Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Negyedik napja e-bérlettel

2017. július 19. - hackerfeleség

Írtam a BKK-nak arra ez e-mail címre, amit azért adtak meg, hogy az esetleges problémákat ott jelentsem. Majd írtam nekik három nap elteltével Facebookon is, hátha azt jobban olvassák. Pár órával később kaptam is egy automata üzenetet, hogy írtam nekik és majd 30 napon belól válaszolnak.

Aztán ma - ejj, de türelmetlen vagyok - megkérdeztem Facebookon a T-Systemsmet is, hogy hol jelenthetek nekik hibát. Egy cikkben olvastam, hogy szívesen fogadnak minden hibajelzést. Igaz, a következő mondat az volt, hogy az első hibajelzőt már föl is jelentették...
De nem kell aggódni, nem reagálnak a Facebookra sem, így nem jelentek hibát, csak várok.

Este azért csak megnéztem, hátha működik valami. A shop.bkk.hu/webpass felületre továbbra sem tudok belépni a jelszavammal, második körben megpróbáltam simán a shopot, ahova eddig be tudtam lépni. Történt valami, ugyanis kaptam egy pop upot! :)

bkk4.png

Megjött a jelzett e-mail is, ami már szépen formázott, nincs tele  -vel. Elvileg a küldött linkre csak 20 percem volt klikkelni, 20 perc után újat kellene kérni, de ezzel nem kísérleteztem. Kattintottam, újbabb csodás, random generált jelszót adtam meg, amivel sikerült is belépni a shop-ba.

Minő meglepetés: a webpass-ba viszont továbbra sem.

Ezek után jól el is mentem gyereket csutakolni, meg esti mesét mesélni. Aztán most, mikor újra ránéztem, hát látom, hogy időtúllépés miatt kiléptetett. Ejha! 

Most meg aktuálisan ez van, úgyhogy éjszaka ne is akarjatok hősködni, hogy vásároltok, mert szerelnek valamit:

bkk5.png

Remélem, reggelre megszerelik, mert tovább már nem tudom húzni, holnap reggel első ajtós busszal kezdek...

* * *

Ma egyébként a fél ismerősi köröm azon rugózott, hogy mennyire gáz, vagy mennyire jogos, hogy az Első Hibajelentőt feljelentették.

Tény, hogy - jelen tudásom szerint - ez a tett sérti a törvényt. Szívesen veszem egyébként, ha egy erre tévedő jogász ezt megerősíti, vagy megcáfolja. :)
Meg az is tény, hogy iparági szintenen teljesen más a szokás: szabad a pálya, keressétek a hibát és jelentsétek, mi meg fizetünk a jelzésekért, mert így tudjuk, hogy mit kell még javítanunk. (Ezt nevezik bug bounty-nak, erre gondolj, ha hallod valahol ezt a kifejezést.)

A usernek az az előnyös, ha minél előbb kiderülnek az általa használt appok, programok hibái, hiszen annál előbb lesz biztonságban, fogja tudni rendeltetésszerűen használni a dolgokat. Ha ezt úgy lehet a lehető legrövidebb időn belül elérni, hogy direkt kérem, hogy szedjék szét az új programomat, akkor - talán könnyen belátható, hogy - praktikus ezt így csinálni.

Azt viszont kifejezetten káros hozzáállásnak tartom, amikor egy programról hibák derülnek ki, akkor azokat letagadják, a hibát észelőt rosszándékú finnyogónak kiáltják ki, és följelentik.
Hibák adódhatnak munka során, ez tök normális. Ezért megsértődni, tagadni, tökéletesnek hazudni azt, ami nem az viszont nem normális.

A császár pucér, nincs itt mit szépíteni. 

 

Mit gondolsz, volna létjogosultsága itthon is haladó módon bíztatni a hibakeresést? Lehetne vajon jogilag különbséget tenni a rosszindulatú támadás és a segítő szándékú hibakeresés között? Vagy ez már bárhonnan nézve áthágná az etikusság határát?

Kalandok az e-bérlettel

Kipróbáltam a BKK e-bérletét, nektek már nem kell

Előzetesen szeretném elmondani, hogy a Hackernek persze gond nélkül működik a dolog.
Ilyen esetben én is azt mondanám kapásból, hogy akkor ez tuti user error, de nem

 

Épp rohanásban voltam, de azért gondoltam adok a BKK vadi új, szinte XXI. századi bérletének negyed órát, hátha sikerül megszerezni, és akkor azért örülünk.
  1. Regisztráltam. Az adatokat (mint általában) jelszószéfbe mentettem, tehát kizárt a későbbeikben a felhasználónév vagy a jelszó elírása, ugyanis nem kézzel pötyögöm be a random generált csodát.
  2. Vásároltam bérletet.
  3. Hánytam egy sort a visszaigazoló levéltől. Én elbújdosnék szégyenemben, ha egy formailag ekkora fos levelet raknék össze.
  4. És aztán szerettem volna használni a bérletemet. Persze nyilván nem ment.

  

bkk1.pngMik ezek az   hegyek?! Tényleg nem lehet ezt normálisan megcsinálni?

 

Ugyanis  míg a vásárlós felületre (https://shop.bkk.hu) gond nélkül be tudok jelentkezni a regisztráció során megadott adataimmal, addig a bérletmutogatós felületre (https://shop.bkk.hu/webpass) nem.
Sehogy. Se úgy, hogy a visszaigazoló e-mailben megadott linkre kattintok. Se úgy, ha beírom a böngészőbe az URL-t. Se úgy, hogy a https://shop.bkk.hu oldalon kattintok a webbérlet ikonra. Sehogy. Bármit csinálok, nem enged be.
Kipróbáltam a usernevet csupa kisbetűvel, csupa naggyal, kipróbáltam, hogy usernév helyett az e-mail címemet adom meg (a Hackernek mindhárom módon működik a bejelentkezés shopba is, webbérletre is). Semmmi. "Rossz felhasználónevet vagy jelszót adott meg." Ezen a felületen ráadásul nincs semmiféle link, gomb, bármi, hogy ha esetleg elfeleljtettem volna a jelszavam, akkor újat kérjek. De mondom, új jelszóra nincs szükség, hiszen a másik felületen működik, nincs baj a jelszóval.
(Az meg már csak hab a tortán, hogy nem fért bele a fejlesztésbe egy https átirányítás. Szóval ha nem úgy írod be, hogy https://..., akkor egyszerűen nem jön be az oldal, https nélkül ugyanis nem működik. Mondjuk ez utóbbi pozitív, de mégis hányan fogják tudni, hogy az olal azért nem jön be, mert ők nem írtk be elé a https-t? Minden normális fejlesztő ebben az esetben mindenképp csinál egy átirányítást, hogy ez ne okozzon gondot a usernek...)

bkk3.pngNem enged be, bárhogy kérem

 

A vásárlós felületen ugyan látszik, hogy vettem egy bérletet, de maga a bérlet nem látszik, mert nem férek hozzá. Tehát ha egy teljesen tájékozott ellenőrbe futok bele, akkor mivel nem tudom neki bemutatni az e-bérletem, megbüntet - mindezt úgy, hogy van bérletem.

bkk2.pngFigyelmeztetés a számla alján. Van is bérletem, meg nincs is - mint a mesében


Szóval mivel én már kipróbáltam, nektek már nem kell.
Vegyetek rendes bérletet és felejtsétek el még néhány évtizedre az itthoni modern, haladó, XXI. századi megoldásokat.
Azok ugyanis nem modernek, nem haladók, nem XXI. századiak és legfőképp nem megoldások.

Tényleg szenteltvízzel védekeznek az oroszok a WannaCry ellen?

Na, csak mutatom, hogy nem kell ám mindent elhinni, amit a zinternet megír.
Most épp többek között a The Sun. (Bár sejtésem szerint ez a Blikkel lehet egy kategóriában, tehát eleve nem gondolnám túlságosan hiteles forrásnak azért, de majd meséljen, aki jobban ismeri nálam a The Sunt, hogy jól gondolom-e.)
 
Szóval a nagy fene WannaCry mizéria közepén nyilván vicces egy ilyen képpel előállni:
holywater.jpg
Azt írja még a kép mellett a Sun, hogy az oroszok drága vírusirtók és szakemberek helyett alternatív megoldást találtak a WannaCry elleni védekezésre. Vladimir Putyin kérésére Kirill pátriárka szentelvízzel szórja be az Orosz Belügyminisztérium számítógépeit, hogy megvédje a zsarolóvírusoktól.
Na, hát ebből egy szó sem igaz, de legalábbis nem ez látható a képen.
Ha valamit gyanúsnak találsz, kicsit nézz utána, mielőtt tényként fogadod el. Sok energiát nem fektettem a dologba, de rákerestem  a képre. És a kereső dobott is egy 2015-ös találatot.
screenshot_at_may_18_20-04-54.png
Szóval maradjunk annyiban, hogy semmiképp nem a WannaCry ellen vetették be a szenteltvizet az oroszok.
Ha hasonló esetben szívesen leellenőriznél egy képet, akkor:
  1. Jobb klikk a képre a gyanús weboldalon.
  2. Copy image adress / Kép címének másolása. (= A kép URL-jét.)
  3. Nyisd meg a https://www.tineye.com/ weboldalt.
  4. A keresőmezőbe illeszd be az imént kimásolt címet és usgyi!

Hogyan NE használd a géped vírusveszélyes időkben

250px-from_loser_to_user.pngIlyen extrán vírusveszélyes időkben nem csoda, ha mindenről a WannaCry jut eszedbe: elég valami romantikus esti film, oszt az asszony máris a válladba sírja, hogy WannaCry.

No, de nézzünk inkább egy megtörtént esetet. Azért mesélem el, hogy segítsek tudatosabban használni a gépedet.

A Felhasználó természetesen hallgatja a híreket. Aztán hétfőn bekapcsolja a gépét és azzal szembesül, hogy van ott valami furcsa. Pontosabban a konkrét esetben épp hogy nincs.
Riadtan kér segítséget. Miután elmesélte a problémát, rémülten azt rebegi: "Talán WannaCry..?"

Megnyugtattam, hogy ez biztosan nem az, ez csak valami apróság lesz, viszont legyen türelmes, sajnos nem tudok azonnal segíteni. Kedd délutáni javításban egyeztünk meg. Addig éppen úgy használja a gépét, mint előtte bármikor: levelez, chatel, mindenféle hálózatokhoz kapcsolódik, köztük a céges szerverhez is.

Kedden délután újfent mutatja a problémát. És ismét a rémült rebegés: "Talán WannaCry? Ugye az? Jajj, biztos az!" Újra megnyugtattam, hogy ennek szerencsére semmi köze nincs az aktuális Nr.1 kórsághoz. Ripsz-ropsz megorvosoltam a problémát, kész is, hello.

 

Azt a részt figyeltétek, hogy a Felhasználó ugyan meg van győződve róla, hogy bizony őt is utólérte a WannaCry, de minden szívfájdalom nélkül használja tovább a gépét, ahogy mindig is szokta! Érted? Csatlakozik a céges hálózatra, levelezget, bármimás.
Vajon eszébe jutott közben, hogy mi történt volna, ha történetesen tényleg összeszedett egy zsarolóvírust a gépére?

 

Nagyon fontos, hogy ha úgy érzed, hogy baj van, akkor

  • ne használd a géped!
  • semmiképp ne kapcsolódj vele a céges hálózatra!
  • kérj segítséget, ha nem érzel magadban elég tudást ahhoz, hogy biztosan elhárítsd a bajt!
  • ha külső vinyóra mentesz, addig semmiképp ne dugd be a gépedbe, amíg egy szakember azt men mondta, hogy nincs baj.

