Атака которой не было
Недавно заспорили с M.E.Doc об уязвимостях, Непете и вот том всём. Неконструктивный какой-то получился диалог и невежливый. Даже прямо-таки хамский местами. Никаких заготовок из раздела FRD у меня припрятано не было, так что с сервером медка получился очередной low-tech hack: открываю список поддоменов, просматриваю сайты, на втором сайте "ddd" вижу форму входа для дилеров, и вбиваю кавычку - с кавычкой ошибка есть, а без кавычки ошибки нет - sql injection, натравливаю sqlmap, и что мы видим? Видим, что сайт подключен к MySQL рутом и доступно сразу несколько баз. На всё про всё - ровно две минуты. Я ничего с сервера скачивать не стал, а потегал официальную страницу и участников флейма. Через три часа (особенно после подсказки про SQLi) дыру закрыли. Обычное дело. Гораздо интереснее то, что могло бы произойти. Думаю, что на долом сервера ушло бы ещё минут пять, а дальше хакеры могли бы раскидать каких-нибудь Телеботов или Непеть ещё раз. А может и раскидали? Кто знает, кто знает?..
P.S. Ах, да, там мне говорили про пост с признанием уязвимости, но че-то нет пока. Святослав Крижевич как же так? Олеся Линник вы же в гости звали, как-то не согласуется с законами гостеприимства.
Недавно заспорили с M.E.Doc об уязвимостях, Непете и вот том всём. Неконструктивный какой-то получился диалог и невежливый. Даже прямо-таки хамский местами. Никаких заготовок из раздела FRD у меня припрятано не было, так что с сервером медка получился очередной low-tech hack: открываю список поддоменов, просматриваю сайты, на втором сайте "ddd" вижу форму входа для дилеров, и вбиваю кавычку - с кавычкой ошибка есть, а без кавычки ошибки нет - sql injection, натравливаю sqlmap, и что мы видим? Видим, что сайт подключен к MySQL рутом и доступно сразу несколько баз. На всё про всё - ровно две минуты. Я ничего с сервера скачивать не стал, а потегал официальную страницу и участников флейма. Через три часа (особенно после подсказки про SQLi) дыру закрыли. Обычное дело. Гораздо интереснее то, что могло бы произойти. Думаю, что на долом сервера ушло бы ещё минут пять, а дальше хакеры могли бы раскидать каких-нибудь Телеботов или Непеть ещё раз. А может и раскидали? Кто знает, кто знает?..
P.S. Ах, да, там мне говорили про пост с признанием уязвимости, но че-то нет пока. Святослав Крижевич как же так? Олеся Линник вы же в гости звали, как-то не согласуется с законами гостеприимства.
Прочитал ебучий стыд, выжигающий глаза "телефонный разговор Трамп - Зеленский". Любопытно, господин Трамп повторяет конспирологическую теорию о том, что копия "сервера Клинтон" может находится в Украине. Семнадцать разведывательных контор не могут убедить своего президента в том, что Россия - враг. А остальное, особенно дурню зеленой тряпки, даже комментировать не хочется https://www.whitehouse.gov/wp-content/uploads/2019/09/Unclassified09.2019.pdf
Блядь, мои глаза! Они кровоточат. Я уже даже начал забывать какие именно скрины я хотел запостить с такой подписью, но это нечто! #draintheswamp
Кто-то решил придумать магическую кнопку "Заебись" (Спасибо Володимир Кондрашов за наводку) По просьбам, стало быть, обеспокоенной общественности. "Общественности" не приходит в голову, что дядя мусор должен такое объявление найти, попытаться купить поддельный документ и посадить изготовителя подделок в тюрьму? Нет, сука, нужно испортить Интернет и зарыть голову в песок.
Зеленский просто предатель. Даже не очень важно чего в нём больше - бесстыжей глупости или беспросветной подлости.
У меня есть друг, который совсем не программист, не безопасник и уж тем более не хакер, а фотограф, но даже он знает в отличии от кривоногих рукожопов из Київська міська державна адміністрація - КМДА, что так код писать нельзя. #FRD #ContentSpoofing
P.S. В ходе увлекательной дискуссии выяснилось, что #XSS месячной давности (второй скрин) тоже никто не исправил
P.P.S. В комментариях ещё много вкусного и поучительного, включая ещё одну незакрытую дыру и взаимные обещания "позвонить по поводу того чорта"
P.S. В ходе увлекательной дискуссии выяснилось, что #XSS месячной давности (второй скрин) тоже никто не исправил
P.P.S. В комментариях ещё много вкусного и поучительного, включая ещё одну незакрытую дыру и взаимные обещания "позвонить по поводу того чорта"
Красивейший иск Департамента Юстиции против Сноудена https://www.justice.gov/usao-edva/press-release/file/1203231/download Эд недавно опубликовал автобиографическую книжку "Permanent record" и правительство США обвиняет его в нарушении NDA и правил ЦРУ и АНБ (книжку должны были просмотреть компетентные товарищи), но они не собираются останавливать публикацию, о чем говорит Эд в тви https://bit.ly/3598xaJ , ведь первую поправку никто не отменял ("В ходе процесса, Соединенные Штаты не собираются запрещать или ограничивать публикацию или распространение книги Сноудена"), а просто хотят отобрать у Эда все доходы, роялти и права на выступления и публикации. Очень изящно. Книжку можно скачать здесь https://bit.ly/35b0t9e Я считаю, что человек связавший свою судьбу с утечками, не имеет морального права на защиту своих авторских, а особенно смежных прав.
Просматривая избранные блоги за последние несколько недель, наткнулся на чудесный лонгрид Гринберга (почему-то пропустил его, когда он вышел) о Непете, и о том чего атака стоила гиганту грузоперевозок Maersk https://bit.ly/2w6FJjg И статья мне тут же напомнила об очередном столкновении с M.E.Doc Для тех кто пропустил, всё началось со споров по поводу программных РРО у Игоря Дядюры, и представитель Медка Олеся Линник прямо лучилась фантастическими комментариями, о том что виноваты все - Майкрософт, АНБ, ГРУ, сами пользователи, а Линкос невинная жертва https://bit.ly/2OiiX1M под моим довольно хамским постом, фестиваль искрометного юмора продолжился, с обычными в таких случаях подколками и взаимными оскорблениями и приглашениями на экскурсию. Вплоть до угроз судебными исками о защите репутации! (Медок, репутация, sic!) Я долго думал, что ответить Олесе, так чтобы без мата и решил действительно сходить и посмотреть, что там у Медка, через две минуты я нашел уязвимый сервер, и решил для разнообразия попробовать responsible disclosure, и предупредил компанию о наличии уязвимости. Часа три они её искали и после подсказки с моей стороны нашли. А дальше началось интересное. Святослав Крижевич пришел ко мне в личку и спросил сколько они мне должны за работу. Я ему ответил, что они мне ничего не должны и посоветовал вместо этого написать пост о том, где была уязвимость и что они делают для того, чтобы предотвратить атаки подобные Непете (что действительно могло бы немного поправить репутацию). Святослав сказал, что пост они напишут. И предложил пятьсот баксов за найденную уязвимость, а на самом деле, как я вижу, для того, чтобы спустить всё в очередной раз на тормозах. Деньги я не взял, но честно подождал недельку, однако, кроме победных реляций на странице Медка ничего не увидел. И написал пост сам https://bit.ly/332A4J1 Пятьсот лайков конечно не пятьсот баксов, но тоже неплохо. Честно говоря, я редко встречаюсь с настолько упорным сопротивлением реальности. Компания, преступное разгильдяйство которой, позволило россиянам провести одну из самых разрушительных кибер-атак современности, по-прежнему, не сделала для себя никаких выводов и продолжает работать в том же самом неподражаемом стиле. Если даже после Непети их сервер получилось взломать за две трахнутых минуты, то Медок в кассовом аппарате - прямая угроза национальной безопасности. https://internetua.com/m-e-doc-uporno-zamalcsivaet-problemy-uyazvimosti-svoego-servera