Заповедник Зелирия. Дневник разработки. Часть 11. Пираты

Данная часть дневников стала внеплановой. Так как сейчас наш сценарист сильно занят, перо в руки пришлось брать программисту. В первой части он изложил своё личное отношение к событиям, а вторая, вероятно, будет предупреждением тем, кто пойдёт вслед за нами.

ЧАСТЬ I Корсары и бандиты

Как хорошо известно, пиратство появилось ещё в глубокой древности. Ещё в мифах Древней Греции есть упоминание о попытке захвата пиратами Диониса, не избежал пиратского плена и Гай Юлий Цезарь. И всегда к пиратам было двоякое отношение. С одной стороны они олицетворяли доблесть, приправленную авантюризмом, независимость и мужество, а с другой приравнивались к обычным разбойникам. Так, в Риме для пиратов была уготована участь быть распятыми на крестах, наравне с обычными бандитами (что с захватившими его ранее пиратами и сделал Цезарь, после того, как был выкуплен из плена). С другой стороны, во многих странах пиратов было принято делить на своих и чужих. «Свои» пираты нападали на суда других государств, но никогда не трогали корабли своей родины и союзных стран. То есть, мы можем говорить, что практика каперства зародилась ещё на заре истории. Из более близких к нам времён известны такие имена, как Френсис Дрейк и Генри Морган. И как мы помним, к таким личностям всегда относились с уважением, им многое могло сойти с рук, что не сошло бы другим. Так, Генри Морган был предупреждён о заключении мирного соглашения и должен был отменить штурм Панамы, но ослушался приказа. Тогда он был арестован и предстал перед Королевским судом. По законам, его ждала виселица, но несмотря на все свидетельские показания против него, был выпущен под честное слово с формулировкой «Виновность не доказана», а через три года, после того, как страсти улеглись, был назначен вице-губернатором Ямайки. Но это не значит, что пиратов не вешали на реях. Вешали в большом количестве. Но в своей массе это были те, кто пошёл против всех. Кто не разбирая свой-чужой, ослеплённой жаждой наживы и славы, начинал топить всех подряд. Конечно, если «честные» корсары оказывались в руках врага, то им пощады тоже не следовало ждать.

Пиратов нового времени роднит с флибустьерами отнюдь не только название. По своей сути, сегодня мы можем видеть то же самое отношение к хакерам, что и к классическим пиратам. Их деятельность окутана неким ореолом свободы. На государственном уровне мы слышим заявления, что «спецслужбы США узнали о взломах хакерами из РФ с помощью собственных взломов и бекдоров». На рядовом уровне граждан США, обвиняемых во взломе китайских финансовых организаций, никогда не передадут Китаю, также как верна и обратная ситуация. Если личность таких джентльменов удачи становится известна полиции и спецслужбам, то задержание, как правило, осуществляется во время визита таких граждан за рубеж.

Грамотный порядочный хакер никогда не станет ломать своих, этим он ставит себя не только вне закона, но и вне рамок неписанных правил. На таких объявляется общая охота. Тот, кто нападает на своих, по своей сути, становится обычным бандитом с большой дороги.

Что же, видимо многие не понимают разницы между славой вольного капитана и славой головореза, что наводит страх по деревням. Конечно, винить надо только себя, о чём и будет сказано дальше. Двери надобно запирать крепко, а золото прятать надёжно.

ЧАСТЬ II – Техническая

Как и перед любой командой, работающей не в общем офисе, перед нами встал вопрос, как организовать взаимодействие, где развернуть сайт, где хранить файлы.

После поиска различных решений, наш выбор был сделан в пользу аренды собственного VDS. Нельзя сказать, что мы позарились как поп на дешевизну, нет! Просто на тот момент нам это казалось самым удобным и простым решением.

Собственная машина позволяла совместить надёжный хостинг для сайта, развернуть собственный git-сервер, предоставить всем членам команды ftp-доступ для хранения и обмена файлами. Также такое решение давало ресурсы для реализации ряда задумок на будущее. О безопасности на тот момент никто из нас не подумал.

К сожалению, нам не удалось выяснить точные методы взлома. Скорее всего, это был брутфорс, или sql-инъекция через админку БД. В любом случае, если не хотите повторить наши ошибки, то:

1) Лучше использовать обычный хостинг, но не свой сервер, который требует дополнительной настройки;

2) Если Вам всё же необходим выделенный сервер, то проведите вечер с настройкой firewall;

3) Задавайте сложные пароли, полностью исключающие брутфорс;

4) Измените стандартный адрес страницы для доступа к БД;

5) Разделяйте уровни доступа и пароли. Взлом базы должен исключать возможность доступа к чему-то ещё кроме сайта;

6) Лучше всего, для хранения данных используйте отдельный хостинг, о расположении, которого никто кроме Вашей команды не будет знать. Будьте готовы к тому, что данные с общеизвестного ресурса всегда могут утечь!

Конечно, плохо то, что теоретически мы всё это знали, но не заботились в должной степени о безопасности. Для нас это были знания скорее теоретические, но никто и не подумал о том, чтобы их применить на практике. Не повторяйте наших ошибок!

Уже после взлома, в ходе общения с нашими партнёрами, мы установили, что и они не раз сталкивались с таким. Сайт Анилибрии часто ддосят, Люпин уже воспринимает это как норму. Ещё один наш партнёр, которого мы представили всего лишь несколько дней назад, узнав о произошедшем предположил, что это были его "поклонники". Успокоился, только узнав, что на момент взлома мы не успели объявить о начале совместной работы.

К сожалению, как оказалось, вокруг ходит много бандитов и шниферов. Как и раньше, их гораздо больше, чем гордых корсаров. Что же, выводы сделаны, отныне вопрос информационной безопасности стал для нас одним из первостепенных.

Жаль только, что учиться пришлось на своих ошибках.