Comments 43
Скорее всего и эта система создавалась в условиях дефицита бюджета, времени, специалистов, ну в общем как всегда, и привлекли вчерашнего студента, кто про такие вещи просто еще не узнал.
Как-то в молодости пришлось писать BBS на шелле (это еще до интернета). Я был уверен, что все предусмотрел, а потом оказалось, что ее можно остановить и выйти в командную строку по Ctrl-C и еще тысячей способов. С тех пор усвоил, что 1) всегда есть шанс, что чего-то не знаешь 2) безопасность в ИТ понятие вероятностное.
Тут вопросы скорее кто и почему дал задание на разработку исполнителю с недостаточной квалификацией, почему QA пропустил, какое было ТЗ, и т.п.
Возможно и так… но верно, что и то и другое — наши домыслы.
Кроме, разве что:
что 1) всегда есть шанс, что чего-то не знаешь 2) безопасность в ИТ понятие вероятностное.
С этим согласен, конечно… Особенно когда, люди считают, что у меня-то уж точно все в ажуре. Они как правило забывают, что у атакующих "думалка" по другому заточена.
Это действительно интересная идея. Но я так не думаю, потому что за дырой лежали реальные данные (я проверял), которые продаются на чёрных рынках. И на эти данные огромный спрос.
я конечно не думаю, что в гос-структурах допустимо использование такого, но…
А можно вопрос — на кой вы их на реальность проверяли?
и другой в догонку — меня там найдёте? я конечно не уверен, что настолько старый диплом в базе, но чем чёрт…
Слушаю и восхищаюсь… а где подлинные данные взял, если не свои?
Можно долго спорить о том, что за простая уязвимость, но по прошлой статье и таким высказываниям складывается впечатление — это только теоретические умозаключения…
Мне вот тоже было интересно, как. Ну т. е. в смысле — он себя или друга своего подставил…
Кроме нескольких очевидных недостатков система безопасности, позволяющая подобные "шалости", имеет множество достоинств
Я сильно сомневаюсь, что эту дыру сделали именно для реализации этих достоинств. Скорей всего племянник чиновника на коленке склепал сайт после пары роликов на Ютубе, в сложных местах консультируясь на Тостере по вопросам типа "как правильно записать массив в базу данных" или "как передать с помощью ajax параметры из формы в php класс". Ничего плохого в этих вопросах нет, все мы когда-то учились, но такого масштаба и важности проект должен был делать более квалифицированный разработчик. Ну не верю я, что это фича, а не баг.
сейчас ко мне подходят по поводу систем_мониторинга_на_коленке…
объясняешь что здесь очень много камней подводных, давайте по человечески все условия (ТЗ) сведём к рабочим, разобьем на этапы, каждый из них распишем, и потом и студенты под присмотром могут написать — как об стенку горохом — написать можешь — могу — пиши. =8-0
Я сильно сомневаюсь, что эту дыру сделали именно для реализации этих достоинств.
Я сильно сомневаюсь, что вы осилили понять посыл статьи…
Еще раз для неосиливших — не вы, не я, не даже наш неуловимый "хакер", ничего об этом не знаем. То все просто домыслы… и вариации на тему.
А эта конкретная статья вообще не про то. И уж точно не оправдательная (не про то что было, но про то что могло бы иметь место в теории).
Скорей всего племянник чиновника на коленке склепал сайт
Да сто пудов (зуб даю)… И денег они вместе откатили на целый мильён…
Без политоты никак?! Навальнята,… ять...
Ну не верю я, что это фича, а не баг.
А я вот в черта не верю, кричать теперь об этом на каждом углу?
Еще раз для неосиливших — не вы, не я, не даже наш неуловимый «хакер», ничего об этом не знаем.
Естественно, доказательств никаких нет. Но как показывает практика, подобные случаи чаще всего означают халатность, а не высокие скрытые замыслы.
Без политоты никак?! Навальнята,… ять...
К гос заказам левых людей пускают крайне редко, а суммы там крутятся весьма приличные.
И если критика власти, то только Навальнята на это способны?
иногда крупные компании, у них отделы инновационных решений, с сборищем неглупых, в общем-то людей, но в большинстве своем не прошедших процессы внедрения чего-либо от нуля и до госов или присвоения литеры.
и считают, видя счета у инжиринговых фирм с офигилиардными цифрами и читая тот же Хабр, думают — за ЩО! это на дуине раз-два и в дамках.
начинают искать и тут уже идут варианты — студенты — а фигня-вопрос, сделаем за неделю и ведро пива с кревеДками.
Без политоты никак?! Навальнята,… ять...
Упоминание политоты — исключительно у вас, а "племянник чиновника" или, скорее, просто студент (или представитель одной из соседних[западных] республик, бо стоит меньше) в разработке подобных систем — он в реальности знаком каждому, хоть чуть работавшему в или с госорганами. И знают какой процент получается исполнителем (и вот интересно куда девается остальное — голодающим детям в Африку?).
"Племянник чиновника" может на рабочем месте не бывать, а ЗП получать будет. А вот системы пишут далеко не студенты, а специальные компании, как правило через тендер. Дальше можете включить полёт фантазии, как набирают кодеров в такие компании.
2. Все эти замечательные примеры как интеграторы делали крутой мониторинг, который пишет все-все, натыкаются на человеческий фактор. Мало иметь мониторинг, надо чтобы этот мониторинг кто-то — регулярно- смотрел и главное понимал что он видит. Надо нанимать\воспитывать\учить таких людей и платить им хорошие деньги.
В данном случае скорее всего некая фирма выполнила проект (сайт) и отгрузила его заказчику. А у заказчика есть только эникей Вася, который и швец и жнец и на дуде игрец.
Мало иметь мониторинг, надо чтобы этот мониторинг кто-то — регулярно- смотрел и главное понимал что он видит.
Была бы карма, поставил бы палец вверх.
В реальности была подобная ситуация на работе, когда крутую систему никто по человеческой глупости не мониторил. История за малым не закончилась фатально…
PS Спустя немного лун с моего прошлого коммента в предыдущей статье, слегка переосмыслил и ее. И как-то пришло неоднозначное понимание к подобным ситуациям.
Человек из статьи утверждал что данные реальные
Ну он много чего утверждал… Вопрос для чего воовбще он проверял реальные ли они.
Все эти замечательные примеры как интеграторы делали крутой мониторинг… натыкаются на человеческий фактор
Вы чего в конце-то концов:
- распознать попытку sql-инъекции — дело пятиминутного фильтра;
- пробросить его затем в хани-пот можно даже через nginx;
- там в песочнице уже мониторить, что он делает (это тоже машинкой можно, если что).
Ну да ладно...
В данном случае скорее всего некая фирма выполнила проект (сайт) и отгрузила его заказчику
Ну никуда без политоты… Возможно и так, но… статья вовсе не о том.
Хабр скатывается в какую то клоаку. Видимо его аудитории интереснее читать про центры Навального, робингудские "хаки" простейшими sql-инжектами и т.п.
А если при этом еще не забыть поругать властьимущих… +100500.
Ну тогда — счасливо оставатся.
Подумалось… Автор этой статьи, будучи человеком более зрелым и разумным, чем автор первой, решил пустить что-то типа дымовой завесы.
Дабы размыть целенаведение "опричникам". :-)
Если всё так — плюс в карму по жизни.
из опыта
> позволяет администратору безопасности осуществлять
позволяет, но требует наличия такого администратора, а подобные сайты сначала «делают, шоб было», а потом «упраздняют за неэффективность»
> Я, на месте «реализатора»
На свои средства? Потому как не выделяют на такое, да и сложно это, они и в реальных делах «ловлей на живца» редко занимаются (с теми же угонами, а это профильное ведомство), а здесь минобр. И приводить слова из официальных документов — это смешно, всех террористов уже поймали (не? ну хоть одного?)
Чтобы создать и поддерживать такую систему отвода глаз, нужны средства, соизмеримые с созданием и поддержкой основной системы. А в госструктурах и на основное-то деньги выделяются впритык.
Что из нижеприведённой цитаты с поста вам особенно тяжело даётся?
не нужно про то, что это так сложно, дорого (и вообще на фиг никому не надо), ладно?..
… тут не про это.
Ну а если хотите таки про гос-структуру… Ну уберите вы это, замените на фасебук какой-нить, что в контексте изменится? Возможно, смысл моей статьи? Или того что bogus vulnerabilities используются повсеместно?
Я вам скажу, что вероятно изменилось бы:
- поведение нашего смелого робингуда, ибо в надежде на получение профита, который от гос-структуры конечно же напрасно ждать, он скорее всего сообщил бы сначала изготовителю;
- скрипт-киддис массово не побежали бы "ломать" сервер;
- Робином Гудом он перестал бы быть, и его статья на хабре собрала бы несколько плюсов, ибо уязвимость та пустяковая (в техническом смысле, т.к. не требует особых техник каких-то);
- да и статьи той скорее всего не было бы (ибо такие уязвимости по вашим словам только в гос-структурах и случаются, ибо денег впритык);
- а школота нашла бы себе другой пост для холиваров на тему "ай-ай-ай, наши чинуши снова распилили бюджет";
Достали чес.слово… Ощущение, что читаешь бульварную прессу, а не технический ресурс.
Хабр, ау, ты где?
Ну а если хотите таки про гос-структуру… Ну уберите вы это, замените на фасебук какой-нить, что в контексте изменится?
В контексте изменится основное. «Фасебук» живет за счет доходов со своего сайта.
Госструктуре сайт — до лампочки, она живет за счет бюджетных средств.
(ибо такие уязвимости по вашим словам только в гос-структурах и случаются, ибо денег впритык);
Вы приписываете мне свои собственные фантазии. Я этого не говорил.
Достали чес.слово… Ощущение, что читаешь бульварную прессу, а не технический ресурс.
Да-да, достали фантазеры, в каждой дырке видящие хитрую многоходовочку.
Я вам больше скажу:
- это был постгрес, а не мускуль (но не суть);
- GROUP_CONCAT не особо нужен (ибо можно развернуть запрос в UNION ALL с лимитом каким-нить);
- много можно чего еще, но...
Гладко было на бумаге…
Поверьте, не получится так быстро, даже если не прятатся за торами/випиэнами.
Теоретики кругом...
Уверен что почти каждый разработчик в том или ином виде использовал honeypot'ы различной степени продвинутости. Вместо того чтобы написать хорошую статью по данной теме с интересными примерами и историями, вы просто попытались выехать на хайповой теме, приправив ее конспирологией уровня рентв: «А что если дыра специальная? А что если данные неважные? А что если сайт писали зеленые человечки?».
Вот серьезно, ваша же статья к той не имеет никакого отношения — вы совершенно искусственно к ней присосались.
И так сойдёт… или Дыра как средство защиты