Zabezpieczanie stron internetowych

Na fali ostatnich wydarzeń jakie miały miejsce w kraju czyli ataki na stronę KPRiM w związku z protestami ACTA przyjrzałem się bliżej zagadnieniu zabezpieczania stron internetowych. Natknąłem się na artykuł znajdujący się na stronie firmy zajmującej się projektowaniem stron internetowych . Przede wszystkim pierwsze co Mnie zaskoczyło to różnorodność możliwych technik ataku na stronę internetową. Ciemny charakter w takim przypadku ma multum możliwości zaatakowania strony, chciałbym zwrócić uwagę na jeszcze jedną często stosowaną technikę przez domorosłych i nieudolnych hakerów. Ostatnio miałem możliwość być potencjalną ofiarą takiego ataku jednak zabezpieczenia na serwerze na to nie pozwoliły. Haker atakował aplikacją server side napisaną za pomocą Curl i php. Jak działa taka aplikacja i jaka jest struktura oraz jak się dodatkowo zabezpieczyć budując stronę internetową? Celem ataku była próba dostania się do bazy danych. Agresor podejrzewał istnienie oddzielnego folderu dla phpmyadmina(oprogramowanie do zarządzania bazą danych SQL). W pliku tekstowym co linijka ma zapisane wszelkie możliwe nazwy folderów np:
/pma/index.php  /phpmyadmin/index.php  /pma-2.4-rc/index.php i tak dalej. Skrypt Curl po prostu przelatuje tą listę od początku do końca pliku, każdy adres dokleja do adresu naszej strony www. Curl pobiera Content w celu analizy, i jeżeli skrypt wyłapie słowo login to zapisuje ten adres bądź wyświetla jako trafienie. I wtedy Nasz agresor wie, że mamy PHP admina dostępnego z poziomu strony. Jest to dosyć częsty przypadek na serwerach współdzielonych lub resselerów. Po otrzymaniu informacji o istnieniu takiego adresu, agresor przystępuje do próby włamania atakiem słownikowym. Technikę taką również można stosować do wszelkiej maści wordpressów wpisując zamiast adresu pma /wp-admin /wp-login i etc i różne kombinacje. Po czym wykonujemy atak słownikowy. Jak się przed tym obronić?? Jeżeli mamy możliwość to koniecznie edycja .httaccess i dopisanie przekierowania po wpisaniu np adresu adresnaszejstrony.pl/pma/index.php skrypt zostanie przekierowany na stronę główną z powrotem. Jeżeli już instalujemy phpadmina to pamiętajmy o zmianie nazwy folderu na inną zamiast /pma dajmy /zdzichujeklopsy. Po takiej zmianie folderu możemy delikatnie wkurzyć agresorka :D tworzymy folder /pma na serwerze i plik index.php będzie to fałszywka. Umieszczamy w pole tekstowe z napisem login i zdjęcie trolla :D mina Naszego agresora powinna być bezcenna jeżeli z ciekawości zajrzy na tą stronę :D Po odkryciu próby ataku należy zabezpieczyć stronę dodatkowo i ustawić ignora na dany IP. To by było na tyle jeżeli chodzi o dodatkowe możliwości zabezpieczenia strony.

Wycieczki surivalowe do Polski :D

Artykuł będzie przygłupawy, niestety taki nastrój mnie dziś dopadł jak czytam wczorajsze wiadomości.  Wspaniale większość z was wie u nas w kraju ciężko się żyje. Dzisiejszego poranka zapaliła mi się żaróweczka i do głowy wpadła taka niezła idea. Wiemy już doskonale, że Polacy narzekają na problem promocji naszego kraju, że ciężko, biurokracja itd. Otóż może wystarczy poprosić rząd aby organizował darmowe wjazdy dla obcokrajowców. Coś ala surivalik :D Petent taki dostałby polskie obywatelstwo, 400 zł i lokum(przyp. wynajęte). Nagrodą główną jest powrót do własnego kraju  :D Ale by były jajca. Głupota wypływająca z początkowych zdań tego posta wynika z ukierunkowania mojej ironi dla obecnej sytuacji zarówno rządu, jak i tego co się dzieje w społeczeństwie obywatelskim. Posta tego napisałem zwyczajnie aby rozruszać paluchy i wprawić się w subiektywny i ponury nastrój z racji tego, że miałem dwa miesiące przerwy. Zaraz skrobnę jakiś konkrecik, bo mam parę pomysłów w głowie. Pozdrawiam stałych czytelników.

Co bym zmienił w swoim kraju?

Kiedyś zadałem sobie takie pytanie. Jak zmienić polską politykę, jak poprawić komfort życia w kraju. Jako zwykły Polak miałem mnóstwo odpowiedzi. Pierwsze co nasunęło mi się na myśl podczas obserwacji wyborów do sejmu. Czy w sejmie musi być tak dużo posłów? Założyłem że byłoby po 3 posłów z każdego województwa, to daje nam 48 posłów w sejmie. Wtedy drastycznie spadną wydatki na rządowe limuzyny, biura poselskie i utrzymanie. Za zaoszczędzone pieniądze w skali kadencji, z pewnością by powstało kilka nowych w pełni wyposażonych szpitali. Mniej miejsc oznacza również większe zaangażowanie podczas kampanii wyborczej. Na następnej kadencji polityk, który nieźle przeskrobał nie miałby już żadnych szans na reelekcje. Następna rzecz to zmniejszenie pensji poselskich. Skutkowałoby tym, że w sejmie by byli ludzie którzy chcą coś zrobić dla kraju, a nie tylko zarobić pieniądze i napchać kieszenie. 4 tys diety w zupełności by wystarczyło, aby odstraszyć zarobkiewiczów. Kolejna kwestia to wiek posłów. Poseł moim zdaniem powinien mieć nie więcej niż 30 lat. Dlaczego tak zapyta większość z was. Przede wszystkim młodzi wiedza czego najbardziej potrzeba w kraju. Wiedzą jak ciężko dostać lub kupić własne M, jakie panuje w kraju bezrobocie, że przyjaciele emigrują za chlebem. Młodzi wiedzą z jakimi problemami  boryka się przeciętny szary człowiek. Następne co rzuca się w oczy to pomoc państwa dla kościoła katolickiego. W żadnym wypadku!! Chce kościół głosić swoją naukę, nie ma problemu. Ale pieniędzy niech oczekuje tylko od wiernych. Ponadto, przydałoby się opodatkować kościół. Bo pieniądze jakie tam przechodzą bez podatku to są wielomiliardowe kwoty w skali kraju. Przyszła teraz kolej na ministrów. Obserwujemy teraz sytuację w kraju, kiedy ministrami zostają ludzie, którzy nie mają zielonego pojecia o danej gałęzi gospodarki. Więc nie ma się czemu dziwić, że drogi dziurawe skoro ginekolog jest ministrem transportu :) To było tak żartem :) Najważniejszą kolejną rzeczą była by reforma służby zdrowia. Bo to co się dzieje w polskich szpitalach i przychodniach to jest nie do pomyślenia. Ludzie czekają miesiące na zabieg, a drugie tyle czekają na zwykłą wizytę u specjalisty. Spowodowane jest to limitami NFZ-towskimi nakładanymi na szpitale. Najlepszym sposobem na rozwiązanie problemu byłaby likwidacja NFZ-tu. Pacjent by miał wtedy swoje prywatne konto, na te konto przelewane by były pieniądze składkowe, które płaci pracodawca. Kontami miałyby zarządzać prywatne fundusze zdrowotne, bo jak wiadomo co prywatne jest lepsze. Fundusz taki z pewnością by twoich pieniędzy nie marnował na głupoty jak to robi NFZ, tylko na twoje leczenie. O pomstę do nieba w naszym kraju również prosi się biurokracja. Powinniśmy brać przykład z Estoni, gdzie załatwianie spraw przez internet jest na porządku dziennym, a firmę można założyć poświęcając 20 minut na wypełnienie formularza na stronie państwowej. Skoro już jesteśmy przy firmach, to marne widać wsparcie państwa dla rozwoju nowych przedsiębiorstw. Na początku działalności zazwyczaj przedsiębiorca ma jedno zmartwienie. Zarobić na składki. Rozwiązanie problemu banalne mogę zaproponować. Przez pierwsze dwa lata brak składek. Oraz wariant B. Jeżeli przedsiębiorca zarobi w danym miesiącu 3 tys. brutto wtedy w danym miesiącu odprowadza składki. Jeżeli nie zarobi, wtedy zwolniony w danym miesiącu jest z płacenia składek. Taka ulga trwałaby 2 lata i byłaby jednorazowa. Tzn. po zakończeniu działalności i otwarciu następnej ulga by nie obowiązywała. Poruszyliśmy temat składek to zajmiemy się podatkami. Zdecydowanie jestem za obniżeniem podatku do 15%. Bo teraz praktycznie państwo zabiera połowę pensji, co wygląda brzydko, a pieniądze wykorzystywane są nieefektywnie przez państwo. Zamiast budować orliki, zajmijmy się ważniejszymi rzeczami, bo dosyć mam tych dziur na drogach i straconego czasu w przychodniach. Kolejne zbiorcze przemyślenia opublikuję w najbliższym czasie. Pozdrawiam

O kulturze po raz kolejny. W poszukiwaniu zaginionej sztuki i przekazu

Czasami nudząc się w domu, nawet nie mam ochoty włączać telewizji. Przyczyna tego faktu jest nadzwyczajnie prosta. Telewizja zbyt mocno się skomercjalizowała. Rzadko można zobaczyć w niej polski film zawierający w sobie jakikolwiek przekaz. Telewizja serwuje dla naszych mózgów płytką strawę. Seriale pozbawione jakiegokolwiek sensu. Np. "Samo życie", "M jak miłość" czy popularną "Dynastię" promującą kazirodztwo. Właściciele stacji starają się trafiać w jak największą grupę odbiorców, czyli młodzież. A młodzież to głównie nastolatki oczekujące niekończących się opowieści o miłości. Jedyny wyjątek wśród seriali mający jakikolwiek przekaz, serial który podpadł mi do gustu to Czas Honoru, przekazuje ponadczasowe wartości, które zostały zatracone w czasach panowania komuny, kiedy to sąsiad wsypywał sąsiada. Kolejna rzecz to teleturnieje, niegdyś znany "Miliard w rozumie" znikł już z anteny. 1 z 10 jeszcze jakoś się trzyma. Teleturnieje na myślenie, zostały zastąpione przez jakieś marne tandety typu "Taniec z gwiazdami", "Mam talent" nie wymagające myślenia. A chodzi tylko o to, żeby się przyjemnie oglądało. To tak jak z dziećmi w wieku 5 lat, musi ładnie wyglądać i nie męczyć mózgownicy. W tego typu występują zazwyczaj pseudo gwiazdy, wykreowane przez media lub tez wygasłe gwiazdy, nie mające szans na jakikolwiek angaż. Kolejna rzecz, która chyli się ku upadkowi to branża muzyczna. Miałem w pokoju zdjęcie zespołu "Lombard", który to śpiewał znany w całej polsce utwór "Przeżyj to sam". Pewnego razu podczas odwiedzin, mój znajomy się spytał "Co to za zespół na tym zdjęciu". Jak widać, wszyscy piosenkę znają, nikt nie wie jak wyglądają autorzy. Bajki również zeszły na psy, zamiast znanych i ciekawych smerfów, czy gumisiów lub toma&jerry'ego telewizja funduje homoseksualne teletubisie. W naszym kraju, aby zostać wielką gwiazdą niewiele trzeba. Wystarczy wyjechać za granicę, wrócić z   obcym paszportem i już jesteś gwiazdą. Jako przykład podam program "Europa da się lubić". Również przechadzając się po kiosku z gazetami, w większości mój widok napotyka szmatławce opisujące życie gwiazd. Co mnie interesuje z kim ktoś się żeni, czy kiedy na świat przyjdzie potomek jakiegoś aktora?? To nie moja rodzina więc mnie to w zupełności nie interesuje. Trzeba być nieźle szurniętym, żeby oglądać cudze życie zamiast zainteresować się własną przyszłością. Przykłady mogę mnożyć w nieskończoność, ale czytający już powinien zrozumieć mój tok myślenia. Jak będzie wyglądało przyszłe pokolenie skoro takie rzeczy teraz już ogląda?? Myślę, że nie uświadczymy już widoku wesołej kompani "Czterech Pancernych" czy Frania Dolasa bo na tym telewizja nie zarobi. Dla nich liczy się pieniądz, nie wartości i wzory przekazywane poprzez "czarne pudło". Ja włączę sobie wiadomości bo przynajmniej tam coś sensownego pokazują, może znajdę temacik na następny art. Pozdro. End.

Chrońmy kulturę - czyli język polski w biznesie i pracy

Przeglądając oferty pracy, w większości ogłoszeń pracodawcy stawiają wymóg; znajomości co najmniej jednego języka obcego. Zazwyczaj chodzi o język angielski. Nawet na stanowiska takie jak; praca na magazynie lub sortowanie śmieci. Będąc w swoim kraju, powinniśmy używać swego ojczystego języka; który to jest językiem pięknym, językiem wielu znanych na świecie poetów. Jesteśmy zmuszani do zatracania wartości narodowych, tego o co walczyli nasi przodkowie. W czasach obecnych, zamiast prób germanizacji państwo narzuca nam języj angielski. Nauka języka obcego, w polskich szkołach jest przymusowa. Również na rynku pracy, nie znając jakiegokolwiek języka obcego jesteśmy skazani na pracę na marginesie społecznym. Podobnie prowadząc interesy skazani jesteśmy na język angielski lub inny. Dowodzi to tylko jednego. Kontrahenta lub pracodawcę nie interesujemy jako człowiek, tylko jako maszyna dla pracodawcy  lub łatwy łup dla nieuczciwego kontrahenta z zagranicy. Gdyby naprawdę kontrahentowi zależało na interesach z nami, wtedy starałby on się rozmawiać z nami w naszym ojczystym języku. Dając nam tym samym do zrozumienia, że akceptuje naszą osobę jako polaka, nie narzucając nam, swoich norm w naszym własnym kraju. Za granicą byłoby to nie do pomyślenia. Weźmy np. Holandię lub Niemcy, tam bez korzystania z języka holenderskiego bądź niemieckiego masz marne szanse aby zrobić jakikolwiek interes. Jak widać Polacy stoją bezczynnie i bezmyślnie wobec rażącego ataku na polską kulturę. Zarówno ze strony państwa narzucającego nam normy, pracodawców oraz cudoziemców. Wyjeżdżając za granicę zazwyczaj staramy się poznać zwyczaje panujące w danym kraju, oraz kilkanaście niezbędnych zwrotów w języku obcym pozwalającym nam bez problemu zrobić zakupy, czy to zapytać o drogę. Staramy się nie być ignorantami wobec kultur innych krajów, chociaż tacy się też zdarzają. Jeszcze trochę a w telewizji będzie używany tylko język angielski, a za korzystanie z naszego rodzimmego języka będą nas obcokrajowcy wytykać na ulicy i w pracy. Boże, jeśli istniejesz miej nas w opiece ;) 40070bc53baae4d184393b1c808e7395

WOŚP gramy, gdy Państwo nie może

Jako że dzisiaj po raz kolejny gra Wielka Orkiestra Świątecznej Pomocy, to będzie coś o dobroczyności i charytatywności. 19 lat temu prezenter radiowy Jurek Owsiak dowiadując się, że w szpitalach nie ma sprzętu, żeby prebadać najmłodszych, ruszył z inicjatywą pomocy na antenie radia. I tak to już dalej poszło. Ludzie dzielili się swoimi pieniędzmi wspomagając co roku akcje Orkiestry. Również i politycy dzielili się oddając przedmioty na licytacje, oraz pieniądze. Co roku finał wośp pokazuje jakie są priorytety wydatków państwa na służbę zdrowia. Na ochronę zdrowia co roku przeznaczane jest ok 4 mln zł z budżetu państwa, zaś na administrację publiczną ok 2 razy tyle czyli w przybliżeniu 10 mln zł. Pozycja która najbardziej przyciąga moją uwagę to Różne Rozliczenia, kwota bagatela prawie aż 100 mln zł. Na co idą te pieniądze gdzie są wydatkowane? Kiedy służba zdrowia leży i kwiczy? Politytcy powinni brać przykład z chociażby Królowej Elżbiety, która zrzekła się części swojego wynagrodzenia na rzecz działalności charytatywnej. Chociaż ten jeden raz w roku. Gdyby nie orkiestra to kto wie jak wyglądałyby polskie szpitale teraz. Jurku dziękujemy. Oby do końca świata i jeden dzień dłużej.

Pozorne bezpieczeństwo czy system nie do złamania- czyli syndrom Linuxa :D

Było o systemie firmy MS to teraz będzie o systemach opartych na Unixach. Jeszcze nie tak dawno systemy oparte na Unixach były bardzo mało popularne. Były uporczywe w obsłudze, każdą komendę musiałeś wpisać słownie bądź też użyć kombinacji klawiszy. Jednak rewolucja nastąpiła wraz z wprowadzeniem gui(graficznego interfejsu). Wtedy to system zaczął docierać do coraz bardziej szerszej rzeszy użytkowników. Niestety również tych niedoświadczonych, rozpoczynających swoją przygodę z tym rodzajem systemu operacyjnego. Systemy oparte na Unixach bądź też Linuxy, są bardzo niebezpiecznym i praktycznym narzędziem w rękach doświadczonych informatyków, zaś dla zwykłego usera bądź początkującego admina zazwyczaj bywają zgubą. Za chwilkę wyjaśnię to pokrótce. Początkujący user zazwyczaj instaluje najpierw system, logując się potem na konto roota (no ba!). Następnie konfiguruje połączenie sieciowe (o ile mu się uda i się nie zniechęci :-)), i rozbieganym wzrokiem szuka ikonki internet explorera (w tym przypadku piszę o supernoobku ;-p). Nie znajdując IE, zadowala się więc liskiem(czyt.Firefoxem), przy czym wchodzi na przykładową stronę jestemidiotą.com ;-p Załóżmy, że strona taka nie lubi noobków, więc przeglądarce wypadałoby odpalić exploita na koncie roota :-D W tej chwili powinno już u tego usera być po zawodach, że tak się wyrażę :-p Dla kontrastu przedstawię tą samą sytuację dla użytkownika mającego już jako takie pojęcie o systemie. Na początku instaluje system, tworząc już na starcie konto z ograniczonymi uprawnieniami. Następnie zmienia lokalizację oraz nazwe pliku zawierającego zakodowane przy pomocy md5 hasła i nazwy użytkowników. Potem kompiluje na nowo jądro systemu, pozbywając się niepotrzebnych, niebezpiecznych i obciążających sprzęt, usług, demonów, modułów i sterowników. Tworzy system pod swoje potrzeby, z tego właśnie słynie linux, z elastyczności. Następnie konfiguruje demona firewalla, instaluje antywirusa(wszystko oczywiście odbywa się na koncie z ograniczonymi uprawnieniami za pomocą su lub sudo). Na koniec konfiguruje swój sprzęt, połączenia sieciowe, przeprowadza podstawowe aktualizacje i etc. Następnie wchodzi na stronę jestemidiotą.com i pokazuje goły tyłek hackerowi(zależy od skilla obydwóch stron). System Linux pomimo opini bezpiecznego, bywa zgubnym. Najsłabszym ogniwem zazwyczaj okazuje się człowiek, naginając bezpieczeństwo korzystania z systemu ile się da. System Linux bywa jednym z najczęściej łamanych i hackowanych na serwerach. Dlaczego taka sytuacja ma miejsce pomimo opini systemu bezpiecznego? Zazwyczaj to początkujący administratorzy stawiają na serwerach małych firm Linuxa, nie za bardzo wiedząc jak owy system zabezpieczyć. Profesjonaliści i hackerzy znają zazwyczaj ten system od deski do deski. Wiedzą gdzie szukać dziur i błędów, jak się dostać i spenetrować oraz zdobyć informacje przechowywane na serwerze. Tych rzeczy na przykład nie wie połowa administratorów, w małych lokalnych firmach, gdzie administrowanie opiera się na zainstalowaniu systemów i postawieniu domeny. Profesjonalista jest w stanie za pomocą, grepa, finda, przekierowania do strumienia i kilku poleceń skryptowych(perl, python) narobić niezłego bałaganu na niejednym serwerze. Wybór Linuxa następuje najczęściej pod wpływem oszczędności, większość kodu jest darmowa oraz otwarta i rozpowszechniana na zasadach gpl. No i właśnie w tym szkopuł, aktualizacje dziur następują w zależności od kaprysu linuxowej społeczności. Kod również jest otwarty więc można w dystrybucji różne ciekawe rzeczy wrzucić i wcisnąć laikowi. Co do pisania wirusów na owy system to faktycznie, mało tego jest, ale to chyba na skutek niepisanej umowy pomiędzy użytkownikami linuxa. Bo większość wirusów jest autorstwa właśnie użytkowników owych systemów.