Как известно, управлять компьютером сейчас может любая кухарка. Миллионы людей пользуются им для выхода в Интернет, чтобы зависнуть во «ВКонтакте» или «Одноклассниках», выжечь огнём и мечом с группой виртуальных знакомых поселение орков в World of Warcraft или же скачать в торрентах какую-нибудь порнушку.

А в это время злыдни, которые прекрасно знают, что возможности компьютера и Интернета гораздо шире, самыми изощрёнными способами стригут капусту со всей этой армии интернетчиков. О том, что на них идёт охота, большинство пользователей узнают уже тогда, когда попадают в расставленные на них киберсилки, причём зачастую неоднократно.

Тогда они зовут на помощь специалистов, которые приводят их компьютеры в чувство — лишь для того, чтобы пользователи опять могли заниматься своими любимыми делами, снова и снова наступая на одни и те же грабли. В реальной жизни такое показалось бы абсурдом. Это как если бы среднестатистический гражданин активно вступал в случайные половые связи, не пользуясь не только собственными мозгами, но и элементарными средствами защиты, после чего проходил очередной курс лечения в кожвендиспансере и — опять принимался за старое, даже не пытаясь связать причину и следствие.

Из этого замкнутого круга может выйти только сам интернет-пользователь. Если захочет.

[читать всё...]

upd: об этом — на «Вебпланете».

«Яндекс» подставил пользователей «МегаФона»

Примечателен свежий пример. 6 апреля некто угнал домен сайта питерского футбольного клуба «Зенит» и поднял на нём свою страничку. А 8 апреля этого некто уже задержали (причём он сам подтверждает, что сделал это). Более того, интернет-следы к этому человеку, также питерцу, вели через Новосибирск и Люксембург, и оперативники даже успели туда слетать.

Конечно, наиболее вероятное объяснение такой прыти — то, что на угнанной страничке «Зенита» были вывешены портреты первых лиц Санкт-Петербурга (думаю, вся русскоязычная блогосфера слышала о г-же Матвиенко), сопровождающиеся весьма нелестными характеристиками. Но ведь могут же, когда есть стимул, верно?

Всей полнотой информации мы, конечно же, не обладаем. Мы видим только небольшую часть, как сейчас выясняется, этой атаки. [...] Из той информации, которую предоставляла администрация Живого Журнала, сложить дважды два несложно и понять, что вот один из источников данной атаки. Но в целом надо признать, что ботнет участвует в атаке не один. Сколько их, сказать затрудняемся, но ясно, что тот ботнет, за которым наблюдали мы, во вчерашней атаке на Живой Журнал не участвовал, а атака была. Это говорит о том, что организаторы этой атаки обратились сразу к нескольким преступным группировкам, очевидно, англоязычным, и сделали им одновременный заказ. Зачем делать одновременный заказ нескольких ботнетов, в принципе, объяснимо. Тогда самая техническая реализация атаки выглядит по-другому, каждый из ботнетов использует разные боты, которые посылают разный вид запросов, и отсечь их гораздо сложнее.

[...]

они говорят о том, что число одновременных запросов к их серверам на момент атаки составляло миллион, (неразб.), притом, что сервера были рассчитаны на работу с 50 тысячами одновременно запросов. Они столкнулись с атакой, в 20 раз превосходящей их текущие технические мощности. [...] Вот эта цифра, миллион одновременных соединений на сервер, она может дать некоторые представления о размере ботнетов, которые принимали участие в этой атаке. (неразб.), преступники, которые создали этот бот, они клонируют его, говоря о том, что он создает сто одновременных соединений в момент атаки. Соответственно, если мы имеем число в миллион, то можно предположить, что ботнет состоит примерно из 10 тысяч машин.

Отмечу, что лично я пока склоняюсь к версии о том, что DDoS играл/играет лишь второстепенную роль в проблемах ЖЖ. Нельзя также не заметить, что Гостев во многом полагается на информацию, предоставляемую «Супом», а если там э-э... приукрашивают действительность, соответственно и его выводы неверны.

В действительности там всё по-другому, но это неважно — и такую «кнопку» тоже вполне можно сделать в виде мобильного приложения. Меня же больше заинтересовало вот это место:

The United States has funded training for some 5,000 activists around the world on the new technologies — and some sessions have turned up unnerving surprises.

At a recent training session in Beirut, experts examined the computer of a Tunisian activist and discovered it was infected with «key-logging» software that could communicate what he was typing — presumably to security agents.

«They started to go around and look at what was on the other peoples' computers. A guy from Syria had 100 viruses in his machine ... this is the tip of the iceberg,» [said Michael Posner, assistant U.S. secretary of state for human rights and labor].

Перевожу сжато. США спонсируют обучение 5 тысяч активистов по всему миру работе с новыми технологиями и в ходе этих занятий обнаружили жуткие прямо вещи. Например, на компе одного тунисского активиста обнаружился «кейлоггер» — скрытая программулька, которая записывает всё, что он печатает, и отправляет это «предположительно агентам службы безопасности». А у товарища из Сирии на компьютере нашли 100 вирусов, «и это только верхушка айсберга». Их тоже внедрили, понятно, тоталитарные спецслужбы, если верить помощнику министра США по правам человека Майклу Познеру.

