Блог

На работе у админов на стене весит вот такой большой телевизор, на который транслируется активность хакерв с указанием IP адреса хакера и страны. Все это транслируется в виде таблички внизу в середине, в котором с завидной популярностью появляется Russia и особенно Moscow. 

Есть такая очень крупная компания из индии TCS, которая занимается IT, в том числе хостят сайты. У нас сразу два крупных клиента хостят сайты у этой компании. Наши админы занимаются мониторингом и должны реагировать первыми на любые ошибки, чтобы убедиться, что ошибка не уровня приложения и в бой должны вступить мега мозги из Индии, чтобы устронить свой косяк.

Сегодня общался с админом и он сказал, что TCS выдали ему два аккаунта для двух клиентов и два пароля. Хотя нет, пароль был один для обоих аккаунтов - welcome1. Не надо объяснять, что этот пароль в списке самых дебильных по любым анализам. 

Из правил доступа к VPN: 

- нельзя использовать для несанкционированного доступа к сетям

- нельзя использовать с целью нарушения авторских прав

- нельзя использовать для рассылки спама

и далее в таком же духе. В общем, запрещено все, что нелегально. А если использовать VPN для легального серфинга и не нарушать закон, то нафиг он нужен с IP адресом в Швеции, Голландии и других европейских странах. Я понимаю, зачем он нужен с адресом США. Просто контент некоторых сайтов ограничен только для жителей этой страны. Самый простой, но не самый дешевый способ сделать вид, что ты америкос – это как раз VPN. 

Наталья Касперская уверена, что смартфоны и планшеты Apple - iPhone и iPad ведут скрытую фото и видеосъемку и отправляют данные в Apple. 

Все, я не знаю, что тут добавить. Сначала хотел добавить, но потом понял, что это самодостаточное мнение. Интересно, как она смогла найти это. Потом она говорит:

Хочу обратить внимание на следующее обстоятельство: против Apple было подано около 20-ти судебных исков от жителей США и коллективный иск от 27000 южнокорейцев по обвинению в слежении за пользователями

Сегодня на РБК интересная новость - видео по ДТП с участием игумена Тимофея стер вирус. Цитата из новости: 

Данные на карте памяти регистратора из полицейской машины, куда был посажен Алексей Подобедов, стерлись в результате вирусной атаки. Вся информация уничтожена, говорится в предоставленной справке ведомства.

Я с вирусами давно уже не встречался, но когда встречался по работе, то они все данные не уничтожали. Хотя был один вирус, который именно портил информацию еще в 95-м году, уже и не помню, как его звали. 

Кручу дырочку в одном крупном интернет магазине. Причем мне дали официальное добро найти дыру и рассказать о ней. Давно я не искал ошибок на чужих сайтах и прямо как-то подстегнуло найти что-то. За час пока нашел один небольшой косяк, но вроде бы как известно, что есть еще один, более серьезный. Нужно выяснить, как пользователь смог обойти систему. 

Странно то, что пользователи покупали товар с обманом всего до $25. По крайней мере именно это я увидел в ордерах, которые мне дал клиент. В основном же полный ордер был в среднем на $300, а обман составлял всего лишь $10. В одном случае пользователь купил на $250, а обман был менее доллара. Такие мелкие цифры меня натолкнули на мысль, что пользователи, которые получили обманным путем скидку в $1 доллар и чуть более, могли даже не подозревать, что они имеют систему. Просто сумма слишком смешная, а платили реальными кредитными картами. Хотя на счет реальности я не знаю, это мне не сообщили, но все равно.

Допустим, ты знаешь, что в интернет магазине можно получить скидку от $1 до $10 долларов мошенническим путем. Будешь ли ты рисковать? Обязательное условие - получение товара, потому что этот интернет магазин торгует реальными товарами, типа электронники, DVD и т.д. Если отсылать себе домой телевизор, то придется выдать свой адрес, а отсылать на посредника, ему придется платить процент. Стоит ли это $10?

Apple стал домогаться с просьбой установить в своем профиле ответы на вопросы безопасностии и второй email. Лично меня бесят обе эти фигни и я считаю, что это только мешает. К тому же, предустановленные вопросы на столько простые и банальные. Я вечно выбираю практически на угад и постоянно забываю, потому что дебильные правила для вопросов обязательно содержат какую-то фигню. 

Надобность второго почтового ящика так же вызывает серьезные вопросы. Ну у меня ящиков дофига и они мне нужны разными. А вот у жены, например, только один ящик. Идти заводить еще один на бесплатном сервисе? Это небезопасно, потому что она не будет пользоваться этим ящиком и если кто-то уведет его или он просто закроется по старости и откроется кем-то другим, то это откроет только лишнюю дыру в ее аккаунте. 

Я не знаю, чем руководствовались специалисты по безопасности, которые выдумали правило в заведении второго почтового ящика к аккаунтам, но это самая глупая идея и только открывает потенциальную брешь. Особенно назойливое и практически насильственное требование Apple задать этот дебильный второй ящик. 

Сегодня прочитал в журнале Хакер в типсах следующий вариант атаки:

1. Злой дядька входит на атакуемый сайт и авторизуется на нем. Запоминаем свой SessionID

2. 3лоумышленник подкидывает неавторизованному на сервере пользователю ссылку на скрипт с сервера, который устанавливает куки с идентификатором злоумышленника.

Это реально возможно? Неужели где-то возможен вариант на сайте, где имя Cookie переменной или ID сессии может задать пользователь сайта? Да за такие вещи нужно расстреливать. Сталина на них нет. 

Блин, недавно читал про баг в Android и меня убило умозаключение автора – оказывается Linux не безопасен и в нем тоже есть дыры. Главное так написал, что это явно для него было открытием. Ну просто классное заключение. Наверно автор начитался других авторов журналов. 

Могу сказать, что нужно очень сильно фильтровать то, что пишут в журналах. Писать уникальный материал не так уж и просто, а писать о чем-то плохо вообще на фиг никому не нужно. Так что чтобы не описывать в очередной раз Windows, авторы явно пытаются искать какие-то утилиты и альтернативу. 

Допустим, что я нашел альтернативу и предложил редактору описать ее. Беру описываю и пишу чистую правду и говорю, что альтернатива хорошая, но косяки возможны. А редактор спросит, а нафига ты тогда эту альтернативу описываешь? Нафига писать про фигню, которая нафиг никому не нужна и в ней возможна фигня? А я тут начинаю оправдываться и говорю, что это всего лишь небольшой косяк, или даже не косяк, а просто возможность косяка, потому что программисты иногда бухают и я вот такой честный и не могу сказать правду про то, что могут быть дыры. Такую статью просто не пропустят. 

И все же взлом linkedin подтвердили. Ну ладно, с кем не бывает. Народ уже начал привыкать к тому, что даже крупные сайты иногда теряют кошельки. Что порадовало лично меня, я этим сервисом не пользуюсь особо и мне он паралеллен, поэтому там стоял мусорный пароль, который я ставлю на все мусорные сервисы, которые мне на фиг не нужны. Вчера поменял этот пароль на другой мусорный пароль, у меня их целых три. Такой же пароль стоял и на фейсбуке. Правда фейсомоббук я начал пользоваться, поэтому пришлось сегодня поменять и на нем пароль, просто на всякий случай.

Еще, что хорошего я для себя отметил, так это что linkedin хранят пароли в зашифрованном виде. Молодцы, спасибо за это. Плохо то, что их можно дешифровать. Хотя какая разница, даже если было бы нельзя и если бы хранился Hash, хакеры смогли бы подобрать пароли без проблем. Имея 6.5 миллионов хешей, достаточно запустить брут и на каждом шаге проверять, есть ли совпадение хотя бы с одним из 6.5 миллионов паролей. За день можно подобрать тонну паролей. Так что это то же не проблема. Просто шифрация дала нам пользователям время на то, чтобы мы смогли поменять пароли, пока их дешефруют/подбирают.