Американскому школьнику Эмметту Брюэру (Emmett Brewer) удалось взломать точную копию сайта избирательной системы в США и изменить результаты выборов в штате Флорида. Об этом сообщает телевизионная служба PBS.
АААА!!!!
Ну, теперь говно по трубам несется со страшной силой, надо полагать?
Организаторы ежегодной конвенции хакеров DEFCON предложили 11-летнему Брюэру и другим участникам конференции взломать 13 страниц, связанных с национальной системой голосования. Организаторы дали юным хакерам 10 минут на то, чтобы те получили доступ к точным копиям сайтов избирательных систем. В мероприятии приняли участие 50 детей в возрасте от восьми до 16 лет.
Еще раз. Еще раз, чтобы вы поняли. Чтобы вы почувствовали.
Есть объект. Секретный. Режимный. С колючей проволокой и собаками. И охрана стреляет без предупреждения. Нарушителей оживляют и сажают на пожизненное. В эцих с гвоздями.
Вы берете детишек 11 лет, показываете пальцем на объект, и говорите, что за десять минут они должны на объект проникнуть, тарарам там устроить, и восторженно ждете наблюдать, как будет действовать колючая проволока, собаки, охрана и эцих с гвоздями...
В самих условиях задачи я наблюдаю идиотизм...
Мальчику удалось справиться с заданием всего за несколько минут: он изменил данные в разделе с результатами голосования, осуществив SQL-инъекцию. Подобный трюк удалось повторить и 30 другим участникам, однако им на это потребовалось больше времени.
Один раз в жизни я делал SQL-injection. На самописной (причем второпях) системе. Которую в режиме недосыпа, мата и нервов делали двое охреневших программеров. На закрытие уязвимости мне потребовалось примерно полчаса - это чтобы убедиться, чтобы, зная структуру базы, сделать что-то содержательное, ну просто проверить возможности открывающиеся, и чтобы, почесав репу, заделать дырку.
Важный момент. Структура базы данных - это внутренняя архитектура системы. Какие таблицы, какие связи между таблицами... Этого просто так не найти. Берете любой проект в Инете, спрашиваете себя - какая структура базы данных? И хер вы найдете ответ на этот вопрос. Теоретически инъектированный запрос SHOW TABLES может вам показать структуру, но на анализ структуры вам потребуется время. Гораздо больше 10 минут. А разобраться в структуре полей таблиц - это еще больше времени. Это не десять минут. Это часы. Это часы на то, чтобы проверить, что ваши предположения о взаимосвязи полей в таблицах правильны, потому что иначе вы хрен что поменяете, не разрушив целостность данных.
Иными словами, не зная структуры данных в базе, даже при наличии возможности инъекции, за 10 минут вы не управитесь. Если только система не является тупой и совсем уж плоской. И даже в случае тупой и плоской системы вы все равно будете чесать репу на тему, а не порылась ли где собака... А отсюда следует вывод. Детишкам заранее дали структуру базы.
На секетный объект заранее прорыли тоннель, мимо колючей проволоки, собак и охраны...
В Национальной ассоциации государственных секретарей заявили, что готовы работать с победителями конкурса, чтобы усилить защиту избирательных систем от хакерских атак. Однако представители организации выразили сомнения в том, насколько качественно организаторам удалось скопировать госсайты для голосований.
И это еще один бред. Большой-большой.
Вы когда-нибудь пробовали взломать Гугл? Или Амазон? Ребята, никаких проблем, просто пишете письмо администратору, что в образовательных целях собираетесь тогда-то и тогдато оттуда-то и оттуда-то, значит, ломать. Что обязуетесь протоколировать действия и представлять полный протокол. Что готовы лично встретиться с админом, чтобы обсудить условия, как не порушить ресурс. Как бывший админ, могу сказать - любой админ не против, и начальство его не против, начальству его даже приятно будет, какое-никакое, а приключение. Разрешат, еще и болеть за вас будут, да...
Так вот. Вы пробовали взломать Амазон?
Ежедневно Амазон пытаются сломать. Десятки, если не сотни попыток. Огромные деньги в системе летают. И ломают не за 10 минут подростки, а неделями и месяцами серьезные дядья. И что?
И хер!
Потому что Амазонн или Гугл писали серьезные ребята, которым не улыбалось терять свои деньги. А избирательную систему в США писала фирма за госфинансирование, которая бабло себе в карман положила и на этом ее прибыль от проекта закончилась. И потому результат ее интересует не в смысле, чтобы никто ни-ни, а в смысле чтобы заказчик удовлетворился, щеки надул и бабло отслюнявил...
Вот почему 11-летние подростки не могут сломать Гугль или Амазон? Может, дело не в опасности хакеров, а в подходах к разработке программного обеспечения? ИМХО, пример Гугл и Амазон говорит нам, что при нормальном отношении можно создавать надежные системы, устойчивые к вторжениям и атакам. И даже недавняя история с Фейсбук - она случилась не по причине взлома, а потому что специально в системе права администрация выделила...
Вы можете нанимать подростков. Вы можете нанимать бомжей-проституток. Вы можете нанимать домашних (дикие не пойдут, западло) животных для совершенствования программного обеспечения избирательной системы США - результат будет один. Первая и главная проблема при написании любого софта - административная. Если неправильно организована работа - результат будет херовым.
Что мы и видим.
Достаточно заказать написание системы Гуглу, а аудит кода Амазону. Или наоборот. И подростки будут биться в истерике, захлебываться соплями и звать маму, а журналисты останутся без работы...
А вообще, первая реакция на материал у меня была комическая. "Если это может сделать подросток - значит это точно не Путин, не его уровень"...
Journal information