В последнее время на различных ресурсах появляются сообщения о том, что злоумышленники все чаще используют для осуществления DDoS-атак серверные конфигурации. Очевидно, что для использования такой системы необходимо сначала получить к ней доступ. Не так давно я столкнулся с довольно интересным, как мне показалось, образцом PHP Shell'а.
Иван Осипов @Osipov
User
Безопасность систем мгновенного обмена сообщениями на базе протокола XMPP: настоящее и будущее
5 min
Все чаще многие используют решения на основе протокола XMPP (Jabber) для мгновенного обмена сообщениями, в той или иной степени отказываясь от ICQ. Данный подход, безусловно, является правильным ввиду открытости Jabber – каждый может выбрать какой сервер ему использовать или же вовсе организовать работу своего собственного. Также протокол XMPP прекрасно себя зарекомендовал в корпоративной среде и многие компании уже несколько лет успешно используют Jabber наравне с электронной почтой для обмена информацией.
Принято считать, что коммуникационные решения на базе протокола Jabber являются наименее уязвимыми с точки зрения информационной безопасности. В данной статье я постараюсь проанализировать так ли это на самом деле и какие реальные перспективы имеет протокол XMPP в этом направлении. Вопрос будет рассмотрен в контексте использования протокола для обмена сообщениями как в личных целях на публичных и частных сервисах, так и в корпоративных условиях.
Jabber для личного общения
Для личного общения Jabber массово стал использоваться сравнительно недавно, что обуславливает фактическое отсутствие коммерческого спама (или spim’а в терминологии XMPP Standards Foundation). Я специально акцентировал внимание на отсутствии именно коммерческого спама, поскольку в настоящий момент на крупных jabber-серверах имеют место единичные рассылки, которые организовываются при помощи скриптов на Python «школьниками » just for fun и не направлены на продвижение каких-либо товаров и услуг. В ближайшее время возможно появление коммерческого спама в Jabber, однако массового развития как в ICQ он получить не должен. О предпосылках этого хорошо написано в этом посте.
Принято считать, что коммуникационные решения на базе протокола Jabber являются наименее уязвимыми с точки зрения информационной безопасности. В данной статье я постараюсь проанализировать так ли это на самом деле и какие реальные перспективы имеет протокол XMPP в этом направлении. Вопрос будет рассмотрен в контексте использования протокола для обмена сообщениями как в личных целях на публичных и частных сервисах, так и в корпоративных условиях.
Jabber для личного общения
Нежелательные сообщения
Для личного общения Jabber массово стал использоваться сравнительно недавно, что обуславливает фактическое отсутствие коммерческого спама (или spim’а в терминологии XMPP Standards Foundation). Я специально акцентировал внимание на отсутствии именно коммерческого спама, поскольку в настоящий момент на крупных jabber-серверах имеют место единичные рассылки, которые организовываются при помощи скриптов на Python «школьниками » just for fun и не направлены на продвижение каких-либо товаров и услуг. В ближайшее время возможно появление коммерческого спама в Jabber, однако массового развития как в ICQ он получить не должен. О предпосылках этого хорошо написано в этом посте.
Утилита для работы со скриншотами Photofile Clip Client
2 min
Доброго времени суток, уважаемые Хабрапользователи.
Хочу поделиться впечатлениями о недавно вышедшей утилите от создателей проекта PHOTOFILE.RU — Photofile Clip Client.
Данная утилита доступна в русской и английской локализации, позволяет быстро создать скриншот заданной области экрана и сразу загрузить получившийся снимок на фотохостинг, либо сохранить его на локальном жестком диске и передать любым другим удобным способом. В программе ведется история загрузок на сервер, при необходимости всегда можно открыть загруженную картинку. Немаловажен тот факт, что в публичном доступе нет списка загруженных файлов и никто кроме Вас не сможет увидеть полный список опубликованных изображений. При желании любую картинку легко удалить с хостинга — нужно просто выбрать соответствующую опцию в контекстном меню в окне истории.
Хочу поделиться впечатлениями о недавно вышедшей утилите от создателей проекта PHOTOFILE.RU — Photofile Clip Client.
Данная утилита доступна в русской и английской локализации, позволяет быстро создать скриншот заданной области экрана и сразу загрузить получившийся снимок на фотохостинг, либо сохранить его на локальном жестком диске и передать любым другим удобным способом. В программе ведется история загрузок на сервер, при необходимости всегда можно открыть загруженную картинку. Немаловажен тот факт, что в публичном доступе нет списка загруженных файлов и никто кроме Вас не сможет увидеть полный список опубликованных изображений. При желании любую картинку легко удалить с хостинга — нужно просто выбрать соответствующую опцию в контекстном меню в окне истории.
Rambler отвязал номера ICQ?
1 min
Сегодня решил провести профилактическую смену паролей на все более или менее часто используемые мной сервисы. Когда очередь дошла до номеров асек я по привычке сменил пароли доступа в почтовые ящики на Рамблере и продолжил проводить данную процедуру на других ресурсах.
Ввожу новый пароль для соединения с сервером ICQ в клиент — неверный пароль, старый пароль подходит.
Залогинился в почтовые ящики на Rambler, оба номера почему-то оказались отвязанными от аккаунта. Самое интересное — еще в ноябре оба UIN'а были привязаны и мне таким способом удалось сменить пароль.
Получается, если бы в теории сбрутили пароль, то восстановить его не удалось ввиду отсутствия primary e-mail (да и потом восстановление пароля на https://www.icq.com/password/ не работает для привязанных к различным ресурсам типа Рамблера уинов). Конечно, в случае угона можно зарегистрировать новый номер, но это будет сопряжено с рядом неудобств (перенос контакт-листа например).
Теперь я думаю вообще отказаться от подобных привязок и прописать для восстановления паролей свои адреса электронной почты.
Никто с этим не сталкивался?
UPD: Обратился за комментариями в службу технической поддержки пользователей компании Rambler.
UPD2: Служба технической поддержки Рамблер написала что в данный момент восстановление паролей ICQ через аккаунт на Рамблере не работает.
Ввожу новый пароль для соединения с сервером ICQ в клиент — неверный пароль, старый пароль подходит.
Залогинился в почтовые ящики на Rambler, оба номера почему-то оказались отвязанными от аккаунта. Самое интересное — еще в ноябре оба UIN'а были привязаны и мне таким способом удалось сменить пароль.
Получается, если бы в теории сбрутили пароль, то восстановить его не удалось ввиду отсутствия primary e-mail (да и потом восстановление пароля на https://www.icq.com/password/ не работает для привязанных к различным ресурсам типа Рамблера уинов). Конечно, в случае угона можно зарегистрировать новый номер, но это будет сопряжено с рядом неудобств (перенос контакт-листа например).
Теперь я думаю вообще отказаться от подобных привязок и прописать для восстановления паролей свои адреса электронной почты.
Никто с этим не сталкивался?
UPD: Обратился за комментариями в службу технической поддержки пользователей компании Rambler.
UPD2: Служба технической поддержки Рамблер написала что в данный момент восстановление паролей ICQ через аккаунт на Рамблере не работает.
Серия атак на крупнейшие jabber-серверы
1 min
Вчера началась серия флуд-атак на крупнейшие Jabber-серверы на базе Ejabberd. Злоумышленники распространили флуд-бота в конференциях сервера jabber.ru. Бот регистрировал рандомные JID's на различных jabber-серверах, далее во вновь сознанную конференцию загонялись все зарегистрированные учетные записи и начинали быстро входить/выходить, посылать сообщения, флудить презенсами.
В результате атаки оказался недоступным сервис конференций на нескольких крупных серверах.
В ходе детального изучения флуд-бота выяснилось, что в его комплектацию входила база jabber-серверов по всему миру, в том числе в списке были обнаружены сервера на базе Ejabberd 1.x, базовым функционалом которого не предусмотрены ограничения на регистрацию JID's с одного IP-адреса (в более свежих версиях Ejabberd такая возможность появилась).
Следует отметить, что на настоящий момент администраторы крупнейших jabber-серверов установили патч, предотвращающий отказы в обслуживании.
В результате атаки оказался недоступным сервис конференций на нескольких крупных серверах.
В ходе детального изучения флуд-бота выяснилось, что в его комплектацию входила база jabber-серверов по всему миру, в том числе в списке были обнаружены сервера на базе Ejabberd 1.x, базовым функционалом которого не предусмотрены ограничения на регистрацию JID's с одного IP-адреса (в более свежих версиях Ejabberd такая возможность появилась).
Следует отметить, что на настоящий момент администраторы крупнейших jabber-серверов установили патч, предотвращающий отказы в обслуживании.
Яндекс.Табы
1 min
Недавно Google запатентовал дизайн своей поисковой страницы. Яндекс реагирует оперативно:
ya.ru/tabs = yandex.ru. (именно с точкой и без www)
По-моему, такое не стыдно и запатентовать.
via хабраюзер Santiago26
Инфо by Bobuk juick.com/bb/256527
ya.ru/tabs = yandex.ru. (именно с точкой и без www)
По-моему, такое не стыдно и запатентовать.
via хабраюзер Santiago26
Инфо by Bobuk juick.com/bb/256527