По мотивам "И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках"...


Статья, которую вы сейчас читаете, вовсе не ответ на вышеозвученный пост. Это будет скорее попытка показать что уже сейчас иногда делается, и что вообще можно сделать в области информационной безопасности, если немного отойти от общепринятых канонов при защите систем.


И чтобы расставить все точки над E, — я вовсе не пытаюсь оценить или как-то обелить "ответственные" лица, что с одной, что с другой стороны.


Я скорее просто попробую объяснить другой (возможно новый для некоторых читателей) концептуальный подход на примерах, в том числе и касающихся той статьи.


Кстати, то что в ней не всё или скорей всего возможно не совсем всё правда, "реальному хакеру" видно невооруженным глазом.


Например прочитав "Утащил базу весом 5 Гб… сколько времени это качалось. Вы думаете, кто-то заметил?" я лишь усмехнулся и продолжил чтение (ибо ИМХО некоторое преувеличение допускается в такого рода статьях).


Хотя автор и сам признал что он немного лгунишка апдейтом в конце статьи.


конечно же, никакой базы у меня нет, на протяжении 3-х дней я эмулировал скачивание ...

Теперь почему это очевидно/вероятно (даже не принимая другие типовые ограничения во внимание):


  1. Если прогуляться на сервер, то сразу увидим связку nginx/1.1.9 * PHP/5.3.10 (скорее всего fpm, но не суть, практически также оно будет себя вести и при проксировании к апачу).
  2. Если вспомнить про то, что дампить можно только из инъекций, то можно грубо предположить как-оно все доберется до слоя представления и/или слоя формирования html-страницы.
  3. А если вспомнить про то, как обычно происходит общение nginx и того же пых-fpm (который отправит заголовок с первым байтом после первого flush из буфера), то можно вспомнить опции типа fastcgi_read_timeout (который по умолчанию 60s и его если и меняют то для специальных location/случаев), preread_timeout и иже с ним, а также пыховый max_execution_time (по умолчанию 30s), request_terminate_timeout и т.д. и т.п.

Если же тянуть инкрементально (ака кусками), то можно предположить сколько действительно времени нужно чтобы утащить чанками, обернутыми в html со страничкой сверху, пятигигабайтную базу с сервера, кстати не предназначенного для таких операций.
Вспомним, что наш хакер человек не глупый и должен прятаться за проксями/vpn/любимое подставить, и всё действие становится ещё сомнительней.


То не факт, но все равно очень сомнительно. Хотя… пусть это будет "подсказка" в качестве отговорки NoraQ когда оне придут с паяльником в случае непредвиденных вопросов.


Ну да статья не об этом, поэтому допустим…
Итак подходим к самому главному.
К ответу на вопрос "Вы думаете, кто-то заметил?".


Попробую встречным вопросом: А с чего вы сразу решили, что никто не заметил?
С чего вы решили, что вам отдавали "данные" с реального банка данных?
И наконец, может ли быть так, что кто-то, где-то, что-то оставил "приоткрытым" нарочно?


Заметьте я не утверждаю что оно так. То просто мысли вслух.


Однако в мире информационной безопасности действительно существуют техники преднамеренных ловушек, расставляемых для незваных гостей. И они довольно часто применяются на практике.


Названий очень много и они зависят от применения в конкретном случае, но у англоязычных коллег нередко слышал обобщающие аббревиатуры IPF (от intentional pseudo flaws) и ITD (от intentional trap doors), означающие одно и то же, а именно, намеренно оставленные псевдо-изъяны или специальные дыры в защите, играющие роль ловушки для атакующего.


Кроме нескольких очевидных недостатков система безопасности, позволяющая подобные "шалости", имеет множество достоинств:


  • позволяет администратору безопасности осуществлять мониторинг поведения атакующего, сбор и анализ средств и способов атаки;
  • помогает выявить потенциальные риски, а также действующие дыры в безопасности системы;
  • позволяет защищающейся стороне направлять действия нападающего в нужное русло, увести атаку на нужный менее "засекреченый" уровень, отдать менее ценный "ресурс" и т.д. (тем самым отодвинуть вектор атаки от настоящей системы);
  • нередко отвлекает захватчика от поиска настоящих (существующих) уязвимостей;
  • позволяет контролировать процесс защиты, например осуществлять контролируемый "сброс" информации ("скармливать" конкурентам заведомо ложную, или неинтересную информацию);
  • и last but not least, она позволяет безопаснику держать себя в тонусе (повышение квалификации, навыков, умений, и т.д.)

Нужно только не забывать, что открывая нападающему доступ, вы увеличиваете уровень риска. Однако учитывая вышеперечисленное, возможные риски с лихвой перекрываются полученными преимуществами.


Как-то один знакомый CIO сказал мне, сложив пальцы как на той картинке (здесь картинка): "Нельзя просто взять и стать хорошим безопасником, ни разу не побывав в шкуре нарушителя". Контекст разговора и тон, которым это было сказано, однозначно сказал мне — он был тем-еще "хакером" в молодости...


Ну оно может и неплохо (если в меру), только он был не совсем прав — есть такой способ на самом деле — ничто так не повышает квалификацию, как интерактивный ITD с пропущенным через него десятком хороших пентестеров и прочих (доморощенных и не очень) атакующих всех мастей. Очень познавательно, доложу я вам...


Опять же, это просто непередаваемое чувство, когда ты скармливая интрудеру намек на страшнейшую "уязвимость", с теоретической возможностью повышения привилегий до рута (так и видишь его "Я есть крут!"), заставляешь его бросить поиск XSS и подобных скучных уязвимостей, забыть все и погрузится с головой в уготовленную ему ловушку.


Вернемся к статье о "дырах" в ФРДО...


ITD на самом деле вовсе не ограничивается "играми" с нападающим. Например тут, если почитать цели "Формирование и ведение ФРДО об образовании и (или) о квалификации, документах об обучении", то можно найти там следующее:


Ликвидация оборота поддельных документов государственного образца об образовании

Каким еще другим способом можно настолько эффективно бороться с оборотом поддельных документов, кроме как, используя IPF/ITD, собрать базу возможных кандидатов на пилку дров в каком-нибудь холодном и особенно удаленном уголке России.


Не пентестеров, вовсе нет… А к примеру, людей пытающихся почем зря эксплуатировать инъекцию для инсёрта новых документов.


Я, на месте "реализатора" (или организатора) оферты, вероятно воспользовался бы подходящим случаем и возможностью, и именно так и поступил бы.


Чем не подходящий инструмент для таких целей? И при наличии некоторого опыта, такое можно довольно легко а главное незаметно реализовать.


Но хватит тут конспирологических изысканий, остальное хабражители, с присущей им богатой фантазией, наверняка "додумают" в комментариях. Может быть даже доведется увидеть готовый PoC или еще чего, на что у вашего покорного слуги не хватает ума-разума.


Я же, в качестве примеров "реализации" ITD, хотел здесь поведать о собственном опыте и как пентестера, попавшегося однажды на эту удочку (а может и не один раз, не факт), и в качестве безопасника, уже организовывавшего подобные системы (как ради интереса, так и enterprise-level).
С морским боем и мадамами С логами атак, протоколами мониторинга и всеми делами.
Но… Статья и так разрослась. Да и думаю в качестве вступления этого будет пока достаточно.
Попробую черкнуть позже, если статья наберет необходимое число плюсов интересно.
Время, всегда время… будь оно неладно...


Ну а вы в очередной раз, обнаружив "дыру в безопасности", задумайтесь о том, что возможно та шутка все-таки имеет свою долю правды, и она (ваша дыра) таки вдруг да и на самом деле в полной безопасности. Просто в качестве задней мысли в подкорке...


Ну и снова возвращаясь к теме ФРДО...


[UPD] Для тех кто в танке...
Статья вовсе не про то что там было. А про то что в теории возможно (в идеальном мире если хотите)…
Т.е. то всё лирика, но с привязкой к конкретному инциденту, такой сценарий я например не могу исключить.
И не нужно про то, что это так сложно, дорого (и вообще на фиг никому не надо), ладно?...


Вот конкретный дешевый рабочий вариант (простейший ибо на коленке):


  • ставим фильтр выявляющий попытки sql-инъекции;
  • пробрасываем запросы от него (да хоть посредством nginx) в "песочницу";
  • там пишем простейший триггер на изменения в таблице (со сливом в лог);
  • пишем обработчик лога (разбор, сумматор по IP, оформление в красивую табличку);
  • анализ лога раз в день на мыло товарищу майору.

Вопрос не в том было оно так или нет, а в том в теории могло бы быть, но нашему доморощенному хакеру оно в голову в принципе не пришло. И он просто вывесил это на стену.
Я сам далеко не белый и уж точно не пушистый, но вот так это не делается, от слова совсем!
[/UPD]


И пожалуйста, вот только не надо здесь про то, что "Они там все тупые/ленивые/неумехи". Правда, не надо… Оно, во первых, вовсе не про то.


А во вторых, там тоже много замечательных, умных и преданных делу людей. К счастью они есть не только в модных стартапах, на высокооплачиваемых должностях в больших концернах, enterprise и т.п. Общались — знаем.


Ну и вокруг много таких же профессионалов, не принадлежащих тем определенным структурам, но иногда готовых помочь (и за интерес и за идею и т.д.).


Ответом же на вопрос "Почему все-таки в итоге залатали" может быть: ну ажиотаж же. И… А вы уверены, что все закрыли? И что навсегда?...

Комментарии (43)


  1. sebres Автор
    31.01.2018 22:18

    Кстати, вопрос от неруси про IPF/ITD к русскоязычным жителям хабра (безопасникам) — кто-нибудь знает как оно по русски? Есть ли какой аналогичный общепринятый термин?


    1. Doomsday_nxt
      31.01.2018 22:29
      +1

      ru.wikipedia.org/wiki/Honeypot может быть? По-моему в русскоязычном сегменте — более популярен.


      1. sebres Автор
        31.01.2018 22:37

        А… спасибо! Но наверно не совсем то — я спрашивал скорее про название стратегии, honeypot же — это скорее средство реализации (ресурс, приманка и т.д.).
        Хотя как общий термин возможно и неплох!


    1. Virtual77
      01.02.2018 16:13

      Deception не оно? (illusive)


      1. sebres Автор
        01.02.2018 16:23

        Ну да, только я «illusive» не слышал, вот «cyber deception» — встречалось, но чаще все же «cyber trap». Хотя немцы например тоже часто пользуют в этом смысле (Tauschungstechnologie, Tauschung zur Scheinwelt, Scheinsystem, и подобное).

        Однако вопрос был — есть ли такое «по русски»!..


  1. PRISM
    31.01.2018 22:33

    Ну осталось немного подождать, если дырку заштопают, то это не ханипот.


    1. mickvav
      01.02.2018 10:01

      Ну, после такой статьи на хабре эта дыра уже не интересна, так что как honeypot её имело бы смысл оставлять только разве что для ловли ботов.


  1. semen-pro
    31.01.2018 22:45

    Т.е. если кто-то попытается внести свои ФИО в базу, пользуясь «дырой» его сразу арестуют?


    1. sebres Автор
      31.01.2018 22:46

      Ну да и сразу лес валить, без суда и следствия…


  1. amaksr
    31.01.2018 22:56

    Излишне конспирологично, на мой взгляд. Скорее всего всё-таки дыра, я таких насмотрелся, в том числе в системах обработки ПД, которые продают за деньги.
    Скорее всего и эта система создавалась в условиях дефицита бюджета, времени, специалистов, ну в общем как всегда, и привлекли вчерашнего студента, кто про такие вещи просто еще не узнал.
    Как-то в молодости пришлось писать BBS на шелле (это еще до интернета). Я был уверен, что все предусмотрел, а потом оказалось, что ее можно остановить и выйти в командную строку по Ctrl-C и еще тысячей способов. С тех пор усвоил, что 1) всегда есть шанс, что чего-то не знаешь 2) безопасность в ИТ понятие вероятностное.
    Тут вопросы скорее кто и почему дал задание на разработку исполнителю с недостаточной квалификацией, почему QA пропустил, какое было ТЗ, и т.п.


    1. sebres Автор
      31.01.2018 23:09

      Возможно и так… но верно, что и то и другое — наши домыслы.
      Кроме, разве что:


      что 1) всегда есть шанс, что чего-то не знаешь 2) безопасность в ИТ понятие вероятностное.

