Блог

Все наверно слышали, что ЖЖ уложили с помощью самой тупой атаки - DDoS. Сайт моего клиента тоже пытались уложить на прошлой неделе таким же методом, но мы об этом узнали только на следующий день, когда увидели аномальное количество обращений. Но база данных ни разу не зашкалила и сервера приложений жили спокойно.

За последнюю я слышал о нескольких атаках. Сегодня знаю о том, что одину крупную сетку в США тоже пытались уложить с помощью DDoS, только вот в атаке участвовало всего около 20 IP адресов и они быстро очутились в блек листе.

Не понимаю, нафига до сих пор используются эти тупорылые DoS и DDoS. Это же самые глупые атаки, которые только можно представить и на мой взгляд это позор, пользоваться ими.

Сегодня получил интересный вопрос по поводу защиты сайта от DoS атаки. Действительно интересо, как можно сделать это. Самая дебильная атака – это DoS, потому что для ее реализации много ума не нужно, а защитится сложно. Еще более дебильная атака DDoS, от которой еще сложнее защититься.

От DoS атак защитится достаточно проблематично. Нужно искать наиболее слабые места на сайте и оптимизировать их. Самый лучший способ организовать DoS атаку - это найти наиболее долго выполняющуюся страницу, и многократно долбить ее. Чаще всего на такой странице будет долго выполняющийся запрос, который и будет загружать процессор сервера до такой степени, что сайт станет недоступным.

Можно пытаться реализовать программную защиту прямо в своей CMS и не позволять более N запросов в секунду и просто отбрасывать их нафиг. Вполне действенная защита, потому что нормальный человек больше 2 запросов в секунду отправить на один и тот же сайт не в состоянии. Все что больше, это попытки хитрить, типа двойных кликов по кнопкам или просто бот, который фигачит сайт со страшной силой.

С начала года в Китае уже арестовано около 460 хакеров, а атаки все продолжаются. Вот что делает с людьми нищета. Когда программисту мало платят, то он начинает тратить свой дар на взломы. Ну а китайцев столько, что арестовывать еще можно долго и нудно.

Найдена критическая уязвимость в андроеде, а точнее в браузере, который встроен в эту ОС. Он оказывается не спрашивает подтверждения о том, можно ли загружать файл с инета. Злостный файл не только скачивается из инета автоматом, но и может быть запущен и легко можно открыть всю карту памяти.

Не забываем, что браузер и ОС андроеда построены на открытых технологиях (в том числе на коде Linux) со всеми вытекающими мифами. Но я не к этому. Помниться, что гугл где-то сказали, что это открытая ОС и не фиг подавать на меня в суд за андроида. Они всего лишь написали ОС и пустили в свободное плаванье.

Сегодня пятница и я решил задолбать вас заметками. Сегодня мне понадобилось найти прокси для тестирования, но при это не попасть на вирусы. Если ты не в курсе, то очень часто халявные прокси сервера подсаживают вирусяки и ими лучше не пользоваться. Где же взять такой, которому можно доверять?

Ты доверяешь гуглу? Я да, поэтому я решил использовать его. У гугла есть отличный сервис перевода www.google.com/translate?hl=en&sl=cs;&tl=en&u=http://site.com. В параметре u нужно указать URL к сайту, который нужно перевести. Раньше, чтобы наколоть сервис и использовать его как прокси достаточно было указать источник перевода и назначение перевода в один и тот же язык. Гугл просек фишку и запретил это дело.

Очередная новость о том, что милиция нашла способ бороться с пиратсвом. Теперь они знают, как перекрыть торрент трафик. Я вспомнил, как в конце 90-х в Ростове прошла облава на центральный рынок пиратского софта, где можно было свободно купить что угодно. Я спросил одного знакомого из органов, неужели теперь закроют все? Ведь это достаточно просто, достаточно просто проехать по городу и на каждом углу проверить лотки с дисками. В 90-х годах почти все 100 процентов были пиратскими, а если прикрыть хотя бы половину из них, остальные просто испугаются и закроются сами.

На мои опосения знакомый миллиционер сказал просто, пока милиция кормится с этих рынков и сама закупается на них, ничего не прикроют. Это все показательные выступления для галочки. Нати пиратскую точку в любом городе не сложно, а про Горбушку в Москве ходили легенды, но никто не закрывал ничего, только по телеку показывали интересные события.

Сегодня вопрос с тестированием безопасности сайтов получил продолжение в виде очередного письма.

Напрмер, я сайт взломал (хочется этот http://myppc.ru), рассказал Админам, в чем у них проблема (как Вы писали), допустим, через свой e-mail, то они могу со мной разобраться? Т.е. в моем аккаунте есть информация. И ещё - "надавать по жопе" это мягко сказано?:)

Все зависит от сайта и от админов. Были случаи, когда после взлома одного банка, хакеров нанимали на работу, а бывали случаи, что за взлом другого банка, хакеров сажали.

Очень часто в книжках по безопасности можно увидеть утверждения, что пароли нужно менять регулярно, чтобы их было сложнее подобрать. Я тоже был согласен с этим утверждением и тоже писал этот бред. Даже в системах безопасности ОС есть правила, которые заставляют пользователей регулярно менять пароли. На последних двух местах работы эти политики регулярно используются и после года использования этого бреда, я понял, что это бред. Как я раньше этого не замечал и почему другие не видят?

Утверждение о регулярной смене паролей может быть верным только если длина пароля ограничена 10 символами. В этом случае подбор пароля вполне решаемая задача и регулярная смена может повысить безопасность. Если ограничений нет, то лучше просто всем объяснить, что выбирать пароли надо длиннее и сложнее.

Итак, в чем же заключается бред? Я заметил, что когда пользователя принуждают регулярно менять пароли, то они просто перестают придумывать что-то сложное. Каждые два три месяца запоминать новый и сложный пароль никто не будет. Если в системе настроена политика, что следующий пароль не должен повторять пять предыдущих, то пользователи начинают упрощать пароли еще сильнее. Именно из-за этого в моду снова возвращаются пароли qwe123, qwer1234, qwe321, zxc123 и тому подобное.

Одна из лучших книг про эксплоиты, которую я когда либо читал – это Хакинг: искусство эксплойта. 2-е издание. Если честно, то это единственная книга про эксплоиты, прочитанная мной, да и читал я первое издание. Плохо в ней то, что примеры описаны для Linux, а не для популярной системы Windows. Да, автор показывает всем, что Linux далеко не такая безопасная и писать эксплоиты для этой системы не так уж и сложно, но все же писать для Windows было более интересно, особенно начиная с Windows Vista.

Не смотря на то, что Linux отличается от Windows, книга будет полезна всем, и не только хакерам, а даже просто программистам. Общеизвестно, что для защиты нужно знать, как и кто будет на вас нападать. Нападать на программу будут хакеры, которые хорошо соображают в безопасности, остается только узнать, как они это будут делать. Если познать, как хакеры внедряют эксплоиты, проще будет защищаться и писать более безопасный код.

Это и есть преимущество подобных книг, потому что они полезны как нападающим, так и защищающим. Книга должна быть прочитана как программистами, так и хакерами. Если ты еще не читал, то купи, я уверен, что не пожалеешь.

В принципе, исходные коды многих продуктов Microsoft открыты, если очень сильно попросить. К ним имеют доступ некоторые стратегические партнеры и теперь к таким партнерам может присоединиться еще и Китай. Компания готова открыть исходники таких продуктов как Windows XP, Vista, Windows 7 и даже Офиса. Теперь в китайском правительстве могут занять пару миллионов китайцев тем, что они будут прослеживать исходные коды.

Даже с открытием исходных кодов, я не думаю, что Китай начнет закупать Windows тоннами. Вся эта шумиха вокруг безопасности - это банальная политика и попытка найти причину. Даже больше, открытие исходных кодов в Китае грозит тем, что их разворуют. Страна, где пиратство развито да таких масштабных пределов, как в России, открывать что-то опасно.