Блог

Google отказывается от Windows из-за безопасности

Google запретила своим сотрудникам использовать Windows на работе. Я в шоке, что там вообще можно было использовать Windows. В этой компании столько проповедников Linux и свободы, что у верен был, что свободы там нет и быть не может. Там где много говорят о свободе, ее обязательно ограничивают. Но это не так важно. Google свободная компания и имеет право делать все, что хочет. Отказ от Windows позволит компании сэкономить и она имеет право пойти на такой шаг. Мне это пофиг.

Мне больше всего понравилась причина, по которой Google пошла на такой шаг. Оказывается, они не чувствуют себя в безопасности, когда находятся в Windows. Вот в Linux и MacOS - все нормально. Помню как на сайте Жанны Рутковской (Joanna Rutkowska) завелась дискусия по поводу безопасности открытых кодов и Linux в частности и она сказала одну интересную фразу (если не ошибаюсь, то мы даже обсуждали ее здесь на блоге), что никто не будет штудировать исходные коды Linux ради безопасности. Исходных кодов на столько много и они на столько запутанны, что спрятать червяка в них не составляет никакого труда. Уже были случаи, когда в код Linux подбрасывались лажи и не проблема засунуть бомбу в любой из пакетов.

Вирусы в nix системах - реальность

Для тех, кто не в курсе, MacOS построена на базе BSD и является явным представителем не просто unix мира, а одних из самых безопасных систем - BSD. Очень часто можно встретить упреки в сторону Microsoft о том, что у них полно вирусов и сама Apple не раз обыгрывала это в своих рекламных роликах.

С ростом популярности MacOS стали появлятся различные небольшие заразы и на сайте Apple даже какое-то время назад в каталоге программ появился антивирус. Этим телодвижением Стив Джобс и его команда как бы признавали наличие вирусов в их системе. Когда они поняли это, то антивирус был убран и пользователей стали чесать, что их просто кидают антивирусники.

Блоги и твитеры не безопасны

Сегодня опять поговорим про безопасность. Как-то волны меняются и с частого обсуждения SQL мы переходим на частое обсуждение безопасности. Ну что поделаешь, жизнь изменчива. Лично я стараюсь писать на блоге как можно меньше информации о своей работе, и чтобы было еще меньше проблем, даже никогда не говорю, где я работаю. Это не потому, что хочется скрыть, это безопасность и конфиденциальность. Мой клиент, на которого я работаю очень серьезен, и в таких ситуациях любая излишняя информация может быть губительна.

На этой неделе читал в одной из газет, что какие-то аналитики из какой-то секурити компании пришли к выводу, что блоги и тем более twitter губительны и опасны. Очень часто люди раскрывают на них очень важные данные, которые могут стоить компаниям миллиарды. Например, если менеджер по продажам компании Apple напишет на своем твитере, что он сегодня собирается пообедать/уже обедает/или пообедал с менеджерами Vergin Mobile, то этот безобидный твит может превратится громадными убытками.

Украсть номера кредитных карт

В нашей компании безопасность данных наших клиентов является одним из приоритетов, и вот это меня натолкнуло на мысль, о которой хотел бы сегодня поговорить. Однажды на работе занялись чисткой персональных данных пользователей сайтов наших клиентов. Пока вроде бы проблем с безопасностью нет, но на всякий случай было принято решение удалить все персональные данные. Я чистил базы данных своего клиента и сайты клиентов команды, в которой я работаю. Когда чистишь информацию об адресах, мыльниках и т.д., то это еще не так страшно, и даже скучно. Но вот когда дело дошло до кредитных карт...

Сердце кровью обливалось, затирать такую ценность. Сами номера кредитных карт хоть и зашифрованы и не хватает кода верификации (по закону мы не имеем право его хранить, но очень много мест, где принимают кредитные карты без кода верификации), но все равно, когда в твоих руках несколько миллионов валидных номеров американцев, это счастье.

Ах вы хакеры

Только вчера написал о том, что у нас на сейте кто-то накручивал поинты голосованием, как сегодня в логах 225 попыток ломануть скрипт голосования за ночь (в России был день). Единственное что добились - кучи ошибок в логах (кстати скрипт написан не мной, а за долго до меня). Блин, надо делать так, чтобы ошибка не выскакивала и не засерала лог. Вот блин русские хакеры. А ведь не так много народу знает, где я работаю. Да неее, я думаю, что совпадение.

P.S. На продажу выставлено куча аккаунтов с Facebook. Эксперты подозревают, что оставивший сообщение о продаже хакер живет в одной из стран СНГ, так как объявление написано на русском языке. Блин, откуда у них такая опупенная логика? :) Это же сколько усилий нужно было, чтобы догадаться, что парень с восточной Европы, потому что сообщение написано по русски...

Хакер по кличке/имени Gupta

Какой-то знаменитый хакер по имени Gupta смог накрутить немного денег на сайте, который я сейчас сопровождаю и купить себе немного карточек памяти. Нафига они ему нужны, я не понял, но он их набрал аж на $600. Может кто слышал о таком? Я погуглил и нашел кучу разных людей под этим именем или ником, но фиг его знает, кто это. По крайней мере у нас на работе о нем слышали.

Глюк был банален - DoubleClick. За счет двойного клика он накручивал деньги на одной из игр, за которые начисляются баллы, а потом эти баллы использовал для покупки. Чтобы народ особо не расслаблялся, баллы не позволяют полностью оплатить товар, они только дают скидку, поэтому хакеру при покупке памяти пришлось указывать кредитную карту.

Самый популярный случайный пароль

Очень часто, когда мы заходим на какие-то форумы или сайты и нужно создать учетную запись, и при этом мы не собираемся пользоваться этой записью в будущем, мы создаем мусорные аккаунты. Этим аккаунтам часто присваиваются мусорные имена, которые первыми попадают в голову и асболютно "случайный" пароль, который "случайным" образом набивается на клавиатуре. Почему я в предыдущем предложении слово случайно поставил в кавычки? да потому что случайность в этом минимальна.

Самый популярный случайный пароль - sdfsdf. Попробуй запустить поиск в гугле по sdfsdf и ты увидишь сотни тысяч сайтов, на которых были созданный аккаунты с этим "случайным" именем. Я вот посмотрел на пароли, которые я случайно сгенерил когда-либо и сохранил в свой файл мусорных паролей. Большинство из них содержит последовательность sdf. Ни одного чистого sdf, все с примесью другого фуфла и цифр, потому что я при набирании случайных паролей обязательно бъю и по цифровым клавишам, но это я. А если верить поисковику, то дофига народу этого не делает.

Клавиши sdf на столько удобно располагаются под рукой, что просто подсознательно мы попадаем по ним. Я обратил на это внимание, когда вместе с тестером на работе мы проверяли работу одной из форм на сайте. И он заполнил ее сплошными sdf.

Уничтожение компьютера за нелегал

В Липецке произошло показательное уничтожение компьютеров за то, что на их винтах нашли нелегальные программы. Нехило наказали. Это получается, что если у кого-то дома найдут диск с нелегальной программой или фильмом, то эти же власти взорвут такой дом? Афигеть!!! Срочно выбрасываем из квартиры все нелегальное, а то останемся на улице :). Особенно это касается жителей Липецкой области, потому что там управление К не умеет чистить компьютеры от нелегала нормальными способами, они уничтожают компьютеры.

Вообще в нашей стране привычка все пускать под трактор только из-за того, что есть нарушение закона – мягко говоря глупо. Зачем уничтожать то, что может принести еще пользу. Не лучше ли было отдать эти компьютеры детям в школы? Ну очистите компьютеры от нелегала, поставьте какую-нибудь ОС (можно даже халявную, мне пофиг) и отдайте компьютеры в школы. Ну нафига устраивать показуху с уничтожением и тракторами? Кому-то от этой показухи стало легче?

Российских хакеров обвинили во взломе Citigroup

Российских хакеров решили обвинить во взломе Citigroup и воровстве десятков миллионов долларов. Ну ладно лет 10 назад, интернет и сети строили наивные люди, которые верили в счастливое будущее. Они не заботились о безопасности, а просто придумывали протоколы обмена инфомацией и просто делали информацию доступной. Когда люди не думают о безопасности, то информация не может быть защищенной, поэтому были эпидемии вирусов и взломов.

В наше время все уже поняли, что интернет далеко не такой уж и безобидный и является отражением нашего реального общества. Реальное общество не такое уж белое и пушистое и в нем существуют уроды. Точно так же и в интернете - полно людей, которые хотят воспользоваться информацией.

Неужели Citi Group до сих пор живут в 90-х годах? Они не позаботились о том, чтобы данные не появлялись на счете без причин? Они не позаботились о том, чтобы даныне не перемещались без причин?

Пароль от Mail.ru агента

Моя жена постоянно теряет пароли от всего подряд. У меня иногда складывается ощущение, что она вообще не пытается их запоминать. А зачем, ведь есть муж. Несколько дней назад она мне сообщила, что она в очередной раз забыла пароль от Mail.ru агента. Современные программы стали хорошо относиться к безопасности и прошли те времена, когда пароли так легко находились в реестре в открытом виде или шифровались простейшими XOR с чем-то простым. Ничего не пообещав жене, я все же принялся за поиски проблем.

Первое, что я стал просматривать – реестр. Современные правила построения программ требуют сохранения конфигурационной информации в реестре и это первое место, где следует искать что-то подобное. Конфигурация учетных записей действительно была в реестре, но только пароли (если я правильно определил их местоположения) были зашифрованы. Чем? Да фиг его знает.

Не надеясь ни на что хорошее, я решился проверить окно ввода пароля в самой программе. Запустил агента и вошел в окно конфигурации. Нашел поле для ввода пароля и натравил на него мою программку, которую я описывал в книгах:

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне