Slo-Tech - Računi, izdani strankam spletne trgovine Proteini.si s športno prehrano in dodatki k prehrani, so bili prosto dostopni na na spletišču http://izpis.proteini.si/” (spletna stran je v tem času delovala samo na nešifrirani HTTP povezavi).
Brskanje po strežniški mapi je bilo sicer onemogočeno, zato “na prvo žogo” ni bilo mogoče dobiti seznama vseh računov. Vendar pa je bilo do seznama vseeno mogoče dostopati, in sicer tako, da smo spreminjali številke v imenu datoteke (npr. namesto “1-1-12645.pdf” bi zapisali “1-1-12644.pdf”, itd.).
Iz priloženih zaslonskih posnetkov je tako razvidno, da je bilo mogoče videti račune izdane pravnim in fizičnim osebam, pri čemer je bilo iz računov mogoče videti imena in naslove ter prebivališča fizičnih oseb, pa tudi katero blago so stranke kupovale in kdaj.
Nepravilnosti zasledil bralec
Na dogajanje nas je opozoril bralec v komentarju na novico o dostopnosti zdravstvene dokumentacije pacientov SB Izola. Takoj smo preverili verodostojnost trditev in, ko so se te izkazale za pravilne, smo o incidentu obvestili tako Informacijskega pooblaščenca, kot tudi SI-CERT. Moderatorji na Slo-Tech.com pa so objavo (začasno) skrili, da bi s tem preprečili nastajanje dodatne škode.
Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')
Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov.
Vdor v sistem če url spremeniš? Torej, če se zatipkaš pri pisanju naslova si ... em heker?
Plus komentar glede whistleblowerjev in vdiranja. Razkritje komentatorja ni bilo z namenom podjetju škodovati, ampak je bilo le vprašanje, a so računi privat podjetja na netu sploh ok. Je pa takih podjetij še nekaj, sploh ker omogočajo email arhiv z zaporednimi števili izdanih računov. Low budget solutions.
Za take zadeve bi morale padat več tisoč evrske kazni, pa bi se hitro uredilo. V ne IT polju kasiramo hude denarne kazni, za ne tako hude kršitve in so hitro naslednjič npr. vse nalepke v proizvodnji na svojem mestu...
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+
Potem vedno ko dobiš nek url katerega pretipkaš in se pri tipkanju zatipkaš... si vdrl?
Pred leti so v Veliki Britaniji nekoga obsodili za vdor, ker je v URLju izbrisal zadnji del (za zadnjim znakom /). Opera je takrat imela vgrajeno funkcijo, ki je naredila točno to…
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
Potem vedno ko dobiš nek url katerega pretipkaš in se pri tipkanju zatipkaš... si vdrl?
Pred leti so v Veliki Britaniji nekoga obsodili za vdor, ker je v URLju izbrisal zadnji del (za zadnjim znakom /). Opera je takrat imela vgrajeno funkcijo, ki je naredila točno to…
Link
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+
Mateja Kovacica za IP-RS. Trenutno vrze v birokratski oddelek, sam pa postavi IT del na noge. Ne more leta 2019 voditi IP-RS nekdo brez IT znanja.
Dejansko bi bilo morda celo izvedljivo, 5 letni mandat ima, tako, da se ji letos neha... Matthai, bos kandidiral, sicer si mislim, da je zadeva ultimativno dolgocasna, ampak pravni bullshit lahko vedno delegiras...
Morda je se nekaj ljudi, ki tole razumejo...
https://www.delo.si/mnenja/kolumne/ce-padem-me-pocakajte-154864.html
V časih digitalizacije tiska so nekaj časa imeli Delo brezplačno na spletu v pdf formatu, po promocijskem obdobju so zaklenili in je bilo dostopno samo naročnikom. Zadeva je bila strukurirana na način - link_datum_stran, tako da če si ročno spremenil link na pravi datum, si lahko prebiral Delo na ta način še precej dolgo (ne vem koliko časa, ker sem nehal brat Delo na ta način, amapk po spominu bi rekel, da se pogovarjamo o letu ali še dlje).
Vem da sem bral da so bli ljudlje vsaj v USA obsojeni ker so tak "hekali" da so urlje spreminjali. Pa na japonskem so 13letnico aretirali, zaradi razpečevanja škodljive kode. Škodljiva koda javascript:
while (1) {
alert("!");
}
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Ne vem kaj ima WP, ali pa joomla, s tem, še manj posodabljanje. A ti kakšna posodobitev izbriše public upload mapo? A se ne da take mape naredit v kateremkoli jeziku in frameworku? WP (in podobni) je problematičen samo za click click "programerje", ki v resnici ne razumejo kako stvar dela.
