Siguria eshte koncept dhe jo mall !! [0-day sploit]

(premtoj se nuk e keni lexuar nje teme te tille , mendjen ketu šŸ˜‰ )

Dizinformacion

Pata pak kohe (me ne fund) dhe po lexoja disa artikuj rreth ‘sigurise’, Ā te them te drejten nuk ju drejtova burimeve te zakonshme por e vura veten ne pozicionin e dikujt qe kerkon ne google dhe lexon mbi sigurine informatike.
Vura re se te gjitha ato qe lexohen (ne pergjithesi) jane broƧkulla te cilat krijojn barrjera tektonike ne trurin e lexuesit mbi ate se Ƨ’fare eshte siguria, si *fitohet* , si te *ruhemi* e te tjera si keto.

Informacion

Si fillim, Ƨ’fare do te thote siguri?, Ƨ’fare synojn te tjeret te tregojn me ate fjale? Mua me pelqen ta percaktoj keshtu:
Siguri – Nje term qe perdoret per ti bere njerezit te ndihen me te ruajtur apo te kene me shume frike.
Ne industrine e *sigurise* tentohet qe te shitet diƧka, dhe qe kjo diƧka te shitet (siguria) duhet qe dikush (klienti) te kete nevoje per kete duhet te kete frik, dhe qe te ndodhi transaksioni klienti duhet te kete nevoje per ‘sigurine’ te cilen mund tja *garantojn* ekspertet e sigurise.
Nese keni lexuar sadopak, siguria trajtohet si mall, e cila ka sasine, Ƨmimin, cilesine etj dhe fjalia e mesiperme e deshmon kete qe sapo lexuat. Pse kjo?
Materializmi i sotshem ka sjelle edhe vete materializimin e ndjenjave njerezore :( e jo me diƧka qe matet me lek..

Siguria eshte koncept dhe jo mall !!

