Para disa ditesh ne Top Show u diskutua tema “Piratet e Internetit”. Duke pergezuar Top Show per qellimin e mire te diskutimit te temave te tilla qe jane tradicionalisht te veshtira per tu kuptuar nga publiku, nuk mund te mos ve re se e vetmja gje qe nuk u arrit aty ishte sensibilizimi i publikut lidhur me rendesine e sigurise se sistemeve kompjuterike ne kushtet kur ne te gjithe varemi nga ato sisteme. Me keq akoma, fakti qe faqet shqiptare jane te lehta per tu thyer u transmetua si “vogelsi” dhe si “edhe po u thye faqja e ministrise nuk eshte ndonje problem i madh se informacion i thjeshte eshte”, nderkohe qe ajo qe na dhemb personalisht, pra leku yne neper bankat tona, “qenka i sigurt nga piratet e kompjuterave se bankat kane investuar ato miliona qe qeveria nuk i investon dot per faqet e veta”.

Te themi ate qe eshte dhe qe duket sheshit, jo vetem faqet qeveritare, por edhe faqet e shume kompanive private jane ne shume raste shume te lehta per tu thyer. Faji nuk eshte i mungeses se buxhetit a deshires se mire te ketyre kompanive private. Askush nuk na porosit ti bejme nje faqe “qe te thyhet kollaj”. Faji per mungesen e sigurise eshte i atyre qe kane bere faqet - qofshin keta nipat e pronarit qe kane lexuar “Building Websites for Dummies“, qofshin konsulente te ndritur nga kompani edhe me te ndritura qe nuk vendosin dot kur eshte me mire te perdoret Javascript, kur ASP, dhe kur PHP, apo qe nuk dallojne dot ndryshimin mes aplikimeve per desktop dhe atyre per web. Ne Shqiperi nuk ka nje tradite programimi te sigurt, madje nuk ka fare tradite programimi. Gjithcka qe dime ne programuesit e kemi mesuar duke pare programe e tutoriale lart e poshte neper internet, shpeshhere te distiluara ne menyre qe te jene te kapshme idete kryesore. E keqja eshte se gjate atij distilimi eshte hequr gjithe infrastruktura e sigurise se programit te paraqitur ne tutorial, dhe ai qe e lexon as nuk e di qe ka nevoje edhe per siguri, apo qe ai program thyhet nga nje femije 3 vjec duke shtypur kot ne tastjere.

Pas vitesh perpjekje duke te zene gjumi ne lende qe nuk do te hyjne kurre ne pune, me ballin lart dhe nje diplome ne dore del nga universiteti. Personalisht kam nderruar disa pune ne keto pese vitet e fundit, shteterore dhe private, dhe askund nuk kam pare te trajnohen njerezit per te mesuar te bejne me mire ate pune qe bejne. Ajo qe kam pare eshte qe trajnohen per te mesuar moden e fundit ne teknologji: gjuhen e fundit qe ka dale, Oraclen aq e kaq, Visual Shkence.NET XP-3000-HomeServer Edition me Zile (ose te tjera lloj prapashtesash te tilla te cuditshme). Ose trajnohen per teknologjine e specifikuar ne tenderin e fundit te Drejtorise se Puneve Te Kota ne Ministrine e Qylit. Nese je programues Visual Basic, nuk te trajnon njeri si te shkruash VB me te sigurt a me te shpejte. Jo - firma ka nevoje qe ti te mesosh “Moden e Fundit pre-release 0.1alphaXP”. Nuk i kushtohet rendesi nese kjo moda e fundit ka vlere praktike ne Shqiperi ku njerezit s’lidhen dot as me modem, a nese do arrije te mbijetoje kjo mode me shume se nje vit - rendesi ka te ndjekim me te fundit dhe te fitojme tenderin - urraaaaa! Ajo qe ndodh me programuesin eshte qe ne vend te behet profesionist qe di mire ate qe ben, behet nje amator qe di pak nga te gjitha, sepse sapo arrin te kuptoje dicka nga nje gjuhe a teknike e caktuar, nuk i lene kohe ta pervetesoje mire po e kalojne me vrap te nje teknike tjeter; sapo meson te orientohet ne kete te dyten e cojne te beje trajnim per tekniken a gjuhen e trete e keshtu me radhe. Dhe mos e dhente Zoti te doje ndonjeri te mesoje vete me shume - nuk ka kohe per kete, sepse projektet vijne njeri pas tjetrit aq shpejt sa pa mbaruar designi i te parit fillon programimi i te dytit. Keshtu siguria e sistemeve tona mbetet jetime mes kater rrugeve, dhe askush nuk e vret mendjen per te.

Keto me siper na cojne ne situaten ku jemi, dhe ku na pelqen te justifikohemi se s’ka gje po u thye faqja, rregullohet lehte dhe nuk kane cfare te na bejne me teper se aq. Ne fakt mund te jeni te qete nese mendoni se ai qe sulmon ka nder mend vetem te shfytyroje faqen. Une per vete nuk qendroj dot aq i qete, sepse ajo qe mund te beje sulmuesi eshte edhe hyrje dhe perdorim i serverit te faqes per te leshuar sulme te tjera ndaj rrjetit te brendshem, jo me qellim DoS apo shfytyrime, por me qellimin per te zbuluar kredenciale te tjera te rendesishme te rrjetit te brendshem. Kjo eshte serioze, apo jo? Nese faqja e kompromentuar eshte ne nje ISP, ne varesi te konfigurimit te serverit mund te lexohen gjithe skedaret e serverit, perfshi gjithe faqet e tjera ne ate server, perfshi GJITHE kredencialet e databazave dhe te hyrjes se atyre faqeve. Mendoni pak tani skenarin e sulmuesit:

Hmm ja u futa te ministria.com…. Passwordi ishte i ruajtur ne javascript te skedari mos_e_hap.js. Po mo plako, s’po e hap fare une, aty mbaje ti.
Pa te shohim cfare te bej tani… Te shkruaj “Rrofte Zimbabveja dhe Hellp Ambasada Ruse” apo te shoh njehere rrotull te ky serveri? Po shoh njehere c’ka ketu…
Hmmmm ky skedari dbconfig.php po me duket interesant….
Ups - $dbuser=’root’; $dbpass=’IamG0D’;
Pa te provojme njehere mysql -h ministria.com -u root -p IamG0D
mysql> show databases;
1. ministria_db
2. firma_bosi
3. forumi_75
mysql> select * from firma_bosi.transaksionet;
...
mysql> drop database firma_bosi;
Ja pra - lista klientesh, partneresh, arkiva emailesh, informacione konfidenciale… Gjithcka hapet dhe demtohet vetem duke thyer ate faqen e vockel te ministrise qe ne nuk na behet vone edhe po e shfytyruan, po qe eshte ne nje server me 100 faqe te tjera te rendesishme.

Kjo teme ka shume me teper per te thene por do i shkruaj ne nje shkrim tjeter. Per sot boll ka per tu menduar. Mezi pres te shoh si e mendoni ju te tjeret, qe nuk paten fatin te ftoheshin ne diskutim e as ne salle ate dite dhe qe perballeni cdo dite me neglizhenca te tilla.
Erion.