![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
tonchikКогда мы были на Крите в 1998 году, нам рассказывали (пересказываю адаптированно но как можно ближе к смыслу): "Удивляетесь, что мотороллеры стоят непривязанными а машины с опущенными стеклами? Знаете, еще 10 лет назад тут никто не закрывал двери домой, можно было войти в любой дом, но никому не было нужно. Потом понаехали всякие, привили, теперь двери закрываются. Транспорт пока не трогают, слава богу, но все к тому и идет... Грустно..."
Так же грустно и сейчас читать всякие инет ресурсы: Были получены исходники 3300 глобальных интернет-проектов на habrahabr.ru повествует о найденной недоделке, баге дизайна с дирой .svn на веб-проектах, недосмотре в большинстве инет-проектов. Притом я уже не вижу традиционно скупого или информационно помогающего стиля статей по инет безопасности. Двое "умных" людей делают себе "карму" на сайте:
- по всем правилам этикета дается МЕСЯЦ на устранение уязвимостей, месяц, а не жалкие сутки. Как минимум так было 7-8 лет назад.
Могу сказать более:
Как я уже было сказано, было решено просканировать весь рунет на наличие подобной уязвимости. Были подняты прокси-сервера, написан парсер и получена свежая база доменов в зоне ru. Первая версия скрипта работала две недели, получая сайт за сайтом в один поток. К завершению сканирования, база насчитывала более 3000 уязвимых сайтов и занимала более ста гигабайт исходных кодов.
Тянет на УК РФ и сего статьи о незаконном доступе к информации.
Пока есть так мыслящие люди, пока они смеют опубликовывать такую информацию открыто, пока смеют нагло красть через открытую форточку мои горшки с цветами или золотые цепочки, пока в них нет социальной ответственности, а есть только желание попиариться на чужой навазелиненной ими жеппе, ничего путного не выйдет из всего, что творится в интернете.
Отдельно хотелось бы высказаться по поводу коментаторов. В далекие концы 90х и fido, начала 2000х и форумов было такое понятие как флуд. Еще многие начали учить как писать проекты. Только до сих пор ни один из них не указал на существование этого факта в часто задаваемых вопросах по SVN. Никто из них не признался, что использовал SVN. Это еще раз показывает какого уровня люди пытаются претендовать на роль профессионалов разработки, знающих что к чему.
Согласен, сами лохи, недосмотрели, узнали об этом сегодня, уже все прикрыли, кто не надо попытался влезть и влез, ничего стремного не произошло, исходников за сегодня никто не утянул. Мы ж не влезаем со нравоучениями и злорадствами "мы уже закрыли, а вы еще нет, нам +100 за скорость в карму". И ДА! Пока что я не могу найти в архивах ни одного письма от этих ребят с предупреждением.
Какая то в общем нездоровая обстановка...
UPD, comment @ habrahabr:
FlamingDeth, 23 сентября 2009, 17:11
Захватывающий и полезный топик, спасибо вам. :)
Но описывая ваше исследование, вы публично признались, что вас можно забирать по статьям 272 и 273 УК РФ. Надеюсь, что у оповещенных вами крупных компаний хватит мозгов на то, чтобы не идти в суд.
UPD2: http://twocomrades.ru/client
Нас добавили в своих клиентов. Ни один я не можем припомнить это компанию в аутсорсерах, которых мы помним как облупленного каждого, специфика работы такая.
Так же грустно и сейчас читать всякие инет ресурсы: Были получены исходники 3300 глобальных интернет-проектов на habrahabr.ru повествует о найденной недоделке, баге дизайна с дирой .svn на веб-проектах, недосмотре в большинстве инет-проектов. Притом я уже не вижу традиционно скупого или информационно помогающего стиля статей по инет безопасности. Двое "умных" людей делают себе "карму" на сайте:
P.P.P.S. Не обделяйте oowlкармой )
и понтуются P.P.P.P.S. Никаких сорцов Яндекса получено не было, однако были получены корни веб морды некоторых ресурсов. Верстка, xmlapi, xsl шаблоны итп. Ничего серьезного, разве что все адреса репозиториев, логины разработчиков итп.
Никакой чести и достоинства. Ой нашли уязвимость, о которой кстати в банальном виде вот тут предупреждал FAQ по SVN. Очень порадовало название нашего основного портала в их нотации rbk.ru, это какими надо внимательными быть, чтоб не заметить моментальную переадресацию на www.rbc.ru?затем, сегодняшней ночью, письма получили остальные 3000+ сайтов.
- по всем правилам этикета дается МЕСЯЦ на устранение уязвимостей, месяц, а не жалкие сутки. Как минимум так было 7-8 лет назад.
Могу сказать более:
Как я уже было сказано, было решено просканировать весь рунет на наличие подобной уязвимости. Были подняты прокси-сервера, написан парсер и получена свежая база доменов в зоне ru. Первая версия скрипта работала две недели, получая сайт за сайтом в один поток. К завершению сканирования, база насчитывала более 3000 уязвимых сайтов и занимала более ста гигабайт исходных кодов.
Тянет на УК РФ и сего статьи о незаконном доступе к информации.
Пока есть так мыслящие люди, пока они смеют опубликовывать такую информацию открыто, пока смеют нагло красть через открытую форточку мои горшки с цветами или золотые цепочки, пока в них нет социальной ответственности, а есть только желание попиариться на чужой навазелиненной ими жеппе, ничего путного не выйдет из всего, что творится в интернете.
Отдельно хотелось бы высказаться по поводу коментаторов. В далекие концы 90х и fido, начала 2000х и форумов было такое понятие как флуд. Еще многие начали учить как писать проекты. Только до сих пор ни один из них не указал на существование этого факта в часто задаваемых вопросах по SVN. Никто из них не признался, что использовал SVN. Это еще раз показывает какого уровня люди пытаются претендовать на роль профессионалов разработки, знающих что к чему.
Согласен, сами лохи, недосмотрели, узнали об этом сегодня, уже все прикрыли, кто не надо попытался влезть и влез, ничего стремного не произошло, исходников за сегодня никто не утянул. Мы ж не влезаем со нравоучениями и злорадствами "мы уже закрыли, а вы еще нет, нам +100 за скорость в карму". И ДА! Пока что я не могу найти в архивах ни одного письма от этих ребят с предупреждением.
Какая то в общем нездоровая обстановка...
UPD, comment @ habrahabr:
FlamingDeth, 23 сентября 2009, 17:11
Захватывающий и полезный топик, спасибо вам. :)
Но описывая ваше исследование, вы публично признались, что вас можно забирать по статьям 272 и 273 УК РФ. Надеюсь, что у оповещенных вами крупных компаний хватит мозгов на то, чтобы не идти в суд.
UPD2: http://twocomrades.ru/client
Нас добавили в своих клиентов. Ни один я не можем припомнить это компанию в аутсорсерах, которых мы помним как облупленного каждого, специфика работы такая.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
Maxbl4
Date: 2009-09-23 13:48 (UTC)Но в целом, те кто там сделали сами виноваты. Мы постоянно используем SVN и с первого же дня было очевидно, что выкладывать на боевой сервер рабочую копию - тупо.
Раньше всегда делали экспорт, а теперь вообще используем сервер постоянной интеграции, который нам на каждый коммит делает новую чистую сборку. Поэтому такой проблемы даже не могло возникнуть.
В целом такая ситуация говорит о низком профессионализме программистов или лидеров проекта, ответственных за публикацию новых версий
Re: Maxbl4
Date: 2009-09-23 13:58 (UTC)no subject
Date: 2009-09-24 15:14 (UTC)Я так понимаю, речь идет о РБК?
В статье да, косяк, адрес попутали =) очепятка. Спасибо.
Что касается самой баги тут дело каждого, кто-то считает что бага не критичная совсем, кукуц устал нам это доказывать. Кто-то считает, что это всё же сильная уязвимость. Никто не говорит, что уязвимость в самом SVN, однако именно SVN + кривые руки админов создали подобную ситуацию.
Со статьями укрф достали уже, чесслово =) пишите заявы, заводите дела. А то на словах мы все сильны =) И не путайте, я не залезал в вашу форточку. я просто необычно постучался вам в дверь, а горшки сами вылезли.
И что касается клиентов. С РБК мы сотрудничали более года, порядка 2 лет назад прекратили совместную деятельность. Если вам интересно, дойдите до деджоки и передайте ему привет. Если посчитает нужным — расскажет в каком ключе сотрудничали =)
http://ipicture.ru/Gallery/Viewfull/24161588.html
скрин письма, письмо было отправлено на info@rbcsoft.ru. Самое подходящее что нашел. И, кстати, оно явно дошло до того, кому надо. Т.к. на момент публикации на хабре, часть указанных сервисов уже закрыли данную дыру.
no subject
Date: 2009-09-24 15:32 (UTC)Это софтовики, РБК Софт / Армада давно уже не РБК как таковой, они IPO провели еще в 2007 как отдельная независимая контора.
У РБК - два основных технических емайла: мы, админы, noc@rbc.ru и webmaster@rbc.ru поддержка клиентов порталов. Даже хуиз не даст никакой информации связанной с РБК Софт. Но всеравно будем знать их необеспокоенность нами, спасибо =)
Дата 20е сентября 2009 года, а это - подстава и никакой чести и достоинства.
ЗЫЖ По никам никого не знаю.
no subject
Date: 2009-09-24 15:33 (UTC)no subject
Date: 2009-09-24 16:27 (UTC)информационные технологии приглянулись, туда и отправил. Сейчас глянул — дейсвтительно внизу есть webmaster@rbc.ru, 20-го (ВС) не заметил. Мелкий Times New Roman рулит =) И первичная рассылка была именно 20-го числа. Не знаю о чём вы, когда вспоминаете честь и достоинство, но с Яндекса мне написали тут же, в воскресенье уже трое человек ответили, что закрыли дырку.
Согласен с вами, оповещать о уязвимости надо сильно заранее. Но вам бы это помогло? Тем более данная уязвимость носит глобальный характер. Поэтому было принято решение оповестить крупных игроков и почти сразу вывесить инфу в паблик.
Повторю, во вторник, за день до публикации, часть сервисов РБК уже закрыли уязвимость. Если не изменяет память, это была tata.ru, выходи либо кто-то получил таки было, либо админ таты за 3 дня догадался что что-то не так и сам закрыл уязвимость.
мыло записал.
no subject
Date: 2009-09-24 17:01 (UTC)> Согласен с вами, оповещать о уязвимости надо сильно заранее. Но вам бы это помогло?
host rbc.ru -> whois IP => это "заранее", как бы сказать, сильно бы помогло.
Даже сразу вывешенная в паблик без возгласов "все крупные игроки подвержены ей" имела бы меньший резонанс и недовольство, как минимум с моей стороны бы его вообще не было и было бы только спасибо. Собственно именно к этому было все сказано.
Мне пофиг, что домофон бабушки из моего подъезда знает половина милиции района или кто-то "по секрету всему свету" рассказал о неком уникальном для почтальонов, но отнюдь не пофиг, когда его один из коллег пишет на стене подъезда, чтоб не забыть...
no subject
Date: 2009-09-24 17:29 (UTC)Как было отмечено в комментах к нашей новости, бага не новая, о ней пишут с 2004 года. Однако 5 лет на неё не обращали внимания, пока мы не пролили свет на неё в крупном масштабе. Не было бы масштаба, это была бы еще одна забытая богом новость о том, что .svn/entries показывает файловую структуру.
Жаль, что до вас не дошло письмо. Поверьте, я писал его на info@rbcsoft.ru не для того, чтобы вы не получили его а потом ругались.
no subject
Date: 2009-09-25 10:13 (UTC)Надеюсь когда-нибудь будет комплексный подход к таким вещам, когда открывается что-то новое для себя, потом копается на тему было или нет, потом взвешивается все и только после публикуется то необходимое для закрытия в глобальных масштабах. Публикуется в выверенных словах и фактах.
ЗЫЖ Эмоции вылитые в личном порядке здесь ни разу не были вылиты в рабочем процессе, когда учитывая специфику именно наших систем коллегиально было найдено срочное решение проблемы и выверено и внедряется долгосрочное.
ЗЗЫЖ Согласен, что последствия будут проанализированы, виновные наказаны как минимум исправительной срочной работой по правке кодов/конфигов/алгоритмов. И в этом единственном Вам спасибо: мы б могли не знать о многом интересном, что с нами бы сделали на основе полученной через .svn/* информации.