Блог

Сегодня получил интересный вопрос по поводу защиты сайта от DoS атаки. Действительно интересо, как можно сделать это. Самая дебильная атака – это DoS, потому что для ее реализации много ума не нужно, а защитится сложно. Еще более дебильная атака DDoS, от которой еще сложнее защититься.

От DoS атак защитится достаточно проблематично. Нужно искать наиболее слабые места на сайте и оптимизировать их. Самый лучший способ организовать DoS атаку - это найти наиболее долго выполняющуюся страницу, и многократно долбить ее. Чаще всего на такой странице будет долго выполняющийся запрос, который и будет загружать процессор сервера до такой степени, что сайт станет недоступным.

Можно пытаться реализовать программную защиту прямо в своей CMS и не позволять более N запросов в секунду и просто отбрасывать их нафиг. Вполне действенная защита, потому что нормальный человек больше 2 запросов в секунду отправить на один и тот же сайт не в состоянии. Все что больше, это попытки хитрить, типа двойных кликов по кнопкам или просто бот, который фигачит сайт со страшной силой.

Все наверно слышали, что ЖЖ уложили с помощью самой тупой атаки - DDoS. Сайт моего клиента тоже пытались уложить на прошлой неделе таким же методом, но мы об этом узнали только на следующий день, когда увидели аномальное количество обращений. Но база данных ни разу не зашкалила и сервера приложений жили спокойно.

За последнюю я слышал о нескольких атаках. Сегодня знаю о том, что одину крупную сетку в США тоже пытались уложить с помощью DDoS, только вот в атаке участвовало всего около 20 IP адресов и они быстро очутились в блек листе.

Не понимаю, нафига до сих пор используются эти тупорылые DoS и DDoS. Это же самые глупые атаки, которые только можно представить и на мой взгляд это позор, пользоваться ими.

ФСБ хочет запретить Skype, потому что его трафик невозможно прослушать и это угрожает безопасности великой и необъятной России. Уважаемые сотрудники ФСБ: Запрещать Skype бесполезно, потому что есть такая весчь как VPN. Через него любой трафик будет зашифрован и его прослушать неудастся. Так что если запрещать, то любое шифрование вообще. Ну а VPN запрещать нереально. На его безопасности держится очень многое, в том числе и банки (по крайней мере я надеюсь на то, что его используют).

В цифровом мире у людей, которым необходимо передать конфиденциальную информацию, слишком много инструментов обойти прослушивание и запретом Skype тут не обойтись. Самый проверенный метод прослушать то, что вы хотите - это прийти к подозреваемому и паяльником в морду, и добро пожаловать КГБ-шные методы 50-х годов в современный мир.

Удивлеен, что IRC серверами до сих пор еще ползуются. Я думал, что весь современный народ уже давно перешел на любые другие техонлогии. В свое время IRC действительно были очень популярны и я сам отвисал на них, когда я сидел еще в Windows 95 и 98, но с тех пор уже столько лет утекло.

Официальная информация по поводу взлома выглядит так:

Спешим сообщить, что сегодня сеть наших серверов была взломана бывшим оператором IRC, нашим сотрудником по имени "Райан". Он решил, что будет против неорганизованной структуры AnonOps Network и организовал переворот со своими "друзьями" на skidsr.us. Используя сетевой бот "Zalgo" он собрал IP и пароли всех серверов сети (включая хаб) и систематически применял DOS атаки (вот почему сеть была неустойчива последнюю неделю). К сожалению, он контролирует доменное имя AnonOps.ru (и возможно AnonOps.net, мы точно не уверены), поэтому мы не можем продолжать их использовать.

Занастольгировал по русским буквам и скачал журнальчик Хакер и там прочитал, что на конференции Chaos Construction на одну из стен выводятся данные о перехваченных HTTP сессиях и это вроде бы как своеобразная стена позора. Если кто-то зашел на сайт по незащищенному каналу, то его сессия легко перехватывается и это вроде бы как позор. Интересно, для кого позор – для пользователя, или для владельцев сайтов?

Лично у меня на сервере перехват сесии возможен, потому что у нас только определенные части сайта идут по https протоколу. Там, где шифрование на фиг не нужно, его просто нет и пользователя даже выкидывает с https на нормальный http протокол. А не фиг загружать сервера своими тупыми шифрованиями там, где это не нужно. Безопасность хороша до тех пор, пока она не становится параноидальной. Так делают нормальные сайты, которые я знаю – например, ebay, amazon. Это то, что приходит мне на макушку мозга. Я как-то не вникал, но надеюсь, что большинство поступает так же.

На сайте моего клиента перехват HTTP сессии возможен. Ты можешь захватить сессию и даже по наслаждаться, что у тебя в куках стоит чужая сессия. Ты можешь погулять по сайту таким образом по открытым областям. Но стоит только зайти в защищенную область сайта, которая содержит важные для пользователя данных, как твой Http Session Hijacking итдет лесом и хакер нежно и ласково возвращается в свою родную сессию лоха позорного.

Новая старая статья про PHP и безопасность (вполне актуальная сейчас тема): Безопасность в PHP - системные команды. Я написал ее уже очень давно и сейчас выложил без редактирования, просто выкинул на суд читателей.

Ко мне часто обращаются с просьбой посмотреть или протестировать сайт на безопасность. Я бы не против помочь с этим, но просто не в состоянии. Запросы такие идут с завидной постоянностью, но если я буду пытаться нормально тестировать хотя бы половину сайтов, я буду только это и делать. Блин, если бы за книги хорошо платили (а для этого нужно чтобы их хорошо покупали), то я наверно и сделал бы основной работой тестирование сайтов, а потом просто описывал это.

За часок проанализировать сайт основательно просто нереально. Проще взять специализированную программу, которая тестирует на безопасность, и прогнать сайт с ее помощью. Я сам так часто делаю :), да и многие так делают.

Прошел всего один день с того момента, как я послал огнелиса и не стал обновлять его до пятой версии. И вот сегодня запускаю FireFox, как в правом нижнем углу появляется окошко Microsoft Essential Security, который сообщает, что у меня в мозиловском кеше сидит троян. Ну спасибо тебе мой дорогой и в то же время бесплатный супербезопасный браузер с открытым исходным кодом, я просто счастлив. Какого черта браузер сохранил в кеше трояна?

Запустил обновление браузера. На этот раз он сообщил, что только один плагин не будет работать. Да ну и фиг с ним. Сидеть в не обновляемом браузере опаснее.

Ребенок хочет играть в полную версию игры Need For Speed на Windows Phone, но мне не кайф платить с кредитной карты. Я в основном плачу с PayPal за подобные вещи. С недавних пор Microsoft внедрила прием PayPal почти везде, в том числе и XBox, а вот с телефона пока нет.

Сегодня лазил в интернете, в поисках способа оплатить с PayPal и зашел на сайт Microsoftstore.ca. И о чудо, внизу окна появилась надпись: Internet Explorer has modified the page to help prevent cross site scripting. Ну не чудесно? Ну да, уязвимость возможно и не критичная, но для такой компании немного позорно оставлять собственный сайт в таком некрасивом положении. У Microsoft и там репутация не из лучших, а тут еще и их собственный браузер сообщает, что сайт может содержать ошибку.

Лично я не испугаюсь CSS, но домохозяйки запросто могут свалить с сайта, тем более, это же электронный магазин и покупать что-то на сайте, у которого есть проблемы с безопасностью немного очкливо.

Был когда-то такой хороший журнал Компьютерра, который я когда-то читал и старался не пропускать ни одного номера. Это было еще при первом его редакторе. Но уже наверно более 10 лет назад главный редактор сменился и журнал стал превращаться в полный отстой. Постоянные рубрики испахабились, а тема номера очень сильно зависела от выпускающего редактора. Я рублем за фуфло голосовать не собираюсь, поэтому просто перестал читать этот журнал.

Сегодня просто решил заглянуть на их сайт и посмотреть, живы ли они вообще или уже давно ушли на дно. Чтобы не пытаться догадываться, как может называться url сайта, я зашел на яндекс и набрал компьютерру в поисковой строке. Оказывается сайт еще жив и судя по всему выполнен профессионально. Но прежде чем попасть на сайт, я обратил внимание в яндексе на то, что он не совсем полюбил сайт. Под ссылкой написано, что сайт может угрожать безопасности моего компьютера.