Zakaj bi se trudil podatke skrivat? Lepo jih imas na neki povezavi, zraven jasno napises, da je klikanje gor prepovedano in to je to. Kdor klikne je vdrl v podatkovno bazo ane?
kakšnih milenijskih standardih? kolikor je meni jasno, milenijci danes učijo baby boomerje in generacijo X informacijske abecede. bedarije pa ponavadi stresajo ravno slednji..
@neverlucky: ja, v butalah bi se mogoče lahk tako zmenil.
Ker jaz sem mnenja, da ni. Ampak se bom pustil presenetit.
Kazenski zakonik, KZ-1-UPB2, Napad na informacijski sistem, 221. člen, je IMHO čisto jasen.
Ko nekdo opazi kaj potencialno izvedljivega, kot je opisano v novici:
"Brskanje po strežniški mapi je bilo sicer onemogočeno, zato “na prvo žogo” ni bilo mogoče dobiti seznama vseh računov. Vendar pa je bilo do seznama vseeno mogoče dostopati, in sicer tako, da smo spreminjali številke v imenu datoteke (npr. namesto “1-1-12645.pdf” bi zapisali “1-1-12644.pdf”, itd.)."
takrat pristojnemu organu prijaviš sum, da bi tam in tam lahko šlo za neustrezno varovanje osebnih podatkov (ali karkoli že bi lahko bilo), brez da bi dejansko poskusil spremeniti ime datoteke in dostopal do podatkov.
Naj pristojni ugotavljajo, kaj se zgodi, če se spremeni 1-1-12645.pdf v 1-1-12644.pdf ali kaj podobnega in ali je to kršitev česa, to je njihovo delo.
takrat pristojnemu organu prijaviš sum, da bi tam in tam lahko šlo za neustrezno varovanje osebnih podatkov (ali karkoli že bi lahko bilo), brez da bi dejansko poskusil spremeniti ime datoteke in dostopal do podatkov.
Brez težav storiš tudi
curl -vI <url, na katerem so potencialno osebni podatki>
in nisi storil ničesar škodljivega, pridobil nobenih osebnih podatkov, a si potrdil, da gre za neustrezno varovanje osebnih podatkov - in lahko to brez skrbi javiš organu, ki ga omenjaš.
kakšnih milenijskih standardih? kolikor je meni jasno, milenijci danes učijo baby boomerje in generacijo X informacijske abecede. bedarije pa ponavadi stresajo ravno slednji..
@neverlucky: ja, v butalah bi se mogoče lahk tako zmenil.
Po standardih ko gospodinja na porodniški z obiskovanjem tečajev SmartNinja postane programerka v nekaj tednih. stara šola je le stara šola
kakšnih milenijskih standardih? kolikor je meni jasno, milenijci danes učijo baby boomerje in generacijo X informacijske abecede. bedarije pa ponavadi stresajo ravno slednji..
@neverlucky: ja, v butalah bi se mogoče lahk tako zmenil.
Seveda, 99.99% starejsih generacij je racunalniskih analfabetov, ampak motras biti pa malo previden pri takih izjavah, ostalih 0.01% ve pa o racunalniskih sistemih vec, kot bos sam kadarkoli vedel, uporabljas njihov hardware, njihove OSe, njihove protokole, njihove file sisteme in njihove cracke in njihove driverje (in vse vmes) in se jim zdis navaden prepotenten idiot, ki zapravlja procesorski cas za svoje resitve, ki jih sploh kdo tolerira, ker je tistih iz 0.01% premalo, da bi lahko zadostili potrebam. Si pac se en prepotenten mladic, ki ve premalo, da bi vedel kako malo ve. Danes so skoraj vse "revolucionarne" ideje milenijskih developerjev samo reciklaza, kar so izumile prejsnje generacije od cloudov, do AIja, le, da za to uporabljate hudo neoptinalne tehnologije. In v developmentu moras vedeti zelo veliko, da ves kaj se ne ves. Pojdi raje malo v fitness in ne utrujaj svoje lepe glavice, bomo mi naredili infrastrukturo, da se bos lahko hvlail s svojim alert("hello world")
Morda je se nekaj ljudi, ki tole razumejo...
https://www.delo.si/mnenja/kolumne/ce-padem-me-pocakajte-154864.html
kakšnih milenijskih standardih? kolikor je meni jasno, milenijci danes učijo baby boomerje in generacijo X informacijske abecede. bedarije pa ponavadi stresajo ravno slednji..
