Бесплатное пиво бывает только для хакеров
Как стало известно из компетентного источника, пивоваренная компания Tuborg и «управление К» МВД Российской Федерации провели совместную рождественскую акцию по выявлению и отлову российских хакеров. В качестве исходных данных для акции была взята предполагаемая любовь хакеров к пиву и, особенно, пиву «на халяву». По просьбе МВД на web-сайте российского представительства компании «Туборг» http://www.tuborg.ru/ был организован конкурс, в котором предлагалось набрать максимальное количество очков за 2 минуты и стать чемпионом в таблице рекордов.
Ис-СледовательКак стало известно из компетентного источника, пивоваренная компания Tuborg и «управление К» МВД Российской Федерации провели совместную рождественскую акцию по выявлению и отлову российских хакеров. В качестве исходных данных для акции была взята предполагаемая любовь хакеров к пиву и, особенно, пиву «на халяву». По просьбе МВД на web-сайте российского представительства компании «Туборг» http://www.tuborg.ru/ был организован конкурс, в котором предлагалось набрать максимальное количество очков за 2 минуты и стать чемпионом в таблице рекордов. Десять лучших игроков каждую неделю получали в подарок ящик пива Tuborg Cristmas Brew!
Далее – понятно. На сайте «Туборга» умышлено было оставлено несколько давно известных компьютерных уязвимостей, позволяющих хакерам гарантированно попить пивка. Спрашивается зачем? Ответ также прост - попав в таблицу рекордов, хакеру предлагалось оставить свои координаты: «Пожалуйста, оставьте свои координаты. Мы свяжемся с вами в течение 24 часов после подведения итогов, чтобы договориться о вручении приза - при условии, что ваше имя окажется в таблице. По одному ящику Tuborg Christmas Brew каждому игроку»
Вот что мне пояснил один мой знакомый, участвовавший в этой акции: "Управлению К известны фактически все российские хакеры, но в основном только по их никам в Интернет. Для того чтобы реально обнаружить и задержать их требуется серьезная оперативная разработка, требующая значительных затрат времени и ресурсов. Порой гораздо проще организовывать такие веселые ловушки. Мы дали обещание компании Туборг, что пойманные на любви к их пиву хакеры не будут привлечены к уголовной ответственности за этот взлом. Просто нам важно знать своих "героев" в лицо, а на основании этой несложной акции мы уже вычислили достаточное количество хакеров, в том числе и давно разыскиваемых за другие преступления. Возможно, некоторым из них будут сделаны предложения о сотрудничестве, от которых они не смогут отказаться. Ведь это – один из основных способов пополнения наших рядов высококвалифицированными специалистами. Намного проще взять на службу уже готового специалиста, чем читать сотням рядовых и офицеров курсы по компьютерной безопасности, в надежде, что из их числа в будущем появится достаточно грамотный специалист».
Я провел небольшое собственное исследование пивного сайта. Было обнаружено несколько уязвимостей, позволяющих легко попасть в таблицу рекордов в организованной игре. Например, внеся небольшие изменения в используемый для игры flash файл, можно всегда получать максимальное количество очков. Но есть еще более простой способ попасть в таблицу рекордов – в Web сайте компании оставлена примитивная дыра типа “SQL инъекция”, позволяющая простым SQL запросом подделать свои результаты в базе данных (например, http://tuborg.ru/fire.php?city=', UNION поддерживается). Скорее всего на сайте при более тщательном исследовании можно обнаружить несколько ловушек для “падких” на холяву хакеров.
Будьте бдительны, хакеры любящие пиво!