Kasperskys brukerdatabase angrepet

[kilogram]

En hacker har brutt seg inn i Kasperskys brukerdatabase ved å bruke enkel SQL-injisering.

 

Les mer

[kentjesus]

å så bra var dem liksom

[Rescue me]

Kan umulig være god PR mtp at de lager antivirus programmer .

[s1gnal]

Hvem gidder å bruker antivirus uansett? Og man får ikke noe særlig bedre inntrykk av antivirus selskapene etter dette. Husk at dem livnærer seg økonomisk på at folk har virus. Om du bruker firefox med noscript, så skal du jammen meg være en internet tufs om du klarer å få virus.

[newman221]

Kjekt å ha antivirusprogram da.. Bruker Eset Nod32 selv, og det plager meg veldig sjelden. Oppdaterer viruslisten etpar ganger om dagen, men that's it

[Psyklus]

Kommandoer til aqldabaser kan gjøres i nærmest alle gjestebøker, forum, blogger og ellers de inputfelt som korresponderer med sql.

 

Alle antivirusprodusenter blir angrepet med denne metoden. De færreste lykkes forøvrig med å kunne gjøre direkte skade av betydning fordi dette er gjort før og rutiner for å utføre skader er opprettet. Det å hente ut informasjon er ellers gammelt nytt. Det florerer med sensitiv og systemrelatert info om en rekke ledende programutviklingsselskaper på nettet om man har et spesiellt behov for dette.

 

Ellers må det sies at dette ikke er dagligdags fordi hackeren sannsynligvis vet at han er sporet. Det er det som er litt av qluet..siden vi snakker om binærkoder og sytem er det INGENTING som er absolutt hackersikkert. Det er som å lage antibiotika (sikkerhet) mot sykdommer (utforskende hackere) som hele tiden vil overgå hverandre. Hackere har en enklere jobb her.

 

Jeg bruker selv Kaspersky fordi jeg etter mange år i bransjen erfarer at det er best pr dags dato. Det betyr ikke at jeg stoler på at AV tar alt av trusler (noe ingen gjør) men det sparer meg for svært mye tid. Det er naturlig at de som prøver seg på sql-injesering og "lykkes" dokumenterer dette og oppnår en viss form for respekt innen hackermiljøet. Den andre siden er at dette er kun bra, fordi det viser at den evige kampen mellom hackere og AV-selskapene kun gjør tilværelsen tryggere for sluttbrukerene.

 

Det man heller burde være obs på er sikkerheten på steder som f.eks facebook. Det er et beiteområde for tusentalls av hackere som ikke har like hensikter som denne karen som banket på døren til Kaspersky.

[Mascot68]

Hvem gidder å bruker antivirus uansett?

Med tanke på alle de gratis løsningene som finnes, er det ikke så mange grunner til å ikke gjøre det bare for å være på den sikre siden.

 

Jeg kan ikke huske å ha hatt noen form for malware på maskinen med unntak av en gang i mine Amiga dager. Men jeg har Avast gående like fullt. Mulig jeg hadde ombestemt meg og droppet det hvis det ikke fantes gratisversjoner, men nå gjør det jo det.

[Unlimited LTD]

Svakt av kasperskys...

[Sajkow]

Jaja, ser ut til at de glemte å oppdatere antivirusen på serverne deres, hahaha

[ricmik]

@Fluesoppen: Haha, genial stripe..

 

Hvis man skriver PHP, så har man jo verdens enkleste ting da: mysql_real_escape_string() - ingen grunn til å ikke bruke det.

[blackbrrd]

Det man burde bruke er prepared statements som gjør det umulig å kjøre sql-injection.

[Theo343]

Dette lukter skittne konkuranse triks

[the_ruthless]

Syns det er noe lavmål av hardware.no å bruke begrepet "hacker" i denne saken. ...eller går hardware.no virkelig inn for å være Se&Hør?

[Theo343]

Hvor mange publikasjoner bruker ordet "Cracker" i dets rette forstand?

Endret 9. februar 2009 av Theo343

[atrixet]

Kanskje det er som med bilmekanikere. De har ikke tid til å fikse egen bil slik at den er helt tipp topp....

 

Fokuset hos Kaspersky ligger vel heller i å fjerne uønskede programmer og spioner på andres maskiner enn å rydde opp i eget hus.

 

Ikke det at Kaspersky er så vanvittig bra - for det er de jo ikke. Men det fungerer greit synes nå jeg.

[DarkSlayer]

Det man burde bruke er prepared statements som gjør det umulig å kjøre sql-injection.

