Susimastęs

http://ping.fm/p/vssV7 - Testuoju ping.fm

Kaip gauti administratoriaus teises elektroniniame dienyne per 2 minutes

Manote, kad jūsų asmens duomenys t.y. asmens kodas, adresas, telefonas,el.paštas, vardas, pavardė bei jūsų šeimos hierarchija yra apsaugoti nuo pašalinių???

PAGALVOKITE DAR KARTĄ!

Šioje pamokoje parodysime, kaip atsainiai į duomenų apsaugą žiūri tiek informacines sistemas gaminanti įmonė UAB "Idamas", tiek užsakovas - Vilniaus miesto savivaldybė.

Kieno tai kaltė - paliekam išsiaiškintie patiems dalyviams, nors programisiai.lt mano, kad tokios techninės spragos - gamintojų problema ir neapdairumas, o gal nebuvo keliami reikalavimai apsaugoti sistemoje esančius duomenis. Mes to nespėliosime, tiesiog parodysime, kokios spragos yra šioje sistemoje, kaip jomis galima pasinaudoti per 2 minutes, neturint jokių programavimo žinių ir įgyjant sistemoje administratoriaus teises t.y. Jūs galėsite peržiūrėti visų asmenų duomenis, redaguoti jų informaciją, trinti ją, prirašyti papildomų duomenų ir t.t.

ISPĖJAME: duomenų naikinimas, keitimas, sistemos darbo trikdimas - yra nusikaltimas. Programisiai.lt to neskatina, norime parodyti, kokios gali būti pasekmės, kai gaminamos nesaugios informacinės sistemos.

Kaip prisijungti prie elektroninio dienyno per 2 minutes

1. Atsidarykite naršyklėje adresą http://edienynas.vilnius.lt/login/


2. Reikia prisijungti prie elektroninio dienyno. Jei esate šio dienyno vartotojas, tai galite padaryti su savo asmens kodu ir slaptažodžiu. Jei neesate sistemos dalyvis, pateikiame prisijungimo vardą: 38954884957 ir slaptažodį: 38954884957 (Tas pats "asmens kodas"). (Kaip buvo gautas slaptažodis paaiškinsime vėlesnėse pamokose). Būkite tolerentiški visai bendruomenei ir netrinkite duomenų, kadangi kiti negalės pamatyti šios situacijos rimtumo, jei projekto neuždarys Vilniaus savivaldybė).
   


3. Prisijungus matomas toks vaizdelis:
   
   


4. Atsidarykite puslapio kodą. Spaudžiame bet kur puslapyje dešinį pelės klavišą pasirenkame komandą view source, FIREFOX spaudžiame CTRL + U (tą patį veiksmą atliekanti komanda). Čia turime susirasti žodį „session“. Spaudžiame CTRL+F ir vedame šį žodį į paieškos laukelį. Randame kažką panašaus į:
   
   return callToServer('http://edienynas.vilnius.lt/new/server.php?module=system&action=logout.php&
   session=9cc528f4e976834cfc475b22e97e1e288b')
   
   


5. Mums labiausiai rūpi parametras „session=“. Nusikopijuokite skaičiukus (pavyzdyje pavaizduoti raudonai), kuriuos matote savo puslapio kode. Tai yra Jūsų sesijos numeris. O sesijoje saugomi Jūsų prisijungimo duomenys.


6. Dabar viskas dar papraščiau.
   Naujame naršyklės lange ar kortelėje (tik toje pačioje naršyklėje) įveskite į adresų eilutę tokį adresą:
   
   http://edienynas.vilnius.lt/new/server.php?module=system&action=menu_change_role.php&session=c30231ed6907274ca15cba2eba983e62&role_id=5
   


7. Pakeiskite raudoną tekstą į savo sesijos numerį, kurį gavote 5 instrukcijų punkte, o žalią tekstą pakeiskite norimo vartotojo teisių lygio skaičių.
   
