Блог

Сегодня получил письмо, в котором меня спрашивают о защите .NET кода от хакеров:

Хотел бы поднять тему защиты приложений .NET. Если у Вас есть возможность и желание, хотелось бы узнать Ваше профессиональное мнение в виде статейки - как лучше защищать коммерческое c# приложение от взлома и пиратства. Прочел много статей об обфускации, но это не панацея. Чем пользуетесь Вы?

Защитить код пока можно только обфускацией или шифрованием, но это действительно не панацея. Шифрование требует дешифровки для выполнения, а значит, можно снять дамп памяти. Обфускация все равно остается вполне читабельной, так что действительно не панацея.

Устал я уже отвечать на вопросы о том, что нужно знать, чтобы быть хакером. Вот в очередной раз получил письмо из этой же серии:

Значит можно стать хакером и без отличного знания ассемблера(Вы же Хакер правда?). Я многих книгах читал что хакер должен знать ассемблер на отлично.

Лично я себя хакером не считаю, я считаю себя программистом, писателем и немного безопастником, а если кто-то считает мои знания достаточными, чтобы называть меня хакером, то мне приятно. У меня аллергии на слово «хакер» нет.

Недавно заметил, что дочка заклеила стикером камеру на своем ноутбуке. Когда она сидела за ноутбуком жены, то зачет-то заклеила ее камеру тоже. Я начал приставать с допросами, нафига она клеит стикеры на камеру, но она сначала не признавалась, но потом все же призналась, что это для того, чтобы за ней не подглядывали.

Проблема в том, что к дочке в школе приходили из полиции и рассказывали правила поведения за компьютером. Их там напугали, что за ними могут наблюдать через камеру по интернету и они этого могут даже не заметить. Мол камера может передавать в сеть информацию без разрешения даже того, когда лампочка камеры не горит. У всех Web камер, что я видел, есть лампочка, которая загорается при включении и полиция почему-то решила, что камера может гореть втихую. Вроде бы как хакеры могут наблюдать за нами через камеру без нашего ведома.

Сегодня на сайте хакера прочитал, что российские специалисты нашли на Android Market целых 33 вредоносные программы. Любители iPhone сейчас наверно потирают ручки и с большим удовольствием кинут камень в огород Google. Только прежде чем это делать, очень хотелось бы узнать, какие именно приложения и что там вредоносного нашли в магазине приложений Android.

То, что я прочитал в новости – это просто общие слова, что какое-то там приложение может отправлять СМС-ки. Может – не значит, что отправляет. Отправлять СМС-ки могут многие, нужен реальный факт злоупотребления политикой безопасности системы. Лично я уже много раз читал заметки, в которых крикливо обещают что-то круто поломать, но дальше осмотра дела не идут. Очень часто в заметках завышается реальная угроза, особенно в заголовках.

Если запустить поиск по «самый уязвимый браузер» в яндексе и просмотреть первую страницу с результатами, то у меня только одна строка указывает на Chrome, а все остальные показывают на то, что Firefox является самым уязвимым браузером. И действительно, если смотреть на количество багов, то встает очень много вопросов, но не будем разводить базар.

Сегодня вышла 8-я версия FireFox. Так как я пользуюсь этим браузером на работе и только из-за FireBug, а особо не напрягаюсь с его обновлением. Когда вышла 4-ка, я не особо торопился переходить, потому что мне лисица параллельна. Я не устанавливаю дополнительные плагины и сегодня был в шоке, когда узнал, что в Firefox плагины могут устанавливаться без спроса. Только в 8-й версии браузер будет спрашивать подтверждение у пользователя, что он действительно хочет установить какой-то плагин.

Я мягко говоря в шоке. Это же основы безопасности – не разрешать ставить ничего без спроса. Как браузер можно считать безопасным, когда любой плагин может встать без спроса и открыть любую дыру или даже пробоину.

Сегодня пришло письмо с финансовой информацией от банка, в котором в письме был запароленный pdf файл. Отличная идея, не прикреплять открытый документ, хотя, в принципе, в документе ничего сверх естественного нет. Но все равно, отличная идея. А вот то, что глупо, так это то, что пароль был в том же письме. Точнее подсказка на него. В письме было сказано, что паролем является моя фамилия в нижнем регистре, т.е. без заглавных букв.

