Am descoperit un site romanesc interesant pe probleme de hacking. Nu dau linkul aici pentru ca s-ar putea sa fie spre binele cititorilor si oricum e deja destul de popular (am vazut pe zoso printre fani). Partea interesanta nu consta in teorie care se gaseste din plin pe internetul mare, ci in studiile aplicate pe site-uri romanesti, in general de succes. Nume mari precum Ejobs si site-uri din trustul Intact apar in lista cu rezultate spectaculoase. Baze de date sparte (zeci de mailuri, useri si parole), cai de a executa orice cod pe server, alte slabiciuni care expun vizitotarii la tot felul de virusi.

Pentru ca lucrez in domeniu mi-e greu sa rad, pe principiul “sa ridice primul piatra ala caruia nu i s-a intamplat niciodata”. De asemenea mi-e greu sa imi exprim o opinie pro sau contra activitatii lor, chiar daca scopul declarat este unul “nobil” de ridicare a standardului de securitate a internetului romanesc. Adica faptul ca in unele cazuri explica in clar metoda, usurand altora cu mai putina experienta si cu mai multe intentii rele accesul ii indreapta spre zona “neagra” pasibila de sanctiuni.

Pe de alta parte, lucrurile se intampla. Daca nu le fac ei, le face altcineva dintr-o tara unde nu sunt inregistrate toate conectarile la internet, asa ca poate fi si in interesul celor prinsi descoperiti (unii dintre ei chiar au adus multumiri pe site). Tot din punct de vedere al programatorului cred ca si proprietarii siturilor/clientii poarta o vina pentru ca desconsidera sau apreciaza gresit munca programatorului. O atitudine ar fi “tu de ce nu poti sa-l faci ca la Yahoo? numai ca mai repede”. Alta, “am facut site-ul, il avem, la ce ne mai trebuie sa-l intretinem”. Alta, “bai gigel tu esti bun la toate, fa tu si design si Flash si ce-o mai fi, de ce sa dau banii la altii” si lista poate continua.

Daca in cazul unor site-uri de prezentare sau asemanatoare mai merge, cand vine vorba de site-uri “industriale” care taxeaza direct serviciul sau au baze de date de clienti “serioase” este de neiertat. Adica una este Ejobs sau portal.edu si alta este TNB. Daca as avea un dolar pentru cate site-uri cu probleme de securitate descoperite din intamplare am vazut, as avea ceva mai multi dolari :) . Ce ar trebui sa faci? sa iti incerci puterile cu floraria X sau cu teatrul de papusi?… (exemple ipotetice).

Ca o concluzie, intre vulnerabilitati erau si unele prevazute la primele pagini in manual si nici celelalte nu erau asa de exotice pentru anul 2009. Problema este ca site-urile sunt vechi, oamenii se schimba, niciodata nu este timp sa faci sau sa refaci cum vrei un lucru. Trebuie sa iti iei niste masuri minime de siguranta, si pentru restul sa pui in balanta scopul cu resursele implicate.