Какой-то знаменитый хакер по имени Gupta смог накрутить немного денег на сайте, который я сейчас сопровождаю и купить себе немного карточек памяти. Нафига они ему нужны, я не понял, но он их набрал аж на $600. Может кто слышал о таком? Я погуглил и нашел кучу разных людей под этим именем или ником, но фиг его знает, кто это. По крайней мере у нас на работе о нем слышали.
Глюк был банален - DoubleClick. За счет двойного клика он накручивал деньги на одной из игр, за которые начисляются баллы, а потом эти баллы использовал для покупки. Чтобы народ особо не расслаблялся, баллы не позволяют полностью оплатить товар, они только дают скидку, поэтому хакеру при покупке памяти пришлось указывать кредитную карту.
Очень часто, когда мы заходим на какие-то форумы или сайты и нужно создать учетную запись, и при этом мы не собираемся пользоваться этой записью в будущем, мы создаем мусорные аккаунты. Этим аккаунтам часто присваиваются мусорные имена, которые первыми попадают в голову и асболютно "случайный" пароль, который "случайным" образом набивается на клавиатуре. Почему я в предыдущем предложении слово случайно поставил в кавычки? да потому что случайность в этом минимальна.
Самый популярный случайный пароль - sdfsdf. Попробуй запустить поиск в гугле по sdfsdf и ты увидишь сотни тысяч сайтов, на которых были созданный аккаунты с этим "случайным" именем. Я вот посмотрел на пароли, которые я случайно сгенерил когда-либо и сохранил в свой файл мусорных паролей. Большинство из них содержит последовательность sdf. Ни одного чистого sdf, все с примесью другого фуфла и цифр, потому что я при набирании случайных паролей обязательно бъю и по цифровым клавишам, но это я. А если верить поисковику, то дофига народу этого не делает.
Клавиши sdf на столько удобно располагаются под рукой, что просто подсознательно мы попадаем по ним. Я обратил на это внимание, когда вместе с тестером на работе мы проверяли работу одной из форм на сайте. И он заполнил ее сплошными sdf.
В Липецке произошло показательное уничтожение компьютеров за то, что на их винтах нашли нелегальные программы. Нехило наказали. Это получается, что если у кого-то дома найдут диск с нелегальной программой или фильмом, то эти же власти взорвут такой дом? Афигеть!!! Срочно выбрасываем из квартиры все нелегальное, а то останемся на улице :). Особенно это касается жителей Липецкой области, потому что там управление К не умеет чистить компьютеры от нелегала нормальными способами, они уничтожают компьютеры.
Вообще в нашей стране привычка все пускать под трактор только из-за того, что есть нарушение закона – мягко говоря глупо. Зачем уничтожать то, что может принести еще пользу. Не лучше ли было отдать эти компьютеры детям в школы? Ну очистите компьютеры от нелегала, поставьте какую-нибудь ОС (можно даже халявную, мне пофиг) и отдайте компьютеры в школы. Ну нафига устраивать показуху с уничтожением и тракторами? Кому-то от этой показухи стало легче?
Российских хакеров решили обвинить во взломе Citigroup и воровстве десятков миллионов долларов. Ну ладно лет 10 назад, интернет и сети строили наивные люди, которые верили в счастливое будущее. Они не заботились о безопасности, а просто придумывали протоколы обмена инфомацией и просто делали информацию доступной. Когда люди не думают о безопасности, то информация не может быть защищенной, поэтому были эпидемии вирусов и взломов.
В наше время все уже поняли, что интернет далеко не такой уж и безобидный и является отражением нашего реального общества. Реальное общество не такое уж белое и пушистое и в нем существуют уроды. Точно так же и в интернете - полно людей, которые хотят воспользоваться информацией.
Неужели Citi Group до сих пор живут в 90-х годах? Они не позаботились о том, чтобы данные не появлялись на счете без причин? Они не позаботились о том, чтобы даныне не перемещались без причин?
Моя жена постоянно теряет пароли от всего подряд. У меня иногда складывается ощущение, что она вообще не пытается их запоминать. А зачем, ведь есть муж. Несколько дней назад она мне сообщила, что она в очередной раз забыла пароль от Mail.ru агента. Современные программы стали хорошо относиться к безопасности и прошли те времена, когда пароли так легко находились в реестре в открытом виде или шифровались простейшими XOR с чем-то простым. Ничего не пообещав жене, я все же принялся за поиски проблем.
Первое, что я стал просматривать – реестр. Современные правила построения программ требуют сохранения конфигурационной информации в реестре и это первое место, где следует искать что-то подобное. Конфигурация учетных записей действительно была в реестре, но только пароли (если я правильно определил их местоположения) были зашифрованы. Чем? Да фиг его знает.
Не надеясь ни на что хорошее, я решился проверить окно ввода пароля в самой программе. Запустил агента и вошел в окно конфигурации. Нашел поле для ввода пароля и натравил на него мою программку, которую я описывал в книгах:
Не прошло и месяца, с момента как я объявил о появлении Network Utilities Сеть и безопасность 2010, а вчера я уже закачал обновление, которое обозвал SP1. На этот раз архетиктурных изменений нет, зато есть много изменений, направленных на улучшение внешнего вида.
Половина модулей для отображения результата работы использует компонент Small Report Renderer Control, что делает отчеты более наглядными и удобными. Главный модуль - дизайнер сети теперь не создается при старте. Вы можете создать модуль в любое время и причем не один модуль, а множество. На одной закладке вы можете нарисовать сеть одного этажа, а на другой закладке можно отобразить сеть второго этажа здания и контролирвоать все это одновременно в одной версии программы.
Меню File теперь изменяемо. Раньше оно выглядело жестко и содержало только команды дизайнера, теперь в этом меню появляются команды, в зависимости от выбранного модуля. В дизайнере так же появились новые устройства сети: WiFi, Switch и что-то еще :), уже забыл, что я добавил. Протестить перез загрузкой времени не было, полноценный тест буду устраивать сегодня, поэтому сильно не пинать, если будут косяки (надеюсь, что нет). Просто уж сильно хотелось загрузить новую версию, потому что она реально удобнее.
На одном из блогов появилась информация о том, что было взломано громадное количество сайтов, в том числе yandex, rbc и другие крупные проекты. Секрет заключался в том, что крупные проекты используют svn для управления кодом в команде. Но svn создает в директории с исходниками скрытую папку .svn в которую помещается много полезной для хакера и важной для разработчика информации. Такое сообщение не могло не вызвать общения и комментаторов.
И вот тут возникает вопрос – правда или нет? Ведь если это правда, то хакеры действительно взломали важные сайты и теперь обладают исходниками крупных проектов. Мое мнение простое – скорей всего это пиар чистой воды.
Смысл атаки прост - все, кто используют в своей работе SVN для управления кодом подвержены ошибке. Дело в том, что эта система создает в каждой папке директорию .svn в которой много полезного, вплоть до копий исходных файлов. Пошел слух на каком-то блоге (ссылку давать не будут, чтобы не делать им рекламу, потому что пока что это выглядит только как способ пропиарится), что двух хакерам удалось утянуть исходники из базы .svn таких крупных сайтов как yandex, rbc и даже крупных зарубежных сайтов. Интересно, а исходники Google утянули? ведь там используют svn.
Я обожаю компании, которые пытаются зарабатывать на безопасности, предлагая завышенные цены на свои услуги. Вот, например, IBM. Компания купила несколько фирм, предоставляющих услуги или программы в сфере безопасности и теперь сама предоставляет эти услуги. Причем их цена в большинстве случаев очень и очень высокая. А дают ли они гарантию того, что построенные или проверенные системы действительно безопасны? Я думаю, что нет и не могут дать такой гарантии. Хотя нет, могут, но тогда цена их решений будет еще выше.
Посмотрим на другой товар - машины. Производители автомобилей дают гарантию того, что их продукт (автомобиль) будет работать должным образом и не сломается. Если происходят какие-то проблемы, то потребитель может расчитывать на бесплатный ремонт. Примерно то же самое, происходит и в софте. Если Windows глючит, то мы можем расчитывать на бесплатные обновления и патчи. А на что может рассчитывать потребитель средств безопасности? Ведь основной продукт тут именно безопасность и именно за сохранность данных и информации платит потребитель. Банальное обновление программы тестирования защиты или обновления защиты тут не прокатит. Если данные уже украдены, то получается, что пользователь заплатил ни за что и его просто кинули.
Как уже сложилось в последнее время, сначала я выпускаю новую версию CyD Careful Observer - монитор сети а потом уже обновляю сетевые утилиты. Так получилось и в этот раз. Сегодня я закачал свежую версию CyD Network Utilities - Security Tools (в русской редакции Network Utilities Сеть и безопасность).
В отличии от монитора сети, в данном случае я поменял версию на 2010 Beta, потому что это еще не окончательный вариант. Что изменилось в текущей версии? На данный момент произошло несколько косметических изменений и улучшений, а так же появились все возможности, которые появились в мониторе сети 2010. О них я писал в заметке Монитор ресурсов CyD Careful Observer 2010.
Приставка Beta появилась потому, что я планирую не ограничиваться этими изменениями и в окончательную версию 2010 должны будут войти новые функции тестирования безопасности и новые функции работы с сетью. Окончательную версию я планирую выпустить в течении пары месяцев. Как всегда, те, кто купил программу менее 2-х лет назад, получат новую версию абсолютно бесплатно, потому что абсолютно любые обновления в течении двух лет бесплатны.
Сегодня я получил через контакт следующее сообщние:
Ну нифига себе, тебя явно кто-то не любит ! на ресурсе фриков контакта на тебя такой фейк забабахали, пипец просто! http://freak-vkontakte.com/id7696879076
Не смотря на то, что ссылка сразу кричит - ПОДСТАВА, я решил заглянуть на сайт и посмотреть, что он из себя предстваляет. Все ссылки на сайте и дизайн ведут на корректную версию контакта, а вот вход на сайт происходит через фриковый сайт. Все хорошее - хорошо забытое старое. Давно я не встречался с такими подставами.
Если бы я помнил пароль от контакта, то, возможно, я бы его ввел. Но проблема в том, что я его не помню. Я даже не помню, на какое мыло я регистрировался. Давным давно я зарегестрировался, сохранил пароль в браузере и если я переустановлю Windows, но восстановить пароль не смогу :). Да и фиг с ним, я на этом сайте почти не бываю.
Я поиграл с сайтом freak-vkontakte.com, навводил им паролей, покликал по ссылкам, пусть едят пищу для размышления. Тому, кто получил эти пароли сообщаю - там даже мыло не существующее я указывал :). Вот думаю, может поменять пароль, или хотя бы мыло в админке своего аккаунта. А то вдруг придется все же окна переустанавливать...
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
