Блог

Оказывается Linux не безопасен

Блин, недавно читал про баг в Android и меня убило умозаключение автора – оказывается Linux не безопасен и в нем тоже есть дыры. Главное так написал, что это явно для него было открытием. Ну просто классное заключение. Наверно автор начитался других авторов журналов. 

Могу сказать, что нужно очень сильно фильтровать то, что пишут в журналах. Писать уникальный материал не так уж и просто, а писать о чем-то плохо вообще на фиг никому не нужно. Так что чтобы не описывать в очередной раз Windows, авторы явно пытаются искать какие-то утилиты и альтернативу. 

Допустим, что я нашел альтернативу и предложил редактору описать ее. Беру описываю и пишу чистую правду и говорю, что альтернатива хорошая, но косяки возможны. А редактор спросит, а нафига ты тогда эту альтернативу описываешь? Нафига писать про фигню, которая нафиг никому не нужна и в ней возможна фигня? А я тут начинаю оправдываться и говорю, что это всего лишь небольшой косяк, или даже не косяк, а просто возможность косяка, потому что программисты иногда бухают и я вот такой честный и не могу сказать правду про то, что могут быть дыры. Такую статью просто не пропустят. 

Linkedin взломали и утащили все пароли

И все же взлом linkedin подтвердили. Ну ладно, с кем не бывает. Народ уже начал привыкать к тому, что даже крупные сайты иногда теряют кошельки. Что порадовало лично меня, я этим сервисом не пользуюсь особо и мне он паралеллен, поэтому там стоял мусорный пароль, который я ставлю на все мусорные сервисы, которые мне на фиг не нужны. Вчера поменял этот пароль на другой мусорный пароль, у меня их целых три. Такой же пароль стоял и на фейсбуке. Правда фейсомоббук я начал пользоваться, поэтому пришлось сегодня поменять и на нем пароль, просто на всякий случай.

Еще, что хорошего я для себя отметил, так это что linkedin хранят пароли в зашифрованном виде. Молодцы, спасибо за это. Плохо то, что их можно дешифровать. Хотя какая разница, даже если было бы нельзя и если бы хранился Hash, хакеры смогли бы подобрать пароли без проблем. Имея 6.5 миллионов хешей, достаточно запустить брут и на каждом шаге проверять, есть ли совпадение хотя бы с одним из 6.5 миллионов паролей. За день можно подобрать тонну паролей. Так что это то же не проблема. Просто шифрация дала нам пользователям время на то, чтобы мы смогли поменять пароли, пока их дешефруют/подбирают.

Сложность пароля

Тут Канадосу понадобился доступ к серверу, ну я ему завел учетную запись и в своих лучших традициях дал ему пароль Yb[ezct,t3Devgfhjkm. Он мне пишет, и как я должен это запоминать? Ну что поделаешь, если для меня безопасность превыше всего.

Пароль конечно же был не таким, но смысл генерации такой.

Как вступить в Anonymous

Меня тут спросили, собираюсь ли я вступать в Anonymous. Ну для начала, я ни в каких хакерских организациях никогда не участвовал и не планирую участвовать. Просто потому, что хакером (взломщиком) никогда не хотел стать. Я изучал безопасность только ради безопасности, а не ради взлома. Так что нет и еще раз нет.

Далее – нету такой организации, как Anonymous. У них нет главного офиса или верхушки. Это просто имя, которое может взять любой желающий для того, чтобы выступить с каким-то заявлением или даже выполнить какие-то действия. Любой может завтра произвести атаку во имя целей Anonymous. Именно поэтому эту организацию невозможно уничтожить.

Хаки с помощью фреймов

Блин, у меня на сайте нет возможности удалять статьи. Сегодня написал небольшую статью защита от выполнения во фрейме, добавил в раздел статей, но понял, что она слишком маленькая, чтобы быть статьей. Это больше похоже на заметку на блоге. А удалить теперь не могу. Ладно, фиг с ним, пусть в статьях валяется.

