Pull to refresh

Comments 61

Из своей админской повседневности:

Только что я фиксил какую-то фигню зайдя по простой схеме: Я в отеле в Эмиратах, где фильтруют что попало в кривом вайфай. Я на планшете делаю pptp на корпоративный VPN, через него по VNC подключаюсь к компьютеру (в другом районе города), с него по ssh с туннелированием X-сервера подключаюсь к другому серверу, запускаю там rdesktop и чиню какую-то ерунду на виндовом сервере в местной локалке.

Это не хаккерство, это так сказать, реальная жизнь с минимальным дискомфортом.
нет, в другой конторе (циска на радиусе). Можно было бы просто зайти по ssh, но андроид не умеет туннелировать нормально порты/X'ы, так что комфортнее по VNC на линуксовую машину. А pptp для шифрования (ssl для vnc не осилил, да особо и не стремился).
Все администрирование с планшета осуществляю с помощью VX ConnectBot и bVNC. Тут Вам и редирект портов с ssh-agent'ом, тут Вам и VNC over SSH по ключам из коробки с AutoX'ом. Автор bVNC(а так же aRDP и aSPICE) отзывчивый и понимает русский, хоть сам на нём писать не может. Еще JuiceSSH посмотрите, но она платная и closed-source.
Тут несколько сложнее ситуация. На сервере, на котором rdesktop, очень не хочется ставить что-либо другое (включая vnc server), так что у меня один сервер для vnc (первый попавшийся, который не жалко), а другой делает rdesktop.
ASA? Зачем PPTP ежели имеется IPSEC
В андроидах штатно pptp, кроме того, vpn не только для админа (я обычно с ноута напрямую ssh цепляюсь с прокинутыми X'ами), а для простых виндовых пользователей, у которых pptp самый легко поднимаемый протокол.
Именно потому я и являюсь недоброжелателем майкрософта. Так сказать, по больному и горячему. Примерно 5% моей админской работы всё ещё связано с их продуктами, и они не перестают меня восхищать своей принципиальной антиэргономичностью.
Так ведь TOR запускает свою копию фаерфокса, в ней мало кто чекает почту и лазит вконтактике, так что и куков там быть не должно.
(Занудно) TOR — это просто умный прокси, он никаких браузеров сам не запускает и ничего не делает. А если вы пользуетесь какой-то сборной солянкой, то… то вы — не все.
Vidalia bundle добавляет в фаерфокс кнопочку по которой включается TOR и фаерфокс переключается в приватный режим.
www.torproject.org/ в комплекте идет «Tor Browser», фаерфокс настроенный под максимальную анонимность и всевозможными аддонами типа JS Блока.
Мне кажется, или вы описали как раз то, что я сказал — сборную солянку, bundle, в котором TOR-proxy является только одним из компонентов?

Потому что TOR-прокси прекрасно работает и без Firefox-а, и даже без Vidalia (да что там, даже без графического интерфейса). И посему говорить, что «TOR запускает свою копию фаерфокса», как минимум, некорректно, равно как и считать «TOR-ом» какой-то сборный пак. Всё равно что браузер «Интернетом» называть.
Ну а почему вы называете tor-proxy — tor'ом вы ведь не называете процессор компьютером, верно? Тор всетаки это совокупность компонентов.
Потому что «TOR вообще» — это сеть. Состоящая из знающих друг про друга тех самых TOR-клиентов/прокси/бриджей. Вот они, эти самые компоненты, и TOR browser является просто одним, необязательным (и не для всех удобным), относительно поздно появившимся, сторонним их клиентом.

Многие, например, этот bundle с tor browser-ом в глаза ни разу не видели, а пользуются TOR-ом прекрасно и без него, поставив сам TOR прокси из репозитория своей OS.
При всем уважении, многие не значит большенство, я привел вам оф. сайт с кнопкой скачать «tor», дистрибув то этой кнопке самодостаточен для анонимного серфинга в интерте, и сам запускает уже настроенный фаерфокс с примочками готовый к работе через tor proxy, если вы устанавливаете отдельно tor proxy из репозитория своей os, то скорее это у вас частный случай.
я привел вам оф. сайт с кнопкой скачать «tor»,

Вы привели мне в качестве примера страницу с кнопками «Download Tor Browser Bundle» (обратите внимание, кнопки на главной странице “Download Tor” не позволяют сразу скачать что-то, а ведут на вторую страницу, где уже действительно можно скачать разные «Tor-ипостаси»).

Tor Browser Bundle — это не Tor, и даже не Tor Browser, а сущность уже третьего порядка.
Таких сущностей на том самом сайте достаточно много: Tor Browser Bundle, Vidalia Bridge Bundle, Vidalia Relay Bundle, Vidalia Exit Bundle, Expert Bundle… То, что во всех этих бандлах является «квинтэссенцией Tor-а», находится всё на том же оф. сайте по ссылке «Tor (standalone)».

На главной странице сайта Samsung сейчас — Samsung Galaxy S4 Zoom.
Но это не значит, что Samsung — это только Samsung Galaxy S4 Zoom.
Если ссылка на главной страничке с надписью «download tor» ведет на скачку исключительно Tor Browser Bundle просто для разных os(только по этому он не качается сразу), я думаю я имею полное право говорить что тор запускает анонимный браузер при старте. Так что вы меня не убедили.
Если ссылка на главной страничке с надписью «download tor» ведет на скачку исключительно Tor Browser Bundle просто для разных os(только по этому он не качается сразу),

Комментарий про Galaxy S4 Zoom вы проигнорировали, ну ок.

Так что вы меня не убедили.

Я не ставил себе задачей вас убедить. Я ставил себе задачей исправить вашу ошибку и предотвратить укоренение этой ошибки среди тех, кто может вас прочитать.
Ну и зануда… а по сути никто не ответил.
Разлогинился из LinkedIn…
Про фичу которая показывает «ваш профиль просматривали» я знал, но только сейчас понял какая это дыра в безопасности(кстати, при платном доступе в linked in можно вроде бы ссылку на профиль видеть, а не «Lecturer in...»)
надо на сайт прикрутить — поднять продажи…
UFO just landed and posted this here
Хмм я думал что минимальное требование при «баловстве» атаковать хотя бы с виртуальной машины на каком либо VPS сервере, в какой либо далекой стране) За статью спасибо! Интересная, познавательная, нужно будет попробовать)
Это не «требование», это — «сын ошибок трудных» ;-)
Отличная стать! С удовольствием прочитал, ждем еще в этом духе.
Я тоже открыл статью, чтобы почитать «бла-бла-бла» на тему анонимности в сети, а тут такой приятный сюрприз :)
Анекдот в тему. Пресс-конференция одного очень важного государственного деятеля. Случайный вопрос от неизвестного отправителя:
— А не западло ли тебе, В.В., отвечать на анонимные вопросы из интернета?
Ответ:
— Нет, Иванов Иван Иванович, проживающий по адресу г. Нижние Булки, проспект Мичурина, дом 16, кв. 44, IP 214.14.****.***, не западло.
Анонимность это в первую очередь контроль распространения информации о себе, и только во вторую — скрытность. Я честный открытый человек, но я не хочу на каждом углу каждому прохожему, каждому кассиру показывать свой паспорт, банковскую карту, страховку и справку с места работы. В частности потому, что не понимаю зачем им именно эта информация.
В Украине к примеру без паспорта больше валюту не поменяешь. И оседают эти сканы паспортов во всех банках пачками.
В России тоже. Но меня это не коснулось, т.к. я меняю только через интернет-банкинг, поэтому непонятно кому (какому-то кассиру) свой паспорт не показываю.
мораль в том, что для анонимности нужно держать отдельный компьютер. ну или хотя бы виртуальную машину.
Ну или уж на самый худой случай отдельный браузер, и в нем в clearweb вообще не заходить.
>Но я сыграл более «плоско», я запустил Апплет Java.
У каких идиотов они включены…

>Собственно апплет тупо дергал EXE файл с сервера и запускал его. EXE файл собирал НЕ ПЕРСОНАЛЬНЫЕ данные
Создание программ для ЭВМ или внесение изменений в существующие программы, ЗАВЕДОМО приводящих к НЕСАНКЦИОНИРОВАННОМУ уничтожению, блокированию, модификации либо КОПИРОВАНИЮ ИНФОРМАЦИИ, нарушению работы ЭВМ, системы ЭВМ или их сети, А РАВНО ИСПОЛЬЗОВАНИЕ ЛИБО РАСПРОСТРАНЕНИЕ таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

>К моему счастью, они либо не повелись на апплет, либо у них был Linux
К вашему несчастью вы признались и за вами уже выехали…

>Интересные «атакующие»:
а вот-это уже интересно… если не фейк
только не факт, что именно они атакующие, а не их комп взломали и использовали в качестве прокси

Рекомендации состоят чуть более чем полностью из капитанства.
На самом деле самое опасное — это эксплоиты для уязвимостей вроде MS13-054, от них не защитит ничего, хотя огороживание всего и вся может косвенно защитить.
Спасибо за исследование, будем знать.

> У каких идиотов они включены…
Ну это уж как повезет…

> Создание программ для ЭВМ…
Ну притянуть за уши закон наш всегда можно под любую ситуацию, но в целом нет состава преступления. Программа не распространялась, а являлась частью приватной системы не доступной не авторизированным пользователям ;) Небыло никаких действии по ПРИЗЫВУ пользователей к запуску данного «агента», не было публичных линков. Не было рекламы, спама и тд… ну тут здравый смысл против широты трактования закона…

>К вашему несчастью вы признались и за вами уже выехали…
Так ребята уже 2 года как в курсе… я уж не говорю про ребят из ФСБ, они знают, что я паинька и в никаких таких делах не участвую…

>только не факт…
Не факт, о чем я так же и написал…

>На самом деле самое опасное…
Про 0деи — не интересно и очевидно, да и потом палить 0дей сплойты хацкерам с целью раскрытия анонимности? Уж больно дорого… Ну это тока США позволить себе может и то — для критичных объектов ))
>Не было рекламы, спама и тд… ну тут здравый смысл против широты трактования закона…
Нет. На самом деле, тут ситуация ровно та же, как если бы вы поставили у себя на даче медвежий капкан, и в ваше отсутствие в него бы попался вор. Виноватым окажетесь вы, хотя вроде бы вор и не должен был лезть в ваш дом. Точнее судить будут и вас и вора, просто по разным статьям.
Не совсем. Аналогия не чистая. В случае капкана, я нанес физический урон, а может это и не вор а пожарник? Или милиционер гнался за кем то через мой двор… В таком случае я виноват. Но главное это не сопоставимый уровень ущерба. В моем же случае, я не ворую его личные данные, не устанавливаю пинча, не форматирую диск. То есть урона ему, как гражданину РФ не наношу. Это скорее можно сравнить как если бы вор украл у меня сотовый телефон, с программой, которая отстукивает на сервер по GPS… (хотя тож не корректно в конкретно моем примере)
Вы же не преступников — вы школоту ловите. Ваш капкан даже не на вора нацелен:) Вы впариваете свои программки самым слабым и беззащитным:) Это если я кавычку в логин воткну, то и ко мне значит можно в комп лезть? Ох, ненадежно всё и везде…
' не то же самое что и ' or 1=1/*
Но это пример, фильтр можно сделать более точным, определяющий именно «злой» умысел а не exploit probing.
К тому же… после ввода осмысленной SQLI вам предложили запустить GUI от приватной зоны. И вы СОГЛАСИЛИСЬ. Хотя вам доступ не положен… вам сказали «Это мегесекретная херовина, для доступа мемеберов к нашему приватному интрфейсу», но вы все равно кликнули ОК… это ВЫ не знали какой функционал запустили, а все мемберы DCG7812 знали 8) Там целый год лежало описание ТОГО что вы запускаете. Это все рано что вы взломали мой ПК, скачали отттуда метасплойт, и запустили ворованный метрепретер у себя на компе… просто вы не знали что такое meterpreter… ну а ко мне какие претензии?
Никаких! Но при этом вы подтверждаете, что насилуете школоту!
Насилую? В чем насилие?
Ну я не могу сформулировать так, чтобы было понятно. Разве не понятно? :) Суть-то не в том насилуете ли вы их или им в комп ненужные проги ставите, суть в охоте на школьника. Вашей целью был школьник, а не преступник. Вы использовали методы по вылавливанию карасей, а не акул. Т.е. речь не столько о статье про безопасность, сколько о расставливании сетей на школоту.
Там школьники продавали услуги по ДДоС, и компрометировали ПК разведки стран СНГ. Ну хз-хз… Да и 90% анонимусов это те же школьники, за которыми так все бегают и в СМИ раздувают… и Sony опустили на SQLi школьники опустили. ДА и большинство атак идет от ваших школьников, потом они в пастебин выкладывают базы ;) Какая разница, кто этот вандал?
Да генеев кибер войны так вряд ли поймаешь, не спорю, но это уже юбольше чем ничего 8) А еще бывают люди ошибаются, а еще бывает что те кто проводит атаки не те еж самые кто разрабатывают план и ПО для этих атак… Мой конкретный пример тупой и простой, и ловились в массе сркипткидди, но были и более интересные экземпляры. но главное это концепт идеи, если усложнять и развивать её, то можно ловить более хитрых и опасных людей.
А почему не заняться конструктивом и разрабатывать безопасные системы? Может быть надо подумать как-то на тему почему все эти системы такие уязвимые, может в их основу заложен хреновый принцип? Есть ли какие-то математические доказательства того, что от кибер-уязвимостей нет лекарства? Я всё подумываю, что если сформулировать перед инженерами требования по безопасности, то они разработают такие компы, которые будут соответсвовать этим требованиям.
Ну это разные задачи. Разные истории, разные блог-посты.

1) Писать не взламываемые системы
2) Играть с теми кто пытается их ломать

Так как про 1) пишут часто и много, и это более менее очевидно и банально, а вот 2) забавнее, интереснее, оригинальнее и новее.

Есть аксиома, что взломать можно все… тем не менее, для любителей строить мат модели безопасности кода: docs.google.com/presentation/d/1UNttXIjL8gAD7Bx0PeUtobCIMQmZ38GM7B0gUzct1lI/edit#slide=id.p

Но юмор в том, что на практике это работает очень скверно. Разработка и внедрение систем таким образом, что бы все это еще было и безопасно на 99% — очень трудоемкая задача. Тем не менее, убрать самые тупые баги, и даже хитрые баги в коде, сделать сносную архитектуру (с точки зрения безопасности), убедится в том, что деплой прошел как надо, и все сконфигурировано — можно. Дальше поддерживать все это 8)
По ссылке мне ничего не понятно. Вот биологические системы как-то подстроены так, что они живут и, кажется, не вымирают со временем. А компы ломаются и дохнут. Может быть (я предполагаю) есть какая-то причина, по которой компы сейчас все такие не надежные. Я вижу это так: программа исполняется процессором, если в програме есть какая-то ошибка, то система выстроена так, чтобы размножать ошибку по памяти и в конце концов накнуться на невыполнимую операцию и повеситься. Это как будто так было задумано инженерами в самом начале! Видимо, если разработать иные принципы, которые будут работать, ликвидируя ошибки, а не размножая их, то надежность подскочит под 100%. Если такими вещами занимаются, то где результаты?

Да, интерес не всегда совпадает с целесообразностью и огромное количество миллиардов человеко-лет делают то что интересное вопреки целесообразности. В войнушки интересно играть до бесконечности, но школьники плодятся в какой-то прогрессии, и не изменяя правил игры их не переиграешь:))
Идиотов?

Покажите мне IP KVM, работающий без джавы. Желательно чтобы он был на 32 канала.
Вы правда ходите в интернет с постоянной включенной джавой? Откройте для себя возможность разных профилей в браузерах и\или включение плагинов для отдельных объектах на странице. Я думаю имело ввиду именно это.
UFO just landed and posted this here
Сначала хотел написать, что нахождения уязвимости на Вашем сайте и логин к Вам в админку без совершения деструктивных действий ничем предосудительным не являются и применять к людям в ответ какие-то атакующие действия не правильно, но после слов «ява-апплет» и «еxe-файл» — беру свои слова обратно. Если люди проводят аудит со включенными ява-апплетами, которые могут запустить exe-файл, да еще и из-под основной браузерной учетки, таких надо учить.
На самом деле, если развивать эту тему, то можно однозначно отличить белошляпника-аудитора и черношляпника-злодея. В пейпере и на слайдах на конференции я про это говорил, что технически это возможно… Но в моем случае это скорее шутка для товарищей была и урок для скрипткидей.
Firewall с правильно настроенными правилами фильтрации спасает от таких Java-аплетов. Если передаваемые данные не шифруются, то их можно поймать и понять, что это контр-атака. Реальных анонимов, конечно, не раскрыть подсовыванием им трояна и воровством их кук.
Описка
атак SQLi — 484 (за ~1.2 года)
(Java Applet) — 52 (за ~1.2 года)
52/484=10,74% успеха при контр-атаках.

Экстраполяция с учетом успешных контр-атак на mail.ru/yandex.ru тоже дает другой результат.
«Экстраполяция с учетом успешных контр-атак на mail.ru/yandex.ru тоже дает другой результат.»
484 (за ~1.2 года)
52 (за ~1.2 года)
16 (за 6 месяцев)=0.5 года
разное время, поэтому используем экстраполяцию
(52+1.2/0.5*16)/484=(52+38,4)/484=18,7%
да я на 0.2 года при экстраполяции забил 8)
Кажется, в этом ханипоте есть недочёт, который грамотного спеца натолкнёт на сомнения относительно реальности раскрутки псевдобаги.

вот такой код приведёт к «несанкционированному доступу» в приватную часть, всё ок:
' or '1'='1/*


но и код ниже тоже:
' or '1'='1 123


А реальная БД ругнулась бы. Так что для спеца обман трудящихся налицо. Но для школоты — да, они на это внимания не обратят
' or '1'='1/*
вообще и на этот пример нормальная СУБД ругнется 8)
Да там был regexp простенький, и понять, что это хонипот было проще простого, только обычно это понимание приходило чуть позже, чем апплет 8)
В Советской России сайты хакают вас. о_О
Sign up to leave a comment.

Articles