Идея этой заметки родилась благодаря конференции Cyber Conference, где пытались дать определение безопасному софту. И в какой-то момент дошло до того, что определение гласило, что софт изначально должен работать без ошибок и его не должны латать.
Я сидел тихонько на связи и даже если бы я заорал, меня никто бы не услышал, но так хотелось крикнуть - судя по вашим пиджакам вы зарабатываете достаточно и у каждого из вас есть машина. Какая машина самая надежная и безопасная - Toyota или Lada? Правильный ответ - та, которая стоит или та, которая обслуживается. Даже Lada может быть надежной и безопасной, если ее обслуживать регулярно и латать. И даже Toyota требует обслуживание и замены частей. Просто Toyota требует замены немного реже.
Меня пригласили на конференцию в Москве, которую проводили cnews, я должен был участвовать в дискуссии по видео связи. Тесты прошли успешно, но когда во время самой конференции связь постоянно рвалась и когда меня подключили как назло все зависло. Жаль, интересная была дискуссия и мне было что сказать, зато теперь будет, что написать.
В дискуссии участвовали разные люди с разных компаний и на мой взгляд, каждый говорил правильные вещи, хотя очень часто эти вещи были разные и даже конфликтовали. Просто каждый из них говорил о своей сфере. И тут очень важно было понимать, откуда были эти специалисты и какую информацию они представляют, когда говорят о безопасности.
Меня тут пригласили на C^2: CYBER CONFERENCE (http://c2.cnews.ru/conf) и я должен был участвовать через интернет как "зарубежный" хакер. Хотя хакером я себя так и не считаю, у меня все же есть опыт защиты, поэтому я согласился. Очень интересной оказалась конференция, но к сожалению что-то связь подвела и сразу же после подключения связь прервалась. Жаль, было интересно.
Вот сижу жду возможности сказать пару слов:
Расскаязываю как я это делал в течении трех дней. Хотя я боролся три дня, но в конце концов пошел напролом и этот проломный метод занял пару часов.
При авторизации facebook показывает три картинки и предлагает назвать людей на них. Смысл в том, что я должен знать своих друзей. Так вот, в англоязчном аккаунте мне предлагали выбор из пяти вариантов фамилий. В руфейсбуке почему-то этого не сделали. Есть только поле ввода, где можно напечатать имя друга, которого я вижу на фото. Единственная помощь - есть автокомплитер.
У меня есть еще один англоязычный аккаунт, который связан с русскоязычным дружескими нежными отношениями. Я брал, набирал первую букву алфавита в поле для ввода имени друга и Facebook показывал мне всех друзей на эту букву. Потом я шел в англоязычный аккаунт и искал каждого друга там. За счет дружеских отношений, друзья русскоязычного аккаунта были наверху и оставалось только просмотреть фотографии друга.
Сегодня мне пришло несколько сообщений от Facebook, что они заблокировали кучу аккаунтов. Все мои аккаунты заблокированы.
Пошел разьблокировать аккаунт, где у меня друзья рускоязычные и где я писал на русском. Поменял пароль и мне тут говорят, что только реальные пользователи могут пользоваться их говносетью, поэтому в доказательство я должен распознать пятерых своих друзей. Гандоны, и это я еще мягко написал то, что я о них рально думаю. У меня в друзьях огромное количество читателей моего блога, которых я конечно же в глаза не видел и распознать их не могу. Пропустить можно только двоих.
Блин, как же мне надоело удалять письма с просьбами: помогите взломать одноклассники. Раньше, когда мне писали больше писем, то и подобных писем было больше. Сейчас поток почты меньше, но такое ощущение, что подобных вопросов наоборот больше, или меня они начали раздражать еще сильнее.
Я даже не знаю, что отвечать таким людям. Пытаться объяснить что-то? Это наверно будет плохо, потому что я буду выступать разрушителем мечты. Такие просьбы могут появится у тех, кто насмотрелся кино, где взломы происходят не дольше 1 минуты. Научить взламывать зло программами?
Сегодня встретил заметку специалиста по безопасности, назовем его Вася, в которой он указывает на то, что у крупных компаний в последнее время нашли много серьезных уязвимостей, а руководству плевать на ИТ безопасность и они не нанимают хороших специалистов. Вот тут хочется спросить: "Уважаемый Вася, а хороший специалист по безопасности - это случайно не вы?".
У всех крупных компаний обязательно в штате есть целые отделы отличных специалистов. А то, что вас не нанимают, так это только говорит, что вы далеко не хороший и наверно не специалист. Возможно вы хороший хакер, возможно вы умеете что-то даже ломать, но это не то, что нужно компаниям.
Сколько бы компании не вкладывали в безопасность, они всегда могут проиграть войну, потому что ИТ отделы и безопасники должны закрыть тысячи потенциальных дверей и уязвимостей, а хакеру достаточно найти только одну лазейку. Поэтому защита всегда находится в более уязвимом положении.
Лень теперь восстанавливать
Сегодня прочитал одну заметку, в которой утверждают, что эти вопросы о любимом животном совершенно не добавляют безопасности и они не должны использоваться в нормальных сайтах. Доводы против использования - вопросы создают мнимое ощущение безопасности, ведь большинство сайтов используют предопределенные вопросы, такие как:
- девичья фамилия матери
- имя лучшего друга
- первый автомобиль
- когда окончили школу
- название первой работы
Вводя свои финансовые санкции, США боится мести российских хакеров. Ну да, их боятся надо. Особенно безработных хакеров. Если из-за санкций США в России программисты начнут терять работу, то им нужно будет где-то приложить свои знания и уверен, что они пойдут не с добрыми мыслями о Бараке Обаме.
Так что Обаме действительно есть чего бояться.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