Даже если какой-то идиот перехватит письмо, то он не так уж и долго будет подбирать пароль. Дело в том, что письмо шло мне на почтовый адрес flenov@servername.com. Даже просто наугад любой хакер с первого раза угадает, даже не зная меня и никогда не слыша обо мне.

Ну хотя бы выбрали имя. Мое имя для Канады не так популярно, и даже если кто-то перехватит письмо и кто не знает меня, то придется подбирать, хотя и это займет не так уж и много. Имен не так уж и много в мире.

У меня в последнее время не хватает времени на поддержание своего небольшого проекта CyD Software, которым я занимался более 10 лет. Уже и не помню, когда я его создал, давно это было. К чему я вспомнил о нем сегодня? Просто интересный клиент появился.

Если оформлять оплату через softkey, то нужно указать, кто является покупателем. Я заметил, что в последнее время все больше стало юридических лиц. Видимо компании стали платить за программы, а администраторы меньше стали воровать. Ведь если работодатель платит, то зачем воровать. Так вот, недавно Network Utilities - Security tools была куплена кем-то из МВД РФ. Интересный клиентик. У меня были клиенты, которые указывали в качестве места работы достаточно крупные компании (не думаю, что покупали сами компании, скорей всего сотрудники), но МВД – это впервые.

Сегодня получил от PayPal письмо, в котором меня очень нежно предупреждают, что они заметили неавторизованный доступ к моей кредитной карточке:

We recently received a report of unauthorized credit card use associated with this account. As a precaution, we have limited access to your Paypal account in order to protect against future unauthorized transactions. Мы недавно получили отчет о неавторизованном использовании кредитной карты, связанной с вашим аккаунтом. В качестве предосторожности мы ограничили ваш доступ к аккаунту PayPal, чтобы защитить вас от будущих неавторизованных транзаеций.

Ну что за ламеры, ведь PayPal не имеет доступа к транзакциям на кредитных картах, даже если они прикреплены к моему PayPal аккаунту. Только PayPal имеет права доступа к кредитной карте, но он не видит никаких сторонних транзакций, только свои. Ни один мерчент , а PayPal такой же клиент кредитных карт, как и магазины, не может получить этих данных, это должны знать все. Так что если и был неавторизованный доступ, то к пейпал аккаунту и за это несет ответственность именно пейпал.

На прошлой неделе были арестованы 86 человек и остальные из 111 находятся в розыске, которые подозреваются в хищении персональных данных и кредитных карт народа. Не хилая такая группировка получается. В группу входили кассиры, официанты и куча разных людей, которые связаны с кредитными картами. И похители они в общей сложности более 13 миллионов долларов.

Мне понравилось в новости на Хакере, что "использовавшей самые современные методы кражи данных". Ну и что же суперсовременного нужно официанту? Снять скан с кредитной карты дело одно секунды. Достаточно просто сфотографировать поверхность и все необходимые данные уже есть. Разве что они снимали все данные с ленты или чипаи создавали физические копии карт. Хотя во времена интернета обналивать можно и без создания физических копий.

Недавно приходит тикет от тестера, в котором мне сообщают, что поле для ввода пароля должно содержать аттрибут autocomplete="off". Виделити браузер может запомнить этот пароль у себя в недрах. Я нежно выругался в сторону наших тупых тестеров, что они дебилы недоделанные и с какого перепуга браузер будет сохранять текст для поля input типа password.

Потом я все же загрузил все браузеры, которые у меня были и проверил, может это все же я дурак и в каком-то из браузеров работает autocomplete на пароли. Но такого браузера я не нашел. Все с успехом проигнорировали и не сохранили ничего.

Ну я пишу гневный комментарий в сторону тестера в стиле: ты че, дебил что-ли? С какого перепуга я должен всякую фигню вставлять в HTML код. Оказывается, что они прогнали сайт какой-то программой поиска уязвимостей, и эта программа им сообщила этот бред. Надо бы узнатЬ, что это за программа была и хотелось бы знать браузер, который может додуматься сохранить пароли в автокоплите.