bigdrum (bigdrum) wrote,
bigdrum
bigdrum

Хиханьки



Американскому школьнику Эмметту Брюэру (Emmett Brewer) удалось взломать точную копию сайта избирательной системы в США и изменить результаты выборов в штате Флорида. Об этом сообщает телевизионная служба PBS.

АААА!!!! Русские нерусские хакеры!!!

Ну, теперь говно по трубам несется со страшной силой, надо полагать?

Организаторы ежегодной конвенции хакеров DEFCON предложили 11-летнему Брюэру и другим участникам конференции взломать 13 страниц, связанных с национальной системой голосования. Организаторы дали юным хакерам 10 минут на то, чтобы те получили доступ к точным копиям сайтов избирательных систем. В мероприятии приняли участие 50 детей в возрасте от восьми до 16 лет.

Еще раз. Еще раз, чтобы вы поняли. Чтобы вы почувствовали.

Есть объект. Секретный. Режимный. С колючей проволокой и собаками. И охрана стреляет без предупреждения. Нарушителей оживляют и сажают на пожизненное. В эцих с гвоздями.

Вы берете детишек 11 лет, показываете пальцем на объект, и говорите, что за десять минут они должны на объект проникнуть, тарарам там устроить, и восторженно ждете наблюдать, как будет действовать колючая проволока, собаки, охрана и эцих с гвоздями...

В самих условиях задачи я наблюдаю идиотизм...

Мальчику удалось справиться с заданием всего за несколько минут: он изменил данные в разделе с результатами голосования, осуществив SQL-инъекцию. Подобный трюк удалось повторить и 30 другим участникам, однако им на это потребовалось больше времени.

Один раз в жизни я делал SQL-injection. На самописной (причем второпях) системе. Которую в режиме недосыпа, мата и нервов делали двое охреневших программеров. На закрытие уязвимости мне потребовалось примерно полчаса - это чтобы убедиться, чтобы, зная структуру базы, сделать что-то содержательное, ну просто проверить возможности открывающиеся, и чтобы, почесав репу, заделать дырку.

Важный момент. Структура базы данных - это внутренняя архитектура системы. Какие таблицы, какие связи между таблицами... Этого просто так не найти. Берете любой проект в Инете, спрашиваете себя - какая структура базы данных? И хер вы найдете ответ на этот вопрос. Теоретически инъектированный запрос SHOW TABLES может вам показать структуру, но на анализ структуры вам потребуется время. Гораздо больше 10 минут. А разобраться в структуре полей таблиц - это еще больше времени. Это не десять минут. Это часы. Это часы на то, чтобы проверить, что ваши предположения о взаимосвязи полей в таблицах правильны, потому что иначе вы хрен что поменяете, не разрушив целостность данных.

Иными словами, не зная структуры данных в базе, даже при наличии возможности инъекции, за 10 минут вы не управитесь. Если только система не является тупой и совсем уж плоской. И даже в случае тупой и плоской системы вы все равно будете чесать репу на тему, а не порылась ли где собака... А отсюда следует вывод. Детишкам заранее дали структуру базы.

На секетный объект заранее прорыли тоннель, мимо колючей проволоки, собак и охраны...

В Национальной ассоциации государственных секретарей заявили, что готовы работать с победителями конкурса, чтобы усилить защиту избирательных систем от хакерских атак. Однако представители организации выразили сомнения в том, насколько качественно организаторам удалось скопировать госсайты для голосований.

И это еще один бред. Большой-большой.

Вы когда-нибудь пробовали взломать Гугл? Или Амазон? Ребята, никаких проблем, просто пишете письмо администратору, что в образовательных целях собираетесь тогда-то и тогдато оттуда-то и оттуда-то, значит, ломать. Что обязуетесь протоколировать действия и представлять полный протокол. Что готовы лично встретиться с админом, чтобы обсудить условия, как не порушить ресурс. Как бывший админ, могу сказать - любой админ не против, и начальство его не против, начальству его даже приятно будет, какое-никакое, а приключение. Разрешат, еще и болеть за вас будут, да...

Так вот. Вы пробовали взломать Амазон?

Ежедневно Амазон пытаются сломать. Десятки, если не сотни попыток. Огромные деньги в системе летают. И ломают не за 10 минут подростки, а неделями и месяцами серьезные дядья. И что?

И хер!

Потому что Амазонн или Гугл писали серьезные ребята, которым не улыбалось терять свои деньги. А избирательную систему в США писала фирма за госфинансирование, которая бабло себе в карман положила и на этом ее прибыль от проекта закончилась. И потому результат ее интересует не в смысле, чтобы никто ни-ни, а в смысле чтобы заказчик удовлетворился, щеки надул и бабло отслюнявил...

Вот почему 11-летние подростки не могут сломать Гугль или Амазон? Может, дело не в опасности хакеров, а в подходах к разработке программного обеспечения? ИМХО, пример Гугл и Амазон говорит нам, что при нормальном отношении можно создавать надежные системы, устойчивые к вторжениям и атакам. И даже недавняя история с Фейсбук - она случилась не по причине взлома, а потому что специально в системе права администрация выделила...

Вы можете нанимать подростков. Вы можете нанимать бомжей-проституток. Вы можете нанимать домашних (дикие не пойдут, западло) животных для совершенствования программного обеспечения избирательной системы США - результат будет один. Первая и главная проблема при написании любого софта - административная. Если неправильно организована работа - результат будет херовым.

Что мы и видим.

Достаточно заказать написание системы Гуглу, а аудит кода Амазону. Или наоборот. И подростки будут биться в истерике, захлебываться соплями и звать маму, а журналисты останутся без работы...

А вообще, первая реакция на материал у меня была комическая. "Если это может сделать подросток - значит это точно не Путин, не его уровень"...
Tags: Обожемойкакиеидиоты!, Се ля ви..., Тонкое жизненное, Чотаржу
Subscribe

  • Синемафилическое

    Мне порекомендовали фильм "Холоп" (2002) режиссера Клима Шипенко. Ну как бы референс на сейчас снимаемый фильм "вызов".…

  • О проблемах кинематографа

    Будучи изрядным киноманом, и наблюдая активность в соцсетях по поводу кинематографа, неожиданно пришел к пониманию того, что происходит в…

  • Ответ агрессору

    Пока американцы готовятся снимать фильм в космосе, пока россияне отработали на МКС (два киноэкипажа последовательно - я не завидую космонавтам,…

promo bigdrum february 17, 2019 22:31 6
Buy for 10 tokens
На мейл-ру пролетела очередная "желтая" новость, коих не счесть. Касательно контактов с инопланетянами. В силу чего, втыкая по причине небольшой эмоциональной раздолбанности, я вот тут вдруг решил взять и откомментировать это дело. Да, ребята! МЫ БУДЕМ ГОВОРИТЬ ОБ НЛО, ПРИШЕЛЬЦАХ…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments