Блог

На одном из блогов появилась информация о том, что было взломано громадное количество сайтов, в том числе yandex, rbc и другие крупные проекты. Секрет заключался в том, что крупные проекты используют svn для управления кодом в команде. Но svn создает в директории с исходниками скрытую папку .svn в которую помещается много полезной для хакера и важной для разработчика информации. Такое сообщение не могло не вызвать общения и комментаторов.

И вот тут возникает вопрос – правда или нет? Ведь если это правда, то хакеры действительно взломали важные сайты и теперь обладают исходниками крупных проектов. Мое мнение простое – скорей всего это пиар чистой воды.

Смысл атаки прост - все, кто используют в своей работе SVN для управления кодом подвержены ошибке. Дело в том, что эта система создает в каждой папке директорию .svn в которой много полезного, вплоть до копий исходных файлов. Пошел слух на каком-то блоге (ссылку давать не будут, чтобы не делать им рекламу, потому что пока что это выглядит только как способ пропиарится), что двух хакерам удалось утянуть исходники из базы .svn таких крупных сайтов как yandex, rbc и даже крупных зарубежных сайтов. Интересно, а исходники Google утянули? ведь там используют svn.

Не прошло и месяца, с момента как я объявил о появлении Network Utilities Сеть и безопасность 2010, а вчера я уже закачал обновление, которое обозвал SP1. На этот раз архетиктурных изменений нет, зато есть много изменений, направленных на улучшение внешнего вида.

Половина модулей для отображения результата работы использует компонент Small Report Renderer Control, что делает отчеты более наглядными и удобными. Главный модуль - дизайнер сети теперь не создается при старте. Вы можете создать модуль в любое время и причем не один модуль, а множество. На одной закладке вы можете нарисовать сеть одного этажа, а на другой закладке можно отобразить сеть второго этажа здания и контролирвоать все это одновременно в одной версии программы.

Меню File теперь изменяемо. Раньше оно выглядело жестко и содержало только команды дизайнера, теперь в этом меню появляются команды, в зависимости от выбранного модуля. В дизайнере так же появились новые устройства сети: WiFi, Switch и что-то еще :), уже забыл, что я добавил. Протестить перез загрузкой времени не было, полноценный тест буду устраивать сегодня, поэтому сильно не пинать, если будут косяки (надеюсь, что нет). Просто уж сильно хотелось загрузить новую версию, потому что она реально удобнее.

Моя жена постоянно теряет пароли от всего подряд. У меня иногда складывается ощущение, что она вообще не пытается их запоминать. А зачем, ведь есть муж. Несколько дней назад она мне сообщила, что она в очередной раз забыла пароль от Mail.ru агента. Современные программы стали хорошо относиться к безопасности и прошли те времена, когда пароли так легко находились в реестре в открытом виде или шифровались простейшими XOR с чем-то простым. Ничего не пообещав жене, я все же принялся за поиски проблем.

Первое, что я стал просматривать – реестр. Современные правила построения программ требуют сохранения конфигурационной информации в реестре и это первое место, где следует искать что-то подобное. Конфигурация учетных записей действительно была в реестре, но только пароли (если я правильно определил их местоположения) были зашифрованы. Чем? Да фиг его знает.

Не надеясь ни на что хорошее, я решился проверить окно ввода пароля в самой программе. Запустил агента и вошел в окно конфигурации. Нашел поле для ввода пароля и натравил на него мою программку, которую я описывал в книгах:

Российских хакеров решили обвинить во взломе Citigroup и воровстве десятков миллионов долларов. Ну ладно лет 10 назад, интернет и сети строили наивные люди, которые верили в счастливое будущее. Они не заботились о безопасности, а просто придумывали протоколы обмена инфомацией и просто делали информацию доступной. Когда люди не думают о безопасности, то информация не может быть защищенной, поэтому были эпидемии вирусов и взломов.

В наше время все уже поняли, что интернет далеко не такой уж и безобидный и является отражением нашего реального общества. Реальное общество не такое уж белое и пушистое и в нем существуют уроды. Точно так же и в интернете - полно людей, которые хотят воспользоваться информацией.

Неужели Citi Group до сих пор живут в 90-х годах? Они не позаботились о том, чтобы данные не появлялись на счете без причин? Они не позаботились о том, чтобы даныне не перемещались без причин?

В Липецке произошло показательное уничтожение компьютеров за то, что на их винтах нашли нелегальные программы. Нехило наказали. Это получается, что если у кого-то дома найдут диск с нелегальной программой или фильмом, то эти же власти взорвут такой дом? Афигеть!!! Срочно выбрасываем из квартиры все нелегальное, а то останемся на улице :). Особенно это касается жителей Липецкой области, потому что там управление К не умеет чистить компьютеры от нелегала нормальными способами, они уничтожают компьютеры.

Вообще в нашей стране привычка все пускать под трактор только из-за того, что есть нарушение закона – мягко говоря глупо. Зачем уничтожать то, что может принести еще пользу. Не лучше ли было отдать эти компьютеры детям в школы? Ну очистите компьютеры от нелегала, поставьте какую-нибудь ОС (можно даже халявную, мне пофиг) и отдайте компьютеры в школы. Ну нафига устраивать показуху с уничтожением и тракторами? Кому-то от этой показухи стало легче?

Очень часто, когда мы заходим на какие-то форумы или сайты и нужно создать учетную запись, и при этом мы не собираемся пользоваться этой записью в будущем, мы создаем мусорные аккаунты. Этим аккаунтам часто присваиваются мусорные имена, которые первыми попадают в голову и асболютно "случайный" пароль, который "случайным" образом набивается на клавиатуре. Почему я в предыдущем предложении слово случайно поставил в кавычки? да потому что случайность в этом минимальна.

Самый популярный случайный пароль - sdfsdf. Попробуй запустить поиск в гугле по sdfsdf и ты увидишь сотни тысяч сайтов, на которых были созданный аккаунты с этим "случайным" именем. Я вот посмотрел на пароли, которые я случайно сгенерил когда-либо и сохранил в свой файл мусорных паролей. Большинство из них содержит последовательность sdf. Ни одного чистого sdf, все с примесью другого фуфла и цифр, потому что я при набирании случайных паролей обязательно бъю и по цифровым клавишам, но это я. А если верить поисковику, то дофига народу этого не делает.

Клавиши sdf на столько удобно располагаются под рукой, что просто подсознательно мы попадаем по ним. Я обратил на это внимание, когда вместе с тестером на работе мы проверяли работу одной из форм на сайте. И он заполнил ее сплошными sdf.

Какой-то знаменитый хакер по имени Gupta смог накрутить немного денег на сайте, который я сейчас сопровождаю и купить себе немного карточек памяти. Нафига они ему нужны, я не понял, но он их набрал аж на $600. Может кто слышал о таком? Я погуглил и нашел кучу разных людей под этим именем или ником, но фиг его знает, кто это. По крайней мере у нас на работе о нем слышали.

Глюк был банален - DoubleClick. За счет двойного клика он накручивал деньги на одной из игр, за которые начисляются баллы, а потом эти баллы использовал для покупки. Чтобы народ особо не расслаблялся, баллы не позволяют полностью оплатить товар, они только дают скидку, поэтому хакеру при покупке памяти пришлось указывать кредитную карту.

Только вчера написал о том, что у нас на сейте кто-то накручивал поинты голосованием, как сегодня в логах 225 попыток ломануть скрипт голосования за ночь (в России был день). Единственное что добились - кучи ошибок в логах (кстати скрипт написан не мной, а за долго до меня). Блин, надо делать так, чтобы ошибка не выскакивала и не засерала лог. Вот блин русские хакеры. А ведь не так много народу знает, где я работаю. Да неее, я думаю, что совпадение.

P.S. На продажу выставлено куча аккаунтов с Facebook. Эксперты подозревают, что оставивший сообщение о продаже хакер живет в одной из стран СНГ, так как объявление написано на русском языке. Блин, откуда у них такая опупенная логика? :) Это же сколько усилий нужно было, чтобы догадаться, что парень с восточной Европы, потому что сообщение написано по русски...

В нашей компании безопасность данных наших клиентов является одним из приоритетов, и вот это меня натолкнуло на мысль, о которой хотел бы сегодня поговорить. Однажды на работе занялись чисткой персональных данных пользователей сайтов наших клиентов. Пока вроде бы проблем с безопасностью нет, но на всякий случай было принято решение удалить все персональные данные. Я чистил базы данных своего клиента и сайты клиентов команды, в которой я работаю. Когда чистишь информацию об адресах, мыльниках и т.д., то это еще не так страшно, и даже скучно. Но вот когда дело дошло до кредитных карт...

Сердце кровью обливалось, затирать такую ценность. Сами номера кредитных карт хоть и зашифрованы и не хватает кода верификации (по закону мы не имеем право его хранить, но очень много мест, где принимают кредитные карты без кода верификации), но все равно, когда в твоих руках несколько миллионов валидных номеров американцев, это счастье.

Сегодня опять поговорим про безопасность. Как-то волны меняются и с частого обсуждения SQL мы переходим на частое обсуждение безопасности. Ну что поделаешь, жизнь изменчива. Лично я стараюсь писать на блоге как можно меньше информации о своей работе, и чтобы было еще меньше проблем, даже никогда не говорю, где я работаю. Это не потому, что хочется скрыть, это безопасность и конфиденциальность. Мой клиент, на которого я работаю очень серьезен, и в таких ситуациях любая излишняя информация может быть губительна.

На этой неделе читал в одной из газет, что какие-то аналитики из какой-то секурити компании пришли к выводу, что блоги и тем более twitter губительны и опасны. Очень часто люди раскрывают на них очень важные данные, которые могут стоить компаниям миллиарды. Например, если менеджер по продажам компании Apple напишет на своем твитере, что он сегодня собирается пообедать/уже обедает/или пообедал с менеджерами Vergin Mobile, то этот безобидный твит может превратится громадными убытками.