Как стать автором
Обновить

Комментарии 62

Примерно в конце 2014 года попался сайт сервисного центра по ремонту ноутбуков. Вполне настоящего, по-моему в Москве. Владельцу пришла гениальная идея сделать редизайн, скопировав дизайн sony_ru. На первый взгляд это выглядело как официальная страница сервисного центра Сони. Через пару месяцев пожаловался в официальную техподдержку Сони недовольный ремонтом клиент, считавший что ремонт ему делал официальный сервис центр. Представитель Сони подал в суд на этот СЦ.

Насколько помню, первая буква D в аббревиатуре DDoS означает «распределённая». У Вас можно арендовать сразу сеть компьютеров, раскиданных по всему миру, чтобы школьники могли валить игровые сервера с комфортом, или в статье речь всё же об обычных DoS-атаках?
Простите, в первом случае действительно имелись в виду DoS, но корректор поправил по аналогии.

Открою секрет: пост на Хабре можно редактировать.

Так именно то вхождение, где DoS, я сразу же и отредактировал. Дальше речь про то, что наш виртуальный сервер включают в D-сеть для атаки.

По факту оказалось, что герой истории зашифровал всю виртуалку, ключи, естественно, хранил отдельно и вообще оказался более чем разбирающимся в том, как работают интернеты. 

Прошу прощения, если глупый вопрос, а разве можно так зашифровать, чтобы имея доступ к памяти виртуальной машины, нельзя было достать ключ шифрования?

Для удобства следствия вы должны думать что да.

А разве такой доступ есть? CPU с аппаратной виртуализацией на уровне железа изолирует гостевую ОС, насколько я знаю.

В общем случае есть. Виртуальные машины изолируются друг от друга, а не от гипервизора. Для защиты от злонамеренного гипервизора есть решения типа Intel SGX, но это уже несколько другое.

Насколько я понимаю, AMD SEV, в отличие от SGX, позволяет полноценные зашифрованные ВМ и их аттестацию. На стороне Intel для этого есть/будет Intel TDX.

Есть конечно. С аппаратной виртуализацией все получше стало, но все равно подумайте - как, например, сетевой пакет попадает в виртуальную машину? Или покидает ее?

Например, ключи шифрования приходят вместе с входящим трафиком, с помощью них данные расшифровываются, отправляется ответ и ключи сразу же удаляются из RAM виртуальной машины. В этом случае только и остается, что прослушивать входящий трафик.

Ээ... никто не мешает поставить всю ВМ на паузу в любой момент. Или исполнять ее по одной инструкции за раз, как в дебаггере.

Это как? Вот зашел на биржу клиент, это обычный браузер, какой-нибудь tls. У ВМ в памяти лежит ключ, которым она этот траффик расшифровывает. Почему его нельзя достать?

Если файлы зашифрованы, то тоже должны быть постоянные операции шифрования-дешифрования и тоже должны быть ключи.

Все равно должен быть незашифрованный загрузчик, который получает ключ расшифровки по сети при старте виртуальной машины. Зная код загрузчика, зная траффик, который он получил и передал, мы можем отреверсить ключ.

Но повторяюсь, я в этом не разбираюсь, может глупости пишу.

Вопрос в том, есть ли готовые инструменты для таких манипуляций. Если их еще надо написать или они стоят существенных денег - кто будет заморачиваться?

Разработчик Win 10 Tweaker вон зловредный код держал в открытом виде на своем хостинге.

Предупреждаем владельца машины, что в течение N дней будет начата проверка и мы получим гостевой доступ на его ВМ

А это вообще законно? Вы действуете по запросу М$ или полиции? А если там бд с персональными данными? А если вам в ответ "я не даю согласия на доступ к моей информации"?

Увы, это законно, поскольку пользователь соглашается с этим в соглашении MS и нашей оферте, где оттранслированы пункты этого соглашения. Нам эта политика не нравится, но других условий поставки софта нет.
Проверка не инициируется просто так. Допустим, к нам обращаются контролирующие органы или майкрософт с заявлением, что по их мнению есть нарушения, тогда у нас нет выбора, кроме как инициировать проверку. Если в проверке клиент отказывает, мы будем вынуждены остановить его обслуживание.
Это любой автор любого Болженоса, ссылаясь на своё лицензионное соглашение, может потребовать содержимое ВМ для проверки, не установлена ли там его софтина без правильной лицензии?

Если вы этот самый Болженос поставили - значит, согласились с лицензией. В начале 2000х даже вирус такой был - при запуске зараженной программы показывалась "лицензия", где в первом же невидимом если не скроллить пункте было написано что-то вроде "при продолжении работы с программой мы заразим все до чего дотянемся". И если отказаться - то ничего не происходило, но отказывались немногие...

Тут немного другая ситуация. Хостер не должен знать, какая ОСь установлена на виртуалке (он же не должен заглядывать внутрь), но даёт виртуалки на проверку, а вдруг там Windows. Т.е. налицо презумпция виновности.

Я не сталкивался с виртуальным хостингом - но при создании VM в VMware, VBox и т.п. - нужно выбрать тип будущей ОС.

Это всего лишь пресеты для более оптимальной работы вирт. машины, а на деле можно поставить что угодно.

А что такое "гостевой доступ на ВМ"?

А в российском законодательстве от хостера не требуется трогать содержимое виртуальных машин — начиная с гостевой ОС и ниже. То есть мы принципиально не можем знать, что там внутри VD-сервера. То есть в международном праве MS составили соглашение, которое было оттранслировано в Россию, где оно вступило в конфликт с российским правом

вы же не только в РФ работаете, а как в других странах?


На практике чаще возникает другая ситуация такого опосредованного пиратства: речь про незнание того, как правильно менять лицензии MS на другие такие же лицензии MS при переезде в облако. Дело в том, что лицензии напрямую не переносятся, и использовать тот же ключ от вашего прикладного ПО уже нельзя. Нужно использовать специальный сервис MS — License Mobility.

это прикладной софт, а лицензировать операционку в облаке вроде бы вообще нельзя (только через хостера)

В другом посте мы уже упоминали, что в других юрисдикциях это происходит через Интерпол, и это случается крайне редко.

Про прикладной софт, верно, но не противоречит тому, что написано. Просто mobility не даст перенести то, что нельзя.

Вы бы мануал/ы написали: как все то, что описано в топике - организовать на практике. Это была бы тема. А так, неинтересная заметка. Даже без ИМХО. Тут не я-дзен, а хабр. Ничего личного. Просто уже второй раз ведусь на ваше кликбейтное название. Неприятно.

с таким подходом скоро вообще будет почитать нечего

с таким подходом скоро вообще будет почитать нечего

Ну тогда сорян, если вам заметка зашла. Мне вообще не зашла. Объясните деревенщине/мне, в чем ее практический смысл?

Технического смысла нет, есть развлекательно-познавательный. Но заголовок как бы и предполагал достаточно лёгкое чтиво, и мне лично было любопытно посмотреть, с чем там сталкиваются. Ну и про лицензии MS на ноутах, например, я вообще не задумывался.

Технического смысла нет

В этом и был смысл моего комментария выше.

есть развлекательно-познавательный.

Мы про хабр или про ТВ речь ведем?..

Ну и про лицензии MS на ноутах, например, я вообще не задумывался.

Относительно этого в статье не то чтоб лож, но изложено ведение мягкотелых, что не есть законы и/или основы капитализма. Могу привести многократные примеры, которые базируются на немалом рабочем опыте. Требуется?..

Относительно этого в статье не то чтоб лож, но изложено ведение мягкотелых, что не есть законы и/или основы капитализма. Могу привести многократные примеры, которые базируются на немалом рабочем опыте. Требуется?..

А было бы интересно почитать.

А было бы интересно почитать.

Что вы хотите знать относительно лицензирования венды на ноутах? По сути и вкратце: стоит ОЕМ версия ПО и мягкотелые ни за что ответственности не несут.

Те самые многократные примеры.
У меня например была полная уверенность что если на любом компе винда изначально была предустановлена и ключ в BIOS — лицензия следует за ноутом автоматически без каких то отдельных доказательств и бумаг. Даже если винда на этом компе — опция.
Кстати ноуты от не-ноутов тут разве различаются?

Те самые многократные примеры.

Верно заданный вопрос содержит половину ответа. Мне не трудно привести примеры. Задайте вопросы конкретно.

У меня например была полная уверенность что если на любом компе винда изначально была предустановлена и ключ в BIOS — лицензия следует за ноутом автоматически без каких то отдельных доказательств и бумаг.

С точки зрения мягкотелых - да. Если вести речь про ОЕМ версию венды. С точки зрения правовой - нет и/или будут нюансы в зависимости от страны. В общем, но вкратце: лицензии Майкрософт дифференцируются по трем основным критериям: ОЕМ, бизнес и дом. То есть/пример: венда 10 ПРО версия лицензия для дома/частная - стоит 200 баксов в розницу, а венда 10 ПРО бизнес лицензия стоит уже 500 баксов. В тоже самое время эта венда, но ОЕМ версия стоит баксов 50-70.

Даже если винда на этом компе — опция.

Вы ошибаетесь. Потому что если венда от вендора стоит, то ОЕМ версия, а если опция, то как правило (по соглашению мягкотелых), точнее должна быть - боксовая версия.

Кстати ноуты от не-ноутов тут разве различаются?

По сути да. Уточните от чего/какого устройства? Опционального/самосбор или готовое от вендора?

