Θύμα SQL επίθεσης το Αμερικάνικο site της Kaspersky

[fsbmaniac]

επειδη οι 7 στους 10 απο εδω,δεν ξερετε καν το ειναι αυτο του ειδους επιθεση και πως υλοποιειται σε μια βαση δεδομενων ειδικα απο απομεκρυσμενο ελεγχο ...καλυτερα μη γραφετε βαρβαροτητες και βλακειες .

Οσο για το αν ειναι καλο η κακο... ειναι ενα απο τα καλυτερα !

Εγω προτιμω το Nod χρονια τωρα και ΠΑΝΤΑ original πραγμα που εχει μεγαλη σημασια !Κορυφαιο και παναλαφρο !

[ilias_t]

Φίλε Lomar, κατά τη γνώμη μου τα λες μια χαρά. Δηλαδή το προιόν δεν είναι μούφα επειδή το site της εταιρείας was owned. Αλλά νομίζω χάνεις το δίκιο σου με το να τα χώνεις έτσι. Chill dude...

[Radiatedsoul]

Αυτοι που ασχολουνται με τα site των εταιριων και με την υποστιρηξη τους, δεν εχουν καμια σχεση με τους developers που ασχολουνται με το κυριος προιον.

 

Μπορει καν να μην ασχολουνται με το site και να το εχουν δωσει σε εξωτερικη εταιρια, συνεργαζομενη μαζι τους.

 

Σε καμια περιπτωση δε μπορουμε να βγαλουμε συμπερασμα για την ποιοτητα του karpersky , επειδη καποιος χακαρε ενα site που ετρεχε σε καποιον ασχετο σερβερ , σε καποιο μερος της γης.

[PCharon]

σεβαστό το δικαίωμα τους να λένε οτι θέλουνε, αλλά σεβαστό και το δικαίωμα να τους/με ειρωνευτώ/-ούνε.

Συγνώμη τότε, δεν ήξερα πως το να ειρωνευόμαστε και να χαρακτηρίζουμε όπως επιθυμούμε είναι δικαίωμά μας.

 

Κατά τα άλλα ελπίζω να κατάλαβες τι εννοούσα.

 

[edit] Δεν κάνουμε και μια δημοσκόπηση να δούμε πόσο επηρεάστηκε η γνώμη των χρηστών ως πιθανοί αγοραστές των προϊόντων της εταιρείας λόγω της ανακοίνωσης? Πλάκα θα έχει, αν και είμαστε μάλλον εξειδικευμένο forum.

Επεξ/σία 10 Φεβρουαρίου 2009 από PCharon

[elven]

Εγώ θα την κάνω την ερώτηση κι ας με ειρωνευτείτε

Αυτός ο sql server είναι φόρα παρτίδα στον αέρα ή προστατεύεται απο κάποιο firewall;

[Lomar]

δεν έχεις άδικο, ξέφυγα, αλλά (μου τη σπάει που το λέω και δεν το κάνω για να δικαιολογηθω), σχεδόν σε κάθε είδηση βλέπεις την ίδια κατάσταση, δλδ άτομα που κράζουν (αν είναι αρνητική η είδηση) ή εκθιάζουν το σύμπαν (κλασσικό πχ κάθε είδηση με ssd, που ο μέσος user, το χρειάζεται λές και θα φτάσει ποτέ την απόσβεση) χωρίς να ξέρουν τι πράγμα μιλάνε...

 

εν ολίγης ποστάρουν επειδή μπορούνε.

 

Συγνώμη τότε, δεν ήξερα πως το να ειρωνευόμαστε και να χαρακτηρίζουμε όπως επιθυμούμε είναι δικαίωμά μας.

 

Κατά τα άλλα ελπίζω να κατάλαβες τι εννοούσα.

 

γιατί δεν έχω/έχουνε/έχουμε το δικαίωμα να το κάνουμε; εγώ που το κάνω ας πούμε, πρέπει να μου απαγορευτεί η έξοδος απο τη χώρα, να μου στερηθούν τα πολιτικά μου δικαιώματα, να με μπανάρουν, να με σκοτώσουν, να με φυλακίσουν, τι; no offence, αλλά και η μη-προσβλητική ειρωνία (εγώ εν μέρη πρόσβαλα ελαφρά) είναι τρόπος έκφρασης.

 

Εγώ θα την κάνω την ερώτηση κι ας με ειρωνευτείτε

Αυτός ο sql server είναι φόρα παρτίδα στον αέρα ή προστατεύεται απο κάποιο firewall;

 

φυσικά και θα είναι παράλογο να σε ειρωνευτεί κάποιος απο τι στιγμή που ρωτάς χωρίς να βγάζεις συμπεράσματα!

 

δεν είμαι σίγουρος και μπορεί να λέω μπαρούφες, αλλά δεν είναι ακριβώς ζήτημα κάποιου firewall, αφού δεν είναι επίθεση τύπου DoS (Denial of Service, στέλνει δλδ κάποιο χακερόνι απο πολλούς/slave υπολογιστές πολλαπλές αιτήσεις για αποστολή δεδομένων απο τον server-θύμα και έτσι υπερκαλύπτονται οι πόροι ή και το bandiwidth και πέφτει η ταχύτητα, η απόκριση, αυξάνετε το ping του ή καταρρέει), αλλά για "ψάρωμα" της βάσης δεδομένων.

 

κλασσικό sql injection (αν και δεν είμαι σίγουρος αν το γράφω σωστά), είναι να στείλεις κάποιο πάντα αληθές statement, πχ απο wikipedia:

 

>
SELECT 1/0 FROM users WHERE username='Ralph'

 

εδώ είναι το αντίστροφο του αληθές, αφού εάν υπάρχει πεδίο username με τιμή 'Ralph' στον πίνακα users (username και users είναι προϊον κοινωνικής μηχανικής, αφού οι περισσότερες βάσεις δεδομένων τον πίνακα με τους χρήστες τους θα τον έχουν ονομάσει users *-απο κάτι τέτοιο μπορεί να χακέφτηκε και το site), τότε το η απροσδιόριστη τιμή του statement (1/0) μετά το SELECT, θα αναγκάσει την βάση να επιστρέψει error, έτσι καταλαβαίνει ο επιτιθέμενος οτι όντως υπάρχει πίνακας user, με πεδίο username και σε κάποιο απο τα πεδία έχουμε και μια τιμή 'Ralph'.

 

όλα τα παραπάνω με κάθε επιφύλαξη, τσεκάρετε και το σχετικό άρθρο.

Επεξ/σία 10 Φεβρουαρίου 2009 από Lomar

[nickarmy]

δεν ξερω τι εχετε πει στα προηγούμενα

αλλά γιατι εκπλήζεστε έχει ξανασυμβει και σε άλλες εταιρίες που δινουν antivirus λογισμικό

[FarCry]

Όταν μια εταιρία που εξειδικεύεται στον τομέα της ασφάλειας υπολογιστών και μάλιστα με την φήμη και ιστορία της Kaspersky πέφτει θύμα Hacking είναι λογικό να υπάρξουν ειρωνικές αντιδράσεις και αμφισβήτηση της αξίας των προϊόντων της. Δεν σημαίνει ότι αυτό είναι δίκαιο (εξακολουθώ να εκτιμώ το Kaspersky anti-virus) αλλά ταυτόχρονα είναι φυσιολογικό να συμβεί, για αυτό και είναι αναμενόμενο να γίνει προσπάθεια συγκάλυψης του γεγονότος (το κάνουν αρκετοί Οργανισμοί, Τράπεζες κτλ. ώστε να μην δημιουργείται αρνητική εικόνα στους καταναλωτές).

 

βλέπε kaspersky anti-hacker

[Barbattilas]

Kaspersky failed.

 

Μάλλον για λόγους δυσφήμισης το έκανε ο τύπος, όπως και να'χει, είναι βαρύ για μία εταιρία που δεν μπορεί να προστατεύσει τον ευατό της να διαφημίζει πως προστατεύει τους υπόλοιπους...

