|
2.2, Аноним (-), 10:15, 05/09/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
Салам алейкум, Гитлер-ага. А почему вопрос не по существу - "Как получилось, что у крупнейших регистраров админы - лохи?". А ты о каком-то копирайте.
| |
|
1.4, Аноним (-), 10:17, 05/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Банки давно додумались отправлять SMS с кодом подтверждения операции. А у регистраторов до сих пор можно поменять через web-интерфейс параметры без каких-либо подтверждений. Про то, что некоторые регистраторы дают входить в личный кабинет без HTTPS я вообще молчу.
| |
|
2.5, Аноним (-), 10:19, 05/09/2011 [^] [^^] [^^^] [ответить]
| +7 +/– |
Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как показала практика последних дней, HTTPS как волосы на лобке - прикрывает, но ни черта не защищает.
| |
|
3.6, Аноним (-), 10:20, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как
> показала практика последних дней, HTTPS как волосы на лобке - прикрывает,
> но ни черта не защищает.
Welcome to the Real_Web_2.0!
| |
3.12, Pahanivo (ok), 11:25, 05/09/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как
> показала практика последних дней, HTTPS как волосы на лобке - прикрывает,
> но ни черта не защищает.
защищают, но не от спецслужб
| |
|
4.18, Аноним (-), 13:05, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
| |
|
5.25, Pahanivo (ok), 14:15, 05/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
вот пришел ананиим и тупо умыл всех шифровальшиков )))
| |
|
6.35, Аноним (-), 15:11, 05/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
> вот пришел ананиим и тупо умыл всех шифровальшиков )))
Их умыла та пресловутая рашкина компашка, которая взломала iPhone 4. Которая passwords.ru держит :)
| |
|
|
4.37, Аноним (-), 15:27, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> но ни черта не защищает.
> защищают, но не от спецслужб
Если не защищает хоть от кого-то, то будем считать что не защищает ни от кого. Спецслужбы всего лишь группа людей. Не факт что самая многочисленная и технически хорошо оснащенная. Какие-нибудь кардеры подпольно ворочающие миллионами могут запросто набрать больше ресурсов. Во всяком случае, гарантий обратного никто не даст.
| |
|
|
2.7, Heckfy (ok), 10:55, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Это не поможет.
Скрипту на perl никакие sms не помешают поправить файлы зон.
| |
|
3.10, Аноним (-), 11:09, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Это не поможет.
> Скрипту на perl никакие sms не помешают поправить файлы зон.
В подавляющем большинстве случаев ломают web-интерфейс через методы социальной инжинерии. Проще говоря снифят пароли и внедряют трояны на машины персонала.
| |
|
2.20, MrClon (?), 13:15, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Банки давно додумались отправлять SMS с кодом подтверждения операции. А у регистраторов
> до сих пор можно поменять через web-интерфейс параметры без каких-либо подтверждений.
> Про то, что некоторые регистраторы дают входить в личный кабинет без
> HTTPS я вообще молчу.
Как я понял поломали не учётки владельцев доменов, а самих регистраторов. Или ты предлагаешь админам при логине вводить код из SMS?
Вообще все эти заморочки с привязкой к мобильному телефону и прочей паранойей нужны далеко не всегда и должны быть опциональными.
| |
|
3.26, Аноним (-), 14:43, 05/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Как я понял поломали не учётки владельцев доменов, а самих регистраторов.
Судя по скриншотам на которых web-интерфейс, использовался аккаунт одного из администраторов. Скорее всего сломали рабочую машину, поставили троян и отследили параметры входа.
> Или ты предлагаешь админам при логине вводить код из SMS?
Я предлагаю перед любым изменением параметров домена требовать по независимому каналу подтверждения от владельца.
> Вообще все эти заморочки с привязкой к мобильному телефону и прочей паранойей
> нужны далеко не всегда и должны быть опциональными.
Про опциональность согласен, еще до появление SMS мы клиентам давали возможность запретить некоторые операции через web и проводить изменения только при личном присутствии в офисе с официальным запросом.
| |
|
4.38, Аноним (-), 15:30, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Я предлагаю перед любым изменением параметров домена требовать по независимому каналу подтверждения
> от владельца.
Если инфраструктура взломана то что помешает просто прописать нужные данные втихаря в базы, в обход стандартной морды и нотификаций?
| |
|
5.43, Аноним (-), 17:30, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Если инфраструктура взломана то что помешает просто прописать нужные данные втихаря в
> базы, в обход стандартной морды и нотификаций?
Инфраструктуру пока достоверно не ломали ни разу. Если сломают, то уже ничего не поможет. Пока методами социальной инженерии воруют аккаунты, как работников регистраторов, так и клиентов. При этом воровство параметров клиентов уже вошло в привычку и не вызывает удивления. Вспомните случай, когда отсниффили пароль сотрудника eBay, сколько было шуму. Сейчас это уже обычное явление, рутинное разгребание инцидентов.
| |
|
6.50, Аноним (-), 21:59, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
ИМХО если админ не может сохранить свои пароли - гнать надо такого админа, который логинится своими логинами где попало и/или не в состоянии администрировать даже свой рабочий компьютер.
| |
|
7.52, Аноним (-), 09:12, 06/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> ИМХО если админ не может сохранить свои пароли - гнать надо такого
> админа, который логинится своими логинами где попало и/или не в состоянии
> администрировать даже свой рабочий компьютер.
Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта имеют доступ? Все правки профилей по запросам клиентов и прочую рутину делают низкоквалифицированные операторы, которых обдурить раз плюнуть.
| |
|
|
|
|
3.36, Аноним (-), 15:19, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
почти. one time пароли с token в кармане еще никто не отменял.
как и карточки с одноразовыми паролями - у одного известного банка.
| |
|
2.29, umbr (ok), 14:54, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Можно подумать, в SMS обратные номера нельзя спуфить.
Вот когда появится SMSs... :)
| |
|
3.59, Аноним (-), 21:39, 06/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Можно подумать, в SMS обратные номера нельзя спуфить.
Можно. Адрес отправителя может быть даже текстом. Вы на него отвтить вообще не сможете, но отображаться - будет :)))
| |
|
|
1.9, rm1 (?), 11:06, 05/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками
Ах если бы только кто-нибудь изобрёл такой способ, его можно было бы назвать например как-нибудь типа "DNSSEC".
| |
|
2.11, XVilka (ok), 11:15, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Да, и совершенно случайно, его рекомендовали бы внедрять _именно_ регистраторам доменов
| |
2.14, aurved (?), 11:35, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ну насколько я понимаю в данном случае (взломе регистратора) DNSSEC не поможет.
| |
2.15, Имя (?), 11:48, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
давно уже читал про DNSSEC, там вроде просто подпись зон и апдейтов.
что мешает украсть ключ?
сложнее конечно, но тоже реализовать можно.
| |
|
|
2.30, umbr (ok), 14:59, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> крутится на винде.
> на Linux Debian.
Одмины там точно гламурные.
| |
2.54, Аноним (-), 09:47, 06/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Скорее всего рабочие компы админов, с которых тырили пароли, крутятся либо на винде, либо на маке (трояны поддерживаются только в этих двух осях, причем в макоси их еще надо купить).
И мы опять плавно подходим к вопросу о запрете винды в любых более-менее критичных по безопасности работах.
| |
|
1.16, Ptomaine (?), 11:59, 05/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Отлично! Пусть это собьет спесь и гордыню с наивных "финских мальчиков".
Лично я - рад )
"Виноват не вор, а тот, кто позволяет украсть" (C)(s)
| |
|
2.39, anonymous (??), 16:24, 05/09/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
Может все таки обойдемся без блатных самоуспокаивающих религиозных заклинаний?
| |
|
1.17, RicoX (?), 12:04, 05/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный ход. Чем больше таких акций, тем лучше будет защита и быстрее будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает - не трогай".
| |
|
2.19, Аноним (-), 13:08, 05/09/2011 [^] [^^] [^^^] [ответить] | +1 +/– | Это повсеместно происходит И очень часто связано с тем, что обновления _небезоп... большой текст свёрнут, показать | |
|
3.22, mvalery (ok), 13:22, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Как вы себе представляете, коллега, регулярное обновление сервера, ну скажем, банкоматов
У нас в Израиле банкоматы спокойно уходят на шабат.
По субботам я уже и не пытаюсь получить наличные.
Нон-стоп 24x7x365 может быть имеет значение в высокотехнологичных странах. А в обычных, с жителями, проживающими на пальмах или ёлках сервак может хоть неделю обновляться.
| |
|
4.24, MrClon (?), 13:35, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Неделю? Суровая у вас страна.
В Москве сбербанковская инфраструктура тоже с трудом справляется с внезапно возросшим количеством владельцев карточек (несколько лет назад, кажется, всех работодателей обязали платить ЗП сотрудникам на банковские карточки). Банкоматы частенько не работают, помнится один раз во всей Москве (или во всяком случае во всём районе) банкоматы взяли отгул на денб. Но не регулярно-же и не на неделю.
| |
|
5.42, Аноним (-), 17:20, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> банкоматы взяли отгул на денб. Но не регулярно-же и не на неделю.
На многих из них стоит нелицензионный ХРендовс, поэтому иногда можно встретить прикольное сообщение на десктопе рассказываюшее о том что активации - хана.
| |
|
6.57, edo (ok), 13:38, 06/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
на многих? не верю.
Вы случаем с терминалом не перепутали?
банкомат - это такой гробик, ценой зачастую в несколько миллионов. экономить там на лицензии смысла нет.
| |
|
7.60, j3qq4 (??), 00:27, 07/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Да хрена там. В Банке Москвы - винда. ХР. Сегодня видел, как техник ее переставлял на банкомате. Гробик, да. Только и толку, что физически защищен хорошо. От взлома денежного ящика, да...
| |
|
|
|
|
3.23, MrClon (?), 13:28, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Очень просто: один из серверов кластера обслуживающего банкоматы…
Если простой сервера недопустим то у этого сервера должен быть дублёр который прозрачно возьмёт на себя его обязанности в случае чего (как минимум железо может сбойнуть в любой момент).
| |
3.31, playnet (ok), 15:01, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Банкоматы не critical-time. даже если ребутиться 10 минут будут - не страшно. Дать только юзерам завершить операции и подождать например 2 минуты - убедиться, что прямо сейчас он не нужен. Ну и не ребутить все разом, чтобы не перегрузить основные сервера.
А так - я постоянно вижу зависшие банкоматы, того же альфа-банка.. Как висли, так и виснут. Пока там инкассаторы доедут, пока ребутнут.. Даже работники банка не могут. Маразм.
| |
|
4.33, Аноним (-), 15:07, 05/09/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
Поправка - мы говорим не о банкоматах, а о СЕРВЕРАХ БАНКОМАТОВ. Смекаешь, анон?
Далее. Ты знаешь способ обновить ВЕНДУ полностью - скажем, версию сменить - без полного увода машин в оффлайн на час-два?
И далее. В банановых странах может, и пофигу, что банкомат или POS-терминал в крупном супермаркете сутки не работает, но в _нормальных_ странах владелец супермаркета и банк поимеют крупный баттхерт и потеряют клиентов. Совсем потеряют. Смекаешь? Это не СПО - когда "Хочу - работаю, хочу не работаю". Невидимая рука рынка сжимается на горлышке - и привет!
И совсем далее. Обновление может и УБИТЬ сервер. И что тогда? Сутки простоя? Двое? А если нет имиджей? А если там БД реляционная? Опаньки? Ты попадал в такую ситацию, анон, в качестве админа mission critical сервера?
| |
|
5.44, cmp (ok), 17:46, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Венда, какие проблемы? обновите ось на левом компе и образ раскидайте по серверам, а потом просто ребутните в желаемом порядке, разумеется используя НЕ стандартный загрузчик, а тот, что определит более новый образ венды и загрузит его, либо с сети как-то загрузится, короче логика какая угодно может быть, проблем сделать не вижу..
А невидимая рука рынка заставляет повышать эффективность бизнеса любой ценой, и за счет безопасности в том числе, не только информационной, но и биологической - когда вам ГМО пихают, и тд и тп, это проблема системы - "капитализма с человеческим лицом", подумайте когда на выборы пойдете.
| |
|
|
7.48, M (?), 21:47, 05/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
да он - то как раз нормальный, а ты хто? представитель зaлотоxо миллиaрtа?
| |
|
6.61, j3qq4 (??), 00:34, 07/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Чем тебя ГМО не устраивают? Еще один...
Если сможешь назвать хоть один не-ГМО растительный продукт (из тех, что выращивается в промышленных масштабах) - мы вернемся к этому разговору. Подсказка - гуглить все про полиплоиды, колхицин и сортовую работу, это если навскидку.
| |
|
7.64, anonymous (??), 14:47, 07/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
ты с ума сошёл? люди, у которых трясучка от букв «ГМО» — патентованые идиоты. а ты с ними пытаешься разговаривать как с разумными.
нет, я честно проверял. статистика за несколько сотен перевалила. идиоты. все.
| |
|
|
|
|
3.32, anonymous (??), 15:04, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии LiveUpgrade, не одинок в своем кластере.
| |
|
4.34, Аноним (-), 15:09, 05/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии
> LiveUpgrade, не одинок в своем кластере.
Кластер не является полноценным HA-решением. Дисковая система ОДНА. Общая. Единая точка отказа. Петь про аппаратную репликацию не стоит, ибо НЕ РАБОТАЕТ она под реляционными БД. Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
| |
|
5.45, Square (ok), 19:15, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
Речь идет о серверах обслуживающих систему банкоматов?
Нелязя ли поподробнее, про транзакции которые не откатываются?
| |
|
6.67, Аноним (-), 16:20, 11/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
> Речь идет о серверах обслуживающих систему банкоматов?
> Нелязя ли поподробнее, про транзакции которые не откатываются?
Нельзя. Кто работал с кластерами, СУБД и аппаратной репликацией - понимает. Остальным либкез никто устраивать не обязан.
| |
|
7.71, Square (ok), 20:41, 11/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
>> Речь идет о серверах обслуживающих систему банкоматов?
>> Нелязя ли поподробнее, про транзакции которые не откатываются?
> Нельзя. Кто работал с кластерами, СУБД и аппаратной репликацией - понимает. Остальным
> либкез никто устраивать не обязан.
Очень в духе местного менталитета.
| |
|
|
5.72, ram_scan (?), 13:16, 14/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Кластер не является полноценным HA-решением. Дисковая система ОДНА
А не надо делать HA, делайте SFT III. Будет две дисковых системы и настанет вам щасте.
В пингвине кстати реализовано уже.
| |
|
|
3.55, Аноним (-), 09:51, 06/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
А кто сказал, что в первую очередь защищать нужно именно сервера? Их-то как раз взломать сравнительно сложно, проще админский пароль с админского десктопа стырить.
Вот запрет винды на десктопах админов - это да, сильно ударит по хаксорам и значительно усложнит им жизнь.
Насчет LiveUpgrade - это не киллер-фича солярки, во всех остальных юниксах есть куда более простой, но не менее эффективный rm -rf /
| |
|
4.56, anonymous (??), 09:56, 06/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Вот запрет винды на десктопах админов - это да, сильно ударит по
> хаксорам и значительно усложнит им жизнь.
работал под виндой 5 лет, ни одного пароля не стырили. ЧЯДНТ?
| |
|
5.65, Аноним (-), 18:22, 08/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
ты никому не был нужен. Некоторые и до сих пор на WinXP SP2 сидят и все нормально, но это не значит, что на сегодняшний день она является безопасной системой.
| |
|
4.68, Аноним (-), 16:21, 11/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А кто сказал, что в первую очередь защищать нужно именно сервера? Их-то
> как раз взломать сравнительно сложно, проще админский пароль с админского десктопа
> стырить.
> Вот запрет винды на десктопах админов - это да, сильно ударит по
> хаксорам и значительно усложнит им жизнь.
> Насчет LiveUpgrade - это не киллер-фича солярки, во всех остальных юниксах есть
> куда более простой, но не менее эффективный rm -rf /
Анон, ты ничего не перепутал, не? Ты хоть где-нибудь можешь обновить ось в мультиюзере, с одним рестартом? При чем тут патч Бармина? (крутит пальцем у виска) Отсыпь травы?
| |
|
|
|
1.21, bircoph (ok), 13:16, 05/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают, то всё будет ок
| |
|
2.27, aurved (?), 14:45, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
если регистратор взломан, то изменения от него будут подписаны честь по чести и DNSSEC не спасёт. лично мне вот так видится...
| |
2.28, Аноним (-), 14:50, 05/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
> то всё будет ок
DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена основанный на UDP протокол был верх простоты и надежности, пока Камински не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC. Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги в DNSSEC затмевают все остальное.
| |
|
3.40, anonymous (??), 16:35, 05/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
>> то всё будет ок
> DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена
> основанный на UDP протокол был верх простоты и надежности, пока Камински
> не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC.
> Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги
> в DNSSEC затмевают все остальное.
это потому что старый код успешно был изучен за десятки лет спецслужбами, "демократические антитеррористические" бэкдоры установлены и все жили спокойно. Новый бинд поиходится терзать, так как он сволочь хуже поддается взлому. Но работы ведутся, все под контролем.
| |
|
|
1.73, Аноним (73), 22:05, 04/03/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>остается HTTPS, при котором при обращении к подставному домену будет выведено предупреждение для скрытия которого атакующим требуется заполучить серверные SSL-сертификаты.
получить бесплатный сертификат let's encrypt займет минуту 1... или любой другой бесплатный сертификат
| |
|