?

Log in

No account? Create an account
   Journal    Friends    Archive    Profile    Memories
 

Анонимность в интернете - morfizm


Jun. 2nd, 2010 11:34 pm Анонимность в интернете

Статья о том, как хакнули сообщество girls-only. http://globalvoicesonline.org/2010/05/23/girls_only/

От кого-то, говорят, уже муж ушёл, прочитав о пост о том, что он сам стирает носки (типа, стыдно перед пацанами). (Правда, я лично думаю, такой муж пусть уходит, это хорошее дело.)

Я, вот, думаю, почему бы им не написать скрипт (неужели там нет девчонок-программеров?), который сначала отфрендит всех, а потом будет обратно зафренживать по одному, постить и смотреть на зеркало. Если зеркало не manage'ится, и в нём нет серьёзных задержек, то, типа, за сутки, можно было бы идентифицировать все хакнутые account'ы (при поддержке команды ЖЖ, которая должна будет временно снять защиту от роботов, чтобы этот скрипт быстро отработал).

Оставшихся в живых юзеров - обязать сдать тест на умение составлять правильной сложности пароли и секьюрить свой домашний компьютер. Сертификатами о сдаче теста обменяться лично, по иерархии доверия.

Ещё - можно обязать мемберов время от времени, по личной цепочке доверия, передавать информацию о том, что их аккаунт не хакнули. В случае отсутствия регулярного позывного - удалять мембера. От единоразвого слива это не защитит, но от регулярного слива - запросто.

А чтобы хорошо защититься от единоразового слива, мне кажется, необходимо просто удалять посты старее определённой давности. Я вот теперь сам задумался: может, мне такую практику ввести.

* * *

Кстати, друзья, а у вас достаточно криптостойкий пароль? Надеюсь, ни у кого нет пароля типа qwerty123? Вы ставите регулярные обновления на ваш софт и ОС? Вы используете разные учётные записи для разных членов семьи и для гостей?

* * *

Посмотрел сообщество girls-only, и увидел инициативу "приостановление новых членов". Совершенно бессмысленный шаг. Мне как программисту очевидно, что произошло следующее (с вероятностью 99%): хакер написал скрипт, перебирающий существующих членов сообщества и пытающийся взломать их пароль. Среди многих тысяч пользователей обязательно найдутся некоторые, у кого пароль слаб, и он поддастся взлому. Таким образом, слив, вероятнее всего, происходит через десятки или сотни существующих членов. Новые члены - все с намного большей вероятностью - реальные люди, чем существующие.

Чтобы защититься, можно сделать, например, следующее:

1. Обязать всех заново пройти процедуру личных referral'ов. Кто не прошёл - удалять. Это позволит закрыть источник слива. Вероятно, полезно будет время от времени повторять эту процедуру...

2. Ввести практику удаления старых записей. Вроде "автор поста обязан его удалить через месяц, иначе штраф - исключение из сообщества (с возможностью добавиться заново через стандартную процедуру)". Это позволит ограничить impact от потенциального слива в будущем.

* * *

Update: я не подумал о варианте мужа, который "протащил" своё членство уже давно, за-referr'ив его из-под аккаунта жены, и сидел долго выжидал. Сложно придумать, как можно было бы защититься от подобного случая. Обязать членов завести себе вируталов и никогда не логиниться под ними, находясь дома?

Update: получается, я ошибся, сказав, что "приостановление новых членов" - бессмысленная инициатива. Если это один из мужей, кто давно уже "порекомендовал" себя в сообщество, зайдя под юзером жены, то защититься от такого варианта очень сложно. Любой технически подкованный муж может это сделать, если (а) жена не всегда дома, и (б) жена хоть раз логинилась с домашнего компьютера в girls-only. Соответственно, сейчас, на волне ажиотажа по этой теме, многие мужья захотят себе завести такие "подпольные" account'ы, чтобы в будущем, когда зеркало прибьют, иметь возможность продолжать читать. Таким образом, да, ограничение новых членов - разумный шаг.

17 comments - Leave a commentPrevious Entry Share Next Entry

Comments:

From:dennyrolling
Date:June 3rd, 2010 08:16 am (UTC)
(Link)
мне кажется что точка зрения Димы Смирнова неплоха: http://coprophagous.ru/entry/1435


а с технической точки зрения я думаю что у них случился крот, пароли не пришлось подбирать. опять же Дима пишет что он все это уже видел.
From:morfizm
Date:June 3rd, 2010 08:25 am (UTC)
(Link)
Что такое крот?
From:dennyrolling
Date:June 3rd, 2010 08:34 am (UTC)
(Link)
From:morfizm
Date:June 3rd, 2010 08:38 am (UTC)
(Link)
Ну, там шли (неоднократные) разговоры о том, что шпиона исключили. Всё равно продолжается кросс-постинг. Так что я предположу, что кротов несколько. Несколько кротов - дорого. По-моему, дешевле попробовать взломать много account'ов распределённым скриптом.
From:dennyrolling
Date:June 3rd, 2010 08:43 am (UTC)
(Link)
моя теория что они ошибаются.
обычно крот первый кричит "ловите вора" и его никто не подозревает.
From:morfizm
Date:June 3rd, 2010 08:47 am (UTC)
(Link)
Хм. Тогда его достаточно легко было бы изловить: взять всех активных пользователей за последний месяц (по комментам и постам) и потребовать, чтобы они заново прошли referral loop, но с в два (или три?) раза большим числом referral'ов. Если крота кто-то впустил по дружбе (а, скорей всего, просто чей-то муж зашёл под аккаунтом жены и сам себя впустил), то теперь кроту потребуется второй реальный человек, которого ему будет сложнее раздобыть.
From:dennyrolling
Date:June 3rd, 2010 08:48 am (UTC)
(Link)
крот он на то и крот что сидит давно.
From:morfizm
Date:June 3rd, 2010 08:52 am (UTC)
(Link)
Хм. Ну тогда всех обязать заново пройти рефёррал луп. Собственно, мои основные мысли по поводу засекьюривания я уже написал. Конечно, от хитрого мужа, у которого физический доступ к компу, ты не спрячешься. Но можно попробовать смягчить риск, увеличив число требуемых referral'ов.
From:morfizm
Date:June 3rd, 2010 08:49 am (UTC)
(Link)
Ещё - можно сузить круг подозреваемых теми девчонками, у которых муж или бойфренд - программист. (Для начала можно обойтись веб-программистами, а потом взяться и за всех остальных программистов).
From:morfizm
Date:June 3rd, 2010 08:58 am (UTC)
(Link)
Ещё идея: обязать членов завести себе вируталов и никогда не логиниться под ними, находясь дома. Как ты думаешь, эффективно будет?
From:dennyrolling
Date:June 3rd, 2010 04:19 pm (UTC)
(Link)
я думаю что эффективно раздавать tainted copy и тут же исключать тех чья копия появилась. потом повторить пока копии не перестанут появляться. ну по уму делать тоже, стеганография, все дела (а то ведь никакая не появится).
если появляется оригинал - это значит что крот сидит в инструменте.
From:birdwatcher
Date:June 3rd, 2010 11:16 am (UTC)
(Link)
>Кстати, друзья, а у вас достаточно криптостойкий пароль? Надеюсь, ни у кого нет пароля типа qwerty123? Вы ставите регулярные обновления на ваш софт и ОС? Вы используете разные учётные записи для разных членов семьи и для гостей?

Нет. Я не пишу в журнал под замком таких вещей, которых не стал бы писать без замка.
From:dennyrolling
Date:June 3rd, 2010 04:20 pm (UTC)
(Link)
кстати, Дима, зачем постить мой пароль на весь интернет? ;)
From:miris_rants
Date:June 3rd, 2010 05:47 pm (UTC)
(Link)
god save me from a husband who'd actually spend time and effort to find out what is it that I'm posting on "girls only." .....
From:rezkiy
Date:June 6th, 2010 07:07 am (UTC)
(Link)
ПРи некоторых гипотетических обстоятельствах Ваш гипотетический муж может там очень много чего гипотетического найти, и тем самым Вы поставите себя в очень затруднительное положение. Например, останетесь без денег, без custody, и платить будете, долго и много.
From:rezkiy
Date:June 6th, 2010 07:05 am (UTC)
(Link)
надо бы отличать анонимность в интернете и секретность собственноручно написанных текстов. Хочешь анонимность -- вот тебе прокси, заводи виртуала, читай поменьше, и пиши фантастику на неродном языке, раздавая уникальные аккаунты только тем кого лично знаешь. Пишешь со своего компа, под своим именем (или публичным псевдонимом), про себя, в огромное, постоянно растущее сообщество -- если кому будет надо, вычислят, и собрание сочинений с картинками опубликуют.
From:morfizm
Date:June 6th, 2010 07:24 am (UTC)
(Link)
Да, это хороший поинт.