   Pakeitę parametra role_id į šiuos numeriukus, prieisite prie tam tikro lygio galimybių:
   6 – sistemos adminas (kol kas nieko nėra)
   5 – mokyklos vadovas
   4 – klasės vadovas
   3 – mokytojas
   2 – tėvas


8. Čia Jūs galėsite daryti absoliučiai viską, ką daro pagrindinis mokyklos administratorius (mokyklos vadovas). Galėsite matyti tėvų, mokytojų, vaikų - visus asmeninius duomenis, matyti kaip jie mokosi, kaip lanko mokyklą, kokie jų pažymiai. Galbūt norėsite jiems parašyti gerą įvertinimą, kadangi jų pavardė graži, o gal perkelti į kitą mokyklą.Pateikiame pavyzdį, vieno iš knygelės kontaktų. Kadangi, mes tikrai nenorime atskleisti jokių asmeninių duomenų, informaciją yra išbraukta, tačiau kiekvienas prisijungęs, prie sistemos, ją gali peržiūrinėti. Pasitelkus papildomas žinias ir priemones iš sistemos galima gauti daugiau nei 42 000 Vilniaus gyventojų asmeninius duomenis.


9. Trumpas video filmukas, kaip greitai, galima prieiti prie visų sistemos duomenų:

Visą reikalingą informaciją, kaip naudoti sistema rasite: http://edienynas.vilnius.lt/demo Čia pateikti viso šio projekto moduliai ir demonstracinė versija t.y. visa informacija, kaip sistema veikia. Užeikite į MOKYKLOS VADOVAS ir pasimokykite kaip naudotis vadovo funkcijomis, žinias pritaikykite naršydami po tikrą sistemą.

BET ČIA DAR NE VISKAS... apsilankykite svetainėje www.programisiai.lt

Jei Jus sudomino ši pamokėlė, įveskite savo duomenis į svetainėje esančią registracijos formą ir gaukite daugiau informacijos apie elektroninio dienyno saugumo pažeidžiamumus. Prisijunkite ir mes Jus išmokysime, kaip gauti visų mokyklų duomenis. Tai gali padaryti net pirmokas! Taip pat informuosime, apie kitas nesaugias viešas sistemas, kur gali nutekėti JŪSŲ duomenys. Mes išmokysime Jus apsisaugoti nuo informacinio amžiaus pavojų. Tai nemokama, tai paprasta, tai įdomu ir naudinga.

http://www.programisiai.lt

Martyno Jokubausko blogas persikėlė

Nuo šiol visas naujienas rasite: http://jokubauskas.com/ arba http://jokubauskas.com/blog/

RSS šaltinis: http://jokubauskas.com/blog/rss/

Squeeze page - kas tai?

Dienos šviesą išvydo pirmasis mano ir manau pirmasis Lietuvoje "Squeeze page" tinklalapis www.kyokushinpeople.com

Tai gi kas yra tas "Squeeze page`as"?

Daugiau informacijos galite rasti čia:

• http://en.wikipedia.org/wiki/Squeeze_page
• http://www.masternewmedia.org/news/2008/05/28/squeeze_page_what_is_it.htm

Wikipedia duoda šį squeeze page paaiškinimą:
“Squeeze pages - tai tinklalapis, kurio paskirtis gauti sudominti lankytoją tam tikra informacija ir gauti sudominto asmens kontaktinę informaciją, sudaryti tokių asmenų sąrašą".

Squeeze pages - geriausias būdas sukurti kontaktų sąrašams. Šiame puslapyje dažniausiai prašoma iš lankytojo įvesti savo vardą ir elektroninio pašto adresą įkeičiant šią informaciją į kažką naudingo pačiam lankytojui, kaip pavyzdžiui: naujienlaiškių siuntimas, dovanos, elektroninės knygos, straipsniai, mokomoji medžiaga ir pan.

Kai lankytojas įveda savo kontaktinę informaciją, jam yra išsiunčiamas laiškas el. paštu su patvirtinimo nuoroda. Vartotojas paspaudęs šią nuorodą patvirtina, kad jis tikrai yra tas, kuo prisistatė kontaktų registravimo formoje ir tuojau pat yra nukreipiamas į jam priklausančių naudingų dalykėlių puslapį.

Tokiu būdu Squeeze page autorius gauna suinteresuotų grupių kontaktus ir gali jiems siųsti naudingą informaciją.

Kas naudoją Squeeze page`us Lietuvoje?

Asmeniškai analogus mačiau tik svetainių, kurios greitu metu turėtų būti atidarytos ir renka suinteresuotų asmenų kontaktus, bet tai tik primytivi forma - puslapyje dažniausiai yra vienas užrašas: "Įveskite savo kontaktus ir mes Jus informuosime, kai svetainė bus paruošta".

Labiausiai tai išnaudoja telekomunikacijų bendrovės reklamuodamos savo produktus, tokius kaip "Ežys", "Pildyk", "Labas" ir pan. Tačiau net šios galingos bendrovės - panaudoja tik labai menką Squeeze page`ų galimybių sritį.

Kaip tai vadinasi "lietuviškai"?

Tikslaus pavadinimo nėra. Netgi įvedus šį terminą į Google paiešką šiandien radau tik vieną šaltinį iš Lietuvos, kuriame paminėtas Squeeze page terminas ir tas yra naudotas angliškoje diskusijų grupėje:

http://www.google.lt/search?hl=lt&q=%22squeeze+page%22&meta=lr%3Dlang_lt

Kadangi tikrai nežinau kitų lietuviškų šaltinių apie Squeeze page`us, todėl pasiūlysiu savo variantus, kaip galima juos vadinti:

1. Santraukos tinklapis
2. Suspaustukas
3. Informacinis tinklalapis
4. Sudomink - paimk - atiduok sekos tinklapis
5. Tikslinės grupės surinkimo tinklapis
6. ??? turit idėjų? Rašykit!

Kam skirtas KyokushinPeople.com?
Pagrindinis tikslas - suinteresuotiems asmenims supaprastinti registracija prie šiai grupei skirto KARATEvideo.TV socialinio tinklo, sudominant šią grupę statistiniu pagrindu ir iškeliant klausimą - o kiek gi mūsų pasaulyje yra.
Kiekvienas asmuo patvirtinęs savo informaciją gauną specialų programinį kodą, kuris suformuoja skaitliuką:




Taip pat, pateikus duomenis, pakvietimą prisijungti prie šios bendruomenės, kiekvienas gali išsiųsti savo draugams ir tokiu būdu padėti plėsti šią virtualią bendruomenę. Kiekvienas užsiregistravęs narys gauną sąskaitos duomenis portale KARATEvideo.TV ir gali bendrauti su kitais bendruomenės nariais.

Virusinis marketingas socialinio debilizmo pagrindu

Nusprendžiau pagaliau parašyti mini straipsniuką apie socialinį neišprūsimą ir jo pasireiškimą visuomenėje. Kad ir kaip savo draugus mokiau, kad nėra super duper baisių virusų, kurie naikina tavo kietą diską vien dėl to, kad priimsi kažką į vieną iš savo interneto pranešimų tarnybų (internet messenger) (skype, MSN, yahoo ir t.t.), tačiau.. vis tiek, pastoviai gaunu pranešimus panašius į šį:

Naujas virusas!
Bukit labai atsargus internete, yoa su yahoo,hotmail, AOL ir pan. Sita informacija buvo atsiusta siryt is Microsoft.Persiuskit visiem kurie
naudojasi internetu. Jei gausit e-maila pavadinimu Life is beautiful (reiskia - gyvenimas yra grazus), su powerpointo prezentacija,
GRIEZTAI NEATIDARYKIT is viso to emailo ir iskart istrinkit. Jei atidarysit, ant jusu ekrano angliskai pasirodys uzrasas
- "It is too late now, your life is no longer beautiful." (reiskia - per velu, gyvenimas, jau nebe
grazus). Issitrins visi jusu kompo duomenys ir zmogus, kuris ji atsiunte, tures jusu asmeninius duomenis, varda emaila ir slaptazodi. Cia naujas
virusas, kuris prasidejo Sestadieni po pietu. AOL patvirtino kad jis labai pavojingas ir niekas dar nepajegus ji sustabdyti.Virusa sukure zmgus, pasivadines "life owner" - gyvenimo valdytojas. Persiuskite sita pranesima visiems zmonems is savo Contacts, netgi tiems,kurie dabar offline, kad jie nepriimtu i kontaktus "Tronox (292-222-820) todel, kad tai yra VIRUSAS. Jo vardas Dennis Sieg, ir jis naikina
kietaji diska! Ir jeigu net kazkas is tavo draugu ji priims i kontaktus, TAVO kompiuteris irgi bus uzkrestas! Taigi Prasau nukopijuok ir persiusk visiems draugams ir ne tik!

Trumpai paaiškinsiu, kodėl tai visiška nesamonė ir kuo manipuliuojama šiame laiške:

1. "Bukit labai atsargus internete, yoa su yahoo,hotmail, AOL ir pan. " - Nieko neaišku, kurioj vietoj čia reikia saugotis. Žmogui sukuriams nesaugumo jausmas naudojant garsių įmonių pavadinimus ir pranešant, kad jų reikia bijoti. Kur baimės pagrindas?
Žmonės nežinantys iš tikro kuo užsiima šios kompanijos, bet žinodamos prekės ženklą, jau pradedami "programuoti", griežtai pabrėžiant žodžius "Būkite atsargūs".

