Блог

Очередная новость о том, что милиция нашла способ бороться с пиратсвом. Теперь они знают, как перекрыть торрент трафик. Я вспомнил, как в конце 90-х в Ростове прошла облава на центральный рынок пиратского софта, где можно было свободно купить что угодно. Я спросил одного знакомого из органов, неужели теперь закроют все? Ведь это достаточно просто, достаточно просто проехать по городу и на каждом углу проверить лотки с дисками. В 90-х годах почти все 100 процентов были пиратскими, а если прикрыть хотя бы половину из них, остальные просто испугаются и закроются сами.

На мои опосения знакомый миллиционер сказал просто, пока милиция кормится с этих рынков и сама закупается на них, ничего не прикроют. Это все показательные выступления для галочки. Нати пиратскую точку в любом городе не сложно, а про Горбушку в Москве ходили легенды, но никто не закрывал ничего, только по телеку показывали интересные события.

Сегодня вопрос с тестированием безопасности сайтов получил продолжение в виде очередного письма.

Напрмер, я сайт взломал (хочется этот http://myppc.ru), рассказал Админам, в чем у них проблема (как Вы писали), допустим, через свой e-mail, то они могу со мной разобраться? Т.е. в моем аккаунте есть информация. И ещё - "надавать по жопе" это мягко сказано?:)

Все зависит от сайта и от админов. Были случаи, когда после взлома одного банка, хакеров нанимали на работу, а бывали случаи, что за взлом другого банка, хакеров сажали.

Очень часто в книжках по безопасности можно увидеть утверждения, что пароли нужно менять регулярно, чтобы их было сложнее подобрать. Я тоже был согласен с этим утверждением и тоже писал этот бред. Даже в системах безопасности ОС есть правила, которые заставляют пользователей регулярно менять пароли. На последних двух местах работы эти политики регулярно используются и после года использования этого бреда, я понял, что это бред. Как я раньше этого не замечал и почему другие не видят?

Утверждение о регулярной смене паролей может быть верным только если длина пароля ограничена 10 символами. В этом случае подбор пароля вполне решаемая задача и регулярная смена может повысить безопасность. Если ограничений нет, то лучше просто всем объяснить, что выбирать пароли надо длиннее и сложнее.

Итак, в чем же заключается бред? Я заметил, что когда пользователя принуждают регулярно менять пароли, то они просто перестают придумывать что-то сложное. Каждые два три месяца запоминать новый и сложный пароль никто не будет. Если в системе настроена политика, что следующий пароль не должен повторять пять предыдущих, то пользователи начинают упрощать пароли еще сильнее. Именно из-за этого в моду снова возвращаются пароли qwe123, qwer1234, qwe321, zxc123 и тому подобное.

Одна из лучших книг про эксплоиты, которую я когда либо читал – это Хакинг: искусство эксплойта. 2-е издание. Если честно, то это единственная книга про эксплоиты, прочитанная мной, да и читал я первое издание. Плохо в ней то, что примеры описаны для Linux, а не для популярной системы Windows. Да, автор показывает всем, что Linux далеко не такая безопасная и писать эксплоиты для этой системы не так уж и сложно, но все же писать для Windows было более интересно, особенно начиная с Windows Vista.

Не смотря на то, что Linux отличается от Windows, книга будет полезна всем, и не только хакерам, а даже просто программистам. Общеизвестно, что для защиты нужно знать, как и кто будет на вас нападать. Нападать на программу будут хакеры, которые хорошо соображают в безопасности, остается только узнать, как они это будут делать. Если познать, как хакеры внедряют эксплоиты, проще будет защищаться и писать более безопасный код.

Это и есть преимущество подобных книг, потому что они полезны как нападающим, так и защищающим. Книга должна быть прочитана как программистами, так и хакерами. Если ты еще не читал, то купи, я уверен, что не пожалеешь.

В принципе, исходные коды многих продуктов Microsoft открыты, если очень сильно попросить. К ним имеют доступ некоторые стратегические партнеры и теперь к таким партнерам может присоединиться еще и Китай. Компания готова открыть исходники таких продуктов как Windows XP, Vista, Windows 7 и даже Офиса. Теперь в китайском правительстве могут занять пару миллионов китайцев тем, что они будут прослеживать исходные коды.

Даже с открытием исходных кодов, я не думаю, что Китай начнет закупать Windows тоннами. Вся эта шумиха вокруг безопасности - это банальная политика и попытка найти причину. Даже больше, открытие исходных кодов в Китае грозит тем, что их разворуют. Страна, где пиратство развито да таких масштабных пределов, как в России, открывать что-то опасно.

Google запретила своим сотрудникам использовать Windows на работе. Я в шоке, что там вообще можно было использовать Windows. В этой компании столько проповедников Linux и свободы, что у верен был, что свободы там нет и быть не может. Там где много говорят о свободе, ее обязательно ограничивают. Но это не так важно. Google свободная компания и имеет право делать все, что хочет. Отказ от Windows позволит компании сэкономить и она имеет право пойти на такой шаг. Мне это пофиг.

Мне больше всего понравилась причина, по которой Google пошла на такой шаг. Оказывается, они не чувствуют себя в безопасности, когда находятся в Windows. Вот в Linux и MacOS - все нормально. Помню как на сайте Жанны Рутковской (Joanna Rutkowska) завелась дискусия по поводу безопасности открытых кодов и Linux в частности и она сказала одну интересную фразу (если не ошибаюсь, то мы даже обсуждали ее здесь на блоге), что никто не будет штудировать исходные коды Linux ради безопасности. Исходных кодов на столько много и они на столько запутанны, что спрятать червяка в них не составляет никакого труда. Уже были случаи, когда в код Linux подбрасывались лажи и не проблема засунуть бомбу в любой из пакетов.

Для тех, кто не в курсе, MacOS построена на базе BSD и является явным представителем не просто unix мира, а одних из самых безопасных систем - BSD. Очень часто можно встретить упреки в сторону Microsoft о том, что у них полно вирусов и сама Apple не раз обыгрывала это в своих рекламных роликах.

С ростом популярности MacOS стали появлятся различные небольшие заразы и на сайте Apple даже какое-то время назад в каталоге программ появился антивирус. Этим телодвижением Стив Джобс и его команда как бы признавали наличие вирусов в их системе. Когда они поняли это, то антивирус был убран и пользователей стали чесать, что их просто кидают антивирусники.

Сегодня опять поговорим про безопасность. Как-то волны меняются и с частого обсуждения SQL мы переходим на частое обсуждение безопасности. Ну что поделаешь, жизнь изменчива. Лично я стараюсь писать на блоге как можно меньше информации о своей работе, и чтобы было еще меньше проблем, даже никогда не говорю, где я работаю. Это не потому, что хочется скрыть, это безопасность и конфиденциальность. Мой клиент, на которого я работаю очень серьезен, и в таких ситуациях любая излишняя информация может быть губительна.

На этой неделе читал в одной из газет, что какие-то аналитики из какой-то секурити компании пришли к выводу, что блоги и тем более twitter губительны и опасны. Очень часто люди раскрывают на них очень важные данные, которые могут стоить компаниям миллиарды. Например, если менеджер по продажам компании Apple напишет на своем твитере, что он сегодня собирается пообедать/уже обедает/или пообедал с менеджерами Vergin Mobile, то этот безобидный твит может превратится громадными убытками.

В нашей компании безопасность данных наших клиентов является одним из приоритетов, и вот это меня натолкнуло на мысль, о которой хотел бы сегодня поговорить. Однажды на работе занялись чисткой персональных данных пользователей сайтов наших клиентов. Пока вроде бы проблем с безопасностью нет, но на всякий случай было принято решение удалить все персональные данные. Я чистил базы данных своего клиента и сайты клиентов команды, в которой я работаю. Когда чистишь информацию об адресах, мыльниках и т.д., то это еще не так страшно, и даже скучно. Но вот когда дело дошло до кредитных карт...

Сердце кровью обливалось, затирать такую ценность. Сами номера кредитных карт хоть и зашифрованы и не хватает кода верификации (по закону мы не имеем право его хранить, но очень много мест, где принимают кредитные карты без кода верификации), но все равно, когда в твоих руках несколько миллионов валидных номеров американцев, это счастье.

Только вчера написал о том, что у нас на сейте кто-то накручивал поинты голосованием, как сегодня в логах 225 попыток ломануть скрипт голосования за ночь (в России был день). Единственное что добились - кучи ошибок в логах (кстати скрипт написан не мной, а за долго до меня). Блин, надо делать так, чтобы ошибка не выскакивала и не засерала лог. Вот блин русские хакеры. А ведь не так много народу знает, где я работаю. Да неее, я думаю, что совпадение.

P.S. На продажу выставлено куча аккаунтов с Facebook. Эксперты подозревают, что оставивший сообщение о продаже хакер живет в одной из стран СНГ, так как объявление написано на русском языке. Блин, откуда у них такая опупенная логика? :) Это же сколько усилий нужно было, чтобы догадаться, что парень с восточной Европы, потому что сообщение написано по русски...