Блог

Наталья Касперская уверена, что смартфоны и планшеты Apple - iPhone и iPad ведут скрытую фото и видеосъемку и отправляют данные в Apple. 

Все, я не знаю, что тут добавить. Сначала хотел добавить, но потом понял, что это самодостаточное мнение. Интересно, как она смогла найти это. Потом она говорит:

Хочу обратить внимание на следующее обстоятельство: против Apple было подано около 20-ти судебных исков от жителей США и коллективный иск от 27000 южнокорейцев по обвинению в слежении за пользователями

Сегодня на РБК интересная новость - видео по ДТП с участием игумена Тимофея стер вирус. Цитата из новости: 

Данные на карте памяти регистратора из полицейской машины, куда был посажен Алексей Подобедов, стерлись в результате вирусной атаки. Вся информация уничтожена, говорится в предоставленной справке ведомства.

Я с вирусами давно уже не встречался, но когда встречался по работе, то они все данные не уничтожали. Хотя был один вирус, который именно портил информацию еще в 95-м году, уже и не помню, как его звали. 

Кручу дырочку в одном крупном интернет магазине. Причем мне дали официальное добро найти дыру и рассказать о ней. Давно я не искал ошибок на чужих сайтах и прямо как-то подстегнуло найти что-то. За час пока нашел один небольшой косяк, но вроде бы как известно, что есть еще один, более серьезный. Нужно выяснить, как пользователь смог обойти систему. 

Странно то, что пользователи покупали товар с обманом всего до $25. По крайней мере именно это я увидел в ордерах, которые мне дал клиент. В основном же полный ордер был в среднем на $300, а обман составлял всего лишь $10. В одном случае пользователь купил на $250, а обман был менее доллара. Такие мелкие цифры меня натолкнули на мысль, что пользователи, которые получили обманным путем скидку в $1 доллар и чуть более, могли даже не подозревать, что они имеют систему. Просто сумма слишком смешная, а платили реальными кредитными картами. Хотя на счет реальности я не знаю, это мне не сообщили, но все равно.

Допустим, ты знаешь, что в интернет магазине можно получить скидку от $1 до $10 долларов мошенническим путем. Будешь ли ты рисковать? Обязательное условие - получение товара, потому что этот интернет магазин торгует реальными товарами, типа электронники, DVD и т.д. Если отсылать себе домой телевизор, то придется выдать свой адрес, а отсылать на посредника, ему придется платить процент. Стоит ли это $10?

Apple стал домогаться с просьбой установить в своем профиле ответы на вопросы безопасностии и второй email. Лично меня бесят обе эти фигни и я считаю, что это только мешает. К тому же, предустановленные вопросы на столько простые и банальные. Я вечно выбираю практически на угад и постоянно забываю, потому что дебильные правила для вопросов обязательно содержат какую-то фигню. 

Надобность второго почтового ящика так же вызывает серьезные вопросы. Ну у меня ящиков дофига и они мне нужны разными. А вот у жены, например, только один ящик. Идти заводить еще один на бесплатном сервисе? Это небезопасно, потому что она не будет пользоваться этим ящиком и если кто-то уведет его или он просто закроется по старости и откроется кем-то другим, то это откроет только лишнюю дыру в ее аккаунте. 

Я не знаю, чем руководствовались специалисты по безопасности, которые выдумали правило в заведении второго почтового ящика к аккаунтам, но это самая глупая идея и только открывает потенциальную брешь. Особенно назойливое и практически насильственное требование Apple задать этот дебильный второй ящик. 

Сегодня прочитал в журнале Хакер в типсах следующий вариант атаки:

1. Злой дядька входит на атакуемый сайт и авторизуется на нем. Запоминаем свой SessionID

2. 3лоумышленник подкидывает неавторизованному на сервере пользователю ссылку на скрипт с сервера, который устанавливает куки с идентификатором злоумышленника.

