О хакинге, анонимности и инфосексе "для взрослых".

Дальше — про вебочку. Первый же вопрос — SOP, Same Origin Policy. То есть мне не нужно слушать байки про XSS. Вначале надо вообще разобраться, на чем строится безопасность веба, как вообще браузер работает хоть в общих чертах . Eсли мы здесь ни о чем не поговорили, значит, дальше мы расходимся. CSRF, XSS — это все хорошо, но это частности.

Следующий вопрос — методы сегментации сети. Крутой вопрос. Типовой безопасник, который ко мне приходит, вообще никогда не видел большую сеть, и, что с ней делать, он точно не знает. Этот вопрос, по правде говоря, можем простить. Если человек всегда работал «с той стороны» (читай: ломал извне), естественно, он не знает, как секьюрить корпоративные сети. Обычно в этом случае предлагаем поговорить о TCP/IP — это вообще что такое? Мы ищем у человека общее понимание, как работает сеть. Если он знает, что такое IP-адрес, и на этом его понимание заканчивается — not really cool.

Надо уметь читать чужой код и понимать его концепцию, идею, а не кусками пытаться что-то уловить. Видел когда-нибудь код на Spring и Struts? Он же совершенно нечитабелен, пока не повернешь голову под определенным углом. Если мы возьмем к себе чувака без понимания и дадим ему наши 19 миллионов строк кода на Spring, он сможет нам в чем-то помочь? Не думаю.


Об анонимности
Базовый принцип безопасности — разделяй дом и работу. То есть машину, на которой ты что-то делаешь, и машину, на которой ты ничего не делаешь. На одном компьютере ты хакер-мегапавнер, на другом — обычный Вася, и будет счастье. Если этого не делать, рано или поздно ты ошибешься.

Тебя сливают именно те данные, которые ты вводишь сам. Никто, кроме тебя самого, тебя не сдаст. Настроил все как бы секьюрно — Tor, виртуалка, а потом лезешь на свой блог проверять, работает ли интернет .

Если мы говорим про «защиту об блеков», это разделение машин очень хорошо работает. Заведи два компа. На этой машине у тебя платежная информация: на этой машине ты ходишь в свой PayPal, QIWI-кошелек. И вот другая машина, на которой ты занимаешься всякой фигней. Ну поймаешь ты малварь, ну похекают тебя. А на машине ничего ценнее пароля от одноразовой почты нет.

Надо иметь разные физические машины. Виртуалки — это тлен. Отдельная машина, только так. Виртуалки удобны, но рано или поздно спутаешь браузеры, все путают. Собственно, так обычно блеков и ловят, они сами палятся.

Возьми хотя бы VPN. Ты работаешь, павнишь что-то. VPN моргнул на секундочку — и этого хватило. Всего один пакет, и отсветился твой реальный IP. Провайдер пишет трафик, три месяца минимум. Один-единственный трейс — и finita la comedia.

Ломать из-под «мака» — вообще дурная затея, там слишком много intercommunications. Ни один Little Snitch тебя не спасет. Никто не знает, что там в точности происходит, — вдруг OS X стучит на более низком уровне в обход всех твоих VPN и файрволов?

Если тебе надо захайдиться, есть только одна реальная схема. Едешь в Митино, там покупаешь бэушную симку, бэушную мобилу и бэушный ноут. Едешь в ближайший большой город и там делаешь то, что тебе надо. А когда сделал — выкидываешь все в ближайшую речку. Вот это работает.

Блечить с использованием общедоступных утилит — это тоже глупость. Стучат все. Особенно пентест-утилиты следят за тем, кто, что и как пентестит. Например, надо быть наивным, чтобы поверить, будто Burp Collaborator не записывает те запросы, которые на него приходят. Даже нет, похек бывает везде! Один раз ради шутки мы выложили плагин для Burp Suite с небольшой закладкой. Около нее написали: «Это шутка, парень! Если ты это нашел, то ты крутой, напиши нам!» Думаешь, кто-то откликнулся? Ни разу.

Любое ПО, в котором используются сторонние либы, которые ты хотя бы не вычитал, — это по определению несекьюрно. Даже в энтерпрайзе используются мутные либы, которые никто не проверяет, что говорить об обычных приложениях?