Monday, November 26, 2012

Insecurity - kad sigurnosni mehanizmi zakazu

Sinoc, izmedju 21h i 23h uradjen je difejs - ili ti sajber vandalizam nad stranicom presednika RS.
U RS, ali i sire ne postoji institucija koja bi sprijecila slicne situacije, unaprijedila mehanizme zastite i slicno. Problem je u tome sto se sve radi stihijski. Ljudi koji bi trebalo da garantuju ne samo ovu stranicu , vec uopste - jednostavno ili ne rade svoj posao ili im ovo nije u opisu posla.

Vrijeme ce pokazata da ova vrsta napda jeste bezazlena , al ima teske posljedice i odjek u javnosti.


Thursday, August 30, 2012

Horror Code

Inace u zivotu me zapadne da povremeno kodiram - bilo iz radoznalosti bilo zbog posla, a nekad je cisto u pitanju izazov. Programiranjem se bavim duze vremena , dosta toga sam naucio od drugih ljudi koji su bas ono da kazem specijalizovani za oblast programiranja. Moj drug Z.L. npr je softwerski inzinjer , on meni "prodaje" high level cake , a za uzvrat mu dajem "low" level cake :) (Design pattern npr , i kako koristiti 2 varijable za swap funkciju).

Sljedeci kod sam napisao , onako ubrzano , kao dio poslovnog koda - ocistio sam kod od DRY, sljedece sto radim je logicka optimizacija.

Java code:
String cIp = "192.168.1.1";
boolean isOK = false;
String ip = "192.168.1.1";
 
 if (!ip.equals(cIp)) {              
      if (ip.equals("*")){          
      System.out.println("Isok tacno 1.");   
}else                        
              System.out.println("Isok false 1");   
  }else
     System.out.println("isOK tacno 2");

Sad to ce postati:


if (ip.equals(cIp) || ip.equals("*") )
                      System.out.println("isOK tacno 2");
else
                      System.out.println("isOk false");

Dalje , ako malo pogledamo ...


System.out.println("isOk false");
  if (ip.equals(cIp) || ip.equals("*") )
        System.out.println("isOK tacno 2");

tj


boolean isOK = false;
if (ip.equals(cIp) || ip.equals("*") )
    isOK = true;


Java je prelijep jezik , prosto rijesava stvar ali takodje licno po meni je mnogo napredniji u smislu zrelosti , API , multi-platformosti i sl.


Happy coding !!!





Tuesday, April 10, 2012

Ugovori - Osnovno o ugovorima

Ugovorom se regulise prava i obaveze dvije ili vise strana  - jednih prema drugim.
Ugovor moze sadrzavati clanove , gdje se naglasavaju obaveze. Ugovorom se rijesava zakonska regulativa i obaveze poslodavca i zaposlenog. Ugovor se moze potpisati , produzavati , mjenjati stavke po dogovoru svih strana ili koristiti kao validan pravni elemenat protiv jedne ili vise strana.

Prilikom potpisivanja ugovora uvijek morate imati na umu da jedna strana regulise obaveze prema vama i vase prema njoj. Ugovor je validan tek kada imate potpisan u vasim rukama - ako ste samo potpisali i tom prilikom niste dobili orginalnu potpisanu kopiju sa drugom obavezujucom stranoom, ugovor ne moze biti validan i ne moze stupiti na snagu.

Takodje prilikom potpisivanja moguce je da dodje do stavki kao sto su:
- prilikom raskida ugovora duzni ste da ne radite istu poziciju narednih godnu dana (ili 2,3,4,5...)
- vrijeme otkaza (15 dana do 180 dana) - moze biti vece nego uobicajeno
- opsti ugovor o radu (ovim se regulise dosta toga npr zdravstvena zastita)


Ovo su neka zlatna pravila potpisivanja ugovora u Bosni i hercegovini i treba biti obazriv.

Pravilnik o radu - Federacija BH
Pravilnik o radu Republike Srpske

Tuesday, December 13, 2011

Ratovi buducnosti

Mozda je svima postalo jasno da ratovi koji predstoje nece se voditi na konvecijalan nacin , ziva neprijateljska sila zapravo nece biti "ziva" vec udaljeno (remote) kontrolisana. "Najnovije" iz fabrike su dronovi, navodjene letjelice koje sakupljaju informacije , ubijaju protivnika dok spava , spasava situaciju  i uljepsava dan su zapravo realnost. Jedan od blijedih pokusaja da se tome prilagodi na balkanu jeste proizvodnja "orla" (zemlja porijekla srbija).
Jos jedna strana ratovanja, jesu strategijske vjezbe koje su dostupne putem racunarskih simuliranih programa (prakticno kao igrice ali sa dubljim varijantama dogadjanja) - oficiri vojska nece vise morati da komanduju na vjezbama sa pravim ljudima vec ce to raditi i izvoditi uz pomoc programa i simuliranih terena i situacija.
Nekad protiv racunara a nekad protiv drugog oficira.
Takav vid vjezbe omogucice da se recimo od jednog covjeka vodi veca grupa dronova / robota i samim tim smanji gubitak stvarnog ljudstva.

Nazalost , drzava u kojoj zivim nije u stanju da proizvede obicne kvalitetne programere , security managere , Elektronsku zastitu (department internet i sajber ratovanje) i odjeljenje za sajber ratovanje (ddos them all).
Tako da ova prica o ratovu dronova je SF i podstice samo mastu novinara , djece sa nedostatkom vitamina i sl.
Ne treba nam jos jedan rat, mnogo su potrebniji ljudi koji ce obezbjediti internet strukturu koja bi mogla biti zlouptrebljena od strane drugih drzava za napade na neke trece drzave. Takodje i armija dronova bi mogla (teoretski ) da okupira odredjene geografske sirine i duzine. Nama trebaju ljudi koji ce biti sposobni da vode rat protiv daleko jaceg neprijatelja sa svojim IQ , znaci trebaju nam pametni a ne jaki (izvinite jaki :D ).

Long live Security !

Citat :


Cyberwar
In July, the US Deputy Defense
Secretary Bill Lynn revealed that
foreign intruders had taken 24,000
files of classified information about a
top secret weapon system in an attack
suffered in March this year. Lynn said
that a “foreign intelligence service”
was behind the theft of the secret
weapon blueprints but declined to
specify which nation had carried out
the attack.
Sources: http://press.pandasecurity.com/wp-content/uploads/2011/10/PandaLabs-Report-Q3-2011.pdf

Friday, December 9, 2011

Politika u sluzbi elektronskog kriminala


internet je predivan medij za plasiranje istine ,lazi i ostalog smeca od strane bilo koje politicke strukture, organizacije - pozicije i opozicije.
Ali , medjutim na ovom mjestu vlada zakon divljine - ovde sposobni dolaze do izrazaja. Tako da vecina ljudi , koja se bavi politikom, su zrtve
ili organizovanog hakerskog upada ili tzv slucajnog manje spretnog upada.
Drugim rijecima - vecina politicara koja ima FB profil , youtube audio ili video blog su potencijalne zrtve "politickog" nasilja ili ti upada na njihove privatne zivote.
Najmocnije agencije u Bh nisu u stanju da zastite bilo koga (pocev od djece pa do politicara a preko banaka) i ne mozete ocekivati jasnu strategiju
borbe protiv sajber "nasilja"/prevara/upada. To je vise u domenu "nazalost vama su uhakovali, mi cemo da utvrdimo to stanje" politika , ili je to pravac u racunarskoj (ne)sigurnosti? ??
Sta je tuznije , to sto nisu svjesni postajanja takvih opasnosti ili jos gore posljedica koje mogu da se prouzrokuju takvi upadi ?

Evo vam nekoliko scenarija:
Na glavnom sajtu neke Vlade (neke - bilo koja u BH) dolazi do objave da "je rusija zlocinacka drzava" ili "juzna koreja je xyz"
Reakcija spomenute drzave: DDOS napad koji blokira komplet internet u jednoj tako omanjoj zemlji (RS, BH ... Bocvana)
Scenario br 2:

Racunarski virus tipa Ransome upada u Vladine racunare , kriptuje vecinu .doc,.pdf i ostalih fajlova - steta ne procjenjiva
backup ne postoji - dolazi do odlaganja donosenja zakona , isplate i tim redom ...

Scenario br 3:
Bitnom politicaru na vlasti se ubacuju slike djecije pornografije - namjesta se afera , sprovodi se zakon i tim redom ..
Scenario br 4:
Politicaru koji ima blog - hakuje se , mjenja sadrzaj tako da svi posjetioci tog bloga "kupe" virus i samim tim bivaju zrtve kriminalnog miljea

Scenarija je previse - nazalost premalo je sposobnih da rijese stvar. dok pisem ovaj blog , postao sam svjestan da ne postoji ni na jednom nivou agencija/grupa koja bi
bila u mogucnosti da odg na neke od gore navedenih situacija.

Toliko iz Juzne Afrike...

Friday, November 18, 2011

Slabi random seed

Ovih dana testiram jedan dio u jednom CMS. Izgleda da ima jako slab random seed. Sa tom varijantom moguce je razbiti sifru (bilo kojeg korisnika) i ulogovati se.

Uskoro 0day alatke i .pdf.

Happy hunting 4 0day.

p.s. - jesam li rekao da nekoliko miliona sajtova ce biti pogodjeno sa tom "alatkom" ??
Kada stignem pisacu i o ovome.
;]

Saturday, October 29, 2011

Chrome , nova verzija 15 ima jedan mali mali bug.
Ako odete na Preference > Personal STuff > Managed Password , i ako odete na sacuvane passworde mozete da vidite, ako kliknete na **** , opciju show - gdje je moguce prikazati sifru koja je memorisana.
Ovo predstavlja sigurnosni rizik, i imam namjeru da obavijestim Google vezano za ovo.

Kliknite na sliku dole(potrebno je da udjete u navedene opcije i da kliknete na ****, gdje se zatim nudi opcija show):


Prijava[Dole]: