SC Magazine 2012 Winners

SC magazine ээс явуулдаг SC Award 2012 дүнгээ гаргаж шилдэгүүдээ тодруулж дуусчээ.
Өнгөрсөн жилийн хувьд номинциуд нь олон төрөл болж их задарсан харагдсан. Зарим номинаци дээр төсөөлөөгүй бүтээгдэхүүнүүд ялалт байгуулсан байх юм.
Миний таамаглаж байсан Palo Alto Firewall, Anonymous Team ууд ер харагдсангүй. Монголчуудын хамгийн их хэрэглэдэг Kaspersky Lab маань сураггүй. Мөн ер мэдэхгүй Barracuda Firewall нь Best Enterprise Firewall төрөлд ялалт байгуулсан байх юм.

 

Cabinet.gov.mn яасан засардаггүй вэб вэ?

Төрийн вэбүүдийг Joomla байна гэж нийтлэл бичсэний дараа зарим вэбүүдийг жоохон ухаж үзэхээр шийдэв.
Cabinet.gov.mn ийг жишээ болгож жоохон ухаж үзэв. Гэвч нилээд алдаа, цоорхойтой вэб байна шүү. Би хорлон сүйтгэгч биш болохоор алдааний талаар энд мэдээлээд орхий.

Алдаа 1
http://www.cabinet.gov.mn/news.php?newstype=news
SQL injection хийж mysql db ээс мэдээлэл дуудав. Гэвч энд бас нэг том алдаа байсан нь db ийн password ийг encryption хийж хадгалдаггүй байх юм. Joomla байж болно гэхдээ password оо тext ээр нь тавьчиж болохгүй биз дээ. Ариа дэндүү.
admin, oyun гэх username ба пассворт нь байв. Пассвортыг нь мэдээж нийтлэхгүй.

Хамгаалж сурах хамгийн сайн арга юу вэ?

Гадны аюул заналаас өөрсдийн сүлжээг хамгаална гэдэг сүлжээний админ, систем админууд, хамгаалалтын мэргэжилтэнүүдийн хувьд жинхэнэ толгойны өвчин. Хэн ч билээ дээ нэг мундаг хакер нь "Хамгийн сайн хамгаалалт бол довтолж сурах" гэж хэлсэн байдаг, бодоод байсан энэ яг үнэн. Гол санаа бол яаж довтолдог арга техникийг мэдэхгүйгээр хамгаалалтыг сайн хийж чадахгүй л гэсэн үг. Тэхээр довтолж чаддаг нөхөрөөр л хамгаалалтаа хийлгэх нь дээр гэдэг нь тодорхой байна. Үүнтэй утга нэг жишээнүүд авах гээд үзье.