      С этим согласен, конечно… Особенно когда, люди считают, что у меня-то уж точно все в ажуре. Они как правило забывают, что у атакующих "думалка" по другому заточена.


      1. NoraQ
        01.02.2018 00:00

        Вызывали?
        Это действительно интересная идея. Но я так не думаю, потому что за дырой лежали реальные данные (я проверял), которые продаются на чёрных рынках. И на эти данные огромный спрос.


        1. sebres Автор
          01.02.2018 00:49

          ну, для точности можно конечно добавить, что таких реальных данных по сети гуляет туча без копейки… в тех же даркнэтах. я вам больше скажу, у меня если поискать тоже где-то такой списочек валялся, не на 14 мио конечно, но очень большой… старый правда и где взял не упомнить ужо (оставил для тестов на близким к рил-дата, теста анонимайзеров и тд)…
          я конечно не думаю, что в гос-структурах допустимо использование такого, но…
          А можно вопрос — на кой вы их на реальность проверяли?
          и другой в догонку — меня там найдёте? я конечно не уверен, что настолько старый диплом в базе, но чем чёрт…


          1. NoraQ
            01.02.2018 12:50

            Первое, о чём я подумал: «Не может быть!». Думал, что сайт заглушка, что база — пустышка с ФИО и датами рождения и так далее. Поэтому и проверил. По поводу базы — у меня её нет. Если бы я не написал, что база была скачана — дыра продержалась бы в три раза дольше. А так как я написал настоящую инструкцию — это позволило бы людям скачать данные. И вы правы — вырывая такими кусочками данные скачается совсем мало даже за 3 часа, к тому же нужно ещё время, чтобы понять структуру таблиц.


        1. AnGir
          02.02.2018 16:48
          +1

          Проверял?!.. Свой диплом вводил?
          Слушаю и восхищаюсь… а где подлинные данные взял, если не свои?

          Можно долго спорить о том, что за простая уязвимость, но по прошлой статье и таким высказываниям складывается впечатление — это только теоретические умозаключения…


          1. sebres Автор
            02.02.2018 23:30

            > Проверял?!..

            Мне вот тоже было интересно, как. Ну т. е. в смысле — он себя или друга своего подставил…


            1. NoraQ
              03.02.2018 23:38

              Может хватит? Ну это действительно странно. А вы подумайте, где можно взять информацию о дипломе человека, при этом чтобы человек никак со мной не был связан.


          1. NoraQ
            03.02.2018 23:35

            Был бы диплом — проверил бы. Но проверял по подлинным, верно. Где взял? Вы действительно думаете, что я отвечу на этот вопрос. Очень странно, что вы думаете, что найти настоящий диплом, чтобы его проверить — сложно. Удивительно странно!


  1. OKyJIucT
    31.01.2018 23:59

    Кроме нескольких очевидных недостатков система безопасности, позволяющая подобные "шалости", имеет множество достоинств

    Я сильно сомневаюсь, что эту дыру сделали именно для реализации этих достоинств. Скорей всего племянник чиновника на коленке склепал сайт после пары роликов на Ютубе, в сложных местах консультируясь на Тостере по вопросам типа "как правильно записать массив в базу данных" или "как передать с помощью ajax параметры из формы в php класс". Ничего плохого в этих вопросах нет, все мы когда-то учились, но такого масштаба и важности проект должен был делать более квалифицированный разработчик. Ну не верю я, что это фича, а не баг.


    1. strvv
      01.02.2018 16:23
      -2

      скорее всего так и было.
      сейчас ко мне подходят по поводу систем_мониторинга_на_коленке…
      объясняешь что здесь очень много камней подводных, давайте по человечески все условия (ТЗ) сведём к рабочим, разобьем на этапы, каждый из них распишем, и потом и студенты под присмотром могут написать — как об стенку горохом — написать можешь — могу — пиши. =8-0


    1. sebres Автор
      01.02.2018 16:41

      Я сильно сомневаюсь, что эту дыру сделали именно для реализации этих достоинств.

      Я сильно сомневаюсь, что вы осилили понять посыл статьи…
      Еще раз для неосиливших — не вы, не я, не даже наш неуловимый "хакер", ничего об этом не знаем. То все просто домыслы… и вариации на тему.
      А эта конкретная статья вообще не про то. И уж точно не оправдательная (не про то что было, но про то что могло бы иметь место в теории).


