Кот Муций (cat_mucius) wrote,
Кот Муций
cat_mucius

Category:
  • Music:
Ещё про хакинг - не новое, но интересное.

Пару лет назад в округе Колумбия построили систему для онлайн-голосования и в качестве теста пригласили желающих её взломать. Что группа из Мичиганского университета и сделала, успешно проникнув куда только можно - вплоть до получения доступа к веб-камерам в дата-центре, где системка хостилась. О чём они и издали очень увлекательную статью. Самое впечатляющее, это какой мелкий баг послужил основой для взлома - небольшой кусочек кода не проверял имена шифруемых файлов:



Того, что параметр src.path не фильтровался, оказалось вполне достаточно, чтобы гонять любые команды в шелле, ну а там уже пошло-поехало.

(Хотя надо признать, что создатели голосовалки строили её всё-таки спустя рукава - откровенной лажи с их стороны, типа неизменённых дефолтовых паролей, было череcчур много. Даже странно: предлагая систему для тестового хакинга, можно было приготовиться и получше.

Ещё я не понял, почему PDF с поданным голосом шифровался после аплоада на сервак, а не до. Логичней было бы шифровать его прямо на юзерской станции, и расшифровывать лишь при подсчёте голосов, разве нет?)

Ещё у них описан забавный эпизод, когда мичиганские академические хакеры обнаружили попытки конкурирующей команды из Ирана вломиться брутфорсом - и забанили соперников. По IP.
Tags: computing, security
Subscribe

  • (no subject)

    Наблюдал сегодня забавное и сюрное зрелище: местную полицию, пытающуюся задержать тусующихся на городском газоне коров. Вообще говоря, если в Галилее…

  • (no subject)

    Приснилось давеча, что я гуглю английское слово, означающее что-то вроде "человек, ожидающий от будущего хороших сюрпризов и готовый ими…

  • (no subject)

    Всякая мура: 1. Приснилось, что разрабатываю компьютерную систему, которая защищается от взлома, врубая нападающим death metal (причём конкретно…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments