Заповедник Зелирия. Дневник разработки. Часть 11. Пираты

Данная часть дневников стала внеплановой. Так как сейчас наш сценарист сильно занят, перо в руки пришлось брать программисту. В первой части он изложил своё личное отношение к событиям, а вторая, вероятно, будет предупреждением тем, кто пойдёт вслед за нами.

В закладки

ЧАСТЬ I Корсары и бандиты

У старой пристани, где глуше пьяниц крик,

Где реже синий дым табачного угара,

Безумный старый бриг Летучего Корсара

Раскрашенными флагами поник

Как хорошо известно, пиратство появилось ещё в глубокой древности. Ещё в мифах Древней Греции есть упоминание о попытке захвата пиратами Диониса, не избежал пиратского плена и Гай Юлий Цезарь. И всегда к пиратам было двоякое отношение. С одной стороны они олицетворяли доблесть, приправленную авантюризмом, независимость и мужество, а с другой приравнивались к обычным разбойникам. Так, в Риме для пиратов была уготована участь быть распятыми на крестах, наравне с обычными бандитами (что с захватившими его ранее пиратами и сделал Цезарь, после того, как был выкуплен из плена). С другой стороны, во многих странах пиратов было принято делить на своих и чужих. «Свои» пираты нападали на суда других государств, но никогда не трогали корабли своей родины и союзных стран. То есть, мы можем говорить, что практика каперства зародилась ещё на заре истории. Из более близких к нам времён известны такие имена, как Френсис Дрейк и Генри Морган. И как мы помним, к таким личностям всегда относились с уважением, им многое могло сойти с рук, что не сошло бы другим. Так, Генри Морган был предупреждён о заключении мирного соглашения и должен был отменить штурм Панамы, но ослушался приказа. Тогда он был арестован и предстал перед Королевским судом. По законам, его ждала виселица, но несмотря на все свидетельские показания против него, был выпущен под честное слово с формулировкой «Виновность не доказана», а через три года, после того, как страсти улеглись, был назначен вице-губернатором Ямайки. Но это не значит, что пиратов не вешали на реях. Вешали в большом количестве. Но в своей массе это были те, кто пошёл против всех. Кто не разбирая свой-чужой, ослеплённой жаждой наживы и славы, начинал топить всех подряд. Конечно, если «честные» корсары оказывались в руках врага, то им пощады тоже не следовало ждать.

Пиратов нового времени роднит с флибустьерами отнюдь не только название. По своей сути, сегодня мы можем видеть то же самое отношение к хакерам, что и к классическим пиратам. Их деятельность окутана неким ореолом свободы. На государственном уровне мы слышим заявления, что «спецслужбы США узнали о взломах хакерами из РФ с помощью собственных взломов и бекдоров». На рядовом уровне граждан США, обвиняемых во взломе китайских финансовых организаций, никогда не передадут Китаю, также как верна и обратная ситуация. Если личность таких джентльменов удачи становится известна полиции и спецслужбам, то задержание, как правило, осуществляется во время визита таких граждан за рубеж.

Грамотный порядочный хакер никогда не станет ломать своих, этим он ставит себя не только вне закона, но и вне рамок неписанных правил. На таких объявляется общая охота. Тот, кто нападает на своих, по своей сути, становится обычным бандитом с большой дороги.

Что же, видимо многие не понимают разницы между славой вольного капитана и славой головореза, что наводит страх по деревням. Конечно, винить надо только себя, о чём и будет сказано дальше. Двери надобно запирать крепко, а золото прятать надёжно.

ЧАСТЬ II – Техническая

Пока гром не грянет, мужик не перекрестится

Как и перед любой командой, работающей не в общем офисе, перед нами встал вопрос, как организовать взаимодействие, где развернуть сайт, где хранить файлы.

После поиска различных решений, наш выбор был сделан в пользу аренды собственного VDS. Нельзя сказать, что мы позарились как поп на дешевизну, нет! Просто на тот момент нам это казалось самым удобным и простым решением.

Собственная машина позволяла совместить надёжный хостинг для сайта, развернуть собственный git-сервер, предоставить всем членам команды ftp-доступ для хранения и обмена файлами. Также такое решение давало ресурсы для реализации ряда задумок на будущее. О безопасности на тот момент никто из нас не подумал.

К сожалению, нам не удалось выяснить точные методы взлома. Скорее всего, это был брутфорс, или sql-инъекция через админку БД. В любом случае, если не хотите повторить наши ошибки, то:

1) Лучше использовать обычный хостинг, но не свой сервер, который требует дополнительной настройки;

2) Если Вам всё же необходим выделенный сервер, то проведите вечер с настройкой firewall;

3) Задавайте сложные пароли, полностью исключающие брутфорс;

4) Измените стандартный адрес страницы для доступа к БД;

5) Разделяйте уровни доступа и пароли. Взлом базы должен исключать возможность доступа к чему-то ещё кроме сайта;

6) Лучше всего, для хранения данных используйте отдельный хостинг, о расположении, которого никто кроме Вашей команды не будет знать. Будьте готовы к тому, что данные с общеизвестного ресурса всегда могут утечь!

Конечно, плохо то, что теоретически мы всё это знали, но не заботились в должной степени о безопасности. Для нас это были знания скорее теоретические, но никто и не подумал о том, чтобы их применить на практике. Не повторяйте наших ошибок!

Уже после взлома, в ходе общения с нашими партнёрами, мы установили, что и они не раз сталкивались с таким. Сайт Анилибрии часто ддосят, Люпин уже воспринимает это как норму. Ещё один наш партнёр, которого мы представили всего лишь несколько дней назад, узнав о произошедшем предположил, что это были его "поклонники". Успокоился, только узнав, что на момент взлома мы не успели объявить о начале совместной работы.

К сожалению, как оказалось, вокруг ходит много бандитов и шниферов. Как и раньше, их гораздо больше, чем гордых корсаров. Что же, выводы сделаны, отныне вопрос информационной безопасности стал для нас одним из первостепенных.

Жаль только, что учиться пришлось на своих ошибках.

{ "author_name": "Фиолетовый Не-Хомяк", "author_type": "self", "tags": [], "comments": 3, "likes": 0, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 20109, "is_wide": false }
{ "id": 20109, "author_id": 40243, "diff_limit": 1000, "urls": {"diff":"\/comments\/20109\/get","add":"\/comments\/20109\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/20109"}, "attach_limit": 2, "max_comment_text_length": 5000 }

3 комментария 3 комм.

Популярные

По порядку

Мимокрокодил

0

3) Задавайте сложные пароли, полностью исключающие брутфорс;

Из вики: Полный перебор (или метод «грубой силы», англ. brute force) — метод решения математических задач

Смешной совет

Ответить

Мимокрокодил

0

Жаль только, что учиться пришлось на своих ошибках.

Совет на будущее, о котором вы еще не подумали - обеспокойтесь тем, что никто из сотрудников не может грохнуть сделанное/перехватить доступы

Ответить

Rostum Nadi

0

этой статье самое место на хабре или гикбрейнс. там такое любят

Ответить
0

Прямой эфир

Подписаться на push-уведомления
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]