@neverlucky: ja, v butalah bi se mogoče lahk tako zmenil.
Seveda, 99.99% starejsih generacij je racunalniskih analfabetov, ampak motras biti pa malo previden pri takih izjavah, ostalih 0.01% ve pa o racunalniskih sistemih vec, kot bos sam kadarkoli vedel, uporabljas njihov hardware, njihove OSe, njihove protokole, njihove file sisteme in njihove cracke in njihove driverje (in vse vmes) in se jim zdis navaden prepotenten idiot, ki zapravlja procesorski cas za svoje resitve, ki jih sploh kdo tolerira, ker je tistih iz 0.01% premalo, da bi lahko zadostili potrebam. Si pac se en prepotenten mladic, ki ve premalo, da bi vedel kako malo ve. In v developmentu moras vedeti zelo veliko, da ves kaj se ne ves. Pojdi raje malo v fitness in ne utrujaj svoje lepe glavice, bomo mi naredili infrastrukturo, da se bos lahko hvlail s svojim alert("hello world")
sem star dovolj, da se ne morem več uvrščati med milenijce, zato ne projeciraj svojih težav na druge. sicer ne vem kaj imata Linus al pa Schneier s tabo, razen to, da se lahko hvališ z njima, če si slučajno v istih starostnih grupah. če hočeš, da te bo kdo obravnaval za kaj več kot "persona non grata" pa obelodani katero infrastrukturo si postavil, da te ne bo samo gobec.
Ali lahko enačimo zgornji primer z SQL injection, in zakaj da/ne?
p.s. firbec, ker je oboje zelo enostavni "napad" na popolnoma odprt/nezaščiten sistem.
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
gorenjska banka je imela podoben problem, je bil ta folder odprt na ven, pa so enkrat blizu novega leta to zrihtali. Sicer mislim, da ni bilo nič pomembnega noter, ampak si imel pa notri Stockphoto slike v višji resoluciji :D
kakšnih milenijskih standardih? kolikor je meni jasno, milenijci danes učijo baby boomerje in generacijo X informacijske abecede. bedarije pa ponavadi stresajo ravno slednji..
@neverlucky: ja, v butalah bi se mogoče lahk tako zmenil.
Seveda, 99.99% starejsih generacij je racunalniskih analfabetov, ampak motras biti pa malo previden pri takih izjavah, ostalih 0.01% ve pa o racunalniskih sistemih vec, kot bos sam kadarkoli vedel, uporabljas njihov hardware, njihove OSe, njihove protokole, njihove file sisteme in njihove cracke in njihove driverje (in vse vmes) in se jim zdis navaden prepotenten idiot, ki zapravlja procesorski cas za svoje resitve, ki jih sploh kdo tolerira, ker je tistih iz 0.01% premalo, da bi lahko zadostili potrebam. Si pac se en prepotenten mladic, ki ve premalo, da bi vedel kako malo ve. Danes so skoraj vse "revolucionarne" ideje milenijskih developerjev samo reciklaza, kar so izumile prejsnje generacije od cloudov, do AIja, le, da za to uporabljate hudo neoptinalne tehnologije. In v developmentu moras vedeti zelo veliko, da ves kaj se ne ves. Pojdi raje malo v fitness in ne utrujaj svoje lepe glavice, bomo mi naredili infrastrukturo, da se bos lahko hvlail s svojim alert("hello world")
Vsaka generacija gradi in nadgrajuje prejšnjo generacijo. Gre za sistem, ki deluje. Tudi, kar so izumili 50 let nazaj, so gradili na tehnologiji in idejah, prejšnjih generacij.
A bodo odstopili te iz Informacijskega urada ali kaj?
Lahko bi, ker so šalabajzarji. Namig iz JU. Ko so se pojavile teme na Slotechu glede piškotkov ... prva stvar, ki jo je informacijski naredil, ni, da je uredil piškote pri sebi (še vedno ni), ampak je začel izvajat inšpekcijski pregled med obravnavanimi portali JU.
Na siol.net omenjajo "tehnološki portal Slo-Tech". Fino, da ste angažirani. Ampak mi gre vsakič na smeh, ko se spomnim, da še iskanje na forumu ne dela :) Dajte malo truda vložit še v forum, da se ne bodo novi obiskovalci, željni informacij, preveč ustrašili.
Lp
Core i5-4690K@4.7| ASUS MAXIMUS VII HERO| 16 GB Corsair LP DDR3 1866 MHz|
ASUS 970 STRIX| SB Z OEM| Samsung 840 EVO 250 GB|
Seagate 2 TB| EVGA SuperNOVA G2 750 W| Fractal Define R4
Jao, pa a res totalni amaterji kodirajo spletne strani? No, to se naredi če nekdo ki zna inštalirat WP, misli da je programer ...
Dejansko je pa rešitev za tole čisto preprosta če si prelen: ime datoteke vržeš v MD5 ali še bolje SHA, nato bi pa rad videl korenjaka ki bo ugotovil vsa tista imena ... Če pa hočeš kaj bolj zapletenega in seveda VARNEGA, je pa rešitev kar nekaj. Ampak ne, samo da je na hitro postavljeno, poceni in da plača hitro pride, pa naj košta kar hoče.
Hja, tehnično gledano gre pri preverjanje URL-jev na slepo za podoben princip kot če bi hodil po ulici in preverjal ali so vrata hiš zaklenjena... če bi bila odklenjena bi pač vstopil in malo pofotografiral samo stanovanje in recimo kakšen račun, ki bi bil ravno tam na mizi. Torej lahko probaš, ampak to ti še ne daje pravice da vstopiš in začneš fotkat. Skratka to kar je predlagal jype je zadosti, da si na varni strani...
Na siol.net omenjajo "tehnološki portal Slo-Tech". Fino, da ste angažirani. Ampak mi gre vsakič na smeh, ko se spomnim, da še iskanje na forumu ne dela :) Dajte malo truda vložit še v forum, da se ne bodo novi obiskovalci, željni informacij, preveč ustrašili.
Lp
ma sej so že povedal kako je s tem.. lastniku se bojda ne da zrihtat. ostale dele foruma pa praktično vzdržujejo drugi prostovoljci, ki tega ne morejo spremenit. jaz bi jim predlagal en redirect na google v stilu iskalnika na internetmojster.com
"site:slo-tech.com iskalni pojem" na googlu, pa boš najdu.
kakšnih milenijskih standardih? kolikor je meni jasno, milenijci danes učijo baby boomerje in generacijo X informacijske abecede. bedarije pa ponavadi stresajo ravno slednji..
sem star dovolj, da se ne morem več uvrščati med milenijce, zato ne projeciraj svojih težav na druge. sicer ne vem kaj imata Linus al pa Schneier s tabo, razen to, da se lahko hvališ z njima, če si slučajno v istih starostnih grupah. če hočeš, da te bo kdo obravnaval za kaj več kot "persona non grata" pa obelodani katero infrastrukturo si postavil, da te ne bo samo gobec.
To si res zabluzil oz. projeciral na polno. :) Včasih smo pisal driverje za naprave spotoma, ker druge možnosti ni bilo. Arhitektura računalnikov ostaja ista že od Von Neumanna; CPU, pomnilnik, I/O in programje ki to žene. Matematika tudi na kaj dosti drugačna. Rad bi slišal kaj inovativnega res učijo milenjski influencerji.
Vsaka generacija gradi in nadgrajuje prejšnjo generacijo. Gre za sistem, ki deluje. Tudi, kar so izumili 50 let nazaj, so gradili na tehnologiji in idejah, prejšnjih generacij.
Seveda. In inovira. Razen milenijske. Dejansko je sel v zadnjih 25 letih razvoj nazaj, vecino kar ste naredili, ste prepakirali obstojece tehnologije, da bi jih prodali kot "novo embalazo", velikokrat se po nepotrebnem zakomplicirali (upocasnili, razmetavali resource,...).In nato inovirali z resitvami problemov, ki jih brez vasih inovacij sploh ne bi bilo (radi spotikate sami sebe). Upam, da naslednje generacije ne bojo gradile na vasih dosezkih, da ne bojo letala na tla padala (garbage collector factory factory se je pognal ravno ko je AI zajemal podatke iz senzorjev preko blockchaina kar je trigeriralo 20 let star bug v v8, za katerega je avtor na smrtni postelji povedal resitev, pa nihce ne zna vec scompajlat kode, navodil pa ob poplavi milenijskih clickbait strani niti google ne zna vec najti).
(Tistemu probilu, ki jim delam krivico se opravicujem - ce se sprasujes ali si med njim, potem zelo verjetno nisi)
Morda je se nekaj ljudi, ki tole razumejo...
https://www.delo.si/mnenja/kolumne/ce-padem-me-pocakajte-154864.html
Trenutno vrze v birokratski oddelek, sam pa postavi IT del na noge. Ne more leta 2019 voditi IP-RS nekdo brez IT znanja. 
