Drago mi je da sam postao član ovog foruma. Security-jem se bavim u raznim oblicima još od studentskih dana, a već dobar deo decenije i full-time profesionalno. Trenutno radim na poziciji CISO-a za jedan startup u Beogradu. Kada nađem vremena između posla i porodice, bavim se i programiranjem, pretežno u Pythonu.
Nadam se da ću uspeti da doprinesem ovoj zajednici, što svežim sadržajem to i u diskusijama.
Podizanje svesti o bezbednosti i informisanje korisnika i građana treba da bude manje-više svakodnevna aktivnosti relevantnih institucija (CERT, Ministarstva, itd.) i privatnih kompanija (Telekomunikacioni pružaoci usluga, Hosting kompanije, itd.). Takođe potrebno je i na pravi način i pravovremeno obavestiti korisnike i kada se dese incidenti.
Videli smo više slučajeva kada je došlo do curenja podataka gde su odgovorni jednostavno ignorisali incident, i ostavili su svoje korisnike tj. građane izložene mnogobrojnim rizicima.
Sa druge strane imamo i slučajeve gde određene intitucije ili kompanije pokušavaju da obaveste korisnike o zloupotrebama, koristeći socijalne mreže, veb prezentacije i e-mail poruke. Ovo je stvarno za pohvalu, ali na žalost nema puno takvih slučajeva. Posebno je zabrinjavajuće što npr. Nacionalni CERT nema nikakvih obaveštenja na svojoj veb prezentaciji, i što nema interakciju sa građanima putem društvenih mreža.
Još jedna bitna stvar koju treba da napomenemo je i da kada zapravo želite da postupate odgovorno, i da obavestite svoje korisnike ili građane o određenim incidentima, ili mogućim rizicima i zloupotrebama, potrebno je to da uradite na pravi način. Sva obaveštenja moraju biti dostupna na svim kanalima za komunikaciju (veb prezentacija, društvene mreže, e-mail), sva obaveštenja moraju biti jasna i nedvosmislena, sa jasnim brendiranjem, uvek ostavite detalje kao što su slike ekrana, i obavezno ispratite preporuke koje i sami preporučujete i koje će vas razlikovati od maliciozne strane. Vi ste ti koji edukujete vaše korisnike da znaju šta je pokušaj prevate a šta ne, kao i kako da identifikuju takve slučajave na osnovu nekad veoma malih tragova.
Skorije smo imali kampanju (#Phishing) koja je bila usmerena ka SBB korisnicima, gde je SBB pokušao da obavesti svoje korisnike o mogućoj zloupotrebi. Ovo je za pohvalu ali jedan od korisnika je identifikovao par problema, koje zapravo želim da prikažem u ovoj temi.
Dakle SBB je poslao e-mail poruku, ali ta poruka takođe može da budi zabrinutost jer:
1. Nema enkripcije poruka u tranzitu, i npr. GMail će prikazati ovu grešku
2. Ime kompanije (SBB), e-mail pošiljaoca ([email protected]) i server (gridsrv.net) sa kog su poslate poruke su potpuno različiti, i običan korisnik ne može da zaključi da je ovo ista firma ili ne
3. Vreme slanja poruke nije standardno vreme u vremenskoj zoni gde se nalazi kompanija i a korisnici
4. Poruka je zapravo stigla sa nekog trećeg domena potpuno nepoznatog korisniku i može da pomisli da je ovo opet prevara (#Phishing)
5. Prelom teksta na čudnim mestima u poruci nije nešto je uobičajno, i obično ovo vidimo kod automatski generisanih/prevedenih poruka.
U toku je kampanja Anonimusa na online resurse u Srbiji. U drugim temama smo ostavili detalje DDoS napada, a ovde ću ostaviti pokušaje eksploatacije serbia.travel domena uz pomoć alata SQLMap.
Domen edcentar.com je bio domen Elektro Privrede Srbije (EPS), ali je pre izvesnog vremena istekao i preuzet je od strane kockarnice (sada redirektuje na augustaliteraryfestival.org). Ovaj domen se još uvek nalazi na gomili državnih i privatnih sajtova, pa čak i sa e-mail kontaktima npr. direktora. Do ovog domena ćete doći i ako tražite na Google npr. kontakt elektro privrede Požarevca ili Kragujevca.
Maliciozni napadači mogu iskoristiti ovu grešku državnih administratora na mnogo načina, i materijalno oštetiti građane.
Za sada niko nije potvrdio ili demantovao ovu izjavu koja je objavljena na linku iznad. Ovde sam postavio pitanje uključenim stranama, ali za sada nema odgovora: https://twitter.com/ivanmarkovicsec/stat...8695224320.
