Ответы пользователя по тегу Информационная безопасность
  • Как обезопасить свои сервера от загружаемого юзерами контента?

    dollar
    @dollar
    Контент сам по себе не несёт прямой угрозы. Но если на ваших серверах есть такие уязвимости, которые позволяют атаковать вас загружаемым контентом, то, очевидно, контент здесь ни при чем. И нужно устранять эти уязвимости, а не пытаться защититься от контента.

    А про то, как делают сайты вроде YouTube, FB, VK, Instagram, нужно спросить у их владельцев. Остальные могут лишь догадываться. Вам же не нужны догадки? Или нужны?
    Ответ написан
  • Хочу попробовать в ИБ. Куда смотреть?

    dollar
    @dollar
    Начните с этого ресурса.
    Как осилите, тогда уже решайте, интересно оно вам или нет.
    Ответ написан
  • Возможно ли вычислить местоположение человека, вышедшего в сеть через дедик?

    dollar
    @dollar
    Дело в том, что дедик, равно как и паутина дедиков, усложняют (но не предотвращают) лишь тупой анализ ip.

    Вы же не думаете, что деанонимизируют исключительно по IP?

    Если вы, будучи якобы 100% анонимным, зашли на VK Васи, то у него всего лишь 500 друзей, и все они живут в РФ. А потом вы зашли на VK Кати, у которой внезапно такой же город, как у Васи, и всего лишь 1 общий друг с Васей. Конечно, это еще не доказательство, но дальше к этому "другу" приезжают домой (тоже внезапно, без предупреждения) и смотрят комп. А там - опа, ваша система подключения через паутину дедиков плюс прочий компромат, который вы старательно пытались скрыть.

    И это лишь один из примеров. Если у вас хотя бы банально предпочитаемый русский язык в браузере, то вы, как минимум палите свою страну - круг уже значительно сужается. И далее кучу зацепок можно найти, если вы делаете акцент только на IP, а про остальное, что гораздо важнее, забываете. Почитайте это, чтобы узнать детали.
    Ответ написан
  • Каким образом платные сервисы от DDOS атак работают?

    dollar
    @dollar
    Во-первых, DDOS, это не всегда запросы к сайту. Это может быть просто поток сетевых пакетов с целью перегрузить ваш канал. Если он слабый, типа домашнего Интернета, то это вообще не проблема. Поэтому платные сервисы тупо дают широкий канал, и загрузить такой сервис очень сложно. Далее такой флуд легко фильтровать по простым критериям, и до вас, до вашего сервера, доходит лишь "чистый" трафик, от нормальных пользователей.

    Ну а дальше начинается война снаряда и брони. Можно придумывать всякие способы атаковать вас, и можно придумывать всякие способы защиты. К примеру, боты могут делать запросы к сайту. Вы можете тупо отправлять их на капчу. Или можете попытаться найти закономерность в атаке и написать свой фильтр (опять-таки, если атака не перегружает канал, иначе это бесполезно). Можете даже воспользоваться машинным обучением, чтобы найти какие-то паттерны у ботов. Платные сервисы отличаются тем, что уже съели собаку на методах борьбы, поэтому делают это дешевле, чем если вы своими руками. И если они завтра что-то новое придумают, то это распространится на всех их клиентов, - это дешевле, чем если каждый клиент отдельно будет изобретать велосипед с нуля. Хотя, как я сказал выше, главной фишкой является широкий канал, так что их нельзя заддосить тупо трафиком.

    От вас тоже требуется кое-что - оптимизировать работу сервисов так, чтобы они могли буквально жить под ддос, не особо от этого страдая. Такой подход является самым выигрышным на сегодня, но и требует грамотной разработки ПО, а не тяп-ляп.

    В общем, война никогда не меняется. Поэтому ответить вам, что вот, мол, такие сервисы следуют такому-то рецепту - не получится. Технологии постоянно развиваются. И через год будут новые способы атаки и защиты. Платные сервисы просто берут деньги за то, что участвуют в этой войне, а как и что у них там получается - это отдельная наука. Для любой брони можно подобрать снаряд. И для любого снаряда можно подобрать броню. Вопрос в цене. Побеждает тот, у кого больше ресурсов (времени и денег), но потери по итогам несут все стороны конфликта (наживаются только спонсоры).
    Ответ написан
  • Наказание за поиск уязвимостей?

    dollar
    @dollar
    Не будет.
    Разве что они связали второй аккаунт с первым, но вряд ли, особенно если это какая-нибудь онлайн игра, где по традиции разрабам пофиг на читеров.

    Больше похоже на желание отблагодарить. Ну и простимулировать искать уязвимости дальше.

    Вы должны были нанести приличный ущерб, чтобы у них появилось желание вас наказать.
    Ответ написан
  • Яндекс и гугл продают доступ к кукам сторонним сайтам?

    dollar
    @dollar
    Способ - использовать пару-тройку разных браузеров.

    Идем дальше и меняем также ip, ибо некоторые могут сложить 2 и 2. Хотя с какой стати? Слишком умные? Дело уже не в куках точно.

    Идем дальше и меняем полностью компы, с которых работаем. Заходим в инет из разных мест и в разное время. Обязательно меняем внешний вид и грим, чтобы камеры спутать. Ну и конечно же создаем и прорабатываем полноценную вторую личность со своим характером и аккаунтами в соц. сетях, а то и еще пару фейковых личностей.

    P.S. Даю ссылку на исчерпывающий ответ. Спойлер: определитесь, какую цель вы преследуете и какой ценой. Просто так без цели от всех скрываться довольно накладно и бессмысленно.
    Ответ написан
  • Почему сторонний скрипт получает доступ к cookie?

    dollar
    @dollar
    Запустить на другом домене в iframe. Тогда это будет окно на другую страницу. Как бы браузер в браузере. И ваша страница не будет знать, что внтури iframe, что бы он ни показывал, будет знать только размеры и адрес. А сам iframe, соответственно, не будет знать, что там во внешней странице.

    А просто при подключении скрипта, он имеет полный доступ ко всему, как родной. И здесь нет смысла ставить палки в колеса. Если запретить куки, то в теории скрипт всё равно сможет их прочитать, если они как-то отражаются на странице. Например, на странице есть тест "Здравствуй, %username%", а скрипт имеет доступ к DOM, так что сможет спарсить имя и прочие переменные. Более логично разделять по принципу "всё или ничего" или по жестко определенному API.
    Ответ написан
  • Как закрыть XMLHttpRequest от общего доступа?

    dollar
    @dollar
    В дополнение к Сергей Соколов могу подсказать следующий этап: защита от кражи сессии. Это делается путем нумерации запросов. То есть каждый запрос передается число, которое на 1 больше предыдущего. Так что даже если кто-то украдет сессию и сможет ее использовать, у пользователя она протухнет и вы сможете показать ему ошибки рассинхронизации. И уже сам пользователь начнет искать злоумышленника.

    Хотя если сам пользователь является злоумышленником, причем умным и упёртым, то понадобится дальше наращивать защиту. Но это уже война снаряда и брони, а она, как известно, вечная, и выигрывает тот, у кого больше ресурсов и терпения.
    Ответ написан
  • Как происходит управление децентрализованными ботнетами?

    dollar
    @dollar
    Злоумышленник имеет у себя свою версию бота, только слегка продвинутую, с возможностью менять конфигурацию. По сути смена конфигов и будет считаться командой. Главный параметр - версия бота. Если она больше, чем у бота на соседней машине, то соседний бот захочет скачать новые файлы и конфиги и обновиться до более актуального состояния, а там и новый функционал подъедет.

    Другие боты расценивают бота на компе злоумышленника, как самого обычного бота. Они не знают, что злоумышленник настраивает его вручную. Таким образом, поймать его гораздо сложнее. Плюс такой ботнет устойчивее к разным проблемам в сети.

    Принцип действия напоминает торренты. Достаточно, чтобы фильм скачал полностью хотя бы один лич, и он уже становится пиром, а источник может спокойно уйти в оффлайн, и уже невозможно вычислить источник (кроме как по теме, созданной на форуме, но у ботнетов такого нету).

    Каждый бот хаотично опрашивает разные ip и ищет собратьев, сверяется с ними, у кого конфиг новее и правильнее. В случае чего - сразу обмен. Только в отличие от торрентов размеры файлов микроскопические, в современных сетях качаются почти моментально. Хотя, для незаметности можно не делать резких нагрузок на канал и растянуть удовольствие скачивания, но это уже отдельные тонкости.
    Ответ написан
  • Как снять блокировку сайта в opendns?

    dollar
    @dollar
    1. Нужно написать в суппорт opendns и выяснить точную причину блокировки.
    2. Устранить причину.
    3. Снова написать и попросить разблокировать.
    4. Ждать и молиться. Если ни по какому закону они не обязаны вас разблокировать, то они могут этого и не делать (вечно).

    К примеру, этот вопрос модератор может удалить. Просто так. Может указать причину и уведомить вас, а может и не делать этого. В соглашении сказано, что вам никто ничего не обязан. Вы можете пожаловаться на беспредел по вашему мнению, и вопрос даже могут восстановить. Но не потому, что вам должны или что так справедливо и правильно, а потому что захотят (по своим личным соображениям добра и морали). Такие правила.
    Ответ написан
  • Почему бы не использовать протокол Telegram?

    dollar
    @dollar
    Почему бы не

    Сразу плохое начало, чтобы доказать, что нужно именно так, а не иначе. Таблица сравнения с другими вариантами была бы гораздо лучше.

    В любом случае везде свои плюсы и минусы, достичь совершенства невозможно. Всё стоит денег и времени, и дает какой-то определенный выхлоп в соответствии с поставленными целями. Поэтому в первую очередь нужно определиться с тем, кто ставит цель и какую. Если это владельцы сайтов, то объясните, зачем им это нужно, может им и так неплохо живется? Почему этот вариант лучше, чем другие? Почему вы за них решаете? Если это вы, то объясните, зачем вам это нужно, разве нет других более простых и дешевых способов обхода?

    Почему бы владельцам сайтов не нанять собственную армию и не защищать свои конституционные права силой? Вся мировая история показала эффективность этого метода, так что РКН не устоит перед таким натиском (сарказм).
    Ответ написан
  • Мой хост постоянно пингуют? DDOS? что это?

    dollar
    @dollar
    Узнайте ответ методом исключения. Это и будет решением.

    Попробуйте отключить роутер от интернета. Проблема осталась?

    А локальная сеть большая? Много устройств? Есть шанс, что где-то есть другой выход в интернет?

    В документации к самой программе есть информация, что это может быть? Может быть, где-то в FAQ или просто в описании того, что есть что в интерфейсе.

    Что по MAC-адресам? Какая машина это шлет?

    Кто может подделывать пакеты в сети? Отключайте устройства (от сети) по одному.

    И так далее. В таких случаях лучше не гадать и не хвастать своими навыками ясновидения, а просто проверить.
    Ответ написан
  • Почему так легко украсть чужие куки firefox?

    dollar
    @dollar
    Поэтому я запускаю браузер из под другого пользователя с определенными правами. Если вирус в самом браузере, то он не получит доступа к системе. А программы пользователя, соответственно, не могут получить доступ к рабочей папке браузера. Лишь админский доступ даёт возможность украсть, но это уж сам виноват, как говорится.
    Ответ написан
  • Каких правил Вы придерживаетесь проводя финансовые операции на своем ПК?

    dollar
    @dollar
    Правило простое - отдельный ПК для финансовых операций, на котором стоит только браузер без расширений. Ещё доступ к почте можно там иметь. В любом случае нужна голова на плечах, чтобы не скачивать подозрительные файлы из писем и не запускать их. В остальном отдельный комп - это почти максимальная защита. В плане угроз остаются только 0-day уязвимости в ПО и в ОС, атаки через которые большая редкость.

    Насчёт виртуальной машины не совсем вас понял. Если, к примеру, у вас троян в основной системе и он сканирует нажатия клавиш и делает снимки экрана, а потом отсылает это всё злоумышленнику, то как виртуалка поможет защитить ваши платёжные данные и пароли?
    Ответ написан
  • Могут ли пользователи загрузить вирус на сайте?

    dollar
    @dollar
    В общем случае нет. Ведь конфиг не сохраняется на сервере. А если сохраняется, то без права запуска. Хотя в теории вирус можно загрузить и без конструктора, но это другая история.

    Предотвращение атак - это обширная тема. И конструктор здесь самый незначительный фактор из всех, которые придётся учитывать. Но вообще касаемо конструктора, если вводимые данные имеют какой-то безопасный формат, то можно проверять соответствие этому формату.

    Например, если в поле вводится число, то это можно легко проверить.

    А исключить php в текстовых полях можно поиском пары символов "<?" - и если такая подстрока встречается, то это плохой текст, и конструктор должен запрещать его.
    Ответ написан
  • Как узнать, каким программам разрешено вносить изменения на компьютере?

    dollar
    @dollar
    Если трояну разрешил доступ, то всё, дальше он обойдёт любые списки.

    А беспокоиться можно начинать, только если у тебя на компьютере есть хоть что-то достаточно ценное. В остальном можно не переживать. По-хорошему для работы и финансов нужно иметь отдельный компьютер, где только лицензионные программы, или вообще один лишь браузер с почтой.
    Ответ написан
  • Насколько надежна цепочка? Ваши соображения?

    dollar
    @dollar
    Ну, ок, выходит вы используете TOR. Факт этого легко палится целевым сайтом, ну либо если добраться до VPN. Таким образом, круг сужается, ведь таких людей не очень много. Ну где-то 500 тыс. в РФ, то есть нехилый такой отсев по всей выборке. Дальше по вашим постам или действиям, или чем вы там будете заниматься, можно сделать следующий отсев. К примеру, вы зашли на хабр и признались, что это ваш второй аккаунт - опа, значит уже не домохозяйка, которая смотрит сериалы. Вы на пересечении множеств пользователей тора и пользователей хабра. Ну и так далее. Безопасность не сводится к цепочке, можно очень легко выдать себя, если не думать головой постоянно.
    Ответ написан
  • Есть ли смысл маскировать админку под 404?

    dollar
    @dollar
    Если вам важно, чтобы юзер знал, что по этому адресу что-то есть, но у него нет прав (но в теории права могут появиться), то 403 или даже что-то более вразумительное, иначе можно 404.

    Если вы защищаетесь от взлома и от лишней нагрузки на сайт, то лучше сделать админку с другим именем. Хотя в плане безопасности это так себе решение.

    Так что ответ - нет, не имеет смысла.
    Ответ написан