Спасибо, что объяснили причину. А то я уж было начал думать об этом сирийском товарище нехорошо. На самом деле он вовсе не дорвался до Интернета и не лазает по ночам по порносайтам без презерватива, чтобы посмотреть на женщин без паранджи, откуда и подцепил всех этих троянов — это всё за ним следят агенты спецслужб.

Как и следовало ожидать, когда-то вирусы писались с совсем другими целями.

Подробности письмом.

Зачем это нужно — вопрос отдельный. Варианта два: либо это стараются конкуренты, либо кто-то имеет зуб на Chronopay. Учитывая, что владельцем компании является Павел Врублевский, вторая версия наиболее вероятна. У этого человека просто масса врагов (подробности можно узнать из блога его бывшего партнёра Игоря Гусева).

Как по мне, того, что известно о Врублевском, примерно на порядок больше, чем требуется, для того чтобы никогда не иметь дел с «Хронопеем». Но, очевидно, до широких масс эта информация не особо доходит в силу ряда причин, поэтому мы и имеем очередной, вроде бы уже третий «взлом Chronopay» с попыткой поднять шумиху вокруг этого дела.

Но я постараюсь сохранить объективность. А она такова, что у взломщиков, скорее всего, нет и не было доступа к базе с платежами, что бы они об этом ни говорили.

Вкратце: они выложили в Сеть архив с (а) SSL-сертификатами «Хронопея» и (б) списком из нескольких сотен пластиковых карт (номера, CVV-коды, даты окончания действия, имена кардхолдеров). SSL-сертификаты — это очень серьёзно, на самом деле. Судя по всему, они действительно валидны, но я этот вопрос пока не изучал как следует. Как я понял, Врублевский пока старается избегать комментариев по этому поводу.

А вот со списком карт не всё чисто. Хакеры утверждают, что этот список — просто часть имеющейся в их распоряжении огромной базы с платежами пользователей, которые обрабатывались «Хронопеем» в 2009—2010 годах. Однако есть ряд соображений, говорящих против данного утверждения.

1. Такой список можно было получить разными путями. Наиболее простой — через фишинговую веб-форму, после того как был угнан домен chronpay.com. Сам Врублевский в конце концов признал, что взломщики такую форму использовали. (Разумеется, это лишь косвенное подтверждение, поскольку Врублевский заинтересован в том, чтобы выбрать наименьшее зло.)

2. В списке присутствуют CVV-коды, которые Chronopay как процессинговый оператор не имеет права хранить. Может, но не имеет права. Учитывая, что недавно компания в очередной раз получила соответствующий сертификат, сомнительно, что они в самом деле хранят эти данные. Хотя в веб-форму они, конечно, вносятся.

3. В выложенном списке нет ни одной карты, срок действия которой истекал бы ранее 2011 года. Это говорит о том, что мы имеем дело с достаточно свежими данными (декабрь 2010 года — правдоподобно, январь 2009 года — сомнительно).

4. В выложенном списке встречается по несколько одинаковых записей подряд, а значения некоторых полей с годом окончания действия карт равны нулю. Это свидетельствует в пользу того, что речь идёт о сырых данных, собранных через веб-форму (пользователи ошибаются при вводе), а не о данных из реальной базы транзакций.

5. Наконец, хакеры никоим образом никому не хотят подтверждать, что у них имеются действительные транзакции. Я лично дважды к ним обращался (на «Вебпланете» и в их ЖЖ-дневнике) с предложением связаться со мной как представителем СМИ по email и даже в общих чертах описал схему, по которой мы могли бы удостоверить наличие у них такой базы. В конце концов я получил ответ, суть которого передаётся просто: мы ничего не собираемся доказывать, мы уже добились своего. Подобные ответы они дают и на предложения других людей.

Интересно, что в списке присутствует карта Юрия Синодова с достаточно известного ресурса roem.ru. Думаю, что это не случайно, а как раз с целью добиться большей шумихи. Думаю также, что Синодова просто использовали, раздобыв данные о его карте каким-то другим способом (а не сговорившись с ним — т.е. теоретически такой вариант возможен, но, мне кажется, маловероятен).

Вывод? Данные о платежах пользователей через Chronopay за 2009—2010 год не утекли — если не считать платежей в районе 26 декабря, когда был угнан домен с SSL-сертификатами и организована фишинговая форма.

Надо ли куда-то бежать и что-то делать? Я бы, конечно, подстраховался — если бы пользовался «Хронопеем» явно или косвенно. Но я бы им вообще не пользовался. Не из-за надёжности или ненадёжности системы, а просто потому, что не всем людям стоит доверять свои деньги. Тут ситуация чем-то схожа с суетой вокруг WebMoney.