Intervju sa Markom Milenovićem

Marko Milenovic"Nema najboljeg programskog jezika niti najbolje baze podataka za izradu web sajtova. Postoje samo rešenja koja mogu biti dobra ili loša za ono što želimo da postignemo."

Marko Milenović je profesionalac na polju računarske sigurnosti, Unix/BSD administrator sa akcentom na internet servere, mreže i sigurnost, razvoj web aplikacija i sigurnost. Zaposlen je u mySkin Inc. kao projekt menadžer/oficir sigurnosti. Veoma bogata radna istorija na polju bezbjednosti: Senior security administrator u Sezamhosting, IT Menadžer na fakultetu FMK...

Marko je i jedan od članova jezgra tima Free Software Fondation, podpresjednik komiteta Srbije za standardizaciju jezika za opisivanje i obradu dokumenata. Na svom blogu sekuritatea, izmedju ostalog piše o sigurnostnim aspektima socijanog inžinjeringa.

1. Što se bezbjednosti tiče, koje programske jezike i bazu preporučujes za izradu sajta?

Sekuritatea

Ovo je teško pitanje. Sve zavisi šta želimo da dobijemo tim sajtom. Ako je u pitanju statična stranica ili neki mini portal koji se ne ažurira redovno onda je moj odgovor - koristite obican HTML ako želite biti bezbedni. Problem sa bezbednošću počiva na tome što je teško zadovoljiti lakoću korišćenja i održati visok nivo bezbednosti. Neke se žrtve moraju podneti. Isto važi i za bazu podataka. Svaki server je bezbedan onoliko koliko je administrator koji ga održava vičan da ga podesi. Valja imati na umu da je sistem jak onoliko koliko je njegova najslabija karika jaka.

Zato ne mogu dati precizan odgovor na ovo pitanje. Web sajtovi su postali žive stvari i sve je postalo web servis. Imati statičan sajt je "jucerašnjica". A pošto ljudi uvek žele da su u "danas" ili još bolje "sutra" nekako je bezbednost aspekt koji najčešće strada pri izboru rešenja za izradu web sajta. Malo ko uopšte razmišlja o aspektu bezbednosti i polazi od pretpostavke da je posedovanje korisničkog imena i lozinke dovoljno da sajt proglasimo bezbednim. To je jako uobičajena pojava kod nas. A onda otkrijemo kako su lozinke koje se koriste u rangu "123456".

Nema najboljeg programskog jezika niti najbolje baze podataka za izradu web sajtova. Postoje samo rešenja koja mogu biti dobra ili loša za ono što želimo da postignemo. Koliko će to biti bezbedno gotovo uvek zavisi od osobe koja piše kod tj. podešava bazu podataka.

2. Koliko je bezbjedno za sajtove koristiti Open Source resenja i je li bezbjednije pisati svoj kod?

Marko Milenovic

Trik pitanje. Recimo da može biti daleko bezbednije od pisanja sopstvenog koda u nekim slučajevima. Ako pođemo od pretpostavke da takva rešenja pišu zajednice koje ponekada imaju stotine programera volontera na raspolaganju onda je nekako logično da će stotine očiju pre uvideti grešku nego samo par ociju koje stoje iza sopstvenog rešenja. No, to nije uvek slučaj.

Opet se vracamo na pitanje koja je namena koda koji koristite. Dobar primer je portal Bele kuće koji je prešao na DruPal pre par nedelja. To jeste FLOSS rešenje ali budite sigurni da je kod DruPala prekopan uzduž i popreko i da je to sve sem ono što možete skinuti sa sajta CMS-a.

3. Šta treba znati kad kupuješ hosting paket?

Moraš znati šta hoceš. Domaće hosting tržište je oduvek bilo u tužnom stanju. Pojedini provajderi pokušavaju da prate svetske trendove i da nude usluge koje su na visokom nivou ali su onda cene astronomske. Pre nego se upustite u kupovinu hosting paketa bitno je dobro isplanirati šta ćete tamo postavljati. Ukoliko očekujete da sajt koji pravite ima veliku posećenost i puno aktivnosti onda zaboravite hosting pakete. Poznati su mi slucajevi ljudi koji su hteli da prave socijalne mreže na deljenom hosting nalogu. Smešno.

Problem našeg tržišta jeste izuzetno niska tehnička obrazovanost konzumera hostinga. Moj savet ostaje, dobro razmislite šta želite da postignete web sajtom, zatim sastavite listu pitanja i pošaljite provajderu. Gotovo svi će vam dati jasne odgovore na pitanja koja imate i izaci vam u susret objašnjavanjem kako da se najbolje uklopite u njihov sistem. Tek kada pokrijete vecinu problematičnih kategorija izaberite pravi paket za sebe.

