Блог

Устал я уже отвечать на вопросы о том, что нужно знать, чтобы быть хакером. Вот в очередной раз получил письмо из этой же серии:

Значит можно стать хакером и без отличного знания ассемблера(Вы же Хакер правда?). Я многих книгах читал что хакер должен знать ассемблер на отлично.

Лично я себя хакером не считаю, я считаю себя программистом, писателем и немного безопастником, а если кто-то считает мои знания достаточными, чтобы называть меня хакером, то мне приятно. У меня аллергии на слово «хакер» нет.

Сегодня получил письмо, в котором меня спрашивают о защите .NET кода от хакеров:

Хотел бы поднять тему защиты приложений .NET. Если у Вас есть возможность и желание, хотелось бы узнать Ваше профессиональное мнение в виде статейки - как лучше защищать коммерческое c# приложение от взлома и пиратства. Прочел много статей об обфускации, но это не панацея. Чем пользуетесь Вы?

Защитить код пока можно только обфускацией или шифрованием, но это действительно не панацея. Шифрование требует дешифровки для выполнения, а значит, можно снять дамп памяти. Обфускация все равно остается вполне читабельной, так что действительно не панацея.

Блин, у меня на сайте нет возможности удалять статьи. Сегодня написал небольшую статью защита от выполнения во фрейме, добавил в раздел статей, но понял, что она слишком маленькая, чтобы быть статьей. Это больше похоже на заметку на блоге. А удалить теперь не могу. Ладно, фиг с ним, пусть в статьях валяется.

Меня тут спросили, собираюсь ли я вступать в Anonymous. Ну для начала, я ни в каких хакерских организациях никогда не участвовал и не планирую участвовать. Просто потому, что хакером (взломщиком) никогда не хотел стать. Я изучал безопасность только ради безопасности, а не ради взлома. Так что нет и еще раз нет.

Далее – нету такой организации, как Anonymous. У них нет главного офиса или верхушки. Это просто имя, которое может взять любой желающий для того, чтобы выступить с каким-то заявлением или даже выполнить какие-то действия. Любой может завтра произвести атаку во имя целей Anonymous. Именно поэтому эту организацию невозможно уничтожить.

Тут Канадосу понадобился доступ к серверу, ну я ему завел учетную запись и в своих лучших традициях дал ему пароль Yb[ezct,t3Devgfhjkm. Он мне пишет, и как я должен это запоминать? Ну что поделаешь, если для меня безопасность превыше всего.

Пароль конечно же был не таким, но смысл генерации такой.

И все же взлом linkedin подтвердили. Ну ладно, с кем не бывает. Народ уже начал привыкать к тому, что даже крупные сайты иногда теряют кошельки. Что порадовало лично меня, я этим сервисом не пользуюсь особо и мне он паралеллен, поэтому там стоял мусорный пароль, который я ставлю на все мусорные сервисы, которые мне на фиг не нужны. Вчера поменял этот пароль на другой мусорный пароль, у меня их целых три. Такой же пароль стоял и на фейсбуке. Правда фейсомоббук я начал пользоваться, поэтому пришлось сегодня поменять и на нем пароль, просто на всякий случай.

Еще, что хорошего я для себя отметил, так это что linkedin хранят пароли в зашифрованном виде. Молодцы, спасибо за это. Плохо то, что их можно дешифровать. Хотя какая разница, даже если было бы нельзя и если бы хранился Hash, хакеры смогли бы подобрать пароли без проблем. Имея 6.5 миллионов хешей, достаточно запустить брут и на каждом шаге проверять, есть ли совпадение хотя бы с одним из 6.5 миллионов паролей. За день можно подобрать тонну паролей. Так что это то же не проблема. Просто шифрация дала нам пользователям время на то, чтобы мы смогли поменять пароли, пока их дешефруют/подбирают.

Блин, недавно читал про баг в Android и меня убило умозаключение автора – оказывается Linux не безопасен и в нем тоже есть дыры. Главное так написал, что это явно для него было открытием. Ну просто классное заключение. Наверно автор начитался других авторов журналов. 

Могу сказать, что нужно очень сильно фильтровать то, что пишут в журналах. Писать уникальный материал не так уж и просто, а писать о чем-то плохо вообще на фиг никому не нужно. Так что чтобы не описывать в очередной раз Windows, авторы явно пытаются искать какие-то утилиты и альтернативу. 

Допустим, что я нашел альтернативу и предложил редактору описать ее. Беру описываю и пишу чистую правду и говорю, что альтернатива хорошая, но косяки возможны. А редактор спросит, а нафига ты тогда эту альтернативу описываешь? Нафига писать про фигню, которая нафиг никому не нужна и в ней возможна фигня? А я тут начинаю оправдываться и говорю, что это всего лишь небольшой косяк, или даже не косяк, а просто возможность косяка, потому что программисты иногда бухают и я вот такой честный и не могу сказать правду про то, что могут быть дыры. Такую статью просто не пропустят. 

Сегодня прочитал в журнале Хакер в типсах следующий вариант атаки:

1. Злой дядька входит на атакуемый сайт и авторизуется на нем. Запоминаем свой SessionID

2. 3лоумышленник подкидывает неавторизованному на сервере пользователю ссылку на скрипт с сервера, который устанавливает куки с идентификатором злоумышленника.

Это реально возможно? Неужели где-то возможен вариант на сайте, где имя Cookie переменной или ID сессии может задать пользователь сайта? Да за такие вещи нужно расстреливать. Сталина на них нет. 

Apple стал домогаться с просьбой установить в своем профиле ответы на вопросы безопасностии и второй email. Лично меня бесят обе эти фигни и я считаю, что это только мешает. К тому же, предустановленные вопросы на столько простые и банальные. Я вечно выбираю практически на угад и постоянно забываю, потому что дебильные правила для вопросов обязательно содержат какую-то фигню. 

Надобность второго почтового ящика так же вызывает серьезные вопросы. Ну у меня ящиков дофига и они мне нужны разными. А вот у жены, например, только один ящик. Идти заводить еще один на бесплатном сервисе? Это небезопасно, потому что она не будет пользоваться этим ящиком и если кто-то уведет его или он просто закроется по старости и откроется кем-то другим, то это откроет только лишнюю дыру в ее аккаунте. 

Я не знаю, чем руководствовались специалисты по безопасности, которые выдумали правило в заведении второго почтового ящика к аккаунтам, но это самая глупая идея и только открывает потенциальную брешь. Особенно назойливое и практически насильственное требование Apple задать этот дебильный второй ящик. 

Кручу дырочку в одном крупном интернет магазине. Причем мне дали официальное добро найти дыру и рассказать о ней. Давно я не искал ошибок на чужих сайтах и прямо как-то подстегнуло найти что-то. За час пока нашел один небольшой косяк, но вроде бы как известно, что есть еще один, более серьезный. Нужно выяснить, как пользователь смог обойти систему. 

Странно то, что пользователи покупали товар с обманом всего до $25. По крайней мере именно это я увидел в ордерах, которые мне дал клиент. В основном же полный ордер был в среднем на $300, а обман составлял всего лишь $10. В одном случае пользователь купил на $250, а обман был менее доллара. Такие мелкие цифры меня натолкнули на мысль, что пользователи, которые получили обманным путем скидку в $1 доллар и чуть более, могли даже не подозревать, что они имеют систему. Просто сумма слишком смешная, а платили реальными кредитными картами. Хотя на счет реальности я не знаю, это мне не сообщили, но все равно.

Допустим, ты знаешь, что в интернет магазине можно получить скидку от $1 до $10 долларов мошенническим путем. Будешь ли ты рисковать? Обязательное условие - получение товара, потому что этот интернет магазин торгует реальными товарами, типа электронники, DVD и т.д. Если отсылать себе домой телевизор, то придется выдать свой адрес, а отсылать на посредника, ему придется платить процент. Стоит ли это $10?