ЗЫ: Но все вышеописанное актуально: при наличии знаний, соглашений, лицензий, сертификатов и законов. Менты же просто проверяют т. н. корневые сертификаты - а-ля валидация венды. А какого типа лицензия им вообще пофиг и/или у них нет знаний/понимания того, что оная дифференцируется.

По сути да. Уточните от чего/какого устройства? Опционального/самосбор или готовое от вендора?

Два примера. Как вот это работает?
Ноут. Продается американской конторой. Если нужно винду — +139 USD за Home/+199 USD за Pro к цене (а так — линукс, реально работающий а не для формальных целей).


Российский магазин электроники, может вместе с комплектующими, если они в принципе между собой совместимы, продать и услугу "соберите мне из этого комп"(даже коробки отдадут потом). в комплект можно добавить винду (которую они продают и отдельно тоже, где то около 9к рублей) и ее установят.

Как вот это работает?

Тут два нюанса есть: 1) я не знаю законов США относительно АЙТ; 2) могу только предположить, что ценообразование дифференцируется в зависимости от региона. Вообще, при условии, что вы в РФ и частное лицо, то лучше сделать так: купить ноут без ОС и/или железо, а потом купить поддон/нижняя крышка от ноута, которая с "акцизной маркой" - ключом от венды 7. Если нужна ПРо версия, то берет вин 7 хоум премиум, а если сойдет и домашняя, то берете вин 7 домашнюю или старт. Ключ от семерки можно легитимо юзать для десятки. При 2-х условиях выше: РФ и частное использование. На самом деле можно и для частного бизнеса. Мягкотелые против, в теории, а на практике все норм. Менты же в ПТУ учились, те, что от АЙТ. Это не совет, призыв и/или подобное что-либо, но лишь описание реалий, которые имеют быть.

Мошеннические АТС — реально та история, где бы нам чисто по-человечески хотелось бы делать что-то, но мы ограничены и правилами, и законом, и здравым смыслом. Выглядит это так: регистрируются с американских номеров, оплачивают американскими пейпалами или кредитными картами, ставят виртуальную АТС, а затем к ней подключается куча людей

Вы создали для мошенников инструмент и его им продаёте. При этом тут же говорите что хотели бы что-то сделать. Ну так сделайте: уберите возможность анонимно пользоваться вашими услугами. Но нет, профит важнее людей. Деньги не пахнут. Минусуйте.

Виртуальный сервер - это такой же инструмент как, скажем, молоток. Можно для строительства использовать, а можно головы в подворотнях проламывать. И производитель молотков заранее не знает как каждый конкретный экземпляр будет использоваться.

Злые дядьки платят пэйпэлом — мы бы хотели что-то с этим сделать но не можем!
Или можем? Может не принимать пэйпэл? Может не регать с американских номеров?
Это по существу. А сравнение со всякими молотками, ножами, вилками/ложками это демагогия. Вы не из тех кто за открытую продажу всем подряд огнестрела «потому что убивает не оружие а человек»?

Если 60% из платящих пэйпалом - мошенники, является ли это основанием чтобы отказывать в обслуживании остальным 40%?

О том и речь. Убрать возможность платить пэйпэлом и потерять часть (уверен не большую) клиентов (денег) или не препятствовать мошенникам использовать свои сервисы.
Но это же бизнес, а его задача зарабатывать деньги.
нам чисто по-человечески хотелось бы делать что-то

потерять часть (уверен не большую) клиентов (денег)

Вы из своего кармана готовы бизнесу компенсировать эти деньги? Если нет - дискуссию можно считать завершенной.

Ну раз вы считаете что я должен компенсировать бизнесу потерю денег от мошенников то да, давайте дискуссию считать завершённой. Желаю не стать жертвой мошенников, которым так легко работается в таких «человечных» облаках.
Потерю денег не от мошенников, а от глупых действий «запретить регистрироваться без копии паспорта».
Глупое действие это потому, что без вышестоящей регуляции от такой действий системе смысла не будет — ну пойдут мошенники к другому хостеру, который глупых советов не слушает.

Ну будут с кредитных карт платить, разница-то в чём? Пейпал как бы не является анонимным средством платежа.


И да, сравнивать VDS с огнестрелом некорректно, потому что огнестрел — он, знаете ли, создан для стрельбы, то есть для опасной деятельности. А VDS, как и молоток — это инструменты, которыми можно не только делать что-то опасное или вредное.

А зачем? Дело хостера — предоставлять хороший хостинг, а не быть святее папы римского. Для последнего есть специально обученные люди.
Меня поразило что они знают о том как они позволяют легко «без регистрации и смс» мошенникам работать без опасения быть пойманными но ничего не делают с этим.

Что значит — без опасений быть пойманными? Все платежи можно отследить, а по ним — найти мошенников.


Проблема-то тут исключительно в том, что отслеживать никто не умеет — но это не проблема хостера.

То есть если кто-то стуканёт в MS про пиратский софт либо MS по каким-то признакам решит, что возможно наличие пиратского ПО в организации, то мы должны провести аудит ВМ.

На практике выглядит это так:

Мы получаем запрос на то, что на такой-то машине есть признаки пиратского софта.
Предупреждаем владельца машины, что в течение N дней будет начата проверка и мы получим гостевой доступ на его ВМ.

Приходят к нам с запросом на данные биллинга и блокировку. Причём запрос этот мы отклоняем, потому что блокировать в России имеет право только суд и РКН.

Я правильно понимаю что «по просьбе» MS о возможном пиратском софте они на виртуалку залезают проверять а МВД глупое в суд отправляют? Это конечно не проблема хостера а МВД, а забота о людях и противоборство мошенникам прям сквозит из каждого слова!

Вы решаете проблему не с того конца. Хостинг-провайдеры следят за тем, за чем могут следить -- тот же масс-спам или DOS хотя бы отлавливают!

А вот с АТС отлавливать подмены номера и массовый обзвон должны были бы Операторы Связи, и ваши претензии как раз звучали бы по адресу, если были бы направлены к ним.

Да хотя бы не давать кому попало SIP-доступ к своим (и чужим) сетям, или контролировать совпадение SIP-адреса с купленным номером.

интересно, почему dos атака - это не законно

Поработаю Капитаном Очевидностью. Ст. ст. 272-274 УК РФ. Выбирайте, какая больше нравится. Аналогичные есть во многих других государствах.

Потому что нарушает функционирование ресурса.
Почта как явление системно больна из-за того, что придумывалась во времена динозавров Интернета, и с тех пор не сильно поменялась, разве что обросла костылями.

Ничем она системно не больна. Электронная почта — это аналог обычной почты. Когда ты взял, написал письмо, подписал кому и опустил в любой почтовый ящик даже не имея собственного! И этим она и замечательна! В отличии от современных насквозь зарегистрированных и запротоколированынных сервисов. Почта это такая штука, когда «почтовый ящик» можно сделать самому себе и «прибить под столом». Саму идею реализации такого обмена как всегда испортили сами люди.

я был бы очень рад, если бы мне в обычный почтовый ящик в подъезде приходила только та корреспоненция, которую я сам хотел бы там
видеть

Нет. Тут принципиальная разница. Обычная почта стоит денег. И если отправлять куда-нибудь далеко, то больших. На ней просто невозможно организовать отправку в несколько миллионов писем. Максимум - десятков тысяч дешёвых рекламных буклетов на строго определённые адреса совсем неподалёку.

Основная масса почтового спама легко отсекается весовыми функциями по ряду характеристик, а сервисы относительно гарантированной доставки электронной почты тоже стоят денег. Посмотрите например SendGrid.

То есть в международном праве MS составили соглашение, которое было оттранслировано в Россию, где оно вступило в конфликт с российским правом. В итоге это противоречие решается следующим костылём:

Странно, если что вступает в конфликт с законом РФ на територии РФ это что то недействительно.

Если вы откжаете M$ в чем то, то оно пойдет в суд ибо другими законными методами воздействовать на вас не может, и будет пробовать принудить вас это сделать, а принудить не может из-за того что это действие не законно на територии РФ. (ну это так, ремарка)

плюс можем делать запрос на доступ на арендованную машину в случае обнаружения состава преступления...
Вы можете проводить следственные действия для определения состава преступления??!! и по какой статье?? :)

>>>> Приходят к нам с запросом на данные биллинга и блокировку. Причём запрос этот мы отклоняем, потому что блокировать в России имеет право только суд и РКН.

Вы вполне можете блокировать мошеннические АТС по факту обращения к вам с информацией о неправомерных действиях. В ваших (да и всех операторов) правилах же написано, что нельзя использовать ваши VDS для неправомерных операций и вы с чистой совестью такое блокируете. Вообще не понял вашу позицию, если честно. DDoS блокируем, фродовые звонки - нет. Странно.

Бывают всякие онлайн-казино, странные криптовалютные биржи и прочее.

Напомнило - приходил к нам на интервью очень странный чувак, на вопрос про предыдущие проекты сказавший что "могу дать гитхаб, но вы все равно ничего не поймете" - и упорно не "коловшийся" на тему предназначения разработанной системы. Сначала действительно было непонятно - сайт с какими-то таблицами, клик почти по каждой клетке вызывает переход на какую-то другую таблицу. Вместо заголовков - одна-две-три буквы, не складывающихся в слово.
Код тоже заверчен будь здоров, но на финансовые или крипто-вычисления непохоже. В конце концов, погуглив немногие читабельные названия переменных (или методов) - поняли что это статистика какой-то малоизвестной онлайн-компьютерной игры, а чувак этот - у них там глава клана или что-то вроде.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.