      Скорей всего племянник чиновника на коленке склепал сайт

      Да сто пудов (зуб даю)… И денег они вместе откатили на целый мильён…


      Без политоты никак?! Навальнята,… ять...


      Ну не верю я, что это фича, а не баг.

      А я вот в черта не верю, кричать теперь об этом на каждом углу?


      1. OKyJIucT
        01.02.2018 16:47
        -1

        Еще раз для неосиливших — не вы, не я, не даже наш неуловимый «хакер», ничего об этом не знаем.

        Естественно, доказательств никаких нет. Но как показывает практика, подобные случаи чаще всего означают халатность, а не высокие скрытые замыслы.

        Без политоты никак?! Навальнята,… ять...

        К гос заказам левых людей пускают крайне редко, а суммы там крутятся весьма приличные.

        И если критика власти, то только Навальнята на это способны?


        1. strvv
          02.02.2018 15:37

          не обязательно госзаказы.
          иногда крупные компании, у них отделы инновационных решений, с сборищем неглупых, в общем-то людей, но в большинстве своем не прошедших процессы внедрения чего-либо от нуля и до госов или присвоения литеры.
          и считают, видя счета у инжиринговых фирм с офигилиардными цифрами и читая тот же Хабр, думают — за ЩО! это на дуине раз-два и в дамках.
          начинают искать и тут уже идут варианты — студенты — а фигня-вопрос, сделаем за неделю и ведро пива с кревеДками.


      1. ToshiruWang
        01.02.2018 17:08
        -1

        Без политоты никак?! Навальнята,… ять...

        Упоминание политоты — исключительно у вас, а "племянник чиновника" или, скорее, просто студент (или представитель одной из соседних[западных] республик, бо стоит меньше) в разработке подобных систем — он в реальности знаком каждому, хоть чуть работавшему в или с госорганами. И знают какой процент получается исполнителем (и вот интересно куда девается остальное — голодающим детям в Африку?).


        1. bopoh13
          02.02.2018 11:24

          "Племянник чиновника" может на рабочем месте не бывать, а ЗП получать будет. А вот системы пишут далеко не студенты, а специальные компании, как правило через тендер. Дальше можете включить полёт фантазии, как набирают кодеров в такие компании.


          1. ToshiruWang
            02.02.2018 11:42

            А можно не включать полёт фантазии, а просто знать кого берут «специальные компании» в качестве исполнителей.


            1. strvv
              02.02.2018 15:41

              в нагрузках у этих специальных компаний зачастую работают или числятся (по ситуации, разное видел) дети ответственных работников.


          1. strvv
            02.02.2018 15:40

            ещё до тендеров, в середине 90-х работал, учась, в такой фирме, там разные уровни — есть ядро у ядерщиков и прикладников, и куча негров, в коих был и я тогда, кого как навоз просеивают для получения для себя задешево спецов.


  1. bioroot
    01.02.2018 00:41
    +1

    Не знаю на счёт уязвимости из предыдущей статьи, но очень поддерживаю вас на счёт профессионалов из структур. Отдел К очень даже работает. У них почему-то довольно консервативная политика в отношении распространения информации о своих достижениях. Но если прихватят за пятую точку — мало не покажется.


  1. PerlPower
    01.02.2018 02:11
    +1

    Да что ж ты будешь делать, опять только выиграли!


    1. sebres Автор
      01.02.2018 02:14

      правда что ли? и с каким счётом?


  1. Spewow
    01.02.2018 07:01

    Человек из статьи утверждал что данные реальные, проверял по совпадению с реальными документами, так что врятли подсунули поддельные данные. Да можно было бы «разбавить» реальными данными, но в данном случае это было бы нарушение 152 фз, безопасник если не дурак на такое не пойдёт.

    2. Все эти замечательные примеры как интеграторы делали крутой мониторинг, который пишет все-все, натыкаются на человеческий фактор. Мало иметь мониторинг, надо чтобы этот мониторинг кто-то — регулярно- смотрел и главное понимал что он видит. Надо нанимать\воспитывать\учить таких людей и платить им хорошие деньги.
    В данном случае скорее всего некая фирма выполнила проект (сайт) и отгрузила его заказчику. А у заказчика есть только эникей Вася, который и швец и жнец и на дуде игрец.


