Читаем Bash.org.ru IT Happens Истории ## 2901 – 3000 полностью

Мне, естественно, хочется глянуть на всё это дело. Хотя я это каждый день вижу (дома Ubuntu стоит), всё равно интересно, тем более на работе. Окей, стартую компьютер, F8, ставлю диск, выбираю дисковод. Жду. Чёрный экран, грузится XP. Хм, что-то не то...

Изучаю диск изнутри, и... Ну, я не знаю, как это назвать. Папка License с лицензией GNU на русском и английском; файл ubuntu.htm с бредом в коде, явно вырванный откуда-то. И гвоздь программы — да-да, Ubuntu в виде ISO-образа. Авторы книги предлагают либо скачать бесплатную «писалку», либо использовать Nero.

Вот интересно, а они по-человечески сделать не могли? А то книга нормальная — жалко читателей.

13:00 25.04.2010, IT happens

Разрабатываю сайт для одного агентства недвижимости местного значения. Жена моя работает в этом же агентстве менеджером по рекламе — принимает звонки от клиентов и хозяев, распределяет нагрузку между риелторами. На сайте, как и у каждого агентства, представлена база данных квартир. Написал я её на PHP; есть там, конечно же, вход с логином и паролем для зарегистрированных пользователей: риелторы, менеджеры, директор агентства и все остальные, то есть гости. Гостям телефоны хозяев не показывают, только телефон самого агентства. Дескать, звоните, мы вам всё подскажем и денег с вас сдерём.

Стукнуло мне в голову (не просто так, имели место неприятные инциденты) написать систему логов. Если юзер логинился, да ещё и кривой пароль вводил, то в логи тщательно записывалось: входил такой-то с такого-то IP, вводил такие-то логин с паролем. Зарелизились, директор рад: видит, кто работает, а кто груши околачивает — красота!

В первый же день стучится некто к нам на сайт с неизвестного IP, явно пытается брутфорсить: вводит сочетания «login/password», «password/123» и прочие. Среди прочих вводит пару «vladimir/682619». Мы с директором на это взглянули и задумались, что за Владимир такой и почему пароль именно такой выбрал.

— О, а ведь у конкурентов есть риелтор Владимир! — осеняет шефа.

Захожу на сайт конкурентов, нахожу форму входа, ввожу данные неизвестного мне Владимира. Мне показывают все квартиры, все номера, всех хозяев — в общем, полный аншлаг со всеми вытекающими, хоть всю базу сноси к чертям.

Если хочешь показаться умнее остальных и мнишь себя начинающим хакером, в процессе брутфорса не сливай конкурентам свой аккаунт. Вполне возможно, что «для повышения качества обслуживания все разговоры с БД записываются».

13:00 25.04.2010, IT happens

Куда направлены мысли нормального айтишника? Хочется что-то написать, настроить, отладить. Куда направлены мысли школьника? В прямо противоположном направлении: поиграть, взломать, напакостить, разыграть.

Последнее время в школах идёт волна автоматизаций и информатизаций по американскому образу и подобию. В 2007–2008 годах в школах стали появляться американские автоматы с продуктами. Автоматы представляли из себя большие чёрные короба на ножках со стеклом, рекламным плакатом на боку, клавиатурой, LCD-дисплеем с подсветкой, купюроприемником и дыркой для монет. Под клавиатурой и дисплеем имелся отсек для выдачи сдачи с дверцей внутрь (чтобы шаловливые ручки не лезли в автомат), а под стеклом располагалась дверца для получения еды. За стеклом был стеллаж с продуктами. «Сникерсы» и «Марсы» лежали в металлических спиралях. Вращаясь, спирали сбрасывали еду в отсек для получения.

Конечно же, сразу после появления автомата в моей школе начался поиск багов. Попытки подобрать какой-нибудь секретный код успехом не увенчались. Всё внимание сосредоточилось на процессе выдачи продуктов. Опытным путем было установлено, что через кажные несколько упаковок желатинок Haribo автомат выдаёт одну бонусную.

На этом злоключения автомата не закончились. Ваш покорный слуга подобрал бумажку такого размера, что она стопорила механизм монетоприёмника, и все полученные монетки автомат игнорировал и оставлял себе. Затем награбленное извлекалось парой магических действий кнопкой под щелью. У моих последователей получалось таким образом получать до 560 рублей в день.

Позднее был найден ещё более наглый способ грабежа: при помощи секретной методики стопорилась в открытом положении дверца отсека для сдачи, и автомат не выдавал сдачи вообще. Через несколько перемен после установки «ловушки» прибегала орава одиннадцатиклассников, срывала куш и бежала праздновать в столовую. Через некоторое время владельцы автоматов, по-видимому, обанкротились (ха-ха), и враг школы был отправлен под лестницу.

Конечно, дело этим автоматом не ограничилось. В начале этого учебного года с целью якобы защиты от террористов была установлена система контроля на входе; по тем же карточкам выдавалась и еда в столовой. Поскольку заполучить доступ к компьютеру охранника казалось крайне трудным, было решено заняться столовой.