 

 

A-κρι-βώς!!!!

[ilias_t]

Minimum προστασία από SQL injections μπορεί να επιτευχθεί με χρήση Prepared Statements από τους developers. Μέσω αυτών αποφεύγεται το injection κακόβουλων queries, οπότε προστατεύεται σε σημαντικό βαθμό η βάση. Πιστεύω πως κάθε προγραμματιστής που σέβεται τον εαυτό του πρέπει τουλάχιστον να χρησιμοποιεί αυτή την ελάχιστη προστασία.

[Lomar]

σίγουρα, αλλά οι web developers δεν εργάζονται στο τμήμα έρευνας και ανάπτυξης της εταιρείας.

 

είναι σαν να καταδικάζετε μια ολόκληρη εταιρεία επειδή το τμήμα καθαρισμού απέτυχε σε κάποιο μεμονωμένο (αν και σοβαρότατο) περιστατικό. ή σαν να συγκρίνουμε την επιτυχημένη πορεία μιας εταιρείας χρηματιστηριακών επενδύσεων, με μια συγκεκριμένη, σοβαρότατη και ερασιτεχνικού επιπέδου αποτυχία του λογιστικού της τμήματος. απλά δεν στέκει, όσο και αν φαινομενικά συσχετίζονται τα δύο τμήματα. το 1ο έχει ουσιαστικό και πρωτεύοντα ρόλο, ενώ το δεύτερο υποστηρικτικό και ούτε καν έμμεσα δεν σχετίζεται με το τελικό προϊόν (ή υπηρεσία).

[flik]

Ακριβώς αυτό έλεγα. Είναι εντελώς διαφορετικά τμήματα μιας επιχείρησης, δεν εργάζονται τα ίδια άτομα κτλ. Απλά κάποιοι στους οποίους είχε ανατεθεί η ιστοσελίδα δεν έκαναν καλά τη δουλειά τους. Αν ξεφύγουμε απο το θέμα marketing και κακής εντύπωσης, δεν βρίσκω λόγο να επηρεαστώ και να πιστέψω οτι το πρόγραμμα που θα αγοράσω δεν θα κάνει καλά τη δουλειά του.

[Lomar]

Ακριβώς αυτό έλεγα. Είναι εντελώς διαφορετικά τμήματα μιας επιχείρησης, δεν εργάζονται τα ίδια άτομα κτλ. Απλά κάποιοι στους οποίους είχε ανατεθεί η ιστοσελίδα δεν έκαναν καλά τη δουλειά τους. Αν ξεφύγουμε απο το θέμα marketing και κακής εντύπωσης, δεν βρίσκω λόγο να επηρεαστώ και να πιστέψω οτι το πρόγραμμα που θα αγοράσω δεν θα κάνει καλά τη δουλειά του.

 

αυτό παλεύω να πω.

[PCharon]

Ναι, ΜΠΡΑΒΟ, το καταλάβαμε δεν είμαστε αφελείς/αμαθείς όλοι όσοι αναγιγνώσκουμε το θέμα.

 

Η ουσία όμως ΕΙΝΑΙ η κακή εντύπωση που δημιουργήθηκε, άσχετα αν αυτό είναι αντικειμενικό ή όχι. Αυτός δεν ήταν και ο σκοπός του εισβολέα, οι εντυπώσεις, ή μήπως κάνω λάθος?

 

Εσείς με καταλάβατε τώρα, ή έχουμε πρόβλημα επικοινωνίας?

[flik]

Καταλάβαμε, δεν σας κατηγορήσαμε. Και σαφώς ήταν ο σκοπός τους αυτός, και φυσικά τον πετύχανε, και δικαιολογημένα. Απλά είδα και σχόλια τύπου "νόμιζα ήταν καλό" κτλ, και αν και ποτέ δεν το κράτησα στο σύστημα μου, είναι άτοπο να το χαρακτηρίσουμε βάσει του γεγονότος