Web siguria

[Zero Cool]

Disa këshilla për të mbajtur faqen tuaj më të sigurtë.







Janë disa hapa bazikë që ju gjithmonë duhet ti përdorni për të mbajtur faqen tuaj të sigurtë nga ata që duan ti bëjnë keq ueb faqes tuaj.

1) Bëni gjithmon Update skriptën që përdorni.

Gjithmonë beni “Check Version” të skriptës që përdorni, si psh. vbulletin, phpbb, mybb, wordpress, joomla…

Eshtë e rëndësishme sepse gjithmonë zbulohen vrima të reja në këto skripte, më i fundit ishte ai i vbulletin 4.0.x ku kishte një vrimë interesante “SQL Injection”, ku përmes një shtojce të Firefox, mund të injektoheshte faqa që përdorte këtë version të vbulletin, dhe që shfaqte të dhënat e adminit dhe te databazës , nëse nuk jeni të vëmendshëm dhe nuk rrini të informuar mbi këto vrima atëhere do ta pësoni duke u sulmuar. Pra gjithmonë kur del verzioni i ri i skriptit bëni update atë , sepse do ketë shume gjëra të reja edhe me pak vrima të rrezikshme.

2) Përdorni fjalekalime të forta.

Fjalekalimet si “123456″ , “kosova” etj.. gjithemone mund te zbulohen sepse kan nje karakter te leht per tu menduar , prandaj mos ia beni te lehte atyre qe duan tju bejne keq , mbani fjalekalime te te renda. Ju mund te gjeneroni fjalekalime nga faqe online qe gjenerojne fjalekalime shume te forta , ja disa faqe qe mund tju ndihmojne :


a) http://www.pctools.com/guides/password/

b) http://strongpasswordgenerator.com/

c) http://www.techzoom.net/tools/password-generator.en

3) Chmod folders.

Disa skripte kerkojne lexim dhe shkrim te plote gjate instalimit, kjo mundesohet nga kodi 777 ne folderta te rendesishem si inc apo admin. Prandaj beni chmod keto foldera ne 755 apo 644. Nese folderat tuaj kane lexim dhe shkrim te plote atehere do te ishte e leht per nje keqberes per te injektuar kode ne webfaqen tuaj.

4) Përdorni FTP të sigurtë.

Shume nga ne perdorim filezilla si vegel konektimi per ne ftp , por pas qdo seance ne ftp qe kryeni me filezilla duhet te fshini historine e konektimit ne filezilla , sepse nese injektoheni me nje keylogger te thjeshte atehere informacionet e tuaja do te vidhen , dhe me siguri faqja juaj do te sulmohet.

Gjithashtu perdorni fjalekalime te forta ne ftp , lexoni keshillen numer 2 per me shume.
5) Mbroni folderin e administratorit.

Ju patjeter duhet te mbroni folderin ku ju administroni faqen tuaj , dhe perdorni keto nenhapa per te mbrojtur ate :

a) Ndryshoni emrin e folderit psh nga /admncp , perdorni nje folder si psh /adm125845.

b) Beni password protect , shkoni ne cpanel tek “security” klikoni “Password Protect Directories” dhe pastaj jepni username & password dhe nje titull per te mbrojtur folderin e administratorit.

6) Mbroni config të faqes suaj.

Ne config dosjen ju permbani gjithe faqen tuaj ,sepse aty ndodhen te dhenat e databazes suaj. Dhe patjeter duhet te mbroni edhe config per te mbajtur faqen tuaj te sigurte , krijoni nje .htaccess me kete kod :


<files emri-i-config.php>

Order deny,allow

deny from all

</files>

dhe ngarkojeni ne folderin ku ndodhet config i faqes suaj.

7) Mos përdorni skripte nulled.

Skriptet nulled jane me shume rreziqe , ato permbajne shume vrima dhe shpesh here ndodhe qe ne to ka shella , pra nje “haker” ka bere nulled skriptin dhe ka ngarkuar nje shell te fshehur ne te dhe e ka shperndare gjithkah.

Prandaj ju sugjeroj te mendoni dy here para se te perdorni skripte nulled.

8) Backup.

Nese kompania ku jeni hostuar nuk ben backup ditor apo javor per klientet , atehere do ju sugjeroja te beni backup faqen qdo 1 jave , pasi nuk i dihet asgje. Ndoshta ne nje menyre apo tjetren faqja juaj do te komprometohet dhe do ti fshihen te gjitha filet dhe atehere do te ishte nje situate e pa kendeshme. Prandaj ju sugjeroj te beni backup dhe ta ruani ate ne kompjuterin tuaj apo ne USB tuaj.

9) Vedisoni stafin.

Jepni keshilla stafit tuaj rreth siguris tyre , jepni keshilla duke u treguar atyre disa ngjarje qe mund ti ndodhin atyre gjate moderimit te faqes.

10) Hostohuni në një kompani që është e sigurtë.

Merrni disa sugjerime nga shoket tuaj se ku te hostoni faqen tuaj , sepse disa faqe hostingu nuk kane siguri te plote ne serveret e tyre , dhe nga synlink do te pesoni sulmin ne faqen tuaj . Prandaj jeni te sigurte qe jeni i hostuar ne nje server i cili eshte i mbrojtur.

[Zero Cool]

Siguria personale






Nese do me ftoje mua per te te thyer passwordin, e ke parasysh ate qe ti e perdor pothuajse ne te gjitha faqet qe ti viziton, me sa tentativa do ta gjeja?

Pra le te shohim,…. kjo eshte lista ime e 10 me te mirave. Une mund te marr shumicen e informacionit me lehte se sa ti mendon, pastaj do te kem mundesine te futem ne llogarine tende ne facebook, ne e-mailin tend, kompjuterin tend madje dhe ne llogarine bankare online. Sepse po gjeta nje password ka shume probabilitet qe ti kem gjetur te gjithe.

1. Emri i partnerit tend, femijes, ose i kafshes shtepiake, mundesisht i ndjekur nga 0 ose 1 (Sepse ata po ju kerkojne gjithmone te vendosni nje numer, apo jo?)
2. Numri i telefonit te shtepise ose celularit
3. 123 ose 1234 ose 123456
4. “password”
5. Emri i qytetit tuaj, shkolles, ose skuadra e preferuar e futbollit.
6. Datelindja- e juaja, e partnerit ose e femijes
7. “zot”
8. Marka e makines tuaj
9. “money”
10. “love”

Nga statistikat mund te themi se alternativat e mesiperme mund te mbulojne 20% te te gjitheve ju. Por mos u merzisni. Nese se kam gjetur akoma do te zgjase maksimumi disa minuta me shume para se ta gjej…

Hakcer-at kane zhvilluar lloje te ndryshme veglash per te te marre te dhenat e tua personale. Dhe e vetmja pengese qe qendron midis sigurise se informacionit tend dhe rrjedhjes se tij eshte passwordi qe ti zgjedh. (Ironikisht, mbrojtja me e mire qe njerzit kane eshte zakonisht ajo e cila nuk merret me pak seriozisht).

Nje nga menyrat me te lehta per te pasur akses tek te dhenat e tua eshte ajo nepermjet sulmit i forces bruto (Brute Force Attack). Kjo arrihet kur nje hacker perdor nje software (program) i cili tenton te logohet ne nje faqe duke perdorur kredencialet e tua.
Pra si do ta perdorte ndonje kete proces per te thyer sigurine tende personale. E thjeshte.

Ndiq Llogjiken time:
• Ti ka shume mundesi te perdoresh te njejtin password per shume gjera, Apo jo?
• Shume faqe qe ti hyn si psh ajo e Bankes ka siguri te larte, prandaj une nuk do ta sulmoj ate.
• Megjithate, faqe te tjera si psh llogaria e faqes qe ti dergon kartolina, forumet online qe frekuenton, faqja e facebook nuk jane dhe aq te pregatitura per kete sulm. Prandaj keto jane ato llogari me te cilat do te punoj.
• Ajo qe duhet te bej tani eshte te hap softin tim dhe te sulmoj me 10 000 ose 100 000 username dhe passworde te ndryshme me nje shpejtesi marramendese.
• Pasi te kemi gjetur disa nga username dhe passworde te tuat mund te shkojme ti provojme ne faqe te rendesishme si ajo e bankes.
• Por prit… Ku e di une cilen banke perdor ti ose username qe ti perdor per faqet qe frekuenton? Te gjitha keto informacione ruhen si cookies, te pa enkriptuara ne cache e shfletuesit tend te internetit si Firefox dhe Internet Explorer.

Dhe sa shpejt mund te behet kjo? Kjo varet nga tre gjera kryesore, gjatesia dhe kompleksiteti i passwordit tend, shpejtesia e kompjuterit te hackerit, dhe shpejtesia e internetit te hackerit.
Presupozojme se hackeri ka nje kompjuter relativisht te shpejte me lidhje te shpejte interneti, kjo eshte nje parashikim i kohes qe do ti duhej atij per te gjeneruar cdo kombinim te mundshem passwordi per nje numer te caktuar karkateresh.

Kushtojini vemendje diferences qe ka kur perdor vetem shkronja te vogla dhe kur perdor te gjitha karkteret (Te medhaja, te vogla, karkatere speciale si psh. @#$%^&*)
Duke i shtuar vetem nje shkronje te madhe dhe nje * do ta ndryshonte kohen e procesimit te passwordit me 8 shkronja nga 2.4 dite ne 2.1 shekuj.


Kujdes keto shifrajane per nje kompjuter mesatar, dhe ket presupozojne qe ti nuk ke perdorur asnje fjale te fjalorit. Nese Google do te vinte kompjuterat e saj ne pune do te mbaronin 1000 here me shpejt.
Tani, une mund te vazhdoj me ore te tera te flas rreth menyrave per te kompromentuar sigurine tende dhe te ta bej jeten mizerje – por 95% e ketyre metodave funksionojne duke kompromentuar passwordin tend te dobet. Prandaj, pse mos e mbrosh veten tende qe nga fillimi dhe te flesh gjume rehat naten?
Me besoni une e kuptoj nevojen per te zgjedhur passworde qe mbahen mend kollaj. Por nqs do ta beni kete pse te mos perdorni dicka qe askush nuk do e gjeje kurre dhe qe nuk permban fjale ose fraza te zakonshme.

Ketu jane disa keshilla per passwordet:
1. Zevendesojini shkronjat me numra qe duken te ngjashem. Shkronja “o” behet numri zero, ose “@” ose “*” (Psh. -model250mercedes me m0del25@m3rc3d3s.
2. Fusni ne menyre te rastesishme shkronja te medha (psh M0d3l25@M3rc3d3s)
3. Mendoni per dicka qe ka lidhje me ju kur keni qene i ri, POR MOS ZGJIDHNI NJE EMER PERSONI! Cdo emer plus cdo fjale ne fjalor do te falimentonte kollaj po ti neshtrohej nje sulmi “brute force attack”.
4. Mbase nje vend qe ju ka pelqyer shume, nje makine specifike, nje kujtim nga pushimet, ose nje restorant i preferuar?
5. te duhet te kesh username dhe password te ndryshme per cdo gje. Mbaj mend, Teknika e thyerjes se passwordit eshte te thyeje passwordin tend standart dhe pastaj te hyje ne cdo llogari tenden.Kjo nuk funksionon nese ti perdor passworde te ndryshme.
6. Meqe eshte e veshtire per te mbajtur mend nje tufe me passworde, une do t’ju rekomandoja te perdornit programin ROBOFORM http://www.roboform.com. Ai do te ruaje te gjithe passwordet tuaj ne menyre te enkriptuar (kodifikuar) dhe do thu lejojeju te perdorni nje password kryesor per ti pare te gjithe passwordet e tjere.Ai gjithashtu mund te mbushe format e faqeve te internetit dhe ju mund te shkarkoni versione per PDA telefon ose usb flash drive.Nese doni ta shkarkoni direkt pa vajtur tek faqja e ketij softi klikoni ketu. Disa te tjere parapelqejne programin KeePass http://keepass.info/ per te bere kete detyre.
7. Perdoruesit e Mac mund te perdorin 1Password eshte afersisht si Roboform, pervec se ky ka version edhe per iPhone.
8. Pasi te keni menduar per passwordin tuaj mund ta testoni sa i sigurte eshte ketu.


