28.10.2011

Разоблаченное зазеркалье 403

image

Продолжение статьи «Зазеркалье разоблачения. Нездоровый дуализм электронных СМИ».

 Автор: Саша Кайот (K4Y0T)

Признавая пользу печатного станка, изобретения, которое увековечивает истину и делает ее доступною всем, но желая предотвратить могущее произойти для церкви зло от сочинений вольнодумных и соблазнительных, сим возбраняем печатать какую бы то ни было книгу без разрешения начальства духовного...

Папа Александр VI, 1503 [1]

10 мая 2011 года на сайте K4Y0T Project была опубликована статья «Зазеркалье разоблачения. Нездоровый дуализм электронных СМИ» [2], в которой подверглась анализу ситуация, сложившаяся вокруг ресурса WikiLeaks и его основателя Джулиана Ассанжа.

По прошествии двух с половиной дней после публикации указанной статьи, по адресу http://kayot.xaker.ru вместо привычной заглавной странички можно было лицезреть следующую картинку:

На представленном скриншоте усматривается ответ сервера, код ошибки 403: в доступе отказано…

По нейронам головного мозга пробежали мысли об удалении сайта (странички сайта), DDoS-атаке, брутфорсе и даже дефейсе!

С целью выявления основного фактора спровоцировавшего отказ в доступе, рассмотрим наиболее вероятные причины возникновения ошибок подобного рода:




Парсим стандарт RFC2616

[http://www.w3.org/Protocols/rfc2616/rfc2616]

Ошибками в протоколе HTTP называется такое поведение веб-сервера, когда он по какой-то причине не способен успешно отправить клиенту запрашиваемый документ. Сервер сообщает клиенту в HTTP-заголовке код ошибки, который интерпретируется браузером на стороне клиента.

Каждая ошибка, выдаваемая веб-сервером, имеет код соответствующий классу возникшей ошибки. Коды ошибок (например 403 или 404) стандартизованы и подробно описаны в интернет-стандарте RFC2616 (HypertextTransferProtocol -- HTTP/1.1) [3]. Обратимся к указанному документу за необходимой информацией:

Коды ошибок бывают положительными и отрицательными или успешными и неуспешными. Существует четыре типа кодов:

2xx - запрос выполнен успешно (сервер успешно отправил клиенту запрашиваемый документ);

3xx - запрос успешно перенаправлен (тоже положительный код,свидетельствует о том, что запрос клиента был перенаправлен; используется при работе с кэширующими серверами, а также в алгоритме, когда браузер клиента проверяет актуальность документа на сервере: дату создания, размер и т.д.)

4xx - ошибка (документ не был отправлен клиенту, так как произошла критическая ошибка; например, запрошенный документ не найден на сервере, доступ к документу запрещен и т.д.)

5xx - ошибка сервера (критическая ошибка; например, на сервере не смог штатно отработать скрипт пользователя).

Сервер возвращает код ошибки 403 "доступ запрещен" в случае невозможности обработки запроса по причине запрета доступа к файлу. Наиболее часто такая ситуация возникает в следующих случаях:

  • в каталоге нет индексного файла (index.html, например) и при этом запрещен просмотр списка файлов в данном каталоге (по умолчанию просмотр списка файлов в каталоге запрещен; для разрешения вывода списка файлов необходимо создать файл .htaccess и прописать необходимые директивы) или на всем виртуальном сервере. Можно попробовать создать файл с именем index.html и посмотреть не исчезнет ли ошибка;
  • выставлены такие права доступа на файл, что веб-сервер не в состоянии прочитать файл на диске сервера (например для Apache, необходимо изменить права доступа на 640);
  • пользователь попытался обратиться к скрипту (например, в каталоге cgi-bin), на который выставлены неправильные права - нет права на чтение / исполнение (r+x) конкретного скрипта. Поможет изменение значения права доступа на 755.

Защита от подбора пароля пользователя

[http://ru.wikipedia.org/wiki/Почтовый_сервер_NextMail]

Проблема подбора паролей является достаточно острой для всех почтовых служб, и NextMail здесь не исключение. Кроме неприятностей, получаемых пользователем в случае подбора пароля злоумышленником, при проведении брутфорс-атак создается повышенная нагрузка на сервера, а также каналы связи организации.

Различают два основных вида подбора паролей: подбор пароля перебором для одного ящика (чаще, с нескольких компьютеров), и подбор ящика по словарю к определенному паролю (может осуществляться с одного компьютера или с нескольких).

Проведенное NextMail тестирование показало, что внедрение алгоритмов защиты от подбора паролей, позволяет снизить нагрузку на сервер при брутфорс-атаке до 20%. Такой подход позволяет почтовым (файловым) серверам осуществлять дальнейшую обработку запросов реальных клиентов.

Защита SMTP и POP3 серверов

Как было указано выше, в случае отсутствия защиты от подбора паролей по словарю, при распределенной атаке на сервер создается довольно большая нагрузка на оборудование. Алгоритм защиты реализованный NextMail (после определенного количества неудачных попыток авторизации) блокирует ящик пользователя, к которому подбирается пароль, или IP-адрес, с которого ведется атака – в зависимости от того, какое ограничение сработает раньше. В результате оперативной блокировки, вход в почтовый ящик с соответствующего IP-адреса становится возможным только через веб-интерфейс, либо после окончания определенного времени блокировки.

Таким образом, при распределенной атаке с течением некоторого времени все IP-адреса, с которых ведется атака, блокируются, т.е. атака завершается неудачей.

Защита веб-интерфейса

Кроме уже рассмотренных методов защиты почтовых сервисов, NextMail использует, так называемый, Captcha-скрипт. В случае организации защиты таким образом, при вводе пользователем неправильных данных в форму (ограниченное количество попыток), специальный скрипт кроме логина и пароля запрашивает код с картинки. У обычного пользователя это не вызывает больших проблем, в то время, как подбор пароля при помощи специализированных программных средств становится затруднительным (более трудоемким). В случае осуществления распределенной атаки с нескольких IP-адресов, потребуется ввод символов с картинки со всех IP-адресов, и простой алгоритм подбора пароля будет не эффективен.

БЮРОКРАТИЧЕСКАЯ ПЕРЕПИСКА

В процессе выявления возможных причин отказа работоспособности сайта «kayot.xaker.ru», было решено выполнить вход в почтовый аккаунт NextMail и связаться со службой поддержки. Однако, к удивлению, почтовый ящик оказался заблокирован (равно как и доступ к проекту K4Y0T):

С учетом сложившейся ситуации, запрос в суппорт был отправлен с использованием специализированной формы для взаимодействия со службой поддержки NextMail:

Письмо #1:

Добрый вечер уважаемая служба поддержки!!

Сегодня утром обнаружил, что мой сайт http://kayot.xaker.ru/ не доступен. Сервер возвращает ошибку 403: в доступе отказано...

В чем причина? Каким образом возможно устранить ошибку?

Спустя некоторое время, не получив своевременного ответа службы поддержки, был направлен вторичный запрос:

Письмо #2:

При входе в почтовый ящик через веб-интерфейс http://xaker.ru/ появляется сообщение: "почтовый ящик блокирован".

В чем причина? Каковы методы и сроки разблокировки?

Отчет о доставке запроса подтверждает доставку сообщения адресату:

В течение суток поступил аргументированный ответ суппорта, нелепый, но официальный:

 

… и второй, в отношении блокировки почтового ящика:

Из написанного выше усматриваются некие разночтения, а необходимость блокировки ресурса «kayot.xaker.ru» и почтового аккаунта вызывает сомнение. Остается лишь строить догадки об истинных причинах запрета доступа…

Блокировка ресурса, почтового ящика, причисление проекта к запрещенным действующим законодательством порно- и/или фишерским сайтам… по ключевому слову!? Фикция… вершина айсберга… или ошибка контекстного фильтра?

ИНФОРМАЦИЯ К РАЗМЫШЛЕНИЮ

 

К изложенному, необходимо добавить тот факт, что после публикации на сайте http://kayot.xaker.ru в разделе «Статьи» очерка «Черный омут» [4], в котором предпринималась попытка проанализировать грузино-южноосетинский конфликт, содержимое ресурса K4Y0T Project подверглось удалению. На восстановление проекта было потрачено не мало сил и личного времени. Однако, исходный контент в полном объеме восстановить не удалось. Вместе с тем, служба поддержки NextMail констатировала системный сбой в почтовом движке нового поколения...

P.S.

В качестве послесловия и в целях подведения итогов приведу материал, опубликованный в одном из выпусков журнала Хакер, под заголовком «Цензура в сети» [5]:

Существует ли в Интернете цензура? С моей или твоей точки зрения, никакой цензуры нет. Но так ли это на самом деле? Международная группа экспертов из четырех университетов (Кембриджского, Оксфордского, Гарвардского и Университета Торонто) в рамках проекта "Инициатива открытой сети" провела исследование по этому вопросу. В ходе исследования было проанализировано несколько тысяч сайтов, предоставляемых 120 провайдерами в 41 стране. Оказалось, что в 25 странах (особенно в Иране, Сирии, Саудовской Аравии и Пакистане) Интернет проходит жесткую цензуру, в результате которой доступ к некоторым сайтам просто перекрывается. Ну кто бы сомневался... Кроме этого, ограничения присутствуют и в таких странах, как Индия, Китай, Тайланд и Южная Корея. Например, южнокорейские провайдеры не дают своим пользователям посещать ресурсы, посвященные КНДР. При этом США, Япония и другие развитые страны не участвовали в этом исследовании. Интересно почему?

ОПЕРАТИВНАЯ ИНФОРМАЦИЯ

Параллельно с написанием настоящей статьи, ввиду повышенного интереса проявляемого читателями, материалы очерка «Зазеркалье разоблачения. Нездоровый дуализм электронных СМИ» [2] были направлены в редакции известных печатных и электронных издательств, в том числе «Коммерсант» и «Совершенно секретно».

Однако, по случайному стечению обстоятельств, по прошествии двух-трех дней после отправки указанных материалов, проект K4Y0T подвергся удалению…


Ответ суппорта службы NextMail простое совпадение ;) Цензуры в сети нет!? Свобода слова гарантированна ст. 29 гл. 1 Конституции Российской Федерации от 1993 года, с учетом внесенных изменений и дополнений:

Свобода слова есть! Вот только эти хакеры… Храните свои свободные слова и мысли на резервных носителях, в надежном (недоступном злоумышленникам) месте, а язык за зубами.

Библиография:

  1. Мережковский Д.С. Воскресшие боги; Леонардо да-Винчи. М.: Худож. лит., 1990. – 431 с. – С. 301. (из буллы об учреждении духовной цензуры).
  2. http://kayot.xaker.ru – K4Y0T Project. Статьи. Зазеркалье разоблачения. Нездоровый дуализм электронных СМИ. Саша Кайот, 2010.
  3. http://www.w3.org/Protocols/rfc2616/rfc2616 - W3C. Стандарт протокола RFC2616.
  4. http://kayot.xaker.ru/cont/topic/rez_080808.html- K4Y0T Project. Статьи. Черный омут. Саша Кайот, 2008.
  5. Цензура в сети. Журнал от компьютерных хулиганов «Xакер» (05/101/2007) - С. 13.
или введите имя

CAPTCHA
Страницы: 1  2  
аноним
28-10-2011 10:57:21
Самореклама?
0 |
28-10-2011 13:49:20
Сомневаюсь, что хостер стал бы так "играть", а органам проще прийти домой сразу да и навалять чего.) Тем более под статью экстремизм и т.п. много чего можно отнести и очень легко)
0 |
Аноним
30-10-2011 20:22:37
Хостер "играет". Был сайт http://tester.xaker.ru, который был удалён, без объяснения причин. Служба поддержки ничего не отвечает. Сайт не нарушал правил, там была одна картинка (скриншот backtrack) и список всего ПО, что есть в дистрибутиве - иерархическое меню. Прикрутить описание не успел. Повторю скоро, локальная копия сайта сохранилась.
0 |
03-11-2011 08:41:01
Я бы лично назвал это даже не саморекламой. А спамом чистейшей воды. Господин K4YOT замечен в неоднократном размещении ссылки на свой сайт в комментариях новостей Секлаба. На моей памяти он это делал не меньше 10 раз. Я, честно говоря, удивлен тем, что господин Антипов пошел на поводу у этого спамера и позволил разместить 2 статьи этого товарища на своем сайте. Сами статьи (особенно вот эта) не представляют собой никакой ценности. Это уровень сочинения средней школы на тему "Как я провел лето". Впрочем, если Антипов считает, что этот уровень достоин статьи на Секлабе - это его право. Но при подобных тенденциях скоро тут начнут печатать статьи с названием "Тайны Дома-2" от Ксюши Собчак. ПыСы: Лично я обещаю, что ни одного сообщения господина K4YOT-а ни в одном разделе комментариев к новостям не будет.
0 |
старыйкоминтатор
07-11-2011 11:48:35
А покороче никак?
0 |
Юджин
30-10-2011 05:03:08
Реклама двигатель прогресса!
0 |
Аноним
30-10-2011 08:59:21
Интересно... но зачем об этом говорить...
0 |
Hefn
01-11-2011 07:26:07
Была похожая ситуация, возмущает что это вообще допустимо
0 |
RU_LIDS
01-11-2011 10:39:20
Неприятно конечно. Но была ли в договоре хостинга оговорена ответственность хостера за бесперебойность предоставления слуги и ответственность за сохранность контента? Если нет, то "нужны ли тут слова?".
0 |
03-11-2011 08:46:04
Это БЕСПЛАТНЫЙ хостинг. Cо всеми вытекающими отсюда последствиями. И ответственностями. Понимаете, коллега? А все эти вопли - это вопли обиженных пионэров. Которые не в состоянии своими силами зарегистрировать собственный домен, оплачивать его (в том числе, как вариант, услугу ДНС), поднять собственный Вэб-сервер (хотя бы на собственном домашнем компьютере) и не зависеть от подобных "хостеров". Им проще нахаляву воспользоваться результатами чужого труда, а в случае неполадок - поднимать вой о том, что их ущемляют.
0 |
Страницы: 1  2