existuje mnohem elegantejsi reseni - mit ve webadminu (ci jak se prislusna rozhrani jednotlivych firem jmenuji) moznost zakazit FTP ucet. Rada zakazniku to uspesne pouziva treba proto ze jim obsah webu zajistuje nekdo jiny a i kdyz heslo zna/da se zmenit tak ftp vubec neni povoleno. Odemceni je pak zalezitost par minut. Ovsem predpoklada to mit moznot kompletne oddelit hesla od jednotlivych sluzeb a mit centralni login na veskera nastaveni (pristupne pouze pres SSL).
Z praktickych zkusenosti lze ovsem prohlasit ze casteji se k souborum/datum ze serveru dostane clovek mnohem primocareji a nemusi nachazet odkudzepak to nekdo nahrava data pres ftp. Pouzije nejakou chybu v www aplikaci a uz ani ftp nepotrebuje dostane tam nejake webftp ci sve "tools" precte celej ten web zjisti hesla ....
a pak spamuje :) je zajimave kolik lidi se tomu venuje a kolik lidi nema ani tu zakladni otrlost prejmenovat ruzne formail.php/asp sendmail.php nebo pouzit nejakou primitivni autorizaci (treba nejaky treba 10 minut platny hash obsahujici i mail prijemce )
pekny den, osobne si o hacku hostingu90 myslim pouze to ze jiste ma souvislost s vypadkem elektricke energie v housingu casablanca. nic proti adminovi nemam, ale troska vice skromnosti by obcas prospela! /uff az se mi od huby prasi :)/
Pro některé své webové účty z pohodlnosti používám ftp. dlouhá hesla jsou zajímavá jen kvůli útoku hrubou silou (odhadování hesla). Jelikož je ftp otevřený protokol, není nic snazšího, než si heslo cestou mezi klientem a serverem odchytit. Proto neni vhodne ftp pouzivat pro komercni aplikace.
Použítí nějakého secure ftp nebo scp by bylo z hlediska ochrany uživatelů lepší -- tedy za předpokladu, že útočník hesla jen odchytává, pokud si pro ně přijde na server, scp vás nezachrání.
Spíš je to tak, že si v průchodu pod dálnicí přečtete "znásilnil jsem vaši sousedku, má na krku mateřské znaménko" a jelikož je pod tím připsán časový údaj půl dne starý, žeknete si, že to sdělení určitě už viděla spousta lidí a prvních několik určitě alarmovalo policii a nejspíš i místní pochůzkář od městské už nápis také viděl, a tak si poznamenáte do deníčku: "dneska se v jednom průchodu pachatel přiznal, že znásilnil naši sousedku, prý má na krku znaménko, ověřil jsem to, opravdu ho tam má".
Ale přirovnání vždycky pokulhávají a tohle přirovnávání je spíš hra , než že by to o něčem vypovědělo.
..a ked ten pachatel utiekol tak Vam zavolal na mobil ze znasilnil vasu susedku, vy ste to napsal do novin, susedka
si precitala noviny a zistila ze ju niekto znasilnil a zavolala vam jak to ze ste to napisal do novin a nekontaktoval ju osobne.. akurat mi nieje jasne kto volal policiu a kedy, z clanku to nieje moc jasne ;)
shrnu:
1. predbezna opatreni jsou bezna
2. casto jsou zalovani komplet vsici registratori
3. casto jsou zaloby opatrenyo az komickymi zduvodnenimi
4. pavel simon ma u nas par takto problematickych domen takze to od soudu chodi dost casto.
jinak zdravim, ted z odstupem uz je to snad v poho. pozdravuj doma (1,2,3 nebo kolik vas ted je:)
"Mít víc času, obvolal bych i některé klienty společnosti a zeptal se, jak jim společnost incident oznámila a jak je informovala o nápravných krocích."
Tak ja vam trosku prace usetrim a ozvu se sam.
Firma oznamila pouze to, ze hesla byla zmenna z duvodu rozsahleho upgrade systemu (ktery umozni spusteni novych planovanych sluzeb). O problemech se zabezpeceni a hacknuti ani zminka. Neco se da vycist mezi radky z toho, ze doporucuji pouzivani dlouhych hesel s kombinacemi cisel a pismen, ale jinak nic. Docela me stvou, tohle neni seriozni jednani.
Zustanu u tehle analogie - hned po znasilneni pachatel utekl a sousedka zavolala policii sama. Vy jste si cele veci vsiml, az kdyz policie prijela. Budete volat 158? Ctete dvakrat, nez neco napisete, podle me to autor docela jasne vysvetlil.
castym jevej je zalovat komplet vsechny registratory, protoze si dle sveho vyjadreji pro svou rychlost vybral nas system i pavel simon tu a tam prijde obsilka od soudu, kupodivu jsou tam casto velmi pestre veci :)
naposledy bylo v zalobe ze casopis xxx spolecnesky zabavny jedinecne vtipny, cenove dostupny urceny k pobaveni siroke verejnosti .....
---> 1. Docela chápu, že Jan Horna nevěděl, jak se má v takové situaci zachovat - je to jen blogger. Považoval informaci za zveřejněnou a jen si ji poznamenal do blogu.
Pro mě naopak šlo o oficiální zveřejnění až ve chvíli, kdy jsem o tom psal - proto bylo třeba informaci experimentálně ověřit (prostě se připojit, nahrát data, kouknout na ně na webu, smazat data, odpojit se) a získat vyjádření poškozeného.
Mít víc času, obvolal bych i některé klienty společnosti a zeptal se, jak jim společnost incident oznámila a jak je informovala o nápravných krocích.
---> 2. Jestli zveřejněním této informace na Lupě došlo ke škodě na straně poskytovatele služeb, nedokážu posoudit. Každopádně společnost jsem kontaktoval telefonicky a emailem mezi desátou a jedenáctou hodinou, zprávička vyšla až ve tři (bez odkazu na seznam loginů), takže měla možnost chybu napravit, obeslat klienty, vydat oficiální vyjádření (pět hodin je dlouhá doba).
Zveřejnění této informace je důležité ze dvou důvodů: a) informovat klienty společnosti o potenciálním nebezpečí (společnost je vystavila možné újmě a neinformovala je), b) působit preventivně (ať už to znamená, že potenciální zákazník má lepší informace pro zvážení rizik, že konkurenční společnosti si dají na tento typ úniku informací důležitých dat pozor, sám poskytovatel bude věnovat více pozornosti zabezpečení, protože už ví, že to neututlá).
Informovat veřejnost o úniku takových dat je vpodstatě povinností masového sdělovacího prostředku. Je to informace o hrozícím nebezpečí. Podobně, jako když třeba z chemičky uniká nějaký plyn (akorát tady nehrozí poškození zdraví, ale "jen" hospodářský dopad pro poškozené klienty). A myslím, že Lupa v tomhle případě jednala vůči klientům splečnosti citlivě, když dala poskytovateli služeb dost času na zajištění bezpečnosti (i kdyby třeba jen shodila FTP server).
---> 3. Bývá zvykem, že konkurenční společnosti obvolají nebo obepíší klienty při takovémhle incidentu. Spíš se divím, že si u tohodle článku ještě žádný hosting nezaplatil reklamu. ;-) Taky bývá zvykem, že konkurence obepíše své klienty, aby je ubezpečila, jaké kroky podnikla k zamezení podobného incidentu. Každopádně, ze zveřejnění té informace nemám osobní prospěch a Lupa také bezprostředně ne. A ke zveřejnění informace nás nehnal špatný úmysl, spíš naopak - proto nechápu, proč mi zástupci společnosti opakovaně vyhrožovali soudem a trestním stíháním.
Eto vsjo z mé strany. Těším se na slíbenou soudní obsílku - nebyla by první, ale určitě by to bylo poprvé, kdy by soud uznal pochybení na straně média.
Pridam jeste jeden mozny smysl - zamerny utok od nejake konkurence. Nemusi to sice byt prave tento pripad, ale sam jsem se v praxi s timto setkal u mensi hostingove spolecnosti a ona konkurencni firma (prave zacinala podnikat) pote velmi intenzivne obvolavala jejich zakazniky a vychvalovala svoje zabezpeceni...
Myslím že zákazník tohoto hostingu může být rád, že nyní se snad v této firmě bezpečnost zvýší, tím i částečně obhajuji ten útok (c; třeba se nad tím zamyslí i ostatní
A jaky smysl tento hack mel? Banda pubescentu se pobavila, vyborne. Pokud chteli na neco poukazat, tak snad jen na to, ze by se meli zabyvat smysluplnejsi praci, protoze ten kdo na to doplatil, byl vicemene zakaznik hostingu...
ČLÁNKY DO MAILU