Nje gje tjeter e rendesishme eshte qe shume passworde qe ju mendoni se jane te parendesishem kane me shume rendesi. Psh disa persona medojne se passwordi i emailit te tyre nuk eshte i rendesishem sepse ata nuk marrin emaile te rendesishme aty. Por ai email mund te jete i lidhur me llogarine tuaj te bankes online. Nese gjendet ai password une mund te hyje te faqja e bankes dhe te them qe me ka humbur passwordi i bankes dhe ata ta ridergojne me email.

Disa persona mendojne se te gjithe passwordet te memorizuara tek kompjuteri tyre ne shtepi i cili eshte i lidhur ne menyre te sigurte me routerin e internetit. Sigurisht qe ata nuk e kane ndryshuar ndonjehere passwordin fillestar ne ate pajisje dhe dikush me makine mund te vije me nje laptop te parkoje afer shtepise te hyje ne sistemin wireless dhe te provoje passwordet nga kjo liste dhe te marre nen kontroll te gjithe rrjetin tuaj.

[Zero Cool]

“Trojani” shmang vërtetimin me dy faktorë dhe vjedh 36 milionë euro





Një Trojan i sofistikuar, me shumë shtresa, i quajtur "Eurograbber" vlerësohet si përgjegjës për vjedhjen e më shumë se 36 milionë euro nga llogaritë bankare në Europë.

Në një rast studimor të kryer nga Versafe dhe Check Point Software Technologies, shkencëtarët kanë zbuluar se si punon “Trojani”.

Eurograbber ishte i fundit në radhën e trojanëve famëkeqë, si ZeuS, i cili ishte në gjendje të monitoronte seancat bankare online duke shmangur autentifikimin e dyfishtë falë programimit të zgjuar.

Që një përdorues të bjerë pre e Eurograbber, duhet që së pari të jetë duke përdorur një kompjuter të infektuar me trojan. Kjo bëhet në mënyrë tipike duke i “joshur” përdoruesit në një ueb faqe dashakeqe nëpërmjet një lundrimi të pafat në internet ose nëpërmjet e-maileve phishing.

Pasi e ka infektuar PC-në, trojani do të monitorojë shfletuesin e internetit për seanca bankare.

Kur një përdorues viziton një faqe bankare, Eurograbber aktivizon JavaScript dhe HTML në shfletuesin e tyre, duke bërë që përdoruesit të japin numrin e tyre të telefonit nën maskën e një "përditësimi të softuerit të sigurisë nga banka". Ky është gjithashtu çelësi për aftësinë e Eurograbber që të anashkalojë autentifikimin me dy faktorë.

Duke qenë se burimi i kërkesës duket se është faqja e internetit e bankës, përdoruesit që nuk dyshojnë do të shkruajnë numrin e telefonit të tyre. Pastaj, përdoruesit me smartfon do të merrin një sms falas që u kërkon të instalojnë një "softuer falas për enkriptim".

Fatkeqësisht,. ky softuer APK (Android) ose. Jad (BlackBerry) është një aplikacion i aftë të kapë mesazhet e bankave që përmbajnë numrat e autorizimit të transaksionit.

TAN janë kodet autorizimi me një përdorim që përdoren nga disa banka për të autorizuar transaksione financiare dhe ironikisht shërbejnë për të shtuar sigurinë.





Shuma e parave të vjedhura sipas vendeve

Itali: 16.384.612 Euro

Gjermani: 12.862.109 Euro

Spanjë: 5.872.635 Euro

Holandë: 1.172.889 Euro

Përdoruesit e prekur sipas vendeve

Itali: 11893 ose 39%

Gjermani: 6130 ose 20%

Spanjë: 11352 ose 38%

Holandë: 940 ose 3%

Pastaj, përdoruesit do t'i shfaqen udhëzimet për të përfunduar procesin, duke bërë që edhe PC-ja edhe pajisja mobile të komprometohet. Herën tjetër që përdoruesi hyn në faqen e internetit të bankës së tij, trojani automatikisht do të fillojë transferimin e parave në një llogari fiktive gjatë sesionit bankar. Këto transaksione zakonisht shkojnë nga 500 deri në 250.000 euro.

Normalisht, përdoruesit do të marrin një sms që përmban një kod TAN në mënyrë që të autorizojë transferimin, por trojani në smartfon do ta kapë sms-në dhe do ta autorizojë transaksionin vetë- pronari i llogarisë nuk do ta dijë derisa të vërej paratë e humbura në llogarinë e tij.

[Zero Cool]

Ne të gjithë jemi të pavëmendshëm për privatësinë





Përdoruesit e uebit dhe të pajisjeve mobile pak e kuptojnë se sa shumë informacione të tyre personale grumbullohen online, duke e bërë të vështirë mbështetjen në sfidën e tregut të lirë për zgjidhje ndaj shqetësimeve për privatësi, treguan ekspertët e privatësisë për Komisionin Federal Tregtar të Shteteve të Bashkuara vitin e kaluar.

FTV ose Kongresi i Shteteve të Bashkuara ka nevojë që të vendos rregulla të qarta për privatësinë online, thanë disa folës në një dyqan FTC në grumbullimin e të dhënave online të enjten.

Folës të tjerë treguan që sfida në mesin e ndërmarrjeve të internetit dhe pajisjeve dhe përpjekjeve për njoftim të privatësisë nga grupet e industrisë mund të funksionojnë, edhe nëse disa përdorues të uebit nuk duken të kujdesen ose të kuptojnë për të dhënat.

Disa shërbime, duke përfshirë makinat e kërkimit, shfletuesit dhe rrjetet shoqërore, janë duke ofruar produktet e tyre duke u bazuar në veglat ose politikat për privatësi, tha Markham Erickson, i cili është këshilltar i përgjithshëm për grupin e tregtisë të Asociacionit të Internetit.

Konsumatorët do të ndëshkojnë ndërmarrjet me praktika të këqija privatësie, shtoi Stuart Ingis, i cili është këshilltar për Aleancën për Reklamim Digjital, që është një grup tjetër punues.

“Tregu reagon kur ata e shohin një praktikë biznesi të cilën nuk e pëlqejnë”,- tha ai. Është ende një pyetje e hapur për dëmin ndaj konsumatorëve nga grumbullimi i të dhënave, thanë disa folës.

Disa përdorues ruhen




Ende, disa përdorues të uebit janë duke reaguar në rrugë që tregojnë që ata e kuptojnë grumbullimin e të dhënave, tha Howard Beales, i cili është profesor biznesi në Universitetin Xhorxh Uashington dhe ish drejtor i Byrosë për Mbrojtje të Konsumatorëve të FTC-së.


Shumë përdorues të uebit janë duke filluar të përdorin shumë rrjetet, shumë pajisje dhe shumë shfletues dhe janë duke vendosur teknologji të enkriptimit, tha ai. Asnjë ndërmarrje nuk ka një “pamje të vetme, të kuptueshme” të të dhënave personale të përdoruesit të uebit, shtoi Beales.

Pjesë e përqendrimit të punishtes së FTC-së ishte një hetim i thellë i pakos, ose DPI, që është një teknologji që mund të përdoret nga ISP-të dhe disa ndërmarrje të tjera për të hetuar përmbajtjen e pakove teksa ato udhëtojnë përgjatë uebit. Sidoqoftë, problemi nuk është me DPI-në, por me atë se si përdoret, tha Erickson.

Disa folës kërkuan nga formuesit e politikave që t’i besojnë tregut për t’u kujdesur për problemet me privatësinë online dhe t’ua mundësojë ndërmarrjeve që t’iu japin konsumatorëve zgjedhje në atë se si ata përgjohen, por të tjerë e vënë në mëdyshje atë qasje.

“Të akuzosh industrinë e cila dëshiron të ju ndjekë për të mos bërë përgjimin duket të jetë sikur të vendosësh dhelprën në kotec”,- tha Christopher Calabrese, i cili është këshilltar legjislativ për Unionin e Lirive Civile Amerikane. “Si do të mundesha unë si konsumatorë që të ju besoj juve që të më nxirrni kur i tërë modeli juaj i biznesit është i bazuar në ndjekje?”