О взломе этого ЖЖ

Dec. 2nd, 2013 04:44 am
dolboed: (0козел Фрэнк)
[personal profile] dolboed
Не прошло и 13 лет с момента его регистрации, как этот ЖЖ был, наконец, кем-то взломан.

В воскресенье в 16:13:06мск неизвестный злоумышленник с IP-адресом 213.108.248.149 залогинился в мой аккаунт с машины под Windows NT 6.1 и разместил тут текст статьи «Ведомостей» от 28.11.2013.
Одновременно такому же взлому подверглись ещё 7 журналов: [livejournal.com profile] borisakunin, [livejournal.com profile] drugoi, [livejournal.com profile] mi3ch, [livejournal.com profile] navalny, [livejournal.com profile] puerrtto, [livejournal.com profile] pryf и [livejournal.com profile] sobchak_xenia.
Во всех этих журналах была размещена та же самая статья из «Ведомостей».

Я всего этого веселья, увы, не застал, потому что находился в это время на борту 775-го рейса S7, где-то между Красноярским и Пермским краем. А когда долетел — уже никакого поста в моём ЖЖ не было, и пароль от аккаунта был обнулён. Так что даже полюбоваться на красоту негде. Но, судя по полученным на этот пост комментариям, провисело оно там около трёх часов (до 19:23мск) — и удалено было, скорее всего, службой техподдержки ЖЖ, в рамках их усилий по ликвидации последствий взлома.

Никакого инсайда по поводу этой атаки у меня нет, но есть некоторые общие соображения.

Я не думаю, что акция носила сколько-нибудь политический или заказной характер. Скорее, какие-то какеры додумались до способа получить административные полномочия на сервере ЖЖ, способ сработал — и, чтобы уведомить мир о своём успехе, они разместили в журналах, к которым получили доступ, первую попавшуюся статью.

Если бы за этим взломом стояли политические заказчики, то они б сперва придумали текст, а потом уж стали б его размещать. А если б за атакой стояла кибершпана, бравшая на себя ответственность за взломы аккаунтов ЖЖ в прежние годы, то легко догадаться из опыта, какая судьба постигла бы все эти журналы. Они были бы, скорее всего, уничтожены.

Полностью согласен с оценкой [livejournal.com profile] kukutz, который в Твиттере написал:
Твит Кукуца о механизме взлома

Так что я склонен даже думать, что злоумышленники не получали доступа к паролям изменённых ими журналов, а подобрали ключик к одному аккаунту администратора, для которого знание чужих паролей не требуется, чтобы вносить изменения в базу. Впрочем, это уже тонкости, которые вряд ли интересны читателю — и, независимо от того, что я думаю, пароль в таких случаях всё равно обязательно нужно менять.

Спасибо всем, кто беспокоился. Надеюсь, дырку залатают, и новых взломов по такой технологии не случится. Не надеюсь, что нам при этом объяснят, в чём состоял конкретный механизм получения доступа.
Отдельное спасибо Султану Сулейманову из TJournal, первым сообщившему мне о взломе.

Живём дальше.
  • Current Location: Москва, улица Ляпидевского
Tags:
  • Add Memory
  • Share This Entry
Page 1 of 4 << [1] [2] [3] [4] >>
Threaded | Top-Level Comments Only

Date: 2013-12-01 07:48 pm (UTC)
From: [identity profile] ap1979.livejournal.com
Победа! ЕЕЕЕ! Яхве с нами!

Date: 2013-12-01 07:48 pm (UTC)
From: [identity profile] ishura.livejournal.com
"Так что даже полюбоваться на красоту негде.", - есть скрин вашего поста;)

Date: 2013-12-01 07:48 pm (UTC)
From: [identity profile] arkadiy12.livejournal.com
Я обрадовался уже думал тебя убили а тут так хуйня какаято очередная жыдовская

Date: 2013-12-01 07:48 pm (UTC)
From: [identity profile] theosophist.livejournal.com
Наверное тем у кого взломали аккаунт это польстило. Лучшие из лучших, так сказать )

Date: 2013-12-01 07:49 pm (UTC)
From: [identity profile] letchik.livejournal.com
у Олега Куваева то же самое было

Date: 2013-12-01 07:50 pm (UTC)
From: [identity profile] bugabuga.livejournal.com
Беда :(
При этом странности с неоткрывающимися страницами продолжаются (вот сюда тоже кликнул и сначала получил ошибку, но после перезагрузки работает)

Date: 2013-12-01 07:50 pm (UTC)
From: [identity profile] 0-l-g-a.livejournal.com
Вот это новость.

Date: 2013-12-01 07:50 pm (UTC)
From: [identity profile] minotavrh.livejournal.com
хорошо что все вернули обратно, эхх...и в ЖЖ дыра, Киев горит.
Ка кто первый день зимы не задался.

Date: 2013-12-01 07:52 pm (UTC)
From: [identity profile] nikolka22.livejournal.com
судя по ip взламывли из глухой сибирской тайги. самое время для конспирологических версий о секретных центрах фсб.

Date: 2013-12-01 07:53 pm (UTC)
From: [identity profile] celesto.livejournal.com
Ведомостям резко повысили количество просмотров. Приобщили народ.

Date: 2013-12-01 07:53 pm (UTC)
From: [identity profile] cquercus.livejournal.com
А я использую внешний агрегатор для ЖЖ, так что у меня эта красота с Набиуллиной до сих пор есть. Сохраню на память)

Date: 2013-12-01 07:53 pm (UTC)
From: [identity profile] judgev.livejournal.com
получается и выбор "жертв" был рандомным

Date: 2013-12-01 07:59 pm (UTC)
From: [identity profile] njhg.livejournal.com
Я тоже агрегатором пользуюсь. У вас какой?

Date: 2013-12-01 08:01 pm (UTC)
From: [identity profile] cquercus.livejournal.com
netvibes .com

Date: 2013-12-01 08:03 pm (UTC)
From: [identity profile] njhg.livejournal.com
Это что за зверь? А я по-простому, пользуюсь Яндексом.

Date: 2013-12-01 08:05 pm (UTC)
From: [identity profile] pryf.livejournal.com
У меня даже пароль не поменяли, остался прежним.
Edited Date: 2013-12-01 08:05 pm (UTC)

Date: 2013-12-01 08:05 pm (UTC)
From: [identity profile] dolboeb.livejournal.com
А так всегда и бывает, когда исследуют уязвимость, а не отрабатывают заказ.

До кого дотянулись, тех и поломали.

Date: 2013-12-01 08:06 pm (UTC)
From: [identity profile] dolboeb.livejournal.com
Это московский IP, не увлекайтесь кривыми картографическими визуализациями.

Date: 2013-12-01 08:06 pm (UTC)
From: [identity profile] njhg.livejournal.com
Хакер попался культурный. И кстати, статью он поместил весьма полезную и содержательную.

Date: 2013-12-01 08:07 pm (UTC)
From: [identity profile] pryf.livejournal.com
Как? У меня FB, месяц как отвалился.

Date: 2013-12-01 08:08 pm (UTC)
From: [identity profile] dewald.livejournal.com
полюбоваться можно:

Image (http://fotki.yandex.ru/users/vitvol/view/960865/)

Date: 2013-12-01 08:17 pm (UTC)
From: [identity profile] cquercus.livejournal.com
Да там интерфейс похож на igoogle.com, которым я когда-то пользовался, пока Гугл его не прикрыл - такие же виджеты. Так что я больше в силу привычки к нему привязался

Date: 2013-12-01 08:28 pm (UTC)
From: [identity profile] dalekootmorya.livejournal.com
Ну вам-то, мосье Носик, грех жаловаться. Это вас просто-навсего догнали молитвы блогиров об орошении и удобрении вашей кипы.
Поделом.
Кстати, с учетом глюков с отправкой каментов присоединяюсь к вышеупомянутой молитве же.

Date: 2013-12-01 08:31 pm (UTC)
From: [identity profile] pryf.livejournal.com
Может и такое. Посмотрим, что скажет Димсон

Date: 2013-12-01 08:35 pm (UTC)
From: [identity profile] allbeam.livejournal.com
Дак код в жж большой как писец. Ни разу не рефакторился. К тому же на перле. Там дырок, имхо, хоть попой жуй. Через админа залезли в sql и вперед.
Объявите конкурс и награду в 100$ за дыры в жж. Вам их современные security expert-ы в миг запатчат, имхо.

ЖЖ же под лицензией GNU/GPL а значит код открыт. Вот он тут почти весь лежит: http://code.livejournal.org/trac/livejournal
И еще вот. http://code.livejournal.org/trac/ljcom
Кроме всяких там паролей, расчет соц.капа и прочее.
  • Add Memory
  • Share This Entry
Page 1 of 4 << [1] [2] [3] [4] >>
Threaded | Top-Level Comments Only

Profile

dolboed: (Default)
Anton Nossik
Disclaimer !!!

April 2017

S M T W T F S
       1
23 45678
9 10 11 12 13 14 15
16 17 18 19 202122
23 24 25 26 27 2829
30      

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 17th, 2026 10:22 pm
Powered by Dreamwidth Studios