4. U zadnje vrijeme smo svjedoci virusa koji upadaju na sajt kao "iframe". O čemu se zapravo radi?

O ljudskoj gluposti, kao i uvek. Virus jeste program ali kao takav nikada ne bi uspeo da funkcioniše niti da se širi da nije ljudske gluposti. Današnji virusi su daleko sofisticiraniji od onih koje smo viđali devedesetih ali i dalje počivaju na prostom socijalnom inžinjeringu i premisi da vecinu korisnika čine ljudi koji će kliknuti na sve što im date dokle god je to upakovano tako da im se dopadne. A da ne ulazimo u to kako malo ko uopšte ažurira softver na svom racunaru.

Virus koji pravi probleme kako korisnicima tako i hostinzima u Srbiji se kači na svaku otvorenu FTP konekciju i u određene datoteke (index.html ili index.php i sl) ubacuje svoj kod - obično u dno datoteke. Kada odete na sajt shvatite da ste "hakovani". Prva stvar koju radite jeste da zovete tehničku podršku hostinga i vrištite im kako su nesposobni i kako im je server kompromitovan. Bez prethodne provere svog računara. Naravno, tako je lakše. Na kraju, vi im plaćate taj hosting.

Moj savet za rešavanje hosting i sl. IT problema jeste primena prostih analitičkih metoda i eliminisanje svega što bi moglo biti problem sa vaše strane. Tek kada to uradite zovite podršku provajdera. Videćete kako ce se rešenje za problem naci daleko brže.

5. Hakerisanje sajtova? Jel to pravilan izraz i šta je glavni uzrok?

Ne. Moj stav je poprilicno "staroškolski" na tu temu i to što se radi sa sajtovima nije hakerisanje. Na žalost senzacionalisticki mediji su odradili svoje kao i za mnoge druge stvari tako da je inicijalni termin potpuno izgubio smisao. Ako se dovoljno udaljimo da sagledamo širu sliku možemo videti tri kategorije "hakerskih" napada na sajtove.

Prvu bih nazvao lukrativnom. U pitanju su napadi koji za cilj imaju dobijanje poverljivih informacija kakve su brojevi kreditnih kartica ili zadovoljenje nekih drugih ciljeva koji se svode na sticanje tuđeg dobra. U pitanju je krađa kao i bilo koja druga. Da li je neko upao u zgradu vaše firme i iz sefa odneo poverljive podatke ili upao preko web sajta korporacije i došao do istih podataka je potpuno svejedno. Ovo drugo je postalo dosta lakše.

Drugu kategoriju čine ideološki napadi. U pitanju su napadi sa jasnim ciljem širenja neke ideje ili pokazivanja neslaganja sa nečijim idejama. Nekada davno su palili prostorije organizacija sa kojima se ne slažu a danas im uklone web sajt i ostave neku jasnu političku/ideološku poruku.

Treća kategorija se može nazvazi sociopatskom. U pitanju su pojedinci sa sociološkim problemom koji koriste svoje ili tuđe znanje kako bi se dokazali pred drugima ili prosto iskalili svoj bes i nezadovoljstvo društvom u kome žive. Obično se radi o pojedincima koji ni ne znaju šta rade već koriste gotova rešenja i činjenicu da ljudi ne ažuriraju svoje sisteme redovno kako bi postigli željeni cilj. Nekada davno je "haker" morao da piše svoj program za napad... sada možemo doći do tone gotovih rešenja jednostavnom pretragom Interneta. Neko će reći da ta gotova rešenja (exploiti) ne rade kako treba. Zar? Probajte pa onda pričajte.

Čini se da najveći broj napada za koje čujemo preko medija spada u drugu i treću kategoriju. Ja ih ne bih nazvao hakerskim napadima ali mediji vole tu reč. Mediji obicno vole pompezne ali ne baš ispravne termine. Naravno, koga je briga da li je vest ispravna bitno je da privlaci pažnju, zar ne?

CONTACT

I am Miljan Vujosevic aka Leftfield from Budva, Montenegro.

You can contact me anytime on email: info@miljanvujosevic.com. I'll be glad to do some awesome work for you.

TESTIMONIAL

"He is always in front of his computer and I have barely some free time to speak with him. It's all about some code and only sometimes he ask me what do I think about some design he made. Put this comment there!"
Wife.

FAQ

Upcoming... sorry

Copyright © 2009 Leftfield.me - Web Development.