пропозиції роботи
Michał Sajdak Securitum.
Temat: wykop DB compromise
http://www.wykop.pl/blog/post/55atak jak atak.
bardziej byłbym ciekaw ile jest tego typu ataków w PL, wykonywanych przez "pro" włamywaczy, ukrywających skutecznie sam fakt włamania...
atak jak atak.
bardziej byłbym ciekaw ile jest tego typu ataków w PL, wykonywanych przez "pro" włamywaczy, ukrywających skutecznie sam fakt włamania...
Michał Ławicki dostawca zadowolenia
Temat: wykop DB compromise
żeby to jeszcze był jakiś atak, a tu "po prostu" ktoś zapomniał dać hasło na admina db ehh
Michał
Panasiewicz
Administrator
systemów, sieci i
aplikacji.
Michał Sajdak Securitum.
Temat: wykop DB compromise
Michał Ławicki:
żeby to jeszcze był jakiś atak, a tu "po prostu" ktoś zapomniał dać hasło na admina db ehh
w sumie to dosc czesty case, atakuje sie serwer testowy (wiadome - mniej zabezpieczony, czesto udostepniony public, bez ograniczen), a pozniej na podstawie pozyskanej wiedzy (np. luki) przenosi atak na produkcje.
tutaj widać było jeszcze prościej, bo nawet nie trzeba było nigdzie tego ataku "przenosic" ;-)
Michał
Błaszczak
Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...
Temat: wykop DB compromise
Michał Sajdak:
http://www.wykop.pl/blog/post/55
bardziej byłbym ciekaw ile jest tego typu ataków w PL, wykonywanych przez "pro" włamywaczy, ukrywających skutecznie sam fakt włamania...
Oj jest wiele takich ataków. Nie wiem czemy tylko użyłeś stwierdzenia "pro" ? "Atak jak atak", jest PRO kiedy jest skuteczny.
Michał Sajdak Securitum.
Temat: wykop DB compromise
Michał Błaszczak:
Michał Sajdak:
http://www.wykop.pl/blog/post/55
bardziej byłbym ciekaw ile jest tego typu ataków w PL, wykonywanych przez "pro" włamywaczy, ukrywających skutecznie sam fakt włamania...
Oj jest wiele takich ataków.
Czy masz może jakieś konkretne dane, czy tylko przypuszczasz? ;-)
konto usunięte
Temat: wykop DB compromise
hehehehe ;)I się doigrali w końcu ;P
Edit:
Ale jaki to włam, skoro "zamka" brak,
a "drzwi" otwarte?
xDMarcin B. edytował(a) ten post dnia 06.09.09 o godzinie 14:47
Michał Ławicki dostawca zadowolenia
Temat: wykop DB compromise
Michał Sajdak:
w sumie to dosc czesty case
Generalnie tak jest, że im atak prostszy tym więcej serwisów jest podatnych. Wszyscy koncentrują się na tworzeniu super zabezpieczeń na super ataki zapominając o tych najprostszych, które również mogą wyrządzić wiele szkód.
Michał
Błaszczak
Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...
Temat: wykop DB compromise
Michał Sajdak:
Michał Błaszczak:
Michał Sajdak:
http://www.wykop.pl/blog/post/55
bardziej byłbym ciekaw ile jest tego typu ataków w PL, wykonywanych przez "pro" włamywaczy, ukrywających skutecznie sam fakt włamania...
Oj jest wiele takich ataków.
Czy masz może jakieś konkretne dane, czy tylko przypuszczasz? ;-)
Michał, niestety nie podam tutaj konkretnych danych ;-) zostańmy przy wersji, że tylko przypuszczam ;) może moje przypuszczenia się sprawdzą w niedalekiej przyszłości, kto wie ?;P
Mariusz Gronczewski Linux Geek
Temat: wykop DB compromise
Michał Ławicki:Sądzę że winą jest raczej ogólna nieświadomość, jak programista nie wie o najpopularniejszych metodach ataku i sposobów zabezpieczenia przed nimi to nie może napisać kodu który jest bezpieczny, nawet jak jest dobrym programistą (pomijam tu przypadki gdy programista jest po prostu kiepski, wtedy nic nie pomoże)
Michał Sajdak:
w sumie to dosc czesty case
Generalnie tak jest, że im atak prostszy tym więcej serwisów jest podatnych. Wszyscy koncentrują się na tworzeniu super zabezpieczeń na super ataki zapominając o tych najprostszych, które również mogą wyrządzić wiele szkód.
Michał
Błaszczak
Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...
Temat: wykop DB compromise
Ale również, duże znaczenie mają pieniądze. Bywa różnie niekiedy zleceniodawcy płacą takie wynagrodzenie za napisanie programu, że nie ma czasu na bezpieczne pisanie kodu.
konto usunięte
Temat: wykop DB compromise
Albo i też płacą za "tylną furtkę", która potem zjakiś_tam powodów wypływa sobie w sieć ;)
Michał
Błaszczak
Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...
Temat: wykop DB compromise
Zdarza się i tak ;)
Michał Sajdak Securitum.
Temat: wykop DB compromise
Michał Błaszczak:
Ale również, duże znaczenie mają pieniądze. Bywa różnie niekiedy zleceniodawcy płacą takie wynagrodzenie za napisanie programu, że nie ma czasu na bezpieczne pisanie kodu.
byc może dziwne jest to ze jednak zleceniodawcy wymagaja zeby w sofcie nie było bugow funkcjonalnych, a jakos mniej wymagaja zeby nie bylu bugow security.
oba te typy to jednak jeden worek o nazwie "błędy".
konto usunięte
Temat: wykop DB compromise
Michał Sajdak:
Michał Błaszczak:
Ale również, duże znaczenie mają pieniądze. Bywa różnie niekiedy zleceniodawcy płacą takie wynagrodzenie za napisanie programu, że nie ma czasu na bezpieczne pisanie kodu.
byc może dziwne jest to ze jednak zleceniodawcy wymagaja zeby w sofcie nie było bugow funkcjonalnych, a jakos mniej wymagaja zeby nie bylu bugow security.
oba te typy to jednak jeden worek o nazwie "błędy".
Żeby nie rozpętać dłuuugiego wątku szybkie pytanie: Czy w umowach z firmami, które dostarczą Wam zamówioną aplikację pojawia się punkt odnośnie wymogów bezpieczeństwa? (mniej ogólnych niż "aplikacja ma być bezpieczna" albo "aplikacja ma być wolna od błedów bezpieczeństwa." czy też "aplikacja ma być dostępna przez bezpieczny SSL" ;>)
Wystarczy odpowiedź: TAK - "wymagamy tego i jeszcze tego" albo NIE
Bezpieczeństwo aplikacji to nie dodatkowa funkcjonalność, to wskaźnik jakości. Natomiast bezpieczeństwo infrastruktury, środowiska w jakim pracuje aplikacja to osobny temat, którego nie można lekceważyć.
konto usunięte
Temat: wykop DB compromise
Michał Sajdak:
Michał Błaszczak:
Ale również, duże znaczenie mają pieniądze. Bywa różnie niekiedy zleceniodawcy płacą takie wynagrodzenie za napisanie programu, że nie ma czasu na bezpieczne pisanie kodu.
byc może dziwne jest to ze jednak zleceniodawcy wymagaja zeby w sofcie nie było bugow funkcjonalnych, a jakos mniej wymagaja zeby nie bylu bugow security.
oba te typy to jednak jeden worek o nazwie "błędy".
Wór bez dna ;)
Michał
Błaszczak
Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...
Temat: wykop DB compromise
Przemysław S.:
Michał Sajdak:
Michał Błaszczak:
Ale również, duże znaczenie mają pieniądze. Bywa różnie niekiedy zleceniodawcy płacą takie wynagrodzenie za napisanie programu, że nie ma czasu na bezpieczne pisanie kodu.
byc może dziwne jest to ze jednak zleceniodawcy wymagaja zeby w sofcie nie było bugow funkcjonalnych, a jakos mniej wymagaja zeby nie bylu bugow security.
oba te typy to jednak jeden worek o nazwie "błędy".
Żeby nie rozpętać dłuuugiego wątku szybkie pytanie: Czy w umowach z firmami, które dostarczą Wam zamówioną aplikację pojawia się punkt odnośnie wymogów bezpieczeństwa? (mniej ogólnych niż "aplikacja ma być bezpieczna" albo "aplikacja ma być wolna od błedów bezpieczeństwa." czy też "aplikacja ma być dostępna przez bezpieczny SSL" ;>)
Wystarczy odpowiedź: TAK - "wymagamy tego i jeszcze tego" albo NIE
Bezpieczeństwo aplikacji to nie dodatkowa funkcjonalność, to wskaźnik jakości. Natomiast bezpieczeństwo infrastruktury, środowiska w jakim pracuje aplikacja to osobny temat, którego nie można lekceważyć.
Zazwyczaj w szybkich i tanich zleceniach nie ma słowa o security. Aplikacja ma być na dany termin ma robić to i to. Nic o bezpieczeństwie, nikt tego kodu nawet nie poddaje audytom zapewno. Wsumie to sobie mozna naklikać w tym sofcie cokolwiek co ma mi wyciagnac info z firmy, skompilować i dać a oni i tak będą tego uzywali.
90% firm, z którymi współpracowałem nie miało na uwadze żadnego bezpieczeństwa i musiałem się samemu o to upominać;-), a mówiąc że za taką kasę jak oferują i ten krótki termin nie dam rady napisać bezpiecznej aplikacji to zazwyczaj przymykają na to oko.
Aczkolwiek mam kilku klientów, którzy się martwią o bezpieczeństwo i to mi się podoba ;-)
Michał Sajdak Securitum.
Temat: wykop DB compromise
Wystarczy odpowiedź: TAK - "wymagamy tego i jeszcze tego" albo NIE
Bezpieczeństwo aplikacji to nie dodatkowa funkcjonalność, to wskaźnik jakości. Natomiast bezpieczeństwo infrastruktury, środowiska w jakim pracuje aplikacja to osobny temat, którego nie można lekceważyć.
TAK
Osobiście widziałem umowę gdzie klient zastrzegł bardzo twardo kwestie błędów security - było to twardo powiązane z odbiorem.
A na chłopski rozum: jak przy odbiorze klient wykrył w sofcie więcej niż x błędów o stopniu niebezpieczeństwa y to aplikacji nie odbierał (= choćby kary umowne za opóźnienia w dostawie).
Później, na poziomie realizacji umowy SLA, również błędy security traktowane były jak inne błędy (czasy naprawy, kary za opóźnienie w naprawie, itp).
Michał Sajdak Securitum.
Temat: wykop DB compromise
90% firm, z którymi współpracowałem nie miało na uwadze żadnego bezpieczeństwa i musiałem się samemu o to upominać;-), a mówiąc że za taką kasę jak oferują i ten krótki termin nie dam rady napisać bezpiecznej aplikacji to zazwyczaj przymykają na to oko.
U nas biznes w większości przypadków patrzy na to w ten sposób:
"produkt bez security jest produktem tańszym i może być zrealizowany szybciej od produktu z security".
Michał
Błaszczak
Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...
Temat: wykop DB compromise
Dokładnie ;-)a życie potem pokazuje, że warto było zapłacić troszkę drożej i nie narażać firmy na kompromitacje ale to już każdy biznesmen musi do tego dojść samemu
Podobne tematy
-
Marka i branding » wykop - konto -
-
TED Talks » TED.Wykop.pl -
-
Redesign » Nowy wykop.pl -
-
Fani WordPressa » Wordpress a'la wykop -
-
Fani WordPressa » Wordpress jak demotywatory/wykop? -
-
Programiści WWW » dynamiczne ładowanie treści witryny ala FB czy wykop/mozaika -
-
Mempex » HDD czy otwarty wykop ?? -
-
Blogi » AMA wykop - o blogowaniu -
-
Reklama, marketing, marka » Co to jest "efekt wykop" -
-
WEB 2.0 » Koszty uruchomienia czegoś w stylu wykop.pl? -
Następna dyskusja:
