TutaMC

Найпопулярніше питаня до мене це "Як зробити, щоб нічого не робити, а сайт був супер-безпечний", і постійно я відповідав по різному максимально приховуючи АБСОЛЮТНО-СУПЕР-СЕКРЕТНУ технологію, що була розроблема століння назад. І лише сьогодні цім секретом поділюся ), тож якщо ви хочете створювати безпечний сайт, то ось 5 рекомендацій:

1. При програмуванні використовуйте фреймворки, типу ЗендФреймворка, КодеІгнайтера, Джанго, чи інших подібних. Використання фреймворків захищає вас від банальних помилок. Якщо говорити про Джанго, то в нім по замовчуванні є влаштований захист від майже всіх типів атак - SQL-inj, CSRF, XSS. Ці фреймворки написані великою кількістю розумних людей, тому помилок там дуже мало. Набагато менше, ніж якщо б ви цей функціонал писали самі.
2. Закривайте все по IP.
3. Закривайте все по IP.
4. Закривайте все по IP, якщо в вас є адмінка на сайті, то вхід до неї також закривайте по IP. Це дуже просто і супер надійно. Звичайно трішки "неудобства" добавить вам в зв'язку з необхідністю використуванням VPN коли не з основного місця працюєте, але це того варте. Наприклад, якщо зловмисник навіть дізнається адмінський пароль, то він абсолютно нічого не зможе зробити. Це просто реалізується в усіх веб-серверах, а я юзаю nginx, і в нім в конфігі є такі рядки:
   
   location /admin/ {
    allow 127.0.0.1;
    deny all;
    ...
}
5. І знову - закривайте все по IP, якщо в вас є MySQL, FTP і все інше, то все це закривайте файрволом. На сервак повинен бути доступ з будь якого IP лише до ssh з сертифікатом і великим паролем.

В старом архиве нашел статтью о заработке на хаке... С художественной точки статья очень слабая, но пару вещей есть интересных. Например, о том как начинать заниматься аудитом... Может кому пригодиться, поэтому рискну опубликовать ;)

Второй по популярности в хак-среде вопрос после "Как поламать интернет?" конечно же "Как заработать на взломе?". И на него мы периодически отвечаем в статьях, что пишем для тебя. Сейчас я более детально расскажу о возможностях заработка денег через взлом.

Видов заработка связаного более или менее с хаком очень и очень много, но я не буду рассказывать о каждом. Ведь лучше меньше, но конкретнее, с описанием и конкретными советам. Разберу лишь 5 видов заработка которые, по моему мнению, фундаментальные, которые заключаются в непосредственном взломе.

Заказной взлом

Сразу после прихода в мир хакинга знания очень не систематизированы. Например, знаю как заюзать скулю в стандартной ситуации, но лишь немного условия меняются и сразу сайт становится неломаемым. Да и зачастую очень сложно понять всю иерархию хак-мира, понять что делается и зачем.

Нещодавно Надя з газети сьогдні попрохала поспілкуватися про хакінг, що в результаті вилилося в невеличку статтю, що була опублікована в газеті "Сьогодні". Стаття в першу чергу для людей, яким не зовсім цікава технічна сторона, тому і стиль відповідний. Там ще була фотка по півсторінки, але це не зовсім цікаво, тому замість неї краще буде прикольна пісня про інет ;)

Они выросли на книжках о пиратах. Но в XXI веке абордажи превратились во взломы сайтов, черные метки — в знаки отличия «ламера» (т.е. новичка) от «гика»-профи... Романтика, одним словом. А пиастры… так, приятное дополнение. Хотя, признаться, не все хакеры так благородно относятся к своей миссии. В то время, как мы спокойно пользуемся кредитками, вводим на сайты свои телефоны и адреса, эти люди внимательно следят за каждым нашим шагом, желая подловить нас на невнимательности. И потом еще удивляемся: чего это мне с рекламой на мобильный звонят?! И для того, чтобы подобные вопросы не возникали, сегодня мы расскажем о хакерах и их малоизвестных «штучках».

Первый наш герой — Роман Хоменко — хакер, специалист по безопасности и… бывший лейтенант милиции в одном флаконе. «Мой отец был милиционером, а я хотел быть похожим на него. Но из «органов» ушел быстро — спустя полгода после окончания академии: хакерское начало взяло верх. Но я по натуре не злодей — поэтому тонкости хакерского дела мне нужны, чтобы как раз обеспечивать безопасность — сейчас защищаю программу проверки знаний в Харьковском институте радиоэлектроники», — смеется Роман. Он так называемый «белый хакер» — то есть программист, который взламывает систему, чтобы указать владельцу ее слабые места. «Черные» же используют эти дыры в программном коде для того, чтобы шантажировать владельца и зарабатывать на этом деньги. «Но «белым» хакерам по уровню знаний далеко до «черных» — мотиваций профессионального роста у вторых больше: сколько взломал — столько заработал», — рассказывает Роман.

Для него хакерство — дело чести: «Первый взлом в моей жизни — почта одной девочки, чтобы привлечь ее внимание! Даже сейчас придумываю взломы не ради денег — для меня они, как автомат для Калашникова — для стрельбы в тире», — говорит Роман. К слову, на специализированных сайтах постоянно работают «биржи труда» для хакеров, где публикуются задачи и плата за их решение. Почту здесь взломают за $50-100, сайт - за $300-1000 (зависит от уровня его защищенности), напишут неуловимый банковский вирус для кражи паролей от Интернет-счетов - за $5-10 тысяч, а вот устройства для кражи карточек, которые ставятся на банкомат, вам смастерят за $10-15 тыс.

Читаючи матеріали з недавньої конференції BlackHat 2009 (які в більшості попса страшна) зацікавився однією статтею - Fighting Russian Cybercrime Mobsters: Report from the Trenches: http://docs.google.com/gview?a=v&q=cache:-a0pdxBYXfMJ:www.blackhat.com/presentations/bh-usa-09/ALPEROVITCH/BHUSA09-Alperovitch-RussCybercrime-PAPER.pdf+fightin+russian+cybercrime&hl=en

І неначе звичайна стаття, де пишні слова, що exUSSR кіберсцена краде й краде величезні гроші в Америки, і мені чесно говорячи від цього не холодно і не гаряче. Але в кінці статті розповідь перейшла на КардерПланет і про його людей, та й знову були стандартні фрази з історії минулих літ... але потім в доповіді писалось про те яке життя в бивших керівників цього сайту і згадується про всім відомого Дімочку Голубова і про те що він не був засуджений, а тепер навіть являється керівником української інтернет-партії!

Я навіть предствавити не можу як люди в америці до цього віднеслися, і наскільки в них були круглі очі. І мені чесно кажучи соромно за державу, за мою державу де бандити, явні бандити, а тепер бачте виправився! Став політиком. Я в шоці! А може лише такі люди можуть працювати в політиці! Може серед Г. може знаходитися лише Г.

Хакерська конференція

З невиликим запізненням спішу поділитися з вами про хакерську конференцію, що відбулася з 27.06.09 по 28.06.09.

Отже, 27 числа розпочався хакерський з'їзд в м.Києві на який з'їхалися представники з усієї країни. Людей було приблизно чоловік з 15. Зустріч відбулася в центрі, а потім повільно перейшла на Труханів острів, де й сиділи аж до вечора. Десь близько 8-мої години зустріч перейшла до "Кофе-тайму", де й була до півночі.

28 числа з самого ранку конференція продовжилася, але на цей раз в різних частинах Києва. А вже пізно ввечері всі роз'їхалися по домам.

За час зустрічі розмовляли як і про зовсім банальні теми, що не відносяться до хаку, так і на дуже серьозні теми, що навіть багато хто з присутніх не міг зрозуміти суті теми.

Ще хочеться добавити, те що в таких ситуаціях дружба виникає набагато швидше ніж в звичайних. Тож яякую всім учасникам за чудову конференцію.

І трішки медіаматеріалів.

Відео нового типу атак на сервер "Кет"

Соціальне програмування:

Кардінг:

Зустріли друга - Креветко:

Інші фотографії в альбомі http://picasaweb.google.ru/spirt40/ByFOA270609280609#

PS: хотів детально розписати як все було, але порахував що для секретності так не можна робити. Тому запис в блозі получися як звіт ;). Бо все це не передати словами, потрібно бути на таких зустрічах.