Защита .NET кода

Сегодня получил письмо, в котором меня спрашивают о защите .NET кода от хакеров:

Хотел бы поднять тему защиты приложений .NET. Если у Вас есть возможность и желание, хотелось бы узнать Ваше профессиональное мнение в виде статейки - как лучше защищать коммерческое c# приложение от взлома и пиратства. Прочел много статей об обфускации, но это не панацея. Чем пользуетесь Вы?

Защитить код пока можно только обфускацией или шифрованием, но это действительно не панацея. Шифрование требует дешифровки для выполнения, а значит, можно снять дамп памяти. Обфускация все равно остается вполне читабельной, так что действительно не панацея.

Нужно ли знать ассемблер, чтобы стать хакером

Устал я уже отвечать на вопросы о том, что нужно знать, чтобы быть хакером. Вот в очередной раз получил письмо из этой же серии:

Значит можно стать хакером и без отличного знания ассемблера(Вы же Хакер правда?). Я многих книгах читал что хакер должен знать ассемблер на отлично.

Лично я себя хакером не считаю, я считаю себя программистом, писателем и немного безопастником, а если кто-то считает мои знания достаточными, чтобы называть меня хакером, то мне приятно. У меня аллергии на слово «хакер» нет.

Компьютер следит за нами

Недавно заметил, что дочка заклеила стикером камеру на своем ноутбуке. Когда она сидела за ноутбуком жены, то зачет-то заклеила ее камеру тоже. Я начал приставать с допросами, нафига она клеит стикеры на камеру, но она сначала не признавалась, но потом все же призналась, что это для того, чтобы за ней не подглядывали.

Проблема в том, что к дочке в школе приходили из полиции и рассказывали правила поведения за компьютером. Их там напугали, что за ними могут наблюдать через камеру по интернету и они этого могут даже не заметить. Мол камера может передавать в сеть информацию без разрешения даже того, когда лампочка камеры не горит. У всех Web камер, что я видел, есть лампочка, которая загорается при включении и полиция почему-то решила, что камера может гореть втихую. Вроде бы как хакеры могут наблюдать за нами через камеру без нашего ведома.

Трояны на Android Market

Сегодня на сайте хакера прочитал, что российские специалисты нашли на Android Market целых 33 вредоносные программы. Любители iPhone сейчас наверно потирают ручки и с большим удовольствием кинут камень в огород Google. Только прежде чем это делать, очень хотелось бы узнать, какие именно приложения и что там вредоносного нашли в магазине приложений Android.

То, что я прочитал в новости – это просто общие слова, что какое-то там приложение может отправлять СМС-ки. Может – не значит, что отправляет. Отправлять СМС-ки могут многие, нужен реальный факт злоупотребления политикой безопасности системы. Лично я уже много раз читал заметки, в которых крикливо обещают что-то круто поломать, но дальше осмотра дела не идут. Очень часто в заметках завышается реальная угроза, особенно в заголовках.

Самый уязвимый браузер

Если запустить поиск по «самый уязвимый браузер» в яндексе и просмотреть первую страницу с результатами, то у меня только одна строка указывает на Chrome, а все остальные показывают на то, что Firefox является самым уязвимым браузером. И действительно, если смотреть на количество багов, то встает очень много вопросов, но не будем разводить базар.

Сегодня вышла 8-я версия FireFox. Так как я пользуюсь этим браузером на работе и только из-за FireBug, а особо не напрягаюсь с его обновлением. Когда вышла 4-ка, я не особо торопился переходить, потому что мне лисица параллельна. Я не устанавливаю дополнительные плагины и сегодня был в шоке, когда узнал, что в Firefox плагины могут устанавливаться без спроса. Только в 8-й версии браузер будет спрашивать подтверждение у пользователя, что он действительно хочет установить какой-то плагин.

Я мягко говоря в шоке. Это же основы безопасности – не разрешать ставить ничего без спроса. Как браузер можно считать безопасным, когда любой плагин может встать без спроса и открыть любую дыру или даже пробоину.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне