Не прошло и месяца, с момента как я объявил о появлении Network Utilities Сеть и безопасность 2010, а вчера я уже закачал обновление, которое обозвал SP1. На этот раз архетиктурных изменений нет, зато есть много изменений, направленных на улучшение внешнего вида.
Половина модулей для отображения результата работы использует компонент Small Report Renderer Control, что делает отчеты более наглядными и удобными. Главный модуль - дизайнер сети теперь не создается при старте. Вы можете создать модуль в любое время и причем не один модуль, а множество. На одной закладке вы можете нарисовать сеть одного этажа, а на другой закладке можно отобразить сеть второго этажа здания и контролирвоать все это одновременно в одной версии программы.
Меню File теперь изменяемо. Раньше оно выглядело жестко и содержало только команды дизайнера, теперь в этом меню появляются команды, в зависимости от выбранного модуля. В дизайнере так же появились новые устройства сети: WiFi, Switch и что-то еще :), уже забыл, что я добавил. Протестить перез загрузкой времени не было, полноценный тест буду устраивать сегодня, поэтому сильно не пинать, если будут косяки (надеюсь, что нет). Просто уж сильно хотелось загрузить новую версию, потому что она реально удобнее.
На одном из блогов появилась информация о том, что было взломано громадное количество сайтов, в том числе yandex, rbc и другие крупные проекты. Секрет заключался в том, что крупные проекты используют svn для управления кодом в команде. Но svn создает в директории с исходниками скрытую папку .svn в которую помещается много полезной для хакера и важной для разработчика информации. Такое сообщение не могло не вызвать общения и комментаторов.
И вот тут возникает вопрос – правда или нет? Ведь если это правда, то хакеры действительно взломали важные сайты и теперь обладают исходниками крупных проектов. Мое мнение простое – скорей всего это пиар чистой воды.
Смысл атаки прост - все, кто используют в своей работе SVN для управления кодом подвержены ошибке. Дело в том, что эта система создает в каждой папке директорию .svn в которой много полезного, вплоть до копий исходных файлов. Пошел слух на каком-то блоге (ссылку давать не будут, чтобы не делать им рекламу, потому что пока что это выглядит только как способ пропиарится), что двух хакерам удалось утянуть исходники из базы .svn таких крупных сайтов как yandex, rbc и даже крупных зарубежных сайтов. Интересно, а исходники Google утянули? ведь там используют svn.
Я обожаю компании, которые пытаются зарабатывать на безопасности, предлагая завышенные цены на свои услуги. Вот, например, IBM. Компания купила несколько фирм, предоставляющих услуги или программы в сфере безопасности и теперь сама предоставляет эти услуги. Причем их цена в большинстве случаев очень и очень высокая. А дают ли они гарантию того, что построенные или проверенные системы действительно безопасны? Я думаю, что нет и не могут дать такой гарантии. Хотя нет, могут, но тогда цена их решений будет еще выше.
Посмотрим на другой товар - машины. Производители автомобилей дают гарантию того, что их продукт (автомобиль) будет работать должным образом и не сломается. Если происходят какие-то проблемы, то потребитель может расчитывать на бесплатный ремонт. Примерно то же самое, происходит и в софте. Если Windows глючит, то мы можем расчитывать на бесплатные обновления и патчи. А на что может рассчитывать потребитель средств безопасности? Ведь основной продукт тут именно безопасность и именно за сохранность данных и информации платит потребитель. Банальное обновление программы тестирования защиты или обновления защиты тут не прокатит. Если данные уже украдены, то получается, что пользователь заплатил ни за что и его просто кинули.
Как уже сложилось в последнее время, сначала я выпускаю новую версию CyD Careful Observer - монитор сети а потом уже обновляю сетевые утилиты. Так получилось и в этот раз. Сегодня я закачал свежую версию CyD Network Utilities - Security Tools (в русской редакции Network Utilities Сеть и безопасность).
В отличии от монитора сети, в данном случае я поменял версию на 2010 Beta, потому что это еще не окончательный вариант. Что изменилось в текущей версии? На данный момент произошло несколько косметических изменений и улучшений, а так же появились все возможности, которые появились в мониторе сети 2010. О них я писал в заметке Монитор ресурсов CyD Careful Observer 2010.
Приставка Beta появилась потому, что я планирую не ограничиваться этими изменениями и в окончательную версию 2010 должны будут войти новые функции тестирования безопасности и новые функции работы с сетью. Окончательную версию я планирую выпустить в течении пары месяцев. Как всегда, те, кто купил программу менее 2-х лет назад, получат новую версию абсолютно бесплатно, потому что абсолютно любые обновления в течении двух лет бесплатны.
