Category: животные

manandmoon

Про фишинг

Здравствуйте, дорогие оставшиеся в живых френды!
Федеральная Служба Опасности кажется возвращается в эфир после долгого перерыва. Не то что мы тут фигней страдали, но занимались работой, далекой от хакеров и взломов. А теперь вот вернулись.

В честь такого дела напишем об одном баге. Вернее не баге, а фиче, и даже не фиче, а натурально веб стандарте, на который почему-то до недавних пор не очень обращали внимания.

Вот если например взять любую ссылку и открыть ее в новом окне, то новой странице передастся refer(r)er. Оказывается, и это и есть та самая фича, передастся еще и объект window.opener указывающий на предыдущую страницу. Делать с объектом особенно ничего нельзя, поскольку живет он на другом сайте, кроме одного: можно перенаправлять на другой адрес. Вот так:

if (window.opener) {
  window.opener.location = 'http://some.other.site/';
}


Какого хрена эту возможность вставили, я не знаю, хороших применений я тут придумать не могу. А негативное пожалста: берешь сайт типа ЖЖ, Эвернота или веб-почты, желательно с часто слетающей авторизацией, постишь туда ссылку на свой злой сайт. На злом сайте какие-нить котики для отвлечения внимания, и джаваскрипт, перенаправляющий исходный сайт на фейковую страницу авторизации. Посмотрит пользователь котиков, вернется домой, поцокает языком да и, глядишь, попробует назад залогиниться...

Простая демонстрация. Вместо фейкового логина идет на логин lj.rossia.org

Интересный момент - если фейковая страница не устанавливает титул, то старый титул остается на месте, то есть визуально вообще ничего не прыгает и пользователя не пугает

Как бороться. Тут авторы браузеров еще не пришли к общему знаменателю. Обсуждение идет, добавление rel="noreferrer" в код пользовательских ссылок вроде стирает opener на всех браузерах.

<a href="http://some.site/" rel="noreferrer">

Бонус: Referer тогда тоже не передается, как следует из названия. Иногда можно пользоваться rel="nofollow"(вы думали оно нужно только для оптимизации поисковиков?) но только на вебките, на файрфоксе не работает.
manandmoon

Принцип Керкгоффса и другие

Есть в инфобезопасности знаменитое правило, впервые предложенное еще в 19ом веке голландским криптографом Огюстом Керкгоффсом : "защищенность системы не должна опираться на ее закрытость" То есть, защита не должна предполагать секретности алгоритмов или архитектуры, вся необходимая секретность должна быть сконцентрирована на малом пятачке: в пароле или ключе. Клода Шеннон сформулировал особенно четко: "враг знает систему"

Принцип безусловно полезный и нужный. Если имеется возможность обойтись без обязвтельной закрытости, то лучше строить систему без нее. Чем меньше секретов, тем проще за ними уследить и из защищать. Сменить ключ гораздо проще, чем переписать утекший код. Даже общие принципы программирования диктуют, что чем меньше модуль завязан на внешние обстоятельства, тем лучше. Сплошные плюсы, но речь сейчас пойдет не о преимуществах принципа, а об исключениях из него. 

Если приглядеься, то мы обнаружем что мир кишит системами, которые наругшают принцип Керкгоффса самым вопиющим образом. и неплохо себя чувствуют: алгоритмы ранжирования поисковиков, трояны, напичканные ассемблерными наворотами, DRM, Скайп итп. Все так или иначе опираются на то, что потенциальный противник, будь то сеошники или внтивирусы не знает деталей именно что алгоритма. Во многом эта вынуждкннвя мера: либо секретный ингредиент никак не сосредоточишь в изящном 512-битном формате, как в случае поисковиков, либо его просто невозможно полностью утаить, ибо нет в системе места, куда враг не мог бы при желании добраться. Вопрос, тем не менее, остается: как им так удается?

Здесь следует вспомнить, что и Керкгоффс и Шеннон работали на военщину, имеющую практически неограниченные ресурсы с одной стороны, и самые строгие требования к защите, с другой. В таких экстремальных условиях лучше сразу предполагать худшее: везде шпионы, все чертежи украдены, на разведку противника работают лучшие умы государства (хорошо, если его государства, а не твоего). Но мы-то не военные, и цели у нас поскромнее и враги попроще.

Наш враг - не государственный монстр, а вполне тварь дрожащая: хакер, сеошник, антивирус. Победа лююой ценой ему не нужна, у него ограниченные интересы - деньги, продажи, популярность среди сверстников, лулзы - и ограниченные ресурсы. Это уже не безопасность, а синтез безопасности и экономики, где действуют свои принципы:

Во-первых, имеем принцип медведя: важно бежать не быстрее медведя, а быстрее любимого конкурента.

Во-вторых, имеем принцип палева тем: чем тема выгоднее, тем меньше ее палят. Во вражьем стане конкурентов тоже не любят.

Поясню на примере. Пусть у нас есть сайт с набором сервисов: магазин, партнерская программа, форум поддержки, отзывы пользоветелей, и пусть у нас есть новый алгоритм определения злохакеров по небритой роже в вебкамере. Как и где нам этот алгоритм выкатывать?

Согласно принципу медведя, систему стоит максимально запутать. Чем сложнее понять, как она работает, там больше желание не тратить время, а уйти на сайт конкуретов, у которых системы нет. Громадное количество небритых школьников сразу отсеется. Это хорошо.

С другой стороны, по принципу палева тем, защиту следует устанавливать не везде сразу, а начиная с самых денежных сервисов: с магазина и партнерской программы в нашем случае. Почему? Потому, что если кто-то все таки разберется в нашей методике и догадается, как обойти ее при помощи простой бритвы и мыла, то не станет делиться с другими. Вместо этого он будет тихо сидеть и доить выгодную тему, а другие потерпят. Общая злохакерская активность на сайте упадет, что опять хорошо. Чем прибыльнее тема и запутанней код, тем дольше будет спад. А там, глядишь, и новую защиту придумаем.

Если тема в конце концов просочится в паблик, то можно выкатывать ее и остальных направлениях: на форуме, сервисе отзывов итп. Плохая защита лучше никакой (опять принцип медведя), некоторый процент злодеев она все-таки будет ловить за бороды. 


Иллюстрация 1. Злохакер.

Вообще, стык безопасности и экономики - почти непаханное поле, изучать и изучать. Но не все сразу.

posted on dreamwidth [comment count unavailable comments]
manandmoon

Анализ феномена "превед"

В последние дни в русскоязычном интернете бушует эпидемия употребления словечка "превед". Таким шутливым выражением пользователи сети ситуацию, когда хуяк, идет медведь по лесу, а там на поляне мужик бабу раком ебет, медведь им и говорит "превед!" Происхождением оно обязано картине Bear Surprise, автором которой является выдающийся американский актер, музыкант и художник Джон Лури, а автором перевода на русский язык - пользователь сайта dirty.ru по имени Lobzz. Подробный происхождения выражения содержится в статье Германа Лукомникова.

Мы решили провести статистический анализ распространения выражения по компьютерной сети. Для этого нами были использованы данные о количестве найденных ссылок, выдаваемые поисковыми системами "Google BlogSearch , Altavista и Yandex

Для статистической обработки собранных данных был использован пакет Mathematica. Нами было обнаружено следующее: Выражение превед использовалось в русскоязычном секторе Интернета и раньше, так за 2005 год, оно было употреблено около всего около 150 раз в блогах (0.4 раза в день) и около 2.5 тыс. раз в сети в целом (6.9 раз в день). Разумеется, слово тогда еще не отсылало к ситуации с медведем, а являлось просто намеренной или ненамеренной опечаткой. Особняком стоит король Превед, персонаж рассказа, присланного на конкурс сайта prikl.ru Collapse )
Рис. 1 Рост популярности "превед" в блогах
 

 

Был выполнен статистический анализ данных, в ходе которого была подтверждена гипотеза Г. Лукомникова об экспоненциальном росте популярности слова "превед". Детальные подсчеты показывают, что в настоящее время число употреблений "превед" растет в среднем со скоростью 17% в день. Это позволяет с уверенностью говорить, о взрывообразном характере явления.


Collapse )

Экстраполируя тенденцию в будущее, мы можем сказать, что если эпидемия все же не угаснет, то уже к середине апреля слово "превед" превысит по популярности слово "хуй", а к началу июля оно будет встречаться на каждой странице сети Интернет.

Афтары есследаванея вэражаюд свой превед фсем камментатарам за дапалненея и ценнаю критеку.

СПИСОК ЛИТЕРАТУРЫ:

(1) Г. Лукомников - превед - Живой Журнал, 12 фев. 2006

(2) И. Белкин, А. Амзин - Полный превед - Lenta.ru, 28 февраля 2006

(3) Л. Жан - Эффект «превед» - Журнал Я, 27 марта 2006

(4) Неологизм «превед» с успехом заменяет слово «х#й» - Полит.ру, 20 марта 2006

manandmoon

(no subject)

Уважаемый avva постнул занимательную ссылку на альтернативные переводы знаменитой басни про Ворону и Лисицу, принадлежащие Тредиаковскому и Сумарокову. Крыловский вариант победил неспроста, однако.

Как бы то ни было, не могу не постнуть современный фольклорный вариант, слышанный мной еще в школе.

Collapse )