Обещанное про взлом Соколова

[dolboed]

С некоторым опозданием — обещанный комментарий про взлом дневника maxim_sokolov и пользовательскую профилактику.

Журнал maxim_sokolov взломан неизвестными в ночь с 7 на 8 сентября с.г. Очевидно, взлому предшествовал подбор пароля от почтового ящика на @inbox.ru, адрес которого потерпевший не скрывал (а пароль был достаточно прост для перебора). Впрочем, нельзя исключить заражение компьютера Максима Соколова троянским вирусом, поскольку взлому подверглись все ящики, к которым он имел доступ.

Новый журнал Максима Соколова находится по адресу m_yu_sokolov, зафрендить можно здесь. Однако, в силу сохраняющейся вероятности троянца, может так случиться, что и новый аккаунт взломают тем же способом. Максим Юрьевич об угрозе предупреждён, обещал принять меры предосторожности.

С огромным интересом прочитал очередную дюжину комментариев о том, что во всех взломах аккаунтов ЖЖ виновата компания <суп> и я лично, и что "раньше в ЖЖ аккаунты не взламывали". Люди, которые подобное пишут, могут сколько угодно выдавать себя хоть за кулхацкеров, хоть за экспертов в области компьютерной безопасности, хоть за аналитиков, но на самом деле это просто эпигоны старого иртеньевского стихотворения:
Просыпаюсь с бодуна,
Денег нету ни хрена.
Отвалилась печень,
Пересохло в горле,
Похмелиться нечем,
Документы сперли,
Глаз заплыл,
Пиджак в пыли,
Под кроватью брюки.
До чего ж нас довели
Коммунисты-суки!
Фокус в том, что ни один сервис на свете не в состоянии заботиться о сохранности пользовательских данных больше, чем сам пользователь. Поэтому обсуждение способов самозащиты — актуальная контрмера. А попытки найти крайнего среди корпораций, дорожащих своим реноме — всего лишь бесполезный шум. Это не значит, что корпорации ничем не могут помочь. Могут, и со временем помогут. Но на разработку и внедрение действенных механизмов backup/restore уйдут в лучшем случае месяцы, а защищать свои данные нужно уже сегодня.

О средствах резервного копирования ЖЖ я уже писал здесь кратко и здесь подробно. Согласен, что backup без restore неполноценен, но от частого повторения эта мысль не обретает никакой практической ценности. Во-первых, restore может быть написан в любой момент в будущем. Во-вторых, когда он будет написан (<суп>ом ли, 6Апартом ли, или независимым разработчиком вроде Николаева, Чиркова, Ромахина, flashrа), он никак не поможет пользователям, поленившимся загодя сделать backup. А в известных пределах restore содержимого доступен уже сегодня: сохранённое в LJSM можно сразу вылить на любой вебсервер, а LJArchive имеет гибкие возможности по экспорту сохранённых записей и комментариев в HTML.

Весьма подробную инструкцию как по защите аккаунтов, так и по резервному их копированию, я публиковал в этом журнале 19 июня. Настоятельно рекомендую её к внимательному прочтению всеми, кому не безразлична судьба их журналов, а также персональной переписки (как показывает история со взломом Мальгина, иногда гибель ЖЖ — это полбеды).

Disclaimer для тех, кто в танке: эта запись, как и любая другая запись в моём личном дневнике, не является официальной реакцией компании <суп> на взлом дневника Максима Соколова. Это всего лишь частные соображения частного лица, изложенные им на досуге. Если кому-то нужна официальная реакция компании, звоните в пресс-службу, или обращайтесь в сообщество sup_ru.

Copyleft notice: этот документ (равно как и те мои посты, на которые он ссылается) предназначен максимально широкому кругу лиц. Разрешается свободная перепечатка всего текста или любой его части, без предварительного согласования с кем бы то ни было. Вопрос об оформлении ссылки на первоисточник — на усмотрении цитирующего.

Comments

[juliy.livejournal.com]

я почему-то был уверен, что уже видел консольную программу по восстановлению постов с одного аккаунта на другом. заглянул в описание ljsm и ljpms, там такой функционал отсутствует, значит, это была какая-то другая разработка. мне запонилось, что программа может взять посты, сохраненные ljsm и залить их на другой аккаунт с backdate entry и теми же датами/временем, что и оригинал

[dolboeb.livejournal.com]

Попробуй, пожалуйста, найти. Или написать :)

[juliy.livejournal.com]

) сначала попробую найти в архивах где-то, чтобы велосипед не
изобретать

[axc.livejournal.com]

Чаво-то такое было.
Но - без комментов.

[juliy.livejournal.com]

да, без комментов

[juliy.livejournal.com]

потому что камменты нельзя перенести в другой журнал, их же разные
люди писали. разве что анонимно все, но тогда какой в них смысл?

[e-dikiy.livejournal.com]

но в лжр-то из жж экспорт (прямой) с комментами возможен!..

[avva.livejournal.com]

ljpms это делает.

[juliy.livejournal.com]

как на ljr могут появиться комментарии от аккаунта juliy, если я их
там не оставлял?

[rusec.livejournal.com]

Можно вносить анонимно, в начале каждого коммента давая ссылку на автора.
Получится практически как оригинал. Можно и аватары повставлять.

[juliy.livejournal.com]

точно, это я уже спросонья протупил, про уровень доступа к постам только глянул

ljpms [-p proxyserver] [-s source_user] username:password mode
mode: backup|private|friends|public|restore|delete|
-s source_user - запостить записи source_user-а в журнал user-a
is a friendgroup identifyer

http://ljsm.feechki.org/ljpms.html

все уже придумано до нас

офтоп

[webid-studio.livejournal.com]

>Copyleft notice

Антон, как называется термин, позволяющий использовать свободно фотографии? Вы писали как-то: "Фотографии из заметки, как обычно, #это слово#. Для всех, кроме бумажной версии МК".

[mike67.livejournal.com]

Да вот Мальгин помнится говорил, что нормально о безопасности заботился. Я не виню суп, но похоже, что взломать могут любого.

[juliy.livejournal.com]

ну как вариант, хотя решение готовое уже есть такое, Авва ниже
напомнил

[evergestis.livejournal.com]

Комменты становятся от юзера *@lj.

[avva.livejournal.com]

Но это, конечно, не полный restore. Для полного нужно, чтобы сервер подписывал копии постов/комментов, и обратно проверял подпись, когда их ему отдают на restore, и восстанавливал в точности как было, все записи и все комменты.

[juliy.livejournal.com]

какие при грамотном использовании ljpms возможности для прокачки виртуалов открываются, хехехе

[juliy.livejournal.com]

с комментами не совсем корректно по отношению к их авторам будет, я
думаю. например, я копирую juliy в asd123. каждый оставленный в juliy
комментарий является собственностью автора оного комментария, и
теоретически может возникнуть ситуация, что человек, оставлявший свой
комментарий в juliy, не захочет его видеть в asd123

=

[juliy.livejournal.com]

http://dolboeb.livejournal.com/1028984.html?thread=36217976#t36217976

[avva.livejournal.com]

да, я имел в виду скорее ситуацию при которой juliy взламывают, удаляют все, потом вы возвращаете себе контроль над журналом, даете жж копии файлов с записями и комментами, и жж восстанавливает их прямо в juliy. тоже есть возможная этическая проблема (если кто-то удалил свой комментарий после того, как вы скачали копию, и теперь он восстановится), но не такая суровая и в принципе разрешима.

[juliy.livejournal.com]

так да, нормально, но на текущий момент движок жж позволит
восстановить в аккаунте juliy неанонимно только комментарии, которые
были написаны juliy. а если в будущем backup и restore будут делаться
средствами жж, то необходимость в ljpms, само собой, отпадет

[e-dikiy.livejournal.com]

Силь ву пле, - вот честно - первый же открытый навскидку тред: http://lj.rossia.org/users/e_dikiy/1527980.html?thread=17301164#t17301164

Может, я неточно насчет прмяого сформулировал - в общем, при прямом экспорте журнала сохраняются каменты.

[juliy.livejournal.com]

техническая реализация на стороннем сервисе понятна (хотя в жж так не
получится), я имел в виду правовой аспект
http://dolboeb.livejournal.com/1028984.html?thread=36217976#t36217976

[e-dikiy.livejournal.com]

ага, уже увидел.

Re: офтоп

[dolboeb.livejournal.com]

Creative commons, developing nations license
Creative commons не имеют юридической силы в России, а лицензия devnations прекращена и в тех 29 странах, где действуют СС