Заповедник Зелирия. Дневник разработки. Часть 11. Пираты

Данная часть дневников стала внеплановой. Так как сейчас наш сценарист сильно занят, перо в руки пришлось брать программисту. В первой части он изложил своё личное отношение к событиям, а вторая, вероятно, будет предупреждением тем, кто пойдёт вслед за нами.

В закладки

ЧАСТЬ I Корсары и бандиты

У старой пристани, где глуше пьяниц крик,

Где реже синий дым табачного угара,

Безумный старый бриг Летучего Корсара

Раскрашенными флагами поник

Как хорошо известно, пиратство появилось ещё в глубокой древности. Ещё в мифах Древней Греции есть упоминание о попытке захвата пиратами Диониса, не избежал пиратского плена и Гай Юлий Цезарь. И всегда к пиратам было двоякое отношение. С одной стороны они олицетворяли доблесть, приправленную авантюризмом, независимость и мужество, а с другой приравнивались к обычным разбойникам. Так, в Риме для пиратов была уготована участь быть распятыми на крестах, наравне с обычными бандитами (что с захватившими его ранее пиратами и сделал Цезарь, после того, как был выкуплен из плена). С другой стороны, во многих странах пиратов было принято делить на своих и чужих. «Свои» пираты нападали на суда других государств, но никогда не трогали корабли своей родины и союзных стран. То есть, мы можем говорить, что практика каперства зародилась ещё на заре истории. Из более близких к нам времён известны такие имена, как Френсис Дрейк и Генри Морган. И как мы помним, к таким личностям всегда относились с уважением, им многое могло сойти с рук, что не сошло бы другим. Так, Генри Морган был предупреждён о заключении мирного соглашения и должен был отменить штурм Панамы, но ослушался приказа. Тогда он был арестован и предстал перед Королевским судом. По законам, его ждала виселица, но несмотря на все свидетельские показания против него, был выпущен под честное слово с формулировкой «Виновность не доказана», а через три года, после того, как страсти улеглись, был назначен вице-губернатором Ямайки. Но это не значит, что пиратов не вешали на реях. Вешали в большом количестве. Но в своей массе это были те, кто пошёл против всех. Кто не разбирая свой-чужой, ослеплённой жаждой наживы и славы, начинал топить всех подряд. Конечно, если «честные» корсары оказывались в руках врага, то им пощады тоже не следовало ждать.

Пиратов нового времени роднит с флибустьерами отнюдь не только название. По своей сути, сегодня мы можем видеть то же самое отношение к хакерам, что и к классическим пиратам. Их деятельность окутана неким ореолом свободы. На государственном уровне мы слышим заявления, что «спецслужбы США узнали о взломах хакерами из РФ с помощью собственных взломов и бекдоров». На рядовом уровне граждан США, обвиняемых во взломе китайских финансовых организаций, никогда не передадут Китаю, также как верна и обратная ситуация. Если личность таких джентльменов удачи становится известна полиции и спецслужбам, то задержание, как правило, осуществляется во время визита таких граждан за рубеж.

Грамотный порядочный хакер никогда не станет ломать своих, этим он ставит себя не только вне закона, но и вне рамок неписанных правил. На таких объявляется общая охота. Тот, кто нападает на своих, по своей сути, становится обычным бандитом с большой дороги.

Что же, видимо многие не понимают разницы между славой вольного капитана и славой головореза, что наводит страх по деревням. Конечно, винить надо только себя, о чём и будет сказано дальше. Двери надобно запирать крепко, а золото прятать надёжно.

ЧАСТЬ II – Техническая

Пока гром не грянет, мужик не перекрестится

Как и перед любой командой, работающей не в общем офисе, перед нами встал вопрос, как организовать взаимодействие, где развернуть сайт, где хранить файлы.

После поиска различных решений, наш выбор был сделан в пользу аренды собственного VDS. Нельзя сказать, что мы позарились как поп на дешевизну, нет! Просто на тот момент нам это казалось самым удобным и простым решением.

Собственная машина позволяла совместить надёжный хостинг для сайта, развернуть собственный git-сервер, предоставить всем членам команды ftp-доступ для хранения и обмена файлами. Также такое решение давало ресурсы для реализации ряда задумок на будущее. О безопасности на тот момент никто из нас не подумал.

К сожалению, нам не удалось выяснить точные методы взлома. Скорее всего, это был брутфорс, или sql-инъекция через админку БД. В любом случае, если не хотите повторить наши ошибки, то:

1) Лучше использовать обычный хостинг, но не свой сервер, который требует дополнительной настройки;

2) Если Вам всё же необходим выделенный сервер, то проведите вечер с настройкой firewall;

3) Задавайте сложные пароли, полностью исключающие брутфорс;

4) Измените стандартный адрес страницы для доступа к БД;

5) Разделяйте уровни доступа и пароли. Взлом базы должен исключать возможность доступа к чему-то ещё кроме сайта;

6) Лучше всего, для хранения данных используйте отдельный хостинг, о расположении, которого никто кроме Вашей команды не будет знать. Будьте готовы к тому, что данные с общеизвестного ресурса всегда могут утечь!

Конечно, плохо то, что теоретически мы всё это знали, но не заботились в должной степени о безопасности. Для нас это были знания скорее теоретические, но никто и не подумал о том, чтобы их применить на практике. Не повторяйте наших ошибок!

Уже после взлома, в ходе общения с нашими партнёрами, мы установили, что и они не раз сталкивались с таким. Сайт Анилибрии часто ддосят, Люпин уже воспринимает это как норму. Ещё один наш партнёр, которого мы представили всего лишь несколько дней назад, узнав о произошедшем предположил, что это были его "поклонники". Успокоился, только узнав, что на момент взлома мы не успели объявить о начале совместной работы.

К сожалению, как оказалось, вокруг ходит много бандитов и шниферов. Как и раньше, их гораздо больше, чем гордых корсаров. Что же, выводы сделаны, отныне вопрос информационной безопасности стал для нас одним из первостепенных.

Жаль только, что учиться пришлось на своих ошибках.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Фиолетовый Не-Хомяк", "author_type": "self", "tags": [], "comments": 3, "likes": 1, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 20109, "is_wide": false, "is_ugc": true, "date": "Thu, 24 May 2018 17:00:20 +0300" }
{ "id": 20109, "author_id": 40243, "diff_limit": 1000, "urls": {"diff":"\/comments\/20109\/get","add":"\/comments\/20109\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/20109"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 64955 }

3 комментария 3 комм.

Популярные

По порядку

0

3) Задавайте сложные пароли, полностью исключающие брутфорс;

Из вики: Полный перебор (или метод «грубой силы», англ. brute force) — метод решения математических задач

Смешной совет

Ответить
0

Жаль только, что учиться пришлось на своих ошибках.

Совет на будущее, о котором вы еще не подумали - обеспокойтесь тем, что никто из сотрудников не может грохнуть сделанное/перехватить доступы

Ответить
0

этой статье самое место на хабре или гикбрейнс. там такое любят

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]
Уве Болл вернулся в кино
и начал экранизировать flash-игры
Подписаться на push-уведомления