Hacker-ul TinKode a atacat site-ul vineri, iar apoi a pus pe internet nume de utilizatori si parole ale administratorilor site-ului si alte informatii confidentiale. Hacker-ul spune ca nu va valorifica datele, ci pur si simplu a vrut sa dovedeasca faptul ca exista vulnerabilitati.
Si acum, luni dupa-amiaza, site-ul Royal Navy este inca imposibil de accesat iar pe o caseta neagra scrie: "Din pacate site-ul Royal Navy este in proceduri esentiale de intretinere. va rugam sa reveniti curand".
Reprezentanti ai Marinei au admis ca site-ul a fost atacat, dar spun ca nu s-au pierdut date.
Un reprezentant al companiei de solutii de securitate Sophos citat de BBC spune ca atacul este jenant pentru Royal Navy care declarase in repetate randuri recent ca protectia impotriva atacurilor cibernetice este o prioritate.
BBC noteaza, citand ZoneH ca acest hacker a spart 52 de site-uri in ultimele 12 luni, iar printre "victime" se numara YouTube si Reuters.
Pai ce era sa se piarda pe drum,
Despre exactitate, cine poate ca sa spuna ...
Daca nu a stres date, nu a facut nimic altceva decat sa demonstreze ca exista vulnerabilitati serioase ale siteului.
Si sa-ti mai spun ceva.. ca veni vb de romania: degeaba esti geniu in IT daca esti descoperit prea tarziu deoarece cunostintele in IT nu sunt permanent actuale. Iar tehnica de "hacking" a fost folosita de multi softisti pentru a se lansa intr-o cariera de securitate IT. Cauta pe net despre "white hat hackers" si o sa vezi cine sunt ei. Eu cred ca tipul asta cam pe aici se incadreaza
Parca exista si un site/blog in ro unde postau ce site-uri au gasit exploatabile. De ex unul din site-urile atacate cu succes era un site de joburi din Romania, destul de utilizat. Nu erau de loc securizati si au putut scoate de ex toate informatiile utilizatorilor (parolele erau tinute in clar, nu criptate, sa nu mai zic de acces la email, nume, telefoane, date CV). Daca info ajungea la "za bad guys" putea fi folosita in diverse scopuri.
Lucrez exact in securitatea calculatoarelor, si pot sa va spun ca orice hacker responsabil, daca este bine intentionat, anunta in privat tinta despre bresele de securitate. Atacul si detaliile sunt facute publice numai dupa ce gaurile de securitate au fost reparate. De ce ? Ca sa nu lasa acces si altora posibil rau intentionati.
Ce face copilul asta, sa rupa site-ul si sa se laude cu asta, este infantil in cel mai bun caz. Nu e cu nimica diferit de huliganii care scriu prostii pe peretii WC-urilor, chiar daca o face printr-o metoda mai tehnica. Daca ar fi mai bun, si-ar folosi mintea intr-un mod constructiv, chiar ar putea sa-si faca o firma de securitate informatica care cam lipseste din Romania, dar el alege numai sa distruga intr-un mod prostesc. Aici deplang educatia din Romania, care nu invata oamenii sa vada si sa foloseasca oportunitatile pe care le au.
Macar hackerii sa ia atitudine daca politicienii maro din RO n-au nici o treaba cu conducerea tarii.
Felicitari
- nu se escapeaza caracterele ' si " din parametrii primiti
- SQL se formeaza prin concatenarea sirurilor de caractere, in loc sa se foloseasca parametrii.
Poti de ex executa o comanda gen drop table, sau delete from table in pagina de login.
Poti sa faci un select sa se execute cu rezultat adevarat si pe urma sa apendezi un alt SQL care sa se execute.
Ceva de genul, SQL pt login:
select * from Users where username = '<param>'
Si daca <param> nu-i escapat poti trimite ceva gen:
' or 1=1; delete from Users;'
Ceea ce rezulta in secventa:
select * from Users where username = '' or 1=1; delete from Users;''
Deci cu alte cuvinte unde ti se cere adresa de email spre exemplu ai putea sa introduci un apostrof dupa adresa de email si sa continuui cu un script sql .ex(adresa@domeniu.ro' DROP TABLE..)
aplicatii senzitive de genul celor de mai sus ar trebui scrise sau macar audiate de programatori care in afara de blabla au ceva experienta in securitate, chiar daca costa mai mult.
si nu sugerez ca ar trebui cautati in Romania, sunt si in UK destui care fac scoala si au experienta necesara.
sau daca nu se poate, ori sa nu mai foloseasca sql, ori sa adopte limbaje de programare restrictive ( ex perl + taint).
SQL injection e printre cele mai simple proceduri de Hacking, exploateaza niste slabiciuni rezolvate cu mult timp in urma si pe care orice webmaster cat de cat ok stie sa le rezolve.
Evident ca site-ul ala nu are nici o legatura cu serverele care contin informatii secrete, de obicei alea sunt intr-un intranet care iese spre Internet (daca iese) printr-un firewall hardware destul de solid.
Site-ul public e doar o unealta de informare si de Marketing, cel mult le dauneaza grav perceptiei publice :P
Jenant ! programatorul e de vina....cel care a facut site`ul .
Nu sunt deacord cu nici un mesaj care il incrimineaza,ceea ce face el mai fac si altii,avea dreptate cineva de mai sus,daca baiatu ar plusa ar face ceva bani daca si-ar deschide o firma.