Разговоры об Интернет Технологиях - Part 2 shredder05.ru Разговоры об Интернет Технологиях Учимся не терять деньги в сети. октября 10, 2008

Сегодня я хотел бы рассказать как люди теряют свои деньги в сети по своей собственной глупости, неосторожности, лени (нужное подчеркнуть). Так как я немного знаком с основами взлома веб приложений, я решил исследовать один портал на предмет наличия уязвимостей в нём. Через некоторое время была найдена уязвимость класса sql injection. Эта уязвимость позволяет читать записи из базы данных, которую использует портал. Я так и сделал - прочитал её. К моему удивлению портал хранил пароли зарегистрированных пользователей в открытом виде. Программисты, которые создавали этот проект мало того что допустили банальную ошибку внедрения произвольных SQL запросов, да к тому же ещё и не шифровали пароли хотя бы банальным алгоритмом MD5. Вместе с логинами и паролями в базе данных содержались ещё и e-mail адреса. Я отобрал те из них, которые принадлежали к бесплатным почтовым сервисам имеющие доступ к почтовому ящику через веб интерфейс. Среди них достаточноаспространённые и всем известные порталы - это gmail.com, mail.ru, yandex.ru,
rambler.ru, ukr.net итд. Я последовательно перебрал все акаунты. В качестве логина подставлял те, которые пользователи зарегистрировали на уязвимом портале и соответственно те же пароли. Около 60% логинов совпадали с почтовыми логинами. Но что больше всего меня поразило, дак это то, что добрая половина паролей подходила к учётной записи почтового ящика. Вот так вот. А теперь самое страшное, как же уходят деньги? Думаю всем знаком сервис Яндекса - Яндекс.Деньги. Аутентификационные данные к почтовому ящику подходят и к сервису Яндекс.Деньги. То есть можно узнать, есть ли у человека денежные средства на этом акаунте. Из всех что мне удалось подобрать, у двух были средства. На одном небольшая сумма, а вот на другом очень даже внушительная. Единственное препятствие для хищения средств с одного счёта на другой - это ещё один пароль, который как ни странно оказался таким же. Сам сервис Яндекс.Деньги предупреждает пользователей, чтобы они не делали второй пароль таким же как и основной, но этот пользователь (как потом я выяснил это была женщина) пренебрёг этим предостережением. Я мог бы перевести все эти средства на другой кошелёк, либо оплатить любые услуги, которые принимают Яндекс.Деньги, но так как я не занимаюсь криминалом, я написал анонимное письмо владелице этого почтового ящика, о том как я попал в учётную запись её акаунта и с рекомендациями сменить пароли. Через некоторое время пароли были сменены. Так же можно было проверить сервис Яндекс.Директ на предмет наличия средств, но я этого уже не делал. Если бы они там оказались, то на чужие деньги можно провести какую-либо рекламную компанию. Так же средства можно потерять и с учётной записи gmail.com. Google AdWords - это аналог Яндекс.Директ предназначенный для проведения рекламных компаний. Аутентификационные данные к почтовому ящику gmail.com те же что и для Google AdWords. Что же необходимо делать, что бы не терять деньги в сети? Первое: это не относиться так халатно к хранению своих паролей и уж тем более не вводить их на сомнительных порталах. Второе: пароли к виртуальным деньгам НИКОГДА не должны совпадать с почтой, ICQ, MSN, Skype итд. Третье: слудет хотя бы раз в месяц менять пароли к Вашим учётным записям. Эти три простые правила помогу сохранить вам ваши средства в целости и сохранности.

Ну а что бы всё не казалось таким печальным в завершение предлагаю взглянуть на этот замечательный мультфильм, который несомненно поднимет настроение всем.

Компьютеры + Интернет октября 9, 2008

Многие даже не задумываются какую гремучую смесь составляют эти два слова. Я даже и не знаю больше другой такой парочки слов, которые на столько много значили бы в нашей современной жизни. Это на столько удивительные вещи, что с их помошью можно делать абсолютно всё и даже больше, чем каждый из нас может себе представить. Работа, отдых, развлечения итд. Словом, любое состояние, эмоции, предметы, явления, всё это может воссоздаваться с помошью компьютера и интернета. К примеру человек, который по каким-либо причинам не может сделать что-то в реальной жизни, но может проделать это в виртуальной т.е. получает возможность самореализации. Инвалид никогда не сможет служить в армии, но достаточно установить симулятор боевых действий (хотя бы игра "Сталкер") и вуаля - ты серьёзный вояка. Либо лётчиком - тебе в руки симулятор полётов, либо автогонщиком болида - ставим "Жажду скорости". Любая профессия, которая тебе не доступна в реальной жизни, тебе всегда доступна в виртуальной и причём без какого-либо возможного ущерба. А отношения между людьми, тут вообще нет предела благодаря интернет пейджерам, чатам, блогам, форумам и социальным сетям. Не одна тысяча людей нашли себе в сети спутников жизни и благодаря ней же потеряла. Друзья и враги, их вы тоже приобретёте в сети без сомнения. Настроение, мы даже в асе его выставляем т.е. оно тоже присутствует в виртуальном мире. Любое состояние человека присутствует здесь. Финансы, посмотрите на биржи, работу банков, заводов, всё это с помошью компьютеров и интернета. Самые богатые люди на планете заработали свои миллиарды в сети. Интернет технологии прочно вошли в нашу жизнь. Теперь чутьли ни у каждого дома стоит компьютер и при умелом использовании он способен на многое. Даже если говорить об обыденных вещах, компьютер симулирует телевизор, радио, магнитофон, видеомагнитофон, телефон, способен быть домохозяйкой, управляя всей техникой, будьто стиральная машина, пылесос, кофеварка, холодильник, контроллер подачи воды, газа, воздуха итд. Всё это делает он. Используя интернет, можно посмотреть на любой участок Земли, да что там Земли, Марса и Луны. Сколь по всему миру наставлемо вебкамер, изображения в реальном времени можно увидеть в любом крупном городе планеты. Интернет Технологии на столько стали развиты, что открывают небывалые возможности, которые ограничиваются фантазией, ну и желанием. Интернет технологии - это уже часть нашей жизни и про неё я буду говорить.

Newer Entries »

  • shredder05.ru is proudly powered by WordPress
    Entries (RSS) and Comments (RSS).