Τετάρτη, 13 Απριλίου 2011

Κύπριοι Vs Τούρκοι hackers

Κύπριοι Vs Τούρκοι hackers - Από megahz
Με τις λίγες γνώσεις που κατέχω και εγώ στο θέμα του internet security θα ήθελα να εκφράσω την άποψη μου για τα τούρκικα hacks.
Πολλά κυπριακά websites τούτες τες μέρες έγιναν hacked, defaced που Τούρκους hackers το μήνυμα που θελαν να δώσουν ήταν "όχι τρόμο στον αθλητισμό" (κάπως έτσι τους το έφκαλε ο αυτόματος μεταφραστής τους).
Κατά την άποψη μου, this is bullshit, τούτη η κουβέντα δεν έσχιει να κάμει με τον αθλητισμό. Οι μαλακίες που ανεγκέφαλους στον αθλητισμό ήταν απλά η αφορμή για να γίνουν τα defacements, όχι τα hacks αλλά τα defacements.



Το μήνυμα που άφησαν οι Τούρκοι χάκερς στις κυπριακές ιστοσελίδες




Και εξηγώ:
Υπάρχουν πολλές εταιρίες στη Κύπρο που φτιάχνουν websites, δεν βασίζονται σε κάτι έτοιμο και δεν τους ενδιαφέρει η βάση κάποιου άλλου συστήματος. Ξεκινούν και φτιάχνουν κάτι από το μηδέν. Αρέσκει μου ο ρομαντισμός του τούτου, να είσαι φιλόδοξος, οραματιστής, μεγαλεπήβολος, σου δίνει την αυτοϊκανοποίηση ότι έχεις φτιάξει ένα δικό σου σύστημα, ένα δικό σου CMS και είσαι έτοιμος να βγεις στην αγορά να το πουλήσεις. Νοιώθεις δυνατός, ελεύθερος και απεξαρτημένος από κάθε είδους δικαιώματα που μπορεί να σε τραβάνε πίσω. (Αχχ λατρεμένο GNU-GPL).
Το μεγαλύτερο λάθος όμως είναι πως δεν έχεις μπει στο κόπο να ελέγξεις πόσο ασφαλή είναι το σύστημα σου. Πόσο εύκολα μπορεί κάποιος να σπάσει τον κώδικα που εσύ έχεις γράψει με τις λίγες γνώσεις (στο security) που έχεις.
Είσαι προγραμματιστής, συμφωνώ και σου βγάζω το καπέλο. Δεν είσαι όμως security oriented. Δεν ξέρεις πως μπορείς να προστατευτείς και να προστατέψεις και τους πελάτες σου.
Άμα θέλεις να κάμεις μιαν δουλειά, κάμε την σωστά. (Φυσικά υπάρχουν και οι εξαιρέσεις, οι άνθρωποι που πραγματικά είναι ενήμερωμενοι, ασχολούνται με το security και προσπαθούν πάντοτε να προστατεύονται.)

Πολλά sites στη Κύπρο αλλά και στο εξωτερικό έχουν πάρα πολλά vulnerabilities, κοινός τρύπες. Μπορεί εύκολα κάποιος με λίγες γνώσεις να εισβάλει κάπου και να υποκλέψει administrative passwords. Στις πλείστες των περιπτώσεων δεν θα υπάρχει ζημιά και ο διαχειριστής του server δεν θα καταλάβει απολύτως τίποτα. Μέχρι κάτι να πάει λάθος (στα πολιτικά, στο ποδόσφαιρο, στις ερωτικές απογοητεύσεις, στον εγωισμό του "hacker") και γίνει το site deface.
Μετά ξεκινούν τα media να ανακοινώνουν ότι ξεκίνησε διαδικτυακός πόλεμος (από χάκερς κάποιας εθνικότητας), και ότι βρισκόμαστε κάτω από επίθεση τζιαί πανικοβάλουν τον κόσμο (όπως πάντα).

Αμέσως οι εταιρίες σχεδιασμού, υλοποίησης και διαχείρισης ιστοσελίδων χάνουν την αξιοπιστία τους και το σεβασμό από τους πελάτες (αν έχουν καταφέρει να τον κερδίσουν ποτέ).

Χαλαρώστε, σε ετούτο το attack κατάφεραν απλά να μπουν σε 3 - 4 servers το πολύ, οι οποίοι servers φιλοξενούσαν ούλλες τζιήνες τες σελίδες.. Εισέβαλαν με SQL Injection αφού σχεδόν κανένα κυπριακό site (γραμμένο με κυπριακό CMS) δεν ελέγχει ούτε καθαρίζει τες παραμέτρους των variables που δέχεται. Ένα απλό αλλά αρκετά επικίνδυνο vulnerability.

Γιατί κάμνει κάποιος hack; Επειδή μπορεί!
Γιατί; Επειδή γίνεται.
Τόσο απλό.

Που τρίτους που εν έχουν ιδέα που τούτα τα θέματα τζιαί απλά ακούουν τες ειδήσεις, ξεκινούν διάφορες συζητήσεις:
- Μα άκουσες ήντα πράμα μας εκάμαν οι βρομότουρτζιοι;
- Οι Κυπραίοι hackers γιατί εν κάμνουν κάτι; που ένει;
- Εμείς εν έχουμε χάκερς ολάν; Να τους τα μαμήσουμε ούλλα;
- Τι εν ο χάκερ;Εν τζιήνος που πέζει πάνω στο κομπιούτερ τζιαι βάλλει σου ιό.
- Ο χάκερ εν τζιήνος που μας έβαλε το dreambox τζιαί θωρούμε Νόβα;
- Ο χάκερ εν σατανιστής, έσχιει ταττού τζιαι εννα πάει στη κόλαση (α! εν ναρκομανής επίσης).
- Έννα γενώ χάκερ αύριο, να φορέσω το παννίν τζιαί το μασχιέρι του Ράμπο, να ξιουρήσω το μαλλίν όπως τον Mr.T στην A-Team, θα προπονηθώ στο pacman τζιαι θα κάμω χάκκ τους τούρκους.

Μα πραγματικά εν τούτο το νόημα; Να αρκέψει ένας ανούσιος ηλεκτρονικός πόλεμος μεταξύ κυπραίων και τούρκων χάκερς;

Να σας πάρω λίγο πίσω στο 1999-2000:


CyHackPortal.com (1999-2000)
Όπως βλέπετε στην πιο πάνω εικόνα, ένα screenshot της παλιάς κυπριακής ιστοσελίδας cyhackportal.com, πάρα πολλά κυβερνητικά (.gov.tr), στρατιωτικά (.mil.tr) και εκπαιδευτικά ιδρύματα (.edu.tr) έχουν γίνει hacked και defaced απο Κύπριους hackers. Ουάο, διαδυκτιακός πόλεμος!


Ποιο είναι όμως το νόημα; Υπάρχει κάποιο νόημα σε τούτο εκτός της αυτοϊκανοποίησης, της φήμης και της προβολής μένους, μίσους και δύναμης;

Πάρα πολλά κυπριακά και τούρκικα sites γίνονται hack καθημερινά και δυστυχώς όχι μόνο από Τούρκους ή Κυπραίους αλλά και από Ρώσους, Κινέζους, Αμερικάνους, από αυτοματοποιημένα worms, bots, ότι να’ ναι.
Σε κάποια φάση αυτή η φούσκα σπάει γνωστοποιούνται τα attacks και γίνετε σάλος.

Τα τελευταία χρόνια οι Κυπριακές εταιρίες κάνουν τεράστιες προσπάθειες για να βάλουν το στίγμα τους στο χάρτη με τις online businesses με online revolutionary υπηρεσίες, αλλά:

- Πολλές ιστοσελίδες δεν έχουν καν κάποιου είδους στοιχειώδη ασφάλεια (ούτε τους κόφτει).
- Online διαγωνισμοί με πλούσια δώρα (για αεροπορικά εισιτήρια, ipads, κινητά κλπ) γίνονται μέσω ιστοσελίδων και αυτοί που τα κερδίζουν δεν είναι αυτοί που έπαιξαν το παιχνίδι αλλά αυτοί που έχουν καταφέρει να το ξεγελάσουν.
- Κυβερνητικές υπηρεσίες που κατέχουν απόρρητα και προσωπικά δεδομένα μας έχουν εκτεθειμένους σε επισκέπτες και επίδοξους "κλέφτες".
- Ημικυβερνητικοί οργανισμοί κλειδώνουν τους χρήστες τους σε ένα περιβάλλον θεωρητικά ασφαλές.
προγραμματιστές εν ακούουν τζιαί ξέρουν τα ούλλα, τι λύσεις ή προτάσεις να τους δώσει κανείς; Η λύση είναι όλοι να ενημερωνόμαστε, για να προστατευόμαστε από τους "hackers" ή τις διάφορες απειλές (στο internet και εκτός).

Είπα τόσες πολλές φορές την λέξη "hackers" σε τούτο άρθρο που την έχω εξευτελίσει και απολογούμαι προς όλους τους πραγματικούς hackers εκεί έξω. Τους hackers με το πραγματικό νόημα της λέξης. Τους hackers που τους σέβομαι και θαυμάζω.
Αρέσκει μου που τες τελευταίες μέρες ούλλοι θέλουν να πουλήσουν security, να συμβουλέψουν, να σάσουν να φτιάσουν.
Ούλοι προσπαθούν να δακτυλοδείξουν τζιήνους που έγιναν hacked αγνοώντας το δικό τους security αλλά έτσι και αλλιώς κανείς δεν είναι 100% ασφαλής.

Μην συγκεντρώνεστε στο δάκτυλο, χάνετε την σελήνη.



ΥΓ. Οι σελίδες που έγιναν hacked και τωρά εσαστήκαν, ναι μεν μπορεί να μεν έχουν το συγκεκριμένο SQL Injection vulnerability, αλλά, υποψιάζομαι πως έχουν και άλλα SQL injection points, XSS και άλλα πολλά vulnerabilities.
ΥΓ2. Οποιαδήποτε ομοιότητα με πρόσωπα, ονόματα ή καταστάσεις είναι τυχαία και ουδεμία σχέση έχει με την πραγματικότητα.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου