bucata de text fara importanta. Privind mai cu atentie aflam ca:

  • Aplicatia din spatele evz.ro foloseste mysqli
  • calea absoluta catre fisierele site-ului este /var/www/localhost/htdocs/
  • calea relativa catre include files este: libraries/clases iar php-ul care face conectarea la baza de date este database.php

” Asa si? ” veti intreba … La ce ma ajuta pe mine asta ? Pai … in primul rind poti sa-ti faci o idee despre ce este in spatele site-ului ( din punct de vedere tehnic ). In al doilea rind o eroare de genul asta da informatii utile pentru un audit de securitate. Si nu numai. Eu am tot repetat … NU AFISATI ERORILE end-userului. Niciodata un enduser nu ar trebui sa vada altceva decit ati intentionat voi sa se vada. Pentru ca nu toti utilizatorii sint binevoitori. Dimpotriva.

Ma duc sa urlu la luna ….. Auuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu

P.S. Cit timp am scris articolul, insomniacii navigatori si-au baut ceiutzul de tei si au plecat la culcare iar serverul lor de mysql de la evz a reusit sa traga o gura de aer in pietul lui mic si plin de ventilatoare.

Sau poate i s-a administrat un tranchilizant la procesor ?

Antena3 reloaded

Antena3 strikes back. Un nou concept despre cum sa atragi mult mai multi vizitatori.  Iata despre ce e vorba:

Daca pui o imagine png pe prima pagina oare se rezolva ceva ? Oare indexeaza mai bine google-ul ?

Dupa 5 minute vad ca si-a revenit ( site-ul actualizat acum 38 de minute ) . Really, really ? puteam sa jur ca acum 5 minute site-ul arata altfel. Sau poate imaginea png care genera eroarea de mai sus nu face parte din actualizare. Sau ii ataca miliarde de hackeri ?

Intrigat de descoperire am decis sa mai sap un pic prin sait. Wow. Transmisie mai buna decit HD … Se cheama NT ( noise technology ) . Unde ? La ei pe site .. click pe “La ordinea zilei” si apoi alegeti 24.08. Sau aici link
Pe vremuri cind in loc de antena aveam un cerc de aluminiu bulgarii se prindeau mai bine decit imaginea din clipul de mai sus.

Nu comentam asupra faptului ca se foloseste ip ( 85.9.12.243 ) in loc de un record normal in dns. O sa zica lumea ca sint cirotas. Dar cel mai interesant fenomen se intimpla daca in loc de variabila day=24 se pune un day=a24. Ghiciti ce se intimpla ? Brusc html-ul generat de watch3.php se termina imediat dupa un div. In traducere libera … Programatorii nu verifica variabilele .. E a doua oara cind antena sufera de acelasi sindrom …

Din nou la tv

Daca va era dor de mine am vorbit un pic despre atacul phising lansat

[flv]http://web3.protv.ro/assets/protv/2008/04/30/articles/bancpost.flv[/flv]

Ce nu a intrat in material:

  • Intr-o singura zi formularul fake a fost completat de 27 de ori . Din cele 27 de completari , 3 par a fi completate real.
  • Indivizii nu si-au protejat deloc paginile. Un simplu edit de URL si se puteau vedea toate fisierele , respectiv downloada fisierul cu cardurile completate.
  • paginile au fost hostate pe un server Windows ( aviz amatorilor de servere windows in internet )
  • Serverul ISS e hostat in USA
  • cei care au lansat atacul par a fi cei in care au fost si in spatele atacului asupra Bancii Transilvania ( se vede in sursa paginii html )
  • Nivelul de programare al baietilor pare a fi extrem de scazut. Un singur php care scrie un fisier. Nu cred ca are mai mult de 20 linii de cod.

Oricum trebuie sa recunosc ca Bancpost-ul s-a miscat foarte repede. Ceea ce e foarte bine .

Sfaturi:

  1. NU intrati pe pagini pe care nu le stiti.
  2. NICIODATA o banca nu va cere PIN-ul . Deci daca vedeti ceva care seamana cu pagina bancii si vi se cere pinul NU IL COMPLETATI.
  3. Verificati URL-ul pe care intrati. Daca nu e al bancii … inseamna ca nu aveti ce cauta acolo.

ApacheCon 2008


9 – 12 aprilie voi fi prezent la ApacheCon 2008 , Amsterdam . Voi participa la urmatoarele topicuri:

  • Apache HTTP Server Performance Tuning
  • Load-balancing with Apache HTTPD 2.2 and later
  • Scaling the download infrastructure with your success
  • Hardening Enterprise Apache Installations Against Attacks
  • Web Intrusion Detection with ModSecurity
  • Deploying Grid Services using Apache Hadoop
  • Apache 3.0 (a tall tale)

Poze , impresii si tutoriale cind revin.

Astazi pe scurt

  • Am postat pe security.tfm.ro “Analiza securităţii site-urilor realizate de MC ( media concept )”
  • ProTV inaugurează noul studio de emisie . Mai multe aici. de asemenea jurnalul se poate urmări live pe internet aici.
  • Scarlatescu anunţă aici caFitYourBusiness a câştigat un concurs Neogen. Cata a descoperit erori grave de programare in acest site . Articolul complet aici. Din cite am citit câştigătorul a fost selectat de echipa formată din calin fusu (ceo), noro (mk +neogen), dan frunza (mall), ana barbuneanu (bestjobs). Ei nu ţin seama si de securitatea unui site ? Anyway a biiiiiigggggggg “SHAME ON YOU” . Si uite aşa îmi mai fac nişte prieteni 🙂