ELForcer

ELForcer

пикабушник
Системный администратор, программист, линуксоид-любитель
пол: мужской
поставил 2273 плюса и 107 минусов
отредактировал 1 пост
проголосовал за 4 редактирования
6423 рейтинг 67 подписчиков 607 комментариев 14 постов 6 в "горячем"
5

Буран в Ижевске

Вот такой подарок погода нам дала на Пасху (28 апреля 2019).
Только собирался выйти в магазин, светило солнышко, как за минуту небо потемнело, поднялся ветер и повалил снег.

Сорри за корявый монтаж.

11

Автоподснежник

Автоподснежник Ижевск, Авто, Вконтакте, Подснежники, Коммунальщики, Длиннопост
Автоподснежник Ижевск, Авто, Вконтакте, Подснежники, Коммунальщики, Длиннопост

Стырено с ВК.

Владелец оставил свою девятку на стоянку возле дома, поскольку зимой не ездит, товарищи из домоуправления вот что сотворили.

Не оставляйте свои машины без присмотра.

Показать полностью 1
-2

Мясные блюда

В обеденное время обычно хожу в столовку. На днях решил взять с собой чек и увидел что же я там поел по их мнению

Мясные блюда Столовая, Чек, Длиннопост
Мясные блюда Столовая, Чек, Длиннопост

Если верить чеку, я питался мясом. Походу к пюре не хватает нарисованной котлетки как в одном меме, поскольку грибы в супе сложно назвать мясом.

1810

Как я вижу реформу приватности ВКонтакте

Недавно прочитал новость, что Вконтакте собирается обновлять приватность профилей, которая якобы должна обезопасить пользователей от случайных "посадок".


Но мне кажется, что обновление будет примерно таким:

Как я вижу реформу приватности ВКонтакте Вконтакте, Безопасность, Юмор, Приватность

Пытался найти старую картинку с похожей шуткой, но не нашёл, пришлось сделать свою.

141

Типичный день программиста

6:30 - Будильник. "Еще 10 минуточек"


7:00 - 3-ий будильник. "Встаю, встаю"


7:30 — Быстрый завтрак. Едем на работу.


8:00 — Рабочий день. Пьем кофе.


8:30 — Смотрим в экран. Пытаемя разгадать эльфийский код.


09:00 — Пьем кофе. Догадываемся, что этот код, исходники нашей программы.


09:30 — 11:30 — Периодически звонят клиенты / юзеры / начальники, на счет вашей программы. Оказываем техподдержку.


12:00 — 13:00 — Обед. Мозг кажется стал просыпаться.


13:30 — Кажется, мы только что вспомнили эльфийский язык и всего лишь за N-ой кружкой кофе. Можно даже что-то попробовать сказать на нем.


14:00 — 16:00 — Пытаемся разговаривать на эльфийском. Иногда получается, иногда не очень. Когда что-то получается, обязательно кто-нибудь позвонит и собьет вас с толку.


16:30 — Что-то получилось. Даже работает. Мозг заработал почти на 100%


17:00 — Пора домой. Сохраняем проект.


17:30 — По пути домой. Обязательно придет в голову какая-нибудь идея.


18:00 — 19:00 — Ужин с семьей (у кого есть).


19:30 — 21:30 — Фильмы, сериалы, играем / гуляем с ребенком.


22:00 — Комп освободился, садимся за свой личный проект. Быстро разбираемся в своем говнокоде


22:30 — Пробуем реализовать идею, которая пришла по работе домой. А вроде неплохо получается!


00:00 — Ого как летит время! Вроде только что было 11 часов.


00:30 — Блин. Пора ложиться спать. Завтра рано вставать.


01:00 — (уже в постели) Приходит еще 10 новых крутых идей, как оптимизировать код, или решить сложную проблему.


01:30 — 6:30 — Zzzzzzzzzzzzzzz.


А какой вас типичный рабочий день?

Типичный день программиста Программист, Трудовые будни, Длиннопост
Показать полностью 1
74

Признаки мошенничества в сфере ремонта и обслуживания населения

В данном посте я хочу поговорить об обмане населения в сфере ремонта и обслуживания населения. Поскольку у меня профессия идет в уклон в ИТ, то в основном буду писать об признаках мошенничества в сфере обслуживании и ремонта связанные с ИТ.

Довольно часто можно встретить посты, как кого-то развели, либо автора поста, либо знакомых, либо родственников. Реже, как пытались развести. Еще реже, как развели, но удалось вернуть потери (деньги, технику).

Во многих городах активизировались нечестивые на руку мастера по ремонту компьютеров. Можно часто встретить в подъездах визитки воткнутые в домофоны, стикеры-самоклейки на каждом этаже, на дверях лифта, на стенах, на досках объявлений. В Интернете они пестрят сайтами-лэндингами. Обратившись к такому мастеру или фирме, можно попасть на крупную сумму денег, попрощаться с техникой или с информацией на носителе.

Как определить честный это мастер или мастер-продавец?


Ниже приведены основные признаки мошенничества в сфере ремонта компьютеров, которые удалось собрать или по своим наблюдениям и по информации из интернете.

Как я уже говорил, некоторые признаки могут проявляться и в других сферах обслуживания (замена окон, сантехники, ремонт бытовой техники и т. д.)

Обращаю ваше внимание, что один отдельно взятый признак не является 100% гарантией, что вас могут обмануть. Шансы нарваться на недобросовестного мастера повышаются, при совокупности нескольких признаков.


- Сайт без названия фирмы

Признаки мошенничества в сфере ремонта и обслуживания населения Сфера обслуживания, Ремонт техники, Ремонт компьютеров, Технологии продаж, Домушники, Длиннопост

Как правило, вы не найдете его на сайте продавца, только бренд (ИТ-Помощь, Скорая Компьютерная Помощь, ИТ-Сервис и т.д.). Ни названия фирмы, ни ИНН, ни ОГРН, один или 2 номера телефона или даже его отсутствие. Так же есть услуга обратного звонка.

Прайс отсутствует или очень скуден с очень низкими ценами для заманивания клиентов.

Отзывы, как правило, не настоящие, и их нельзя написать.

Однако следует заметить, что некоторые продавцы всё-таки создают ООО-шки для ведения бизнеса, особенно если хотят раскрутиться сразу в нескольких городах.

У известных мастеров или Сервис-Центрах (СЦ) довольно большой прайс.

У честных организаций обычно есть на сайте ИНН, ОГРН, Юридический адрес.


Частные мастера (студенты, админы, которые не против шабашек), как правило, оставляют своё имя и множество контактных данных. Некоторые мастера не создают свои сайты и довольствуются группой в Вконтакте или в Одноклассниках, в котором можно найти прайс и контактные данные (или написать сразу личное сообщение).


Продавцы тоже создают группы в Вконтакте, но их можно легко опознать по накрутке (большинство вступивших в группу будут заблокированы или по фильтру с других городов или даже стран).

Чтобы клиенты не писали гневные отзывы, стена и обсуждения чаще всего заблокированы.

У честных мастеров и фирм обычно есть отдельная страничка в соцсетях для написания отзыва о мастере/фирме.


- Не указано название компании

Признаки мошенничества в сфере ремонта и обслуживания населения Сфера обслуживания, Ремонт техники, Ремонт компьютеров, Технологии продаж, Домушники, Длиннопост

Обезличенные визитки с 1 или 2 номерами телефонов затрудняют определить принадлежность к компании, чем и пользуются не чистые на руку организации-продавцы.


У частных мастеров, как правило, есть имя и, иногда, страничка в группу в ВК. У некоторых мастеров бывает перечень контактов (Viber, Skype, WhatsApp) для связи.

К сожалению, некоторые организации-продавцы имитируют объявления под частных мастеров.


- В рекламе/объявлении изначально указано большая скидка

Признаки мошенничества в сфере ремонта и обслуживания населения Сфера обслуживания, Ремонт техники, Ремонт компьютеров, Технологии продаж, Домушники, Длиннопост

Это маркетинговый ход, что бы привлечь внимание клиента к объявлению. Скидка если и будет, то амортизация уже вложена в итоговую сумму. То есть, что со скидкой, что без скидки, мастер-продавец всё равно вытряхнет с Вас, например, 10000р.


Настоящие мастера обычно предоставляют скидку только своим бывшим клиентам. Скидки как правило, не большие, поскольку они итак просят не много денег за работу, но накопительные за длительное сотрудничество (5, 10, 15, 20%)


- Вызов и диагностика бесплатны. Курьерские услуги.

Это тоже маркетинговый ход. Мастера-продавцы, чтобы не ездить впустую, обязательно найдут какую-нибудь проблему у вас, даже если её нет. Поэтому, не верьте про бесплатные выезды. Никто не будет ездить впустую и работать в убыток.

На будущее. Никогда не пользуйтесь курьером, если вы до этого не обращались в эту организацию и не имели положительный опыт. Не отдавайте технику мастеру/курьеру из незнакомой организации. Высокий риск, что вы эту технику не увидите никогда, либо за неё будет просить очень большой выкуп, чаще даже без ремонта, либо вообще добьют окончательно или украдут комплектующую.


У нормальных мастеров есть минимальная такса за диагностику и за ремонт. В случае ремонта, диагностика, как правило, бесплатно. В минимальную таксу за ремонт уже входит сам ремонт.


- Низкая цена по телефону

Мастер или диспетчер озвучивает символическую цену в пределах 300-500р. за выполнение озвученной Вами услуги. К сожалению, это тоже маркетинговый ход и 300-500 рублями не отделаетесь.

Допустим вы попросили переустановить Windows. Диспетчер или мастер говорит, что будет стоить 400-500р. (рыночная цена у частников 1000-2000р).

Вы, естественно, соглашаетесь и вызываете, поскольку 500р. дешевле чем 1000р.

Однако, помимо самой установки Windows мастер насчитает кучу сопутствующих услуг (работа с BIOS, работа с HDD, сохранение данных пользователя, установка / настройка / оптимизация Windows, установка драйверов / программ, настройка выхода в Интернет) и итоговая сумма выйдет за пределы 10 000р. (были чеки и за 50 000р.) Причем всё по прайсу, официально. Неплохая экономия 500 рублей, правда?


Настоящие мастера, обычно говорят цену, в которую входят все предполагаемые сопутствующие услуги. Если услуга заранее не обговаривалась, то согласовывайте сумму заранее, до начала выполнения работ.


- Мастер забалтывает клиента

Допустим клиент рискнул и вызвал мастера.

На психологических тренингах по продажам (да, есть специальные психологические курсы по обману клиента, а-ля, современные технологии продаж, их можно найти в сети Интернет) услуг мастеров учат разговаривать с клиентом, не давая ему скучать, усыпляют его бдительность и втираться в доверие.


Настоящие мастера, как правило, немногословны и концентрируются на проблеме клиента. Они лишь могут попросить продемонстрировать ошибку или в каких случаях она проявляется. Дальше они разбираются самостоятельно. Кроме того, некоторые мастера, раздражаются, когда над душой стоит клиент и предпочитают работать в одиночестве, когда никто не мешает и не говорит под руку.

- Мастер вставляет много терминологии (например, из сферы ИТ), хвастается

Что бы показать свой профессионализм мастер-продавец вставляет много жаргонных слов и терминологии, например, из сферы ИТ. Однако некоторые мастера, по неопытности или специально говорят абсурдные вещи (например, на одной съемке скрытой камерой мастер сказал клиенту: "каждое устройство на компьютере имеет свой IP-адрес". IP - переводится как Интернет-протокол, соответственно IP-адрес могут иметь только сетевые устройства, например, Wi-Fi модуль, сетевая карта). В общем стараются убедить, что они мастера своего дела. Так же на психологических тренингах их учат обязательно светить ИТ-гаджетами. Например POST-картой (диагностическая плата).


Настоящий мастер понимает, что клиент не разбирается ни в чем и старается говорить на простом языке. И в основном, только когда его попросят. Гаджеты использует только по назначению и когда они нужны.


- Мастер одет очень шикарно

Это, конечно, не показатель, но на психологических тренингах их учат быть опрятными. Как говорится, встречают по одежке.


Настоящий мастер, относится к рабочему классу и одевается по простому. В основном, потому что ему придется ползать под столом, разбирать пыльный компьютер, использовать смазочные вещества и т.д.


- Мастер не говорит приблизительную стоимость услуг

Зачастую мастер умалчивает, сколько будет стоить ремонт, говоря, что надо провести тщательную диагностику или обговорим её попозже или смотрите в прайс-листе. Люди, не знающие ничего из той сферы, ничего не поймут и в прайс-листе, и какая услуга на самом деле производится.

Итоговую сумму мастер оглашает только в самом чеке, ставя клиента перед фактом оплаты.


Настоящий мастер назовет диапазон цен как по телефону, так непосредственно перед диагностикой, какую сумму готовить клиенту.


- Мастер хочет сделать технику у себя.

Довольно опасный способ ремонта техники. Доверяйте свою технику только проверенным мастерам, кого знаете лично. Некоторые мастера могут снять рабочие комплектующие на нерабочие или более слабые по характеристикам, а некоторые заберут её с концами. И даже правильно заполненные акты приме-передачи не всегда помогут вернуть технику обратно.

Даже некоторые Сервис-Центры не брезгуют называть несуществующие поломки во время "Сложной диагностики" или присваивать чужие комплектующие себе.

Не забывайте пункт выше про курьерские услуги от организаций.


- Неожиданно большой счет за услуги

Еще один признак мошенничества. Как правило, счет завышен в 5-10 раз от рыночной стоимости подобных услуг.

Вы имеете право не подписывать его, если сомневаетесь в реальной его стоимости и оспорить в суде. Не бойтесь, если мастер-продавец начнет угрожать судом. Вы сами имеете право его оспорить.

Если мастер-продавец откажется уходить из квартиры/офиса пока не будет оплачен счет, угрожайте вызовом полиции, а если не сработает вызывайте на самом деле. Как правило, мастер-продавец спешно уйдет, как только услышит слово "Полиция".

Помните, подписанный и оплаченный счет гораздо сложнее оспорить в суде, если техника работает после ухода мастера-продавца.

Далее пойдут признаки мошенничества в сфере ИТ:


- Мастер хочет переустановить Windows

Мастера-продавцы, как правило, не хотят мучаться с удалением вирусов и искать проблему зависаний, синих экранов и т.д. у клиента и предлагают просто переустановить Windows, мотивируя, что рекомендуется её переустанавливать раз в год, что она засоряется, изнашивает сама и себя и т.д. На самом деле переустанавливая систему, они легко могут приписать в счет множество проделанных работ, которые сопутствуют переустановке системы и являются обязательными.


Часть настоящих мастеров тоже не брезгуют переустановить систему, экономя своё время на поиске проблемы в старой системе, другие мастера до последнего будут искать проблему неполадки в работе компьютера, и переустанавливают её только, если были опробованы все средства восстановления, которые они знают. Кроме того настоящие мастера знают, что система себя не изнашивает и спокойно может проработать 10 лет без переустановки (если жесткий диск не откажет раньше) и всё равно будет работать. Так же постоянная переустановка без поиска решения истинной проблемы считается моветоном, то есть непрофессионально.


- Мастер чистит вирусы поштучно

Если же уговорить не переустановку не удалось, то мастер-продавец находит множество вирусов на компьютере.

Для наглядности они могут использовать лже-антивирусы (настоящими антивирусами классифицируются как Trojan.FakeAlert), которые находят вирусы там, где их на самом деле нет. Даже если вы только купили компьютер. После чего он приступает к якобы их удалению.


Настоящие мастера, как правило, продают чисто услугу удаления вирусов и она почти не меняется от количества вирусов, и оценивается на сколько сложно их было удалить из системы (есть вирусы, которые противодействуют своему удалению и сами себя восстанавливают).


- Мастер продает драйвера поштучно

Установка драйверов не занимает много времени и усилий. Почти у всех мастеров есть драйвер пак (сборник драйверов) и установка драйверов как правило занимает в 1 клик и занимает в среднем 5-15 минут. Однако мастер-продавец показывает, сколько программа предлагают установить или обновить драйверов, и указывает это в прайс-листе. Продажа драйверов обязательно идет с установкой или переустановкой системы.


Настоящий мастер продает только услугу установки драйверов вне зависимости от их количества и поштучно продает только редкие драйвера (старые или на нестандартную периферию) которые не идут в комплекте драйвер-пака и их пришлось искать самостоятельно.


- Продажа профилактической чистки компьютера

Мастер-продавец, зачастую, с ведома по разным причинам (прошить BIOS или исправить ошибки на жестком диске или для диагностики) или без ведома клиента начинает разбирать компьютер пользователя и чистить его, даже если этого не требовалось. После этого он укажет за сбор/разбор, чистку от пыли и замену термопасты в счете. Это, по сути, навязанная услуга, если клиент этого не просил.


Настоящие мастера сначала смотрят температуру процессора под нагрузкой и в простое и только на основе их показателей предлагают чистку от пыли.


- Мастер продает сохранение данных

Любимый пункт мастеров-продавцов и один из самых опасных. Перед удалением системы мастер-продавец переносят профиль пользователя на свой переносной жесткий диск и форматируют его. Зачастую продажа собственной информации становится половиной суммы чека, а иногда и превышает в 2-3 раза. Опасность для клиента представляет то, что мастер мог перенести не всю информацию с жесткого диска перед форматированием, ведь клиент мог сделать скрытые папки или прямо в корне раздела диска, которые мастер не стал проверять. Всё это будет безвозвратно потеряно. А за это клиент еще заплатит не малые деньги.


Настоящие мастера обычно не продают собственную информацию клиента, только если это явно необходимо, например, когда невозможно подключить второй жесткий диск клиента одновременно (например, у клиента был старый IDE-диск и надо перенести информацию на SATA-диск) и переносной диск мастера становится транзитным пребыванием информации клиента. Брать за это фиксированную ставку или за время аренды или за объем информации каждый мастер решает сам.


- Мастер продает разбиение жесткого диска на разделы и форматирование

Эта услуга, как правило, идет вместе с сохранением данных и переустановкой Windows. Как правило, это не трудоемкая услуга (точнее это занимает меньше минуты) и обязательно к выполнению, если диск новый.


Настоящий мастер не берет за это плату, поскольку это уже входит в стоимость установки системы, или только если клиент не попросил это явно.


- Мастер продает услугу с манипуляцией BIOS

Здесь клиент платит за воздух. В ноутбуках почти ничего нельзя сделать в среде BIOS, только выбрать с какого устройства сначала загружать систему и изменение даты времени. Во время разборки-сборки ноутбука мастер-продавец заходит в BIOS, аргументируя, что у ноутбука отцепляли батарею и BIOS надо заново настраивать.

Так же мастер может продать услугу прошивки BIOS'а.


В системных блоках настроек действительно больше, но большинство пользователей интересует только тактовая частота памяти и процессора для повышения быстродействия компьютера. Однако разгон уменьшает ресурс работы компьютера и может перевести к нестабильной работы компьютера вообще. Как правило, настоящий мастер предпочитает не менять заводские настройки или, в некоторых случаях, просто сбрасывает до них.

Прошивать BIOS следует только тогда, когда старая материнская плата не поддерживает современные команды процессора или компьютер ведет себя странно, даже после переустановки системы.

Кроме того, неудачная прошивка BIOS'а может привести к полной неисправности материнской платы и вернуть её в строй только с помощью специального программатора в авторизированном сервис-центре (АСЦ).


- Мастер продает логические ошибки.

Для имитации ошибок мастер-продавец с помощью утилиты Victoria и копируя большой файл из папки в папку, создает цветные сектора на карте состояния поверхности. Мастер называет это логическими ошибками и предлагает их устранить.

На самом деле это не ошибки, а время реакции на проверяющий сектор и он окрашивается в цвет, потому что мастер-продавец проводил операции ввода-вывода (копировал файл) на жестком диске и клиент, по сути, платит за воздух.


Настоящих мастеров интересует только SMART состояние жесткого диска, его внутренний паспорт, в котором можно увидеть время работы, количество переназначенных секторов. В редких случаях проверяется начальная поверхность жесткого диска.


- Выдача триальных или взломанных программ за лицензионные

Мастер-продавец утверждает, что у него только лицензионные программы. Однако лицензия подтверждается наличием чека о его покупки, голографическими наклейками, актом приема-передачи ПО.

Если ничего из этого нет, то скорее всего ПО не лицензионное.

На самом деле мастера-продавцы в основном ставят триальные версии программ. Почему тральные? Ну во первых, что бы быть чистым перед законом, а во вторых, гарантию на работы мастер-продавец дает всего 1 месяц. Именно столько действуют тральные версии программ. После чего они начинают требовать лицензию для продолжения работы. А раз гарантия кончилась, то нужно снова вызывать мастера-продавца за деньги.


Настоящие мастера ставят в основном программы под лицензией FreeWare, GNU GPL, то есть абсолютно бесплатные и не требующие лицензии.

Если клиенту нужна лицензионная программа, то мастер может купить её в Интернет-магазине или в компьютерных-салонах. Все документы, подтверждающие подлинность ПО, мастер отдает клиенту.


Итог:

• Продавцы ежедневно завешивают доски объявлений, обклеивают этажи подъездов, лифтов, суют визитки домофонов и сдирают объявления конкурентов (частников и других продавцов).

• Множество сайтов-одностраничников (лэндингов) заманивают красивым дизайном и лозунгами в лапы продавцов.

• Честных мастеров и фирм становится всё меньше, а продавцов всё больше. Зачем работать на совесть и получать копейки, если можно обманывать и зарабатывать по крупному?

• Благодаря таким продавцам, люди перестали доверять мастерам, опасаясь, что их обманут снова.


Как уберечься?

1. В любой сфере всегда ищите знакомого, который в разбирается в том, в чем вы сами не разбираетесь или поспрашивайте знакомых, у которых есть такой знакомый. Так у вас уже будут контакты, к кому можно будет обращаться.

2. Всегда читайте договор. Если вам что-то не понятно, не подписывайте. Уточните у мастера и перепроверьте информацию у знакомого юриста по телефону.

3. Не отдавайте деньги заранее. Не платите пока всё досконально не проверите. В случае повторной или оставшийся неисправности вернуть эти деньги потом будет очень сложно.

4. Частникам - не работайте на подобные организации. Профита мало, а негатива много. Кроме того мастеров, часто на деньги кидает сама фирма по любому поводу (недостача, не выполняет план, много отказов).



P.S. Хотел примерочные картинки к каждому пункту, но стала писаться Магическая ошибка загрузки изображения для разных картинок и разных форматов. Извиняйте.

Показать полностью 2
3

Техработы?

Уже примерно пару дней сайт Пикабу периодически бывает недоступен как в браузере, так и в приложении.

Иногда пишет ошибку подключения к БД. Или ошибку 500.


Результаты пинга:

http://ping-admin.ru/free_test/result/1514361451oxd5k854yj1v...


Результат из браузера:

Техработы? Ошибка, Сайт, Пикабу

Просьба к администрации, если ведутся какие либо работы, пишите хотя бы где нибудь в ВК например, что могут быть перебои в работе сайта, что бы пользователи не беспокоились у них проблемы или всё таки ведутся работы. Спасибо.

519

О печальной защите информации в 2017 году

В данном посте я хочу поговорить не про гигантов типа Google, Яндекс или ВК, а про обычные компании с которыми мы работаем или которые не так известны.


Несмотря на кучу законов типа ФЗ-152 уровень защищенности персональных (и не только) данных к сожалению переживает по моим наблюдениям не лучшие свои времена.


К сожалению утечки встречаются почти на каждом шагу, большинство по работе. Я хочу рассказать о найденных мной уязвимостях в 2017 году.


1.

В начале этого года попросили проверить одну Windows программу с целью узнать, что она вообще делает. Программа позиционировала себя как обратная связь клиента с фирмой, своеобразный такой чат.


Вооружившись VirtualBox с установленным внутри WireShark и другими средствами мониторинга начал следить за программой, исследовал формочки приложения. В WireShark промелькнул HTTP-запрос, отправляющий сообщение на сервер. Так же обнаружил и HTTP-запрос, получающий сообщения с сервера. Немного поразбежавшись, обнаруживаем, что никакой авторизации на стороне сервера нет. Получаем сразу 2 уязвимости. Мы можем читать сообщения любого пользователя, включая, что пишут админу, а так же от имени пользователя отправлять сообщения другому пользователю.


2.

На следующую уязвимость в конце зимы или весной в 2017 году я наткнулся совершенно случайно с помощью рекламы в Яндекс-Директе.

Попалась на глаза мне контекстная реклама одной фирмы, которая говорила, что есть филиалы во многих городах РФ. Что-то тогда меня заинтересовало и я открыл их сайт.

Там открыл форму обратной связи.

С удивлением замечаю попадаю на сайт без домена, а только IP-адрес сервера.

Стало любопытно, а что работает на этой машинке? Проверяю порт FTP и… захожу под гостем. Куча всяких файлов, рабочая WEB-папка со страницами сайта. Есть немножко бэкапов. С виду сервер использовался как или помойка или как тестовый сервер.

Открываем файл конфигурации из Web-папки … Видим логин и пароль от FTP-другого сервера.

Проверяем… И попадаем уже во второй сервер…

Там тоже поднят WEB-сервер и вообще файлов намного больше… на 200 гигабайт с лишним. В основном это конечно бэкапы баз, но и очень много рабочих и свежих документов.

Внутри конфига WEB-сервера уже засвечивается и SQL-сервер с логином и паролем, который крутится на этом сервере. И да. На него тоже можно попасть.

Итог: получаем утечку в из крупной фирмы с возможностью исказить/уничтожить информацию и бэкапы баз данных.


3.

Также в этом году для работы потребовалось создать парсер сайта довольно большой бюджетной организации для формирования БД (около миллиона строк в 3 таблицах), что бы уменьшить ручной труд и постоянные запросы к сайту. Сам сайт тоже тот еще тормоз, поэтому создание парсера было логичным решением, что бы получить сразу готовые таблицы и всегда иметь их под рукой.

В голове вместе с алгоритмом парсера и количество срок кода росла также лень всё это делать. Тогда я решил проверить теорию с предыдущим сервером. И.. Вы не поверите! Ситуация практически повторилась! Мы опять попали на FTP сервер, но на этот раз там лежал файл VPNRouter_64.vmdk. Виртуальная машинка.

Немного колдуем над файлом и получаем доступ к разделу виртуального диска внутри машинки.

Самое интересное, это папка OpenVPN с настроенной конфигурацией и сертификатами.

Копируем на свой комп, подключаемся, и… Бинго! Мы внутри защищенной сети.

Смотрим какой нам присвоил сервер виртуальный IP.

Открываем терминал, запускаем nmap сканируем всю подсеть на 80,21,1433 порты.

Есть несколько компьютеров с такими открытыми портами!

И опять нас радостно встречает FTP без пароля на одном из серверов!

А дальше классика. Открываем Web.config, получаем строку подключения к серверу и с помощью dBeaver мы получаем доступ к базе данных внутри сети. Что еще интереснее, данная комбинация подошла и на другие SQL-сервера внутри этой сети. Один пароль на все сервера (всего их было 3-5 серверов, уже не помню). И это довольно крупная бюджетная организация для нашего региона!

Опять же возможность положить сайты, совершить утечку персональных данных (я там себя нашёл), исказить/удалить.


Сами персональные данные мне уже не интересны. Я с ними работаю каждый день, допуск к базе своего региона (ну или большей её части) у меня есть и так.


4.

Еще один случай опять же на работе, опять же в этом году.

Другая бюджетная организация дала VPN (L2TP) доступ и программку которая работает с их сервером, обмен с базой данных.

В таком режиме мы уже работаем давно, но программист написавший программу уже уволился, а неудобства с программой проявляются все сильнее и мысли написать свою программу типа плагина или хотя бы нужные скрипты. И тогда я решил провести один эксперимент, а именно попробовать подключиться не через их прогу, а через редактор БД. Выдергиваю, по какому адресу их программа стучится, вбиваю в редактор БД, и… сервер нас впустил! Ему хватило подключения по VPN и доверительное соединение! Мы опять получаем доступ к серверу ко всем базам, которые там находятся со всеми вытекающими, куда по идее мы не должны были попасть.


5.

Похожая ситуация и в самой корпоративной сети, опять же в этом году.

Дали программу, файл реестра, внутри которого… Логин sa, пароль 111111As…. Доступ из внешки… Ну хоть не на стандартном порту. А на нем так же крутиться персональная информация! Любой админ из корпоративной сети сути может увидеть инфу другого филиала через SQL-редактор, к которой он не должен иметь доступа, а так же изменить/удалить всю БД! А то что изначально дали доступ без защищенного канала еще хуже! Благо щас перевели программу на Vipnet, но пару месяцев назад доступ по внешнему IP еще был, может и до сих пор есть.


6.

Недавно проводил исследование одного Android-приложения (мой предыдущий пост), там такая же плачевная ситуация. Любой школьник может получить доступ к информации без авторизации, слить бюджет на СМС, зафлудить СМС чей нибудь телефон, исказить рейтинг, слить базу данных. Так же существует возможность получить права баристы простым брутом пароля!


Это всё печально дамы и господа. Давайте, мы будем относиться к защите наших серверов/ПК/телефонов более серьезно. Для проникновения внутрь не понадобились никакие эксплоиты, хакерские навыки. Только штатные программы и любознательность.


А сколько подобных серверов с открытым доступом в интернете? А сколько еще таких дырявых приложений в Маркете? Наверно тысячи, десятки тысяч.

Вполне возможно, Вы так же сталкивались с похожими ситуациями, надеюсь без злых намерений.


Многие этим профессионально занимаются, пишут ботов которые ползают по интернету, пробивают стандартные порты, брутят по словарю, ломают роутеры, IP-камеры, увеличивая армию ботов. С такими ботами встречался и я, точнее мой Firewall и было занятно наблюдать как пытались подобрать пароль от моей базы по примерно по 5-10 запросов в секунду.

Так же попадались боты которые пытались ломануть мой FTP и VNC сервер из разных стран.

Обнаружив эти попытки в логах, я убрал компы за NAT  и с тех пор я держу все порты закрытыми, оставив только порт для VPN-соединения, а при, необходимости временно доступа другим людям, открываю временно их на нестандартных портах. Для постоянно доступа использую OpenVPN и генерирую сертификаты на каждое устройство.


Итак. Для минимальной безопасности:

1. Не держите FTP сервер с возможностью подключаться анонимусом. Не держите на FTP какую либо инфу, позволяющая скомпрометировать другие сервера. Конечно, если это Web-сервер и через FTP обновляется его содержимое, то дайте ему минимальные права, если его вдруг вскроют.


2. Не используйте простые пароли, которые можно легко сбрутить. Поверьте, боты не спят и рано или поздно могут приняться за ваш сервер, если он виден извне.


3. Используйте защищенное соединение. Если это не предоставляется возможным, вешайте службы на нестандартные порты. Такие порты найти сложнее и сканировать один комп относительно долго. Если есть настроенный Firewall, то вполне может сработать тревога сканирования портов и при их прозвоне ботом, фаервол начнет посылать все попытки подключения бота в лес, а порты ботом так и не будут найдены.


4. Если возможно, старайтесь в Андроид-приложениях шифровать все HTTP-запросы. Например http://127.0.0.1/web?query=vcXGregfds4r5f3r456sdr32vdf-6t и ответ получать примерно такой же. Через снифер уже не будет видна какая-либо зависимость от запросов и большинство любителей это уже может остановить. В идеале еще прикрутить защищенное соединение, но многих останавливает, что SSL-сертификаты платные. Можно еще использовать сокеты.


5. Не оставляйте в приложениях права админа, например в веб-приложениях, десктопных. Старайтесь давать минимальные права приложениям. Фукнции авторизации желательно вешать на сервер, а дальше посылать только ID-сессии, а не UserID. При обмене данными всегда проверять авторизована ли машина или нет. Особенно это касается Web- и Android-приложении.


6. Периодически проверяйте логи приложений, а так же лог фаервола.


7. Сервера желательно прятать за NAT, а в некоторых случаях (например, если это сервер с персональными данными или где проводятся финансовые операции) за двойной NAT.


8. Ну про своевременную установку патчей и обновлений, я думаю не стоит объяснять.


9. Ну и конечно следите за новостями о вирусных угрозах, эпидемиях, новых шифровальщиках


Желаю всем в следующем году стабильных линков, отсутствие зловредов и хороших клиентов. Сделаем наши сервера, базы данных и приложения более защищенными.

Показать полностью

Эти открытки сделали пикабушники. Сможете лучше?

Наш дикий конкурс открыток продолжается! Поздравили друзей, босса и любимую учительницу, а потом не помедлили и прислали свое творение нам? Все правильно сделали. Потому что до конца конкурса, в котором мы разыгрываем оригинальные подарочные наборы, осталось меньше 10 дней.


А чтобы поймать музу, вот порция открыток от пользователей Пикабу, которые они сделали в нашем конструкторе. Главное, не стесняйтесь!

Эти открытки сделали пикабушники. Сможете лучше?

Как поучаствовать в конкурсе:

1. Заходите на страницу конструктора.

2. Выбирайте тему: День интернета, День работников леса или 3 сентября (никогда не поздно).

3. Делайте открытку и не забудьте ее сохранить.

4. Отправляйте свою работу в приложении Сбербанк Онлайн (никаких платежей, все бесплатно).

Отличная работа, все прочитано!