Titulli eshte i qarte, dhe me 1 shembull shume praktik po japim dhe realitetin e titullit.
Po e zeme se jeni nje bank e cila eshte *manjake* me *sigurine* dhe kerkon siguri *maksimale* dhe *garanci per sigurine*!
Po e zeme edhe se kjo bank ka marre VIP-in me me shume Ƨertifikata ne qarkullim dhe i ka thene: “Me *siguro* sistemin”
Gjeja e pare qe do te bej specialisti do te jete ndarja ne DMZ te rrjetit duke i kursyer vetes pune e duke futur sistemet qe kerkojn shume djers ne sisteme te paaksesueshme nga jasht, dhe duke u mare vetem me ‘frontin e luftes’.
Ja po e zeme se krijon filtra per vulnerabilitete te ndryshme, vendos honeypot, vendos IPS te ndryshem, firewalle dhe per te mos e komplikuar shume , merret me websitin e bankes te cilin e teston per sql injections, xss, rfi, lfi, rce, e keshtu me radhe dhe aplikon filtrat e duhur (kjo eshte me e zgjuar sepse gjithmon te shpeton diƧka) per te shmangur keto kategori sulmesh (zere sikur nuk egzistojn te vjetrit buffer overflow :) ).
JA pra, i beme te gjitha keto, faqa eshte me e sigurte?
šŸ˜€
heh,
Me ‘te sigurte’ kur degjohet tek shumica mendohet ‘e ruajtur mire’ ose “nuk Ƨahet daje” dhe Ā nese nuk eshte e *sigurte* atehere i bie mos te jete e ruajtur mire, dhe ne fjale te tjera “e shqyeva :P”
Po mire, ja po e marrim faqen tone si te sigurte, po te sigurte nga kush?
AaaaAA :D, ketu qendron e gjith Ƨeshtja, sepse vertet faqa mund te jete e papenetrueshme nga fillestare, script kiddie, apo persona qe u mungon motivimi i forte, po a eshte e njejta gje per dike qe konceptin e siguris e ka shnderruar ne jeten e tij? Eh, garantoj, nje i tille ne me pak se 1 jave hedh te gjith sistemin ne dore. Dhe ju e dini mire qe eshte e vertet pasi gjera te tilla kane ndodhur me websitet “me te sigurta” apo sistemet “high security :P” .
Nga kjo lind pyetja: nese websiti yne nuk penetrohet nga shumica por nese dikush do realisht ta penetroj, nuk ka asgje qe e ndalon a e ben webin tone te sigurte?
Ne perkufizim thame qe e sigurte do te thote e ruajtur , dhe nese websaiti yne do te ishte i ruajtur atehere nuk do te ishte i penetrueshem ngaĀ askush apo jo? Keshtu qe nxjerrim perfundimin:
Siguria eshte vetem nje koncept, dhe jo mall (materie), nuk ka “shume siguri” dhe “pak siguri”, “siguri maksimale” dhe “siguri minimale” te gjitha keto jane relative ne baze te atij qe i vendosim perballe. Pra ne fjale te tjera, eshte Koncept i cili sot perdoret per qellime perfitimi dhe aq. Shumica qe bien pre e kesaj fushate elektorale normalisht bien pre edhe e keqkuptimeve dhe dizinformimit ne mase, ashtu siƧ po lexoja nje teme diku per sigurimin e aplikacioneve web, ku dikush thoshte qe varet nga administratori, tjetri thoshte duhet te vendosim filtrat qe te filtrohen sulmet sql injection, xss, etj nje tjeter thoshte se kishte te bente kompania hosting, updatet, softwari open-source e keshtu me radhe. Te gjithe keto jane pre e dizinformimit, te gjitha keto zvogelojn rrezen e atyre qe mund te perfitojn nga vulnerabilitetet por as nuk “rrisin e as nuk zvogelojn” sigurine! Normalisht po te dinin se Ƨ’fare eshte reverse ip dhe si mund te perdoret nuk do te flisnin kaq shpejt per koncepte kaq te thella si SIGURIA.
Persa me perket mua ne kete teme, do te beja te njejten gje qe kam bere me blogun tim, kam bllokuar Ƨ’do lloj aksesi direkt ne failet .php persa i perket blogut, por kjo serisht siƧ e thashe zvogelon rrezen e sulmit por as nuk “rrit e as nuk zvogelon sigurine” pasi vetm siguria nese perdoret “jam i sigurte” eshte genjeshter pasi te gjith e dine (ne realitet shume pak) qe kjo nuk egziston dhe Ƨ’do sistem i krijuar nga dora njerezore mban firmen e njeriut (qenie e dobet), permban bug.

2 thoughts on “Siguria eshte koncept dhe jo mall !! [0-day sploit]

  1. Jam Dakort Me Mendimin Tend Deri Nje Nje Fare Pike…
    Por Sado Te Meresh Vete Sikur 24 Ore NonStop Dhe Te “Sigurosh” Websajtin Prap Smund Te Thuash Qe Je I Sigurt…

    Me Beri Pershtypje Dicka Qe Kam Pare Ne Nje Emisjon,Fliste Rreth Hackerave Ose Me Sakte Cracker Dhe Kompanite E Sigurimit!!!
    Ishte interesante te shihje qe shum kompani lidhnin kontrata te majme me “KOMPANITE E SIGURIMIT” per te siguruar serverat e tyre,kur ne te njejten kohe “dikush” arrinte te depertonte ne KOMPANINE E SIGURIMIT duke mare cdo informacion…
    Dhe edhe pse dikush nga puntoret arinte ta kuptonte qe dikush ka hyre ne sistem,nuk mund te fliste sepse humbte vendin e punes lol
    Dhe me pelqeu shum nje fjali qe mbylli emisjonin:
    E VETMJA MENYRE E SIGURT PER TE MBOJTUR INFORMACIONET ESHTE TE MERNI HARDISKUN DHE TA FUSNI NE DOLLAP loooool

Leave a Reply

Your email address will not be published. Required fields are marked *