2. "Sita informacija buvo atsiusta siryt is Microsoft." Visiška nesamonė, o jei ir būtų tiesa - kur nuorodą į microsoft.com puslapį? Kur tai patvirtinantis straipsnis, pranešimas? Nėra? Vėl gi, žaidžiama žinomiausios kompanijos IT srityje vardu, dar labiau norint įbaugint, ne daug suprantantį pilietį.

3. "Persiuskit visiem kurie naudojasi internetu". Štai! Virusas jau pradeda jums "nurodinėti". Jei perskaitę šį sakinį puolate viską žymėti ir siųsti visiems savo draugams visomis žinomomis priemonėmis - "socialinio debilizmo virusinis marketingas" suveikė 100%. O platina šį virusą ne kas kitas, o pats "viruso" gavėjas. Ir kas juokingiausia savo pačio resursais - gaišdamas laiką, klaidingai informuodamas visus savo kontaktus.

4. Matyt šis punktas turėjo būti "nulinis", nes nuo to viskas ir prasideda. Jūs gaunate laišką, pranešimą ar kita forma šį suregztą tekstą iš savo draugo, pažįstamo ar giminaičio - Jūs jau tikite tuo kas ten yra rašoma. Kas gi gaunasi? O labai paprastas dalykas, žmogaus smegenys priima informaciją iš šaltinio, kuriuo jos pasitiki automatiškai, tuomet paminimos kelios garsios įmonės IT srityje, tai įtikina dar labiau ir svarbiausia vaidmenį šioje situacijoje sudirba išprūsimo stoka šioje srityje, todėl pasitikėti gigantais yra būtina ir beabejo į pagalba pasitelkiamas "meškos paslaugos instinktas" t.y. iš karto norime gelbėti pasaulį nuo to ko nesuprantame - ir siunčiame tą patį savo draugams, giminėms ir visiems ką pažįstame.
Graudu! Ir paradoksalu! Juk norint internete paskleisti žinią, tai kainuoja labai daug, o ibauginti žmonės skleidžia žinias savo noru ir dar už "ačiū".

5. Bet atsiranda skeptikų.. jų nepapirksi pigiais triukais su garsių įmonių pavadinimais ir žodžiais saugokis ar kitais skambiais junginiais, kurių jie nesupranta. Jiems reikia įrodymų! Ir čia staigus minčių posūkis:
"Jei gausit e-maila pavadinimu Life is beautiful (reiskia - gyvenimas yra grazus), su powerpointo prezentacija, GRIEZTAI NEATIDARYKIT is viso to emailo ir iskart istrinkit. Jei atidarysit, ant jusu ekrano angliskai pasirodys uzrasas - "It is too late now, your life is no longer beautiful." (reiskia - per velu, gyvenimas, jau nebe grazus). "

Ir iš tikrųjų - juk gauname mes tuos "emailus" kas diena, jau vienas įrodymas yra. O skambūs žodžiai "Life is beutifull" vieniem skamba tiesio gražiai, kiti prisimena savo anglų kalbos žinias ir supranta, kad juos nori paveikti socialiai... ir vėl... susidaro įspūdis, kad tikrai tai tikra. Na gerai, jums trūksta įrodymų - prašom: Jūs gausite "power point prezentaciją". Tikrai tokią yra gavęs ne vienas, bet nei vienas ir net nenutuokia, kaip gavus tokią prezentaciją galima užkrėsti kompiuterį virusu.
Keli būdai yra ir jie gana rimti. Nedaugelis žino, kad prezentacijos failai turi savo išplėtimus "ppt" "pps" ir dar begalės kitų, kurių mintinai nežinau, nei aš nei kas kitas. Bet pažvelgus į failo ikonėlę, galima nuspėti kokia programa šį failą atidarinės.
Šioje vietoje yra du būdai, kaip apgauti žmogų - prisegti save įvykdantį (exe, bat, com...) failą. Buvo pranešta, kad čia prezentacija, nekreipiate dėmesio į failo išplėtimą ir atidarote jį... vaje, tada tikrai jums gali pakenkti.
Ok, tai tikrai prezentacija. Jūs ją atsidarote. Blogiausia, kas gali būti, prezentacija bandys kreiptis į failus iš interneto. Bet vis tiek operacinė sistema jums išmes pranešimą, ar norite leisti naudotis išoriniais resurais, išsaugoti ar paleisti nurodytame adrese esančią bylą.
Čia vėl išlenda techninio ir socialinio neišprūsimo požymiai "Išmetė man kažkokią lentelę ir paspaudžiau ok....." O ką rašė toje lentelėje? Kam tai idomu? :)

6. "Issitrins visi jusu kompo duomenys ir zmogus, kuris ji atsiunte, tures jusu asmeninius duomenis, varda emaila ir slaptazodi. " Tokie bauginantys žodžiai veikia visus, netgi tuos, kurie supranta, kad viskas kas buvo rašyta iki šiol, buvo nesamonė. Kodėl?
Sukuriamas baimės jausmas prarasti viską, o visko prarasti niekas nenori. O juo labiau, kai nenusimanai "tuose kompuose", patiki net nemirksėdamas.
Tiems, kurie neturi labai svarbių duomenų - kitas pagasdinimas - jūsų duomenys bus viešai prieinami! O čia jau tikrai problema ir to reikia bijoti. Ir šiame etape "pardavimas" tikrai įvyko.

7. Tolimesni veiksmai - standartiniai marketinginiai triukai, "prekės kokybei" įrodyti ir parodyti kaip "sunkiai ir kokybiškai" ji buvo "gaminta": šeštadienį, AOL, niekas nepajėgus jo sustabdyti.... ir t.t. Šioje "pardavimo fazėje" visi jau yra užkrėsti virusu... kopijuoja ir platina šį tekstą toliau.
Tiesa dar paminimi visokie parazitus primenantys pavadinimai, kaip antai "Tronox" - kažkoks tai kompiuterastas robotas vabzdys :) Tada visai nebe į temą "dennis sieg", matyt tiems, kurie nelabai suprato Tronox reikšmės, jiems reikalingi labiau žemiški įrodymai, kad tai gyva.

8. Galutinė fazė - gasdinimas tavo brangiais žmonėmis: draugais, giminaičiais, kitais tavo kontaktais. Nes jei jie priims šį "asmenį" į savo kontaktus, tai tavo kompiuteris bus sunaikintas.
Kokiu būdu? Tik tokiu, jei patys priimsite, nežinomus failus iš savo draugų ir juos atsidarysite t.y. įvykdysite, tuomet galite turėti bėdu, bet kitu atveju, vien dėl to, kad pas "Petrą" ar "Joną" atsirado naujas kontaktas... Jūsų tikrai niekas nelies.

Geras pavyzdys, senokai skandalą kėlęs "Sandra" virusas. Pats paprasčiausias būdas sudominti draugą, parašyti, kad štai mano pikantiškos nuotraukos adresas pvz.: ManoPapai.lt arba EsuTarpMergu.lt ir čia pat pasakyti, oj atsiprašau tai skirta ne tau....

Vaje vaje, čia išlenda žmogaus smegenų veiklos skylės... logiškai smegenys negali sustabdyti poreikio pamatyti tai, kas yra draudžiama ir visi visi visi... bėga pasižiūrėti, o kas gi ten gero.... (beje.. bėgau ir aš), kad tik spėtų, kad tik niekas neištrintų.. kitaip sakant poreikis sukuriamas per instinktus gauti tai ko negalima. Graudu ir gražu.

Taigi linkiu nepasiduodi socialinio debilizmo virusinei epidemijai. Vaistai yra - loginis mastymas ir veiksmų vertinimas prieš juos atliekant.

Sėkmės painiuose interneto informacijos labirintuose.

Martynas Jokubauskas
http://www.jokubauskas.com/

P.s. Jei pasirodė straipniukas įdomus - naudokite jį savo dienoraščiuose, svetainėse ir kitur tik tokį, koks jis yra čia.

Vaizdo klipas: Kyokushin karate "Saulės ženklo" vasaros stovykla

Šiandien baigiau kurti Kyokushin karate mokyklos "Saulės ženklas" vasaros stovyklos filmą. 1,5 val. trukmės filmo pristatomąjį klipą galite pamatyti čia:

Norintys pamatyti visą filmą galite užsisakyti DVD el. paštu martynas [eta] jokubauskas.com