100% enig - hvilke idioter kjører kall mot DB uten å bruke prepared statements. Det finnes gratis rammeverk(pear, zend) som fikser dette. Er man opptatt av både sikkerhet og ytelse så er prepared statements tingen.

 

Beviser bare enda engang at php kodere generellt suger (ja sia er kokt sammen med php).

 

og til vår kjære mysql_real_escape_string()...

http://ilia.ws/archives/103-mysql_real_esc...Statements.html

 

mysql_real_escape_string er også kun for mysql, mens prepared statements kan benyttes mot alle baser - også mysql så vidt jeg vet.

 

Med prepared statements så blir også koden, og sql kall lettere å lese og forstå. Og min erfaring er at det blir færre linjer med kode, i motsetning til "old style" der man må sjekke hue og rævva.

 

En annen fordel med prepared statements - om man repeterer den samme sql mer enn 1 gang (transaksjoner/batch f.eks), så får man bedre ytelse siden sql'en kun blir kompilert 1 gang, for så å gjennbrukes. Mens med "old style" eller "my way or the highway" så kompileres sql hver gang.

 

Prepared statements er også helt vanlig å bruke i andre språk, som igjen gir deg som programmerer lett mulighet for å tilpasse deg og forstå alternative miljø.

Med prepared statements så får man også en holdning til å IKKE mekke sammen strenger manuelt for å bygge en sql - som igjen er roten til alt ondt.

 

Og skulle noen her argumentere med ytelse ... så kan jeg like godt gruse det med å si: bytt til java siden det gruser php no så inn i granskauen (linux+tomcat+java... fint, flott og gratis).

 

Bare wannabees, apekatter, døgnikter og fjolls som ikke bruker prepared statements med mindre de lager orm eller skal kun leke. Men siden artikelen peker til en seriøs side så sier det seg selv. De ansatte feil folk, uten å ha peil på hvem de ansatte, og antagelig uten å ha peil på php - og det alene er den største grunnen til sikkerhetshull.

[the_ruthless]

Hvor mange publikasjoner bruker ordet "Cracker" i dets rette forstand?

 

Tydeligvis ikke veldig mange, og jeg kan la det gå i den allmenne tabloidpresse, men gamle data-nyhetssider burde holde seg for god til slikt. Eller er kanskje hacker/cracker-problematikken endel av iPod/Ipod-linja de har lagt seg på?

Og uansett bruker vi i Norge ikke "cracker" til noe annet enn "datasnok", i motsetning til f.eks. USA hvor det ofte er en nedlatende term mot hvite sørstatsbeboere, så det burde ikke være noen tråkke-folk-på-tærne-hensyn å ta, heller.

[Theo343]

Forøvrig enig i at det bør være rett bruk av terminologi.

[DarkSlayer]

Hvor mange publikasjoner bruker ordet "Cracker" i dets rette forstand?

 

Tja...

The term “hack” arose from MIT lingo as the word had long been used to describe college pranks that MIT students would regularly devise.

Det er fra: Hackers: Heroes of the Computer Revolution

 

Snakk om å velge feil terminologi på seg selv. Snakk om å skyte seg i foten.

Sorry - men det er en totalt død sak å få "hacker" til være "de gode". Ikke en kjeft bryr seg.

 

Dessuten så er jeg ganske sikker på at "hacking" slik den foregikk da det hele begynte ikke var helt uskyldig. Altså ... de tok seg inn på datarom om natten for å leke... eller gjorde ting de egentlig ikke skulle gjøre. Greit det var "snille" gutter som ikke var ute etter å lage kødd, og ingen brydde seg voldsomt siden de ikke gjorde den helt store skaden.

 

Men uansett hvordan folk vil ha det - hacker er ikke et positivt begrep. Du vil ikke søke jobb med "hacker" i cv'en din.

[Mascot68]

Den opprinnelige bruken av "hacker" hadde aldri hverken positiv eller negativ mening, så vidt jeg har fått med meg. Det ble brukt for å beskrive eksperimentering og øking av sine egen forståelse.

 

I så fall...

 

En som graver seg rundt og finner ut av ting = Hacker

En som gjør det over, samt utnytter hull de finner = Både Hacker og Cracker er passende begrep

En som utnytter hull uten å skjønne et skvidder av scriptet som blir kjørt = Cracker

 

Men det er jo en tapt kamp. I pressen og sinnet til folk flest er cracker og hacker utelukkende folk som bryter seg inn i datasystem. Det er bare i faktiske IT kretser at "måtte hacke litt men fikk det til til slutt" ikke medfører øyeblikkelig arrestasjon.