    1. nezdhanov
      01.02.2018 10:15
      -2

      Мало иметь мониторинг, надо чтобы этот мониторинг кто-то — регулярно- смотрел и главное понимал что он видит.

      Была бы карма, поставил бы палец вверх.
      В реальности была подобная ситуация на работе, когда крутую систему никто по человеческой глупости не мониторил. История за малым не закончилась фатально…

      PS Спустя немного лун с моего прошлого коммента в предыдущей статье, слегка переосмыслил и ее. И как-то пришло неоднозначное понимание к подобным ситуациям.


    1. sebres Автор
      01.02.2018 12:30

      Человек из статьи утверждал что данные реальные

      Ну он много чего утверждал… Вопрос для чего воовбще он проверял реальные ли они.


      Все эти замечательные примеры как интеграторы делали крутой мониторинг… натыкаются на человеческий фактор

      Вы чего в конце-то концов:


      • распознать попытку sql-инъекции — дело пятиминутного фильтра;
      • пробросить его затем в хани-пот можно даже через nginx;
      • там в песочнице уже мониторить, что он делает (это тоже машинкой можно, если что).

      Ну да ладно...


      В данном случае скорее всего некая фирма выполнила проект (сайт) и отгрузила его заказчику

      Ну никуда без политоты… Возможно и так, но… статья вовсе не о том.


      Хабр скатывается в какую то клоаку. Видимо его аудитории интереснее читать про центры Навального, робингудские "хаки" простейшими sql-инжектами и т.п.
      А если при этом еще не забыть поругать властьимущих… +100500.


      Ну тогда — счасливо оставатся.


  1. autuna
    01.02.2018 08:31

    Подумалось… Автор этой статьи, будучи человеком более зрелым и разумным, чем автор первой, решил пустить что-то типа дымовой завесы.
    Дабы размыть целенаведение "опричникам". :-)
    Если всё так — плюс в карму по жизни.


  1. ToshiruWang
    01.02.2018 12:50
    -1

    > А с чего вы сразу решили, что никто не заметил?
    из опыта

    > позволяет администратору безопасности осуществлять
    позволяет, но требует наличия такого администратора, а подобные сайты сначала «делают, шоб было», а потом «упраздняют за неэффективность»

    > Я, на месте «реализатора»
    На свои средства? Потому как не выделяют на такое, да и сложно это, они и в реальных делах «ловлей на живца» редко занимаются (с теми же угонами, а это профильное ведомство), а здесь минобр. И приводить слова из официальных документов — это смешно, всех террористов уже поймали (не? ну хоть одного?)


  1. berez
    01.02.2018 20:29
    -1

    Все это прекрасные слова, но есть одно большое «но».
    Чтобы создать и поддерживать такую систему отвода глаз, нужны средства, соизмеримые с созданием и поддержкой основной системы. А в госструктурах и на основное-то деньги выделяются впритык.


    1. sebres Автор
      01.02.2018 21:01

      Что из нижеприведённой цитаты с поста вам особенно тяжело даётся?


      не нужно про то, что это так сложно, дорого (и вообще на фиг никому не надо), ладно?..
      … тут не про это.

      Ну а если хотите таки про гос-структуру… Ну уберите вы это, замените на фасебук какой-нить, что в контексте изменится? Возможно, смысл моей статьи? Или того что bogus vulnerabilities используются повсеместно?


      Я вам скажу, что вероятно изменилось бы:


      • поведение нашего смелого робингуда, ибо в надежде на получение профита, который от гос-структуры конечно же напрасно ждать, он скорее всего сообщил бы сначала изготовителю;
      • скрипт-киддис массово не побежали бы "ломать" сервер;
      • Робином Гудом он перестал бы быть, и его статья на хабре собрала бы несколько плюсов, ибо уязвимость та пустяковая (в техническом смысле, т.к. не требует особых техник каких-то);
      • да и статьи той скорее всего не было бы (ибо такие уязвимости по вашим словам только в гос-структурах и случаются, ибо денег впритык);
      • а школота нашла бы себе другой пост для холиваров на тему "ай-ай-ай, наши чинуши снова распилили бюджет";

      Достали чес.слово… Ощущение, что читаешь бульварную прессу, а не технический ресурс.
      Хабр, ау, ты где?