 

Szóval csak ésszel! ;)

 

(Kép innen.)

Frissíts most azonnal!

A Microsoft - a tegnapi világméretű zsarolóvírus támadás miatt - a nem támogatott operációs rendszereihez is kiadott javítást. Töltsd le, és telepítsd, ha Window XP-t, Vistat, 8-at vagy Windows Server 2003-at vagy 2008-t használsz!

Itt töltheted le: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

wannacry-university_lab.jpgWannaCry zsarolóvírus támadás egy egyetemi laborban.

Szóval ha a fenti oprendszereket használod, akkor a linkről frissíts.
Ha nem, akkor - windows verziónak megfelelően - telepítsd a gépedre érkező update-et most!

Ha a windows update automatikusan lefut nálad, akkor nincs teendőd. Ezzel legalábbis.


wannacry-deutsche_bahn.jpgA Deutsche Bahn is az áldozatok között.

Az áldozatok között Angliában a kórházak mellett például a Nissan, Amerikában a FedEx, világszerte több egyetem, bank, vasúttársaság, stb. Eddig több, mint 140.000-en.

Az érintett fájltípusok pedig:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
(forrás: https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168)

 

WannaCry - Hogyan védekezz?

UPDATE: A már nem támogatott operációs rendszereire is készített javítást a Windos, frissíts most!

Meglehetősen durva kibertámadás söpör végig a világon éppen: eddig közel 60.000 gép érintett és ki tudja, hol van még a vége.
Angliában kórházak működése került veszélybe, de telekommunikációs cégek, bankok, és rengeteg más cég érintett még. Elért már hozzánk is: a legfrissebb hírek szerint a magyar Telenorhoz is eljutott a WannaCry zsarolóvírus.

Mit neki Kínai Nagy Fal, óceánok, közlekedési dugók, meg ilyenek...

A WannaCry zsarolóvírus titkosítja a gépen található összes fájlt, és SMB-n kersztül a távoli parancsfuttatás sérülékenységét kihasználva a hálózatra kapcsolódó többi Windowsos gépet is megfertőzi.

Ne vedd félvállról a veszélyt! Pláne ne céges szinten!
Gondold végig, hogy milyen kárt okozhatna, ha egyszer csak nem férhetnél hozzá a dolgaidhoz. Angliában műtéteket halasztanak el, betegeket irányítanak még nem érintett kórházak sürgősségi osztályaira. Szóval ér ezt komolyan venni.

wannacry-real-time.pngA MalwareTech térképén követheted élőben a WannaCry támadásokat.

 

Hogyan védekezz?

  • Először is, ha még nem telepítetted a Windosos gépeken és szervereken az EternalBlue exploit (MS17-010) elleni javítást, akkor telepítsd most!
  • Az ilyen zsarolóvírusok elleni védelem során mindig gyanakodj az e-mailben kéretlenül érkezett dokuentumokra, és soha ne klikkelj a bennük lévő linkekre, míg nem tisztáztad biztosan a dokumentum eredetét.
  • Ahhoz, hogy mindig biztosan hozzáférj a fontos fájljaidhoz és dokumentumaidhoz, kell egy jó mentési eljárás. A másolatokat olyan külső tárolóeszközre mentsd, amelyhez nem kapcsolódik folyamatosan a mentett számítógép.
  • Ezen kívül győződj meg róla, hogy aktív a vírusvédelem a gépeden / szerveren.
  • És ami a legfontosabb, mindig biztonságosan böngéssz az interneten. (https, biztonságos internetkapcsolat, stb.)

 

Ellenőrizd ezeket, állítsd be, és légy most különösen tudatos az e-mailben érkező dokumentumok megnyitásával, kezelésével!

 

UPDATE: Fél óra telt el a poszt írása óta, azóta már közel 100.000 gép fertőzött.

A konkurencia küldte a hackert?