Это реально возможно? Неужели где-то возможен вариант на сайте, где имя Cookie переменной или ID сессии может задать пользователь сайта? Да за такие вещи нужно расстреливать. Сталина на них нет. 

Блин, недавно читал про баг в Android и меня убило умозаключение автора – оказывается Linux не безопасен и в нем тоже есть дыры. Главное так написал, что это явно для него было открытием. Ну просто классное заключение. Наверно автор начитался других авторов журналов. 

Могу сказать, что нужно очень сильно фильтровать то, что пишут в журналах. Писать уникальный материал не так уж и просто, а писать о чем-то плохо вообще на фиг никому не нужно. Так что чтобы не описывать в очередной раз Windows, авторы явно пытаются искать какие-то утилиты и альтернативу. 

Допустим, что я нашел альтернативу и предложил редактору описать ее. Беру описываю и пишу чистую правду и говорю, что альтернатива хорошая, но косяки возможны. А редактор спросит, а нафига ты тогда эту альтернативу описываешь? Нафига писать про фигню, которая нафиг никому не нужна и в ней возможна фигня? А я тут начинаю оправдываться и говорю, что это всего лишь небольшой косяк, или даже не косяк, а просто возможность косяка, потому что программисты иногда бухают и я вот такой честный и не могу сказать правду про то, что могут быть дыры. Такую статью просто не пропустят. 

И все же взлом linkedin подтвердили. Ну ладно, с кем не бывает. Народ уже начал привыкать к тому, что даже крупные сайты иногда теряют кошельки. Что порадовало лично меня, я этим сервисом не пользуюсь особо и мне он паралеллен, поэтому там стоял мусорный пароль, который я ставлю на все мусорные сервисы, которые мне на фиг не нужны. Вчера поменял этот пароль на другой мусорный пароль, у меня их целых три. Такой же пароль стоял и на фейсбуке. Правда фейсомоббук я начал пользоваться, поэтому пришлось сегодня поменять и на нем пароль, просто на всякий случай.

Еще, что хорошего я для себя отметил, так это что linkedin хранят пароли в зашифрованном виде. Молодцы, спасибо за это. Плохо то, что их можно дешифровать. Хотя какая разница, даже если было бы нельзя и если бы хранился Hash, хакеры смогли бы подобрать пароли без проблем. Имея 6.5 миллионов хешей, достаточно запустить брут и на каждом шаге проверять, есть ли совпадение хотя бы с одним из 6.5 миллионов паролей. За день можно подобрать тонну паролей. Так что это то же не проблема. Просто шифрация дала нам пользователям время на то, чтобы мы смогли поменять пароли, пока их дешефруют/подбирают.

Тут Канадосу понадобился доступ к серверу, ну я ему завел учетную запись и в своих лучших традициях дал ему пароль Yb[ezct,t3Devgfhjkm. Он мне пишет, и как я должен это запоминать? Ну что поделаешь, если для меня безопасность превыше всего.

Пароль конечно же был не таким, но смысл генерации такой.

Меня тут спросили, собираюсь ли я вступать в Anonymous. Ну для начала, я ни в каких хакерских организациях никогда не участвовал и не планирую участвовать. Просто потому, что хакером (взломщиком) никогда не хотел стать. Я изучал безопасность только ради безопасности, а не ради взлома. Так что нет и еще раз нет.

Далее – нету такой организации, как Anonymous. У них нет главного офиса или верхушки. Это просто имя, которое может взять любой желающий для того, чтобы выступить с каким-то заявлением или даже выполнить какие-то действия. Любой может завтра произвести атаку во имя целей Anonymous. Именно поэтому эту организацию невозможно уничтожить.

Блин, у меня на сайте нет возможности удалять статьи. Сегодня написал небольшую статью защита от выполнения во фрейме, добавил в раздел статей, но понял, что она слишком маленькая, чтобы быть статьей. Это больше похоже на заметку на блоге. А удалить теперь не могу. Ладно, фиг с ним, пусть в статьях валяется.