Это сайт — моя персональная записная книжка. Интересна мне, по большей части, история, своя жизнь и немного программирование.

КулХацкерство, Chat.RU, WatzNew, гель для души

Всем привет!

Гель…

В отличие от фото, опубликованного мною в предыдущем выпуске, это — фотомонтаж. Причем мой. :) Буква «И» перенесена из слова «кожи», написанного на том же флаконе.

Идея пришла мне в голову неделю назад, пока я отмокал в ванной после напряженного трудового дня. Насилу дождался, когда закончится флакон, чтобы утащить его в офис и преобразовать его там в цифру. :)

Флакон отсканирован обычным HP ScanJet 3400C, так что за качество сильно не бейте — я и так десять минут потратил на то, что бы привести изображение в нормальный вид при помощи Фотошопа.

Кстати, совсем недавно, буквально на днях открылся новый раздел сайта «Карикатура» — УКОЛ (Удачный КОЛлаж), где отныне публикуются коллажи, выполненные мастерами фотошопа и прочих пейнтбрашей. Авторы сайта приглашают художников, выполняющих коллажи поучаствовать в наполнении раздела.

Пока в галерее представлены работы только двух художников — Алексея Бабкина и Роберта Демкина, но, думаю, количество участников будет расти. Кстати, на сайте есть рейтинг работ и возможность проголосовать за особо понравившийся УКОЛ.

Вот сижу и думаю — художник я или нет. Принять участие или не стоит. Удачен мой КОЛлаж или так себе. :)

Письмо от Романа Биктагирова. Ненормативная лексика переписана задом наперед и выделена курсивом.

Hello, se!

Ялб, ну какой ты хакер! Ну «заломал» чат.ру. Да не фига! Хотя бы порносайт
сломал, ялб или кредитку. Про estarter прикольно, но нафига мне estarte?
Ни яух не тебе меня йыннабе estarter.

Так как это уже второе подобное письмо такого плана, то я хочу внести ясность в этот вопрос. Не припомню, чтобы я где-то называл себя хакером. Я, скорее, исследователь, чем человек занимающийся хакерским ремеслом. Да и то исследованиями такого рода я занимаюсь эпизодически, лишь когда наткнусь на что-то для себя интересное.

Теперь что касается порносайтов и кредиток. Большая часть «взломