Статията ми с горното заглавие излезе в брой 10 на Personal Computer World още през октомври миналата 2004 година, но изчаках това време за да може списанието да извлече всичките възможни ползи за себе си преди да я публикувам и тук достъпна за всички. Този текст, колкото и нежен да звучи, ми донесе, разбира се, известно скромно количество нерви, защото някои хора предпочитат да се подразнят отколкото да си свършат работата или да си платят някой да им я свърши. По-лесно е някой (в случая аз) да е крив и виновен, разбира се. А всъщност идеята на този материал бе да каже, че „царят е гол“ не за да му се присмиваме, а защото да не се говори за това е неприемливо несериозно.

Лошото е, че почти половин година по-късно ситуацията продължава да си е точно същата, ако не и по-лоша и това по точно същия начин продължава (почти никому) да не прави впечатление. Надявам се тази тема да не бъде оставяна да изстине и достатъчно колеги да развеят червения парцал за тревога.

Иначе моите две страници са тук:
http://yovko.net/download/press/papers/nosecurity/

Накратко за Йовко Ламбрев

ИТ и Интернет експерт, предприемач, блогър и фотограф от Пловдив. Фен на WordPress, книгите и музиката. Вярва, че можем да направим света по-добър.

  1. Интересна статия, мен лично ме накара да се замисля за много неща ОТНОВО.
    Примерно за това, че в средностатистическите БГ фирми занимаващи се с каквото и да е в ИТ, цари хаос и безхаберие, а всичко се прави на парче – ден за ден. Слушал съм за работният процес в не 1 и 2 фирми. Лично аз смятам, че това се дължи и на липсата на качествени и добре подготвени ръководни кадри.:)

    Относно банките… хммм. Може ли да напиша малко критика, разбира се градивна :)
    Като един виден пример за IT security expert и изключително популярен блогър, смяташ ли за добър пример публикуването на обществено достояние използваната от теб банкова институция ? :)

    (коментарът е редактиран и съкратен)

    Отговор

  2. Първо не се считам за виден security expert – просто гледам да си върша работата толкова добре, колкото мога. Има много по-добри от мен, пред които мога само да се поклоня. За жалост точно в този контекст другото – т.е. да не си вършиш работата не е просто обикновена немарливост, а е такава с потенциални сериозни последици.

    Принципно считам, че е важно проблемите в сигурността да стават обществено достояние, защото както казва Bruce Schneier ако в гората падне някое дърво и никой не знае, това променя ли факта, че дървото е паднало? В статията не разкривам конкретните организации, просто защото те за жалост са само малка част от личната ми колекция и проблемът е наистина ПОВСЕМЕСТЕН и МНОГО СЕРИОЗЕН, а всеки си мисли, че точно на него ще му се размине. За жалост ако това безхаберие продължава навярно много скоро ще си имаме много тъжни случки в българския интернет и бат’ Бойко няма да е особено полезен с надувките си.

    От съображения за почтеност никога не бих разкрил клиентите, за които съм работил или работя, когато темата, за която са ме наели е сигурност. Затова въпроси в такава посока нямат смисъл. Съжалявам.

    Мога само да добавя – ПАЗЕТЕ СЕ, защото никой не го е грижа да ви пази!

    Отговор

  3. Не знаех, че си работил за споменатият клиент, не съм имал намерение да ги правиш публично достояние /това най-малкото е много непрофесионално/, а аз просто попитах от любопитство.

    Не съм използвал услугите на online банкирането в българските банки, но доколкото имам наблюдение върху USA-ските таквива, бих казал, че евентуалният достъп до личният акаунт, не нанася директно сериозни щети. Или аз съм попаднал на недотам напреднали в тази сфера на услугите банки или пък те добре са си организирали банкирането, но единственото зловредно нещо, което можеше някой да ти направи е да ти плати сметката за телефона по-рано ??? :)

    Да добавя само, като заключение и милярди предупреждения да има към хората, пак ще съществуват такива, които си тънат в заблуда и сляпо доверие. А това е така, защото хората нямат необходимите основни познания, а това със сигурност не е явление само в България.

    Отговор

  4. Ето само още един красноречив пример: http://hardtrance.blogspot.com/2005/02/dirbg.html

    Отговор

  5. Всъщност, Милене, забележката ми не е към теб! Имаше друг коментар, който реших да не пусна. Работя за доста банки и съм клиент също на доста банки така, че всякакви предположения в тази сфера са напълно безполезни. А и обичам неуточняващия израз една банка.

    Нямам наблюдение върху USA-интерфейси, но от българските такива мога да прехвърля цялата налична сума, в каквато си сметка пожелая, което е гот, защото имаш пълнофункционираща услуга. Проблемът идва само ако сигурността не е ниво.

    Отговор

  6. Няма! Няма сигурност… Виж по света кво правят :)
    http://news.com.com/Paris+Hiltons+cell+phone+hacked/2100-7349_3-5584691.html

    Отговор

  7. това с dir.bg направо ме разби…………

    За някои неща има напредък – например една банка, която и двамата ползваме при проверка на сертификата излизаше нещо от рода на „Aragorn II, powered by Elven Archery“….. сега вече няма такова нещо:))

    Отговор

  8. За жалост други много по-страшни неща още си тичат на воля из Интернет пространството.

    Отговор

  9. Да, има и по-страшни, Орки, Троли и чат-пат някой Fire Elemental…

    Отговор

  10. Всеки ден намирам български сайтове, който могат да се счупят и да се задигнат доста интересни данни с елементарни атаки като sql injection.

    Виждам разни сайтчета, който предлагат услуги на КЛИЕНТИ със самоподписани сертификати. Писнало ми е да съобщавам на админи и „уебмастъри“, чийто адреси ги няма написани никъде и трябва да ги издирвам по метода на пробите и грешките, за грешките в смотаните им сайтове, след което да ме нагрубяват или да ме игнорират.

    Вече правя друго, като открия нещо или излагам авторите му или просто си го местя в другият крачол, мислено надявайки се някой да им счупи сайтчето. Просто подобни сайтове не ползвам.

    Потребители на сайтове да запомнят от мен едно, винаги давайте фалшиви данни и внимавайте какви пароли избирате.

    Отговор

  11. Жоро, за тия хора има един начин да се научат – като страдат. Ей сега както идва втория семестър, мисля да извадим един списък на разни български сайтове, и да дадем на студентите да одитват, след което директно да качим резултатите, и да видим какво ще стане… Някои хора няма да се научат по друг начин.

    А най-лошото е, че малко хора реално се занимават да направят нещо в тая област. Асоциацията по информационна сигурност например се опитва, но няма достатъчно хора, които да я движат.

    Отговор

  12. Maniax, това е малко гадно… Принципно си прав напълно, но точно такъв подход е рисков и ще настрои хората негативно. Вие вече правите достатъчно – няма смисъл да насъсквате студентите – да не говорим, че някои от тях могат да се издънят и да ги хванат. Просто ги учете. Най-добре е всеки сам да бъде оставен да избира дали да е от тъмната или от светлата страна на барикадата. Тъмната страна също се учи – имам някои наблюдения отблизо напоследък.

    Това, че мениджърите се правят на разсеяни съвсем скоро ще им се върне тъпкано. У нас непрекъснато се мисли, че ние сме малки и никакви, затова у нас не можело да има тероризъм, нямало системи, които да си струва да се чупят…. Уви… има.

    Отговор

  13. Идеята на Васил за тестване на сайтове направо ме втриса, но и аз съм попадал на такива с цел да тествам знанията си, които са нищожни в сравнение с вашите. Но Светлин Наков на една от лекциите си по мрежова сигурност беше споменал „Колеги не се хвалете“. Темата е много важна и заслужава адмирации и изключително сериозно внимание. Благодаря на Йовко.

    Отговор

  14. Не става въпрос за хвалене – просто проблемите са адски сериозни. Вчера преминах през суперохранявано място без никакви пречки. Само с едно формално телефонно обаждане. Като казвам суперохранявано имам наум наистина такова – с постове, с кльонове, с електричество по оградата, с двойни заграждения, камери, etc. При това без дори да ми бъде поискана каквато и да е идентификация. Можеше да нося тротил и да се самовзривя вътре без проблем…

    Отговор

  15. Това за тротила ми намирисва на камикадзе и ми напомня на издевателството в театъра в Москва. Може би едно от най-тъжните ми преживявания. Наистина тези неща се подценяват твърде много и имам молба на лекциите пред студентите да наблегнете на тях. Надявам се скоро да се появя на лекциите по мрежова сигурност. Успех в ТУ. Мисля че ще е полезно да се направи някоя от по-елементарните инсталации на SUSE или RED HAT. Стига да не отнема много време. А може би е удачно и някоя презентация във вид на скрийншот и т.н. Благодаря за вниманието. Вили

    Отговор

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *