вторник, 22 марта 2011 г.

Безопасность публичных сервисов

Ни для кого не секрет, что безопасность любого публичного сервиса вопрос очень скользкий и доверяя свои персональные данные "незнакомому интернету" не стоит удивляться, тому, что они могут оказаться у всяких спамерв-хакеров.
Но иногда беспечность пользователей просто поражает воображение.

Например, известный сервис upload.com.ua предоставляет замечательную возможность посмотреть список последних загруженных файлов. Совершенно официальная возможность. Конечно, при загрузке файла можно установить пароль на скачивание, но чаще всего этой возможностью пренебрегают. Теперь вы можете наслаждаться гигабайтами частных фотографий с домашних вечеринок (в хорошем качестве!), если они вообще кому-нибудь могут быть интересны. Рефераты, макеты на утверждение заказчику, бизнес-планы, опять какие-то рефераты, фильмы, музыка... Поинтересуйтесь чем вообще обмениваются люди.

Я, например, нашел совершенно не запакованный dt-файл от 1С. Для тех, кто не в теме - поясню. Это полная база данных со всей коммерческой информацией предприятия. К счастью база, которая попалась мне, была какой-то технологической и в ней толком не учитывалось ничего кроме материалов и каких-то основных средств. Знаете, всякие столы, стулья, канцелярские папки. Опять-таки беспечность администратора позволила мне войти в базу не совершая никаких противоправных действий под пользователем с пустым паролем. Т.е. стоит проявить немного любопытства и можно получить совершенно неожиданную информацию.

Не могу не призвать всех в очередной раз быть бдительными, соблюдать информационную безопасность и следить за собой. Помните, если вы параноик, это еще не значит, что за вами не следят!

P.S.: Статья написана в образовательных целях, не преследует нанесения какого-либо ущерба и не призывает ни к каким противоправным действиям. Ну вы поняли.

4 комментария:

Ragnar комментирует...

из рассчета на таких вот любопытных, я бы под видом всякого хлама туда вирье заливал бы, хыхы =)

пысы: см. пысы поста

Green FiLin комментирует...

Ага. Ну, а я, такой отключаю антивирус, фаер, руки и голову и давай запускать экзешники все в подряд. =)
Не все так просто. Если уж таскаться по помойкам, то VirtualBox никто не отменял. Кстати, кое-что экзешное именно под ним и пробовал.
Ну, а jpg сложно заразить вирусом. =)

yoooopt комментирует...

сложно, но можно

> под пользователем с пустым паролем
ну, даже если б пароль там и был установлен, то и это при желании и наличии серого вещества в черепной коробке - обходится

Волею судеб мне приходилось заливать базы на обменники. Но в данном случае я паковал в архив под 30-буквенно-циферно-знаковый пароль, а на файл ставил пометку "Приватный"

Green FiLin комментирует...

Да, о том и речь. Даже обычный пятибуквенный пароль 12345 спасает от просто "проходящих мимо" любопытствующих.
(представим себе на секунду, что есть некий сервер, который периодически мониторит upload.com.ua на наличие dt-файлов и автоматически тянет их себе)
А 30-ти символьный поможет и от настойчивых.

Отправить комментарий