Сегодня я получил через контакт следующее сообщние:
Ну нифига себе, тебя явно кто-то не любит ! на ресурсе фриков контакта на тебя такой фейк забабахали, пипец просто! http://freak-vkontakte.com/id7696879076
Не смотря на то, что ссылка сразу кричит - ПОДСТАВА, я решил заглянуть на сайт и посмотреть, что он из себя предстваляет. Все ссылки на сайте и дизайн ведут на корректную версию контакта, а вот вход на сайт происходит через фриковый сайт. Все хорошее - хорошо забытое старое. Давно я не встречался с такими подставами.
Если бы я помнил пароль от контакта, то, возможно, я бы его ввел. Но проблема в том, что я его не помню. Я даже не помню, на какое мыло я регистрировался. Давным давно я зарегестрировался, сохранил пароль в браузере и если я переустановлю Windows, но восстановить пароль не смогу :). Да и фиг с ним, я на этом сайте почти не бываю.
Я поиграл с сайтом freak-vkontakte.com, навводил им паролей, покликал по ссылкам, пусть едят пищу для размышления. Тому, кто получил эти пароли сообщаю - там даже мыло не существующее я указывал :). Вот думаю, может поменять пароль, или хотя бы мыло в админке своего аккаунта. А то вдруг придется все же окна переустанавливать...
В Excel есть возможность установить пароль, который запретит редактирование документа. Очень хорошая возможность, но абсолютно бесполезная, особенно, если пользователю разрешено удалять файл. Просто копируем содержимое документа в новый файл, удаляем защищенный паролем документ, и на это место сохраняем копию, которая никак не защищена. Теперь можно редактировать документ, изменять и делать с ним все, что угодно.
Защита документов, которая встроена в Excel проста. Если нужно запретить редактирование файла, то намного эффективнее будет запретить изменение файла с помощью прав доступа к файловой системе. Да, встроенная система защиты позволяет вам защитить от изменения часть документа, но она не имеет смысла, если вы не защитите файл от удаления.
Сегодня я увидел в своем ящике интересное сообщение от неизвестного, причем не указавшего даже своего e-mail адреса. Как отвечать такому человеку? А ответить хочется, потому что человек в опасности:
Я на своём сайте 'поигрался'(те проверил на инъекции) чуть с параметрами голосования и загрузилась пустая страница, высветила мне следующее:
ivalid query: select count(id) from votes where vote_name_id=999999999abc9999999999 and variant_id=60
Это значит мой сайт уязвим на инъекции?
Судя по сообщению об ошибке автор письма в серьезной опасности и SQL Injection вполне возможна, если передаваемый в голосование параметр никак не проверяется на символы типа одинарной кавычки. Судя по запросу, вы не обрамляете параметры кавычками, поэтому проблема серьезная. Во-первых, по хорошему ошибка должна выглядеть так:
И снова о SQL инъекции. Сегодня получил по почте очередной вопрос по SQL Injection и PHP. Автор письма интересовался, базовыми вопросами этой темы, о чем уже много раз писалось. Например, на своем англоязычном блоге я описывал эту тему в заметке SQL Injection and PHP, которую написал уже давным давно.
В принципе, инъекция ведь не принадлежит языку программироваиня сценариев, это больше проблема SQL языка. Код, который пишет программист, в данном случае на PHP, только определяет какие-то механизмы защиты от инъекции злобного кода. И это тоже было описано в вышеобозначенной статье. Если нет проблем с английским и кто-то забыл эту тему, то следует обязательно прочитать. Пусть там в основном общие слова, но это необходимые основы безопасности.
Кстати, там же на блоге я описывал и реальный пример ошибки в заметке про SQL Injection на сайте newspaperads.com
Сегодня нашел интересное высказывание на форуме сикула.ру:
Знаю лично одного хакера Михаил Фленов ( бывал на его на конференциях когда он в Москву приезжал презентовать свои книги, ну молодой ешо, а знает до хера, все распространеные хакинг атаки). в общем как я понял , надо быть больным на голову шоб посвятить всю жизнь только ОБУЧЕНИЮ ХАКИНГУ.
Я в Москву никогда не приезжал презентовать свои книги, интересно, кто это сделал за меня? :) Надеюсь, что презентация прошла удачно. Единственная презентация была в Питере почти три года назад и после этого ни разу нигде я не появлялся для продвижения книг. Интересно узнать, действительно ли были такие конференции в Москве или других городах, где лично был Фленов Михаил? Может у кого фотки сохранились?
Где-то месяц назад мой хостинг взломали и настроили перенаправление на явно вредоностное ПО под меткой антивируса. Оказывается, что не я один был таким и взломов было множество, даже на Microsoft.com. Вот отрывок новости с секлаба за сегодна:
Например, по запросу «Microsoft Office 2002 download» поисковик Google разместил на первое место ссылку на механизм перенаправления на сайте Microsoft. Пользователи, которые выбрали первую ссылку из результатов поиска, были перенаправлены на злонамеренный сайт, где злоумышленники пытались заставить пользователей скачать и установить поддельный антивирус.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