Régóta foglalkozom informatikával, régóta találkozom hackerek munkáival. Sok olyan dolog történt az évek alattt, melyek előremozdították bennem az érdeklődést és egyre több tanulásra késztettek. Most elmesélem az egyik első ilyen esetet, ami régesrégen történt egy ismerős céggel.

 

Akkoriban még nem folyt a csapból minden nap hackerekről szóló történet, pedig hackerek voltak és dolgoztak már akkor is.

Tehát ezzel az esettel nem a munkám során találkoztam, hanem egy ismerős céggel történt meg. Ez a cég egy könnyűipari cég volt rengeteg technológiai információval, nagy adatvagyonnal. A céges kultúra szerves része volt (már több, mint 20 éve), hogy év végén, kb. december közepétől már nem dolgoztak. December közepén nagy céges buli, vacsora, aztán két hét szünet. 

Ebben a szünetben tényleg senki nem ment be a céghez, a vezetők, tulajdonosok elmentek síelni, a dolgozók meg nyilván örültek, hogy elfelejthetik addig a munkát. Persze ez nagyon jól van így, de ilyenkor ki vigyáz az adatokra?

Januárban, mikor indították volna a gyártást, azt vették észre, hogy semmi sem működik, semmi nem megy, semmi nincs meg. Semmi. Az összes gépet feltörték, az összes adatot megsemmisítették - az összes mentést is beleértve. Persze, tudom, lehetne offline mentés, földrajzilag máshol stb., de a páncélszekrényes szalagos mentés egy KKV-nál nem gyakori még ma sem. Technológia, tervrajzok, CNC beállítások - minden ugrott, ami nem volt meg papíron.

Hetekig tartott, mire nagyjából elkezdtek dolgozni, de ez egy ilyen cégnél több hónapos lemaradást, túlórázást és beláthatatlan mértékű többletköltségeket okoz. Nem az a gond, hogy milliókat fizettek az adatok - részbeni - helyreállításáért, hanem az, hogy kötbéres munkákkal csúsztak el, a késés végiggyűrűzött az egész gyártási láncon, elképesztő káoszt okozva. Őszintén szólva csodálkozom, hogy talpra tudtak állni ezután, de tény, hogy a teljes folyamat iszonyú sokáig tartott. flint_sit-down_strike_window.jpg

Azóta is kérdés, hogy mi történt pontosan, de a mai fejemmel azt mondanám, hogy ez nem egy magánakció volt. Ez profi munka, amit profi csinált, márpedig egy profi nem lődöz vaktában és főleg nem dolgozik ingyen.

 

Szóval van ilyesmire példa hazai KKV szektorban is, csak erről nem feltétlenül ír az index.

Vigyázzatok a céges adatokra is!

Azért a legyek is tévedhetnek...

Ez a bejegyzés egy politikai cikk olvasása után íródik. De nem a politika a lényeg, attól most tekintsünk is el. Ok, tudom, nem lesz könnyű, ha egyszer az elsőtől az utolsó betűig arról szól. Azért mégis próbáljuk meg.

Ez az a cikk. A lényeg pedig - amennyire csak lehet, lecsupaszítva - ez:

... azzal érvelt az online ív biztonságos mivolta mellett, hogy eddig - szerinte - egymillióan töltötték ki a kérdőíveket, és éppen ez bizonyítja, hogy az akció az emberek szerint biztonságos.

(A félkövér kiemelést én eszközöltem a félmondaton. Az a legcsupaszabb lényeg.)

 

Nos.

eatshit.jpgForrás: 9gag.com

 

Attól, hogy valamit sok - akár egymillió - ember biztonságosnak tart, az még nem feltétlenül biztonságos.

Attól, hogy valamit online sok - akár egymillió - ember kitölt, az még nem jelenti feltétlenül, hogy biztonságosnak is tartja.

Bármilyen online kitöltendő (legyen akár játék, online kérdőív, hírlevél feliratkozás, letöltéshez szükséges mini-kérdőív, stb.) kitöltőinek általában eszébe sem jut végiggondolni, hogy vajon biztonságos helyen adják-e meg a válaszaikat. A fenti kérdőív mellett is elolvashatta mindenki az adatvédelmi nyilatkozatot, ami arról szólt, hogy a megadott adatok nem kerülnek harmadik félhez. Pedig...

Hogy honnan tudhatod meg, hogy valami biztonságos-e?
Kb. sehonnan. Nyilván megnézheted mondjuk az oldal forráskódját és rákereshetsz arra, amit nem szeretnél a kódban látni. De lássuk be, azért relatíve kevesen képesek erre.

Akkor most soha többet ne tölts ki semmit?
Erről természetesen szó sincs. A lényeg - mint midig - a tudatosság! Tudd, hogy milyen adatokat kérnek tőled és döntsd el, hogy meg akarod-e adni. Ha úgy érzed, hogy nem szeretnél bizonyos kérdésekre válaszolni, nem szeretnél bizonyos adatokat megadni magadról másnak, akkor egyszerűen ne töltsd ki, amit épp akartál. Akkor se, ha így le kell esetleg mondanod egy ingyen letölthető valamiről, vagy egy jópofa játékról.
Használhatsz külön e-mail címet, amit kérdőíveknél, feliartkozásoknál adsz meg és amit ezen kívül másra nem használsz. A lényeg, hogy legyen a tiéd a döntés!

Nőnap

We Can Do IT!

A sztereotípia azt diktálja, hogy ha szóba kerül úgy általában az informatika, meg a nők, akkor ez biztosan kompatibilitási problémát jelent. Pedig...

women-in-tech-splash.pngKép innen: https://crowdsource.storymaps.esri.com/stories/women-in-tech

 

Ha valaki nem ért valamihez, az nem az ő biológiai nemén múlik. Rengeteg férfi van, aki éppen úgy képtelen felfogni az IT Sec fontosságát, aki nem tudja, miért lehet veszélyes, ha nem védi megfelelően az adatait, aki éppen úgy kiposztolja gondolkodás nélkül Facebookra a görbe hétvége fotóit (persze nyilvánosan, hogy mondjuk a következő álláskeresésnél a HR-es is tudjon csemegézni), akinek lövése sincs, hogy hogyan kéne beállítani otthon a wifi-routert, hogy az tényleg jó legyen, aki - bár Igazán Fontos Személyként irányít egy céget, de - nem tudja fölfogni, hogy a cége feltört szerveréről ellopták az adatait, még akkor is, ha a feltört szerveren ott vannak azok az adatok - és sorolhatnám még hosszan.
És természetesen rengeteg nő is így van ezzel.

A Nőnap jelentőssége számora az, hogy ez a nap alkalmat ad arra, hogy többet beszéljünk arról, amiről ez a nap amúgy eredetileg is szól.

Fontosnak tartom, hogy a kislányok, meg a kicsit nagyobb lányok, és aztán a nők, asszonyok, anyák, öreglányok és nénik is tudják, hogy az informatika sem egy olyan része a világnak, ahol nincs keresnivalójuk. Hogy nyugodtan tanulhat egy kislány is programozónak, hogy álmodozhat arról egy tinilány, hogy pentester lesz, hogy jogod van anyaként is akarni mérnöki karriert és, hogy öreglányként is rajonghatsz a kütyükért és egy néniként is tisztában lehetsz egy phishing e-mailben rejlő veszéllyel.

Ne gondold, hogy a különböző nőmozgalmaknak manapság már nincs létjogosultsága. Egyáltalán nincs azzal baj, ha csajok fognak össze, hogy tegyenek magukért. Egy normális nőjogi szerveződés nem gyűlöli a férfiakat, nem a kirekesztésről, nem a pozitív diszkriminációról szól!
Én mondjuk azt szeretem, ha inkább együtt gondoljuk úgy, hogy fontos tenni az egyenlőtlenségek ellen.

Ne csak ma beszélgess a lányoddal az informatikáról! Mesélj érdekes dolgokat róla, mert attól, hogy lány és hercegnőnek öltözik, még igenis van agya, és nem csak óvónéninek, vagy fodrásznak, vagy egyéb alapértelmezetten lányos foglalkozásra lesz jó. Belegondoltál már, hogy miért nem visz haza az asszony annyit, mint az ugyanolyan beosztású férfi kollégája a cégnél? (Vagy hogy te miért keresel többet, mint a csaj, aki ugyanazt a munkág végzi, mint te?) Szereted a Nőt, és mégsem háborít fel, mégsem tűnik fel, hogy nem bánik vele, még mindig nem bánik vele éppen úgy a Világ, ahogy veled?

Nos, ezért van még mindig létjogosultsága  a Nőnapnak.

Én azt (is) szeretem a Hackerben, hogy általában nem old meg helyettem semmit. Megmutatja, hogy hogyan kell, hogy hogyan tudom egyedül. Igen, ez sokszor kényelmetlen és fárasztó. De tudja, hogy simán meg tudom csinálni, ha megtanulom - nem számít, hogy nő vagyok, azon ezek a dolgok nem múlnak. És tudom, hogy nem lehetek puhány én sem, csak azért, mert nő vagyok.

 

Ez a blog alapvetően nem csak nőknek szól, sőt!
De nagyon örülnék, ha ma megismertetnéd ezt legalább egy nőismerősöddel. Nagyon klassz dolog ma virággal kedveskedni a csajoknak - nekem legalábbis egyáltalán nincs ellenemre. �  (Igaz, más napokon sem, mert a szobanövények érthetetlen okból nem mindig bírják ki negyed évig víz nélkül... :) ) De adj ma tudást (is)! Lehetőséget, hogy önálló(bb), tájékozottabb lehessen az a nő, akit kedvelsz! Ne gondold, hogy azért, mert nő, ő úgysem értheti!

Legyen biztonságos weboldalad!

Mik a lehetőségeid, ha te nem értesz hozzá?

Pár napja a pizzériás eset kapcsán (is) elkezdett érdekelni, hogy mégis mit csinálhatnak egy hasonló történet szereplői, milyen lehetőségeik (esetleg kötelességeik vannak).

14438581410_170cb186b3_b.jpgBiztonságos weboldalakat, webáruházakat fejleszteni lehet, de nem minden webfejlesztőnek van meg hozzá a tudása, és azt is tudni kell, hogy ez nem olcsó. Tehát összerakja a szomszéd Pistike a weboldalad harmincezerért, de az egészen biztosan nem lesz biztonságos.
A weboldalak, webáruházak tulajdonosainak jelentős részének nincs 0,5-1,5 millió forintja arra, hogy egy valóban biztonságos weboldalat csináltasson magának egyedi fejlesztésben.

De akkor mi a megoldás? Ne legyen weboldala, ne nyisson webáruházat senki, aki nem tud kezdetnek ennyit befektetni? Vagy vegye tudomásul minden felhasználó, hogy az adatait az esetek nagy részében nem biztonságos helyeken kénytelen megadni?

 

Mit tehetek, ha új weboldalt, webáruházt szeretnék?

Jó eséllyel nem tudod eldönteni, hogy a webfejlesztő cég, akit megbíznál az oldal fejlesztésével, képes-e azt biztonságosan elkészíteni neked. Nem is kell mindenhez értened, de azért van, amit tehetsz.

Úgy köss szerződést a fejlesztőkkel, hogy abban legyen benne, hogy ha az oldalt megvizsgáltatod egy etikus hackerrel, akkor az általa talált hibákat ingyen kijavítják neked. Ha ilyen szerződést nem írna alá a fejlesztő cég, akkor keress másikat!

A fejlesztőknek és az üzemeltetőknek elemi érdekük, hogy olcsón tudják adni a szolgáltatásukat. Azon nem tudnak spórolni, amit látsz, de azon igen, amit nem. A megrendelő nem csúnya, de biztonságos weboldalra vágyik általában, így aztán a fejlesztők a biztonságon fognak spórolni, hogy örülj a szép weboldaladnak.
Ne dőlj be! Neked nem szép, de nem biztonságos oldal kell, hanem szép ÉS biztonságos!

És hogy mi olcsó és mi drága? A fenti 500.000 Ft jó kiindulás egyedi fejlesztés esetén. Próbáld a dolgot úgy nézni, hogy nem a pénztárcádból pislogsz ki. Lehet, hogy neked 100.000Ft-os befektetés is sok (=drága), de objektíven az nem számít drágának, sőt! Vedd tudomásul, hogy 500.000Ft alatt nem igazán van esélyed szép ÉS biztonságos egyedi fejlesztésű webáruházat kapni a fejlesztőtől.

Ha megelégszel nem egyedi fejlesztéssel, akkor egy opensource rendszer telepítése, és biztonságos beállítása már meglehet 150.000Ft-ból, de annál olcsóbban nem igen.

Vedd tudomásul, hogy a jó munka pénzbe kerül. Vedd tudomásul, hogy fillérekért nem fogsz biztonságos, minőségi weboldalt kapni, olcsón egyszerűen nem lehet jól megcsinálni ezt sem, mint ahogy annyi minden mást sem.
Ha nincs rá elég pénzed, akkor vedd tudomásul, hogy nagyobb eséllye van annak, hogy feltörhetik az oldaladat, és ebből problémád lesz a későbbiekben. Szóval tudod: csak tudatosan!

Etikus hackerrel megvizsgáltatni egy weboldalt az az oldal bonyolultságától függően 100.000 Ft-tól kezdődő összeget jelent. Jó, ha ezt rá tudod szánni az oldal vizsgálatára. És még jobb, ha a talált hibákat ki is javíttatod a fejlesztővel, különben csak kidobott pénz az egész vizsgálat.

 

Ha már van weboldalad, webáruházad

Etikus hackerrel egy régi oldalt is érdemes lehet átnézetni, ezzel gyakorlatilag ugyanannyi a teendő, mint ahogy azt fönt írtam. A talált hibákat javíttasd ki a fejlesztőkkel!

Ha megtörtént a baj, feltörték az oldalad, akkor azonnal fordulj a fejlesztőhöz, és javíttasd meg vele a hibát. Ha hozzáértés hiányában nem tudja elvégezni a javításokat, keress mást. (Hogy aztán a rossz fejlesztést hogyan rendezed a dolgot, azt már rád bízom.)

Baj esetén értesítsd a felhasználóidat is, mert így tisztességes, meg mert igenis joguk van tudni arról, ha valaki hozzájutott a nálad használt jelszavukhoz. Például azért, hogy meg tudják változtatni minden olyan más helyen, ahol esetleg ugyanezt a jelszót használták.
Igen, nem kellene máshol is ugyanazt a jelszót használniuk, mint nálad, de ettől még nem büntetheted őket azzal, hogy nem közlöd velük a tényt, hogy feltörték az oldalad, tegyenek belátásuk szerint. Már csak azért sem, mert neked pedig kötelességed volna biztonságos weboldalt üzemeltetni, ahol a felhasználóid biztonságban tudhatják az adataikat.

Jelentsd be a rendőrségen is, ha feltörték az oldaladat.

 

wmf_sdtpa_servers_2009-01-20_36.jpgNem csak a webalkalmazás fontos!

A dolog ott semmiképp sem állhat meg, hogy biztonságos weboldalt fejlesztettél magadnak. Ha ugyanis mindez egy nem biztonságos szerveren (webhosting a varázsszó, ami ismerős lehet) fut, akkor megette a fene az egészet!

Biztonságos hostingot is úgy találhatsz magadnak, ahogy webfejlesztőt: ha szerződésben vállalják, hogy egy esetleges vizsgálat során feltárt hibákat javítják, akkor jó. Ha nem, keress mást!

 

A következő posztban leírom, mit tehetsz felhasználóként.