      1. berez
        02.02.2018 17:05
        -1

        Ну а если хотите таки про гос-структуру… Ну уберите вы это, замените на фасебук какой-нить, что в контексте изменится?

        В контексте изменится основное. «Фасебук» живет за счет доходов со своего сайта.
        Госструктуре сайт — до лампочки, она живет за счет бюджетных средств.

        (ибо такие уязвимости по вашим словам только в гос-структурах и случаются, ибо денег впритык);

        Вы приписываете мне свои собственные фантазии. Я этого не говорил.

        Достали чес.слово… Ощущение, что читаешь бульварную прессу, а не технический ресурс.

        Да-да, достали фантазеры, в каждой дырке видящие хитрую многоходовочку.


  1. Graphite
    01.02.2018 20:36

    Если вспомнить про то, что дампить можно только из инъекций, то можно грубо предположить как-оно все доберется до слоя представления и/или слоя формирования html-страницы.

    Limit 10000 + GROUP_CONCAT + base64 или hex для старых версий. Предположим, что средняя фамилия имеет длину 7 букв, это 14 байт в UTF-8 или 10000141.33 = 181Кб дополнительно к размеру страницы, которые дают нам 136Кб полезной информации. Отправляя такие запросы раз в 2 секунды мы скачиваем 320Мб трафика в час и получаем 240Мб полезной информации. В идеальном раскладе мы получим 5Гб за 20 часов. Добавляем storage overhead, делаем поправку на сетевые лаги, таймауты, размер остального HTML и прочее и спокойно укладываемся в 3 дня. В случае с хексом вместо будем качать по 480Мб трафика в час для получения тех же 240Мб информации, что не сильно меняет ситуацию.


    300 мегабайт трафика за час на сервере проверки дипломов по все стране никто даже не заметит. В общем, было бы желание, способов дампить данные быстрее чем одна запись в секунду достаточно.


    P.S. Я знаю, что по умолчанию GROUP_CONCAT ограничен 1024 символами. Но мы же скрипт пишем в конце концов, сделаем запрос в котором будет CONCAT(GROUP_CONCAT(t1.name), ',', GROUP_CONCAT(t2.name), ...) и t1, t2 будут выбирать из той же таблицы просто со сдвигом. Я на всякий случай даже на своем виртуальном сервере проверил, MySQL спокойно с этим справляется за милисекунды.


    1. sebres Автор
      01.02.2018 21:13

      Я вам больше скажу:


      • это был постгрес, а не мускуль (но не суть);
      • GROUP_CONCAT не особо нужен (ибо можно развернуть запрос в UNION ALL с лимитом каким-нить);
      • много можно чего еще, но...

      Гладко было на бумаге…
      Поверьте, не получится так быстро, даже если не прятатся за торами/випиэнами.
      Теоретики кругом...


      1. Graphite
        01.02.2018 22:53

        Теоретики кругом...

        С чего это вдруг? Я как раз сугубо практик.


        Поверьте, не получится так быстро, даже если не прятатся за торами/випиэнами.

        Не поверю, потому что сам лично это неоднократно делал. В том числе через ВПНы. Если не прятаться, то 1 запрос в 2 секунды это невроятно медленно. В один поток грязный скрипт на питоне blind sql инъекцию сливает примерно со скоростью 2-3 байта в секунду (не запроса, байта).


        Хабр, ау, ты где?

        Вообще с таким стилем общения с незнакомыми людьми ваши претензии к упавшему качеству Хабра выглядят странно. Как раз на старом добром Хабре подобный снобизм и высокомерие не допускались.


  1. Loki3000
    02.02.2018 11:11

    Слабая какая-то статья.
    Уверен что почти каждый разработчик в том или ином виде использовал honeypot'ы различной степени продвинутости. Вместо того чтобы написать хорошую статью по данной теме с интересными примерами и историями, вы просто попытались выехать на хайповой теме, приправив ее конспирологией уровня рентв: «А что если дыра специальная? А что если данные неважные? А что если сайт писали зеленые человечки?».
    Вот серьезно, ваша же статья к той не имеет никакого отношения — вы совершенно искусственно к ней присосались.