автором и ведущим проекта Antichat.ru:
"Защита AGFC на 3 с минусом!"
(25.01.2004.)
"XTB: АГФЦ ещё никто пока не ломал.
Algol: Ну значит я буду первый.
XTB: Хе.. это будет не просто, уверяю тебя..
Algol: Да лана, сломал я его уже. И пассы достал".
Aztek:
Прежде всего вопрос, послуживший главной причиной данного интервью: Взлом Вами крупнейшего игрового и третьего по величине форума рунета - AGFC (http://forums.ag.ru/) 6-го января 2004 года. Точнее будет сказать, что Вы интеллигентно забрали админские права. Форумы AGFC никогда прежде не "ломали" и по утверждению его администрации - это очень хорошо защищенный ресурс. Так или иначе, сам администратор AGFC Zombiek узнал о произошедшем спустя двое суток, точнее вечером 8-го января, только после того, как ему дали ссылки на форум, где обсуждался данный взлом. Форумы AGFC были немедленно блокированы и около полусуток все многочисленные пользователи наблюдали следующее сообщение: "Извините, мы настраиваем форумы. Заходите позже. Спасибо". Почему Вы захотели это сделать? Какую методику взлома Вы использовали? С чего все началось? Как происходило? Расскажите эту историю.
Algol:
Днем в наш форум зашел Некто, и обратился с просьбой помочь поднять форум на referat.ru. Форум был атакован злоумышленниками и заблокирован. Как пример аналогичного форума, он привел forums.ag.ru. Поскольку форум на рефератах фактически не работал, и я не мог его достаточно хорошо протестировать, то я сделал это на ag.ru. Довольно быстро я нашел уязвимость, позволявшую делать инъекции скриптов в тело сообщений. Плюс к этому, форум имел слабо защищенную систему идентификации пользователей. В итоге, где-то через два часа, я уже имел хеш-код пароля администратора...
Aztek:
Известно, что взломщик, по сложившейся в сети традиции, предоставляет какое-либо доказательство произведенного взлома. Можете ли Вы предоставить такое доказательство?
Algol:
В принципе я не очень люблю всякого рода доказательств, поскольку для меня важен сам процесс. Но иногда я делаю скриншоты любопытных старниц. Скриншот панели администратора AGFC показался мне интересным, поэтому я его сохранил здесь.
Aztek:
На Ваш взгляд, какова была степень уязвимости и защищенности от взлома форумов AGFC?
Algol:
Форум содержал типичные уязвимости форумов данного производителя (YABB). Некторые, слишком явные дыры были прикрыты, но значительная часть других прижилась и чувствовала себя неплохо
. Особенно разочаровала система
идентификации пользователей. Хранение логина и пароля в куках является
привычкой устаревшей и опасной. Большинство современных форумов пользуются более надежной системой, распознающей пользователей по номеру сессии. Ну и конечно были ошибки, связанные с неправильной фильтрацией тегов, пропускающая произвольные скрипты в постингах. Таким образом, я бы оценил защиту данного форума на 3 с минусом.
Справедливости ради, нужно отметить, что за форумом следили, программисты неплохо разбирались с исходниками, и в течении нескольких дней устранили наиболее опасные уязвимости.
Aztek:
Информируете ли Вы в последующем администраторов "взломанных" ресурсов о том, какие уязвимости использовались, и как они реагируют на это?
Algol:
Я не ставлю перед собой цели информировать администраторов об уязвимости ихних ресурсов. Но как правило, они и так быстро узнают о найденных дырах, и сами связываются со мной
Реакция бывает разная. Обычно, в начале, что-то вроде шока. Но потом, в большинстве случаев, разум берет верх над чувствами и на смену традиционному "бану" приходит желание сотрудничать и пофиксить найденные дыры. В таком случае я всегда иду на встречу, и помогаю исправить баги.
Aztek:
Как Вы в целом оцениваете уровень защищенности крупных публичных веб-ресурсов рунета?
Algol:
Современный интернет развивается очень быстро. Системы становятся все сложнее и сложнее. Технологии возникают быстрее, чем программисты успевают их изучать. В таких условиях вполне естественно, что в системах возникают разного рода ошибки, недоработки. Они проявляются как в мелких ресурсах так и в крупных. Практика показывает, что уровень защиты крупных ресурсов не намного отличается от среднего. Как правило, при создании сайтов, программисты и веб-мастера в первую очередь добиваются внешней привлекательности ресурса и его функциональности. Проблемы безопасности стоят далеко не на первом месте. Как результат - наличие вороха уязвимостей, о которых администраторы узнают лишь апостриорно, только после того, как ресурс "взломан". Не иключение - такие ресурсы как mail.ru или rambler.ru. Однако крупные ресурсы имеют больше пользователей, и дыры проявляются быстрее. Поэтому, например, mail.ru в настоящее время наиболее защищенный freemail в рунете. Несмотря на это, даже у крупных ресурсов, существуют серьезные уязвимости, которые они не могут или не хотят устранять.
Aztek:
Вопрос о так называемых "хакерах": Термин "хакер" далеко не однозначный и имеет множество трактовок, зачастую абсолютно противополжных. Но в лучшем значении - хакер - это индивидуал, смотрящий в корень и стремящийся разобраться во всем до конца, разобраться в том, как работает та или иная система. Есть ли у Вас своя трактовка термина "хакер"?
Algol:
Я не люблю термина "хакер". Сам себя к ним не отношу и настороженно отношусь к людям, которые себя так называют. Это понятие сейчас очень сильно профанированно. При произнесении этого слова, у меня возникает образ подростка лет 15-16, "дорвавшегося" до интернета, узнавшего что такое и ринувшегося все "ломать" и "крекать". К сожалению, это типичный "хакер".
Aztek:
Все здравмыслящие люди понимают, что "хакера вообще" не существует, и сейчас это своего рода расхожий "попсовый" образ. Существуют вполне реальные и разные люди, "играющие" с компьютерами в очень разные игры. В какие игры играете Вы?
Algol:
Ну помимо того, что "игра с компьютерами" это моя профессия и работа, мне просто нравится разбираться с системами, нравится понимать как они работают, нравится находить в них особенности (некоторые называют это багами
).
У меня нет цели что либо ломать. Многие почему-то считают что выявление
багов - деструктивная деятельность. С этим я согласиться не могу.
Ошибки работы рано или поздно всегда проявятся. И чем позже, тем более
плачевны могут быть последствия.
Aztek:
Вопрос о "ламерах" и ламеризме: Сегодня трудно представить, что было время, когда компьютеры "были большими" и обслуживались только технической элитой, решавшей важные задачи, не говоря уж о компьютерных сетях... То время давно прошло. Интернет сейчас нельзя представить себе без так называемых ламеров, число которых постоянно растет. Ламер и тупость - это фактически синонимы. Есть мнение, что тупость - это не нехватка знаний, но это нежелание пополнять или корректировать их, нежелание учиться и развиваться. Ваш взгляд на это прогрессирующее явление - ламеризм?
Algol:
Ну представить себе время, когда компьютеры были большими не так уж и трудно, это ведь было не так уж и давно
Ламер это юзер, пытающийся заниматься тем, в чем он ничего не смыслит.
Характерные черты - повышенное самомнение, использование профессионального
жаргона и... абсолютное отсуствие знаний по обсуждаемому вопросу. В
принципе
"ламер" это давно знакомый "профан". Такие люди есть всегда, и их число
неизменно в обществе. Просто, по мере того, как интернет охватывает все
большее число слоев населения, ламеров становится больше.
Еще один фактор - все те же подростки. На фоне отсутствия желания учиться,
присутствует желание самореализоваться, достичь этого самого
романтически-овеянного образа "хакера". На выходе - еще один ламер.
Я уважаю "чайников" и не люблю "ламеров".
Aztek:
Были ли в Вашей Интернет-практике необычные или смешные события, случаи, которые запомнились Вам больше всего?
Algol:
Были.
Aztek:
ОК. Расскажите о проекте Antichat.ru, соавтором которого вы являетесь и историю его возникновения. Какие цели преследует проект? Почему Вы ведете раздел именно о html-чатах и форумах и чем Вас привлекает эта тематика?
Algol:
Этот проект существует так давно, что уже никто не помнит толком, зачем он создавался
. Изначально целью было показать пользователю, насколько
он уязвим на просторах сети, в частности в форумах и чатах. Помимо этого,
мы хотели создать ресурс, в котором могут встретиться и пользователи и
администраторы и разработчики, обсудить насущные проблемы.
Сейчас мы планируем существенно переработать ресурс, сделать его более
профессиональным. Помимо начальных целей, мы хотим развиваться в сторону
информационного сайта, на котором можно будет узнать особенности тех или
иных движков чатов/форумов, их характеристики, потенциальные уязвимости.
Aztek:
Вопрос, проистекающий из предыдущего: Проект Antichat.ru и все с этим связанное является Вашим хобби? Почему Вы этим занимаетесь?
Algol:
Как я уже говорил, мне просто это интересно. Античат не является коммерческим проектом. Для меня это просто место, где я могу пообщаться с людьми, которых интересует то же, что и меня.
Aztek:
Вы также являетесь администратором на форуме проекта Antichat.ru. Общаетесь ли Вы на других форумах и в чатах, участвуете ли Вы в дискуссиях? Какое место в Вашей жизни занимает виртуальное общение?
Algol:
Конечно я общаюсь и на других форумах. Есть у меня и постоянный чат. Но этап активного виртуального общения для меня уже прошел. Да и раньше я серьезно к этому никогда не относился.
Aztek:
Не достают ли Вас многочисленные вопросы посетителей на форуме и в гостевой Вашего проекта - типа - "помогите взломать", "как взломать", "научите взламывать", "нужно то и нужно это" и тому подобные? Как Вы реагируете на такие вопросы?
Algol:
В большинстве случаев никак не реагирую. Просьбы "помогите взломать" чаще всего пишут все те же "хакеры" о которых я писал выше. Эти просьбы продиктованы просто чистолюбивыми желаниями их авторов прославиться или возвыситься. На такие просьбы я не отвечаю. Другое дело, если помощь действительно нужна (как было в случае forum.referat.ru), либо если человек реально хочет в чем-то разобраться и понять.
Aztek:
Вне зависимости от характера общения, будь оно виртуальным или реальным - какие качества в людях Вам импонируют и какие вызывают у Вас негативную реакцию?
Algol:
Нравится открытость, доброта, чувство юмора, великодушие, профессионализм. Не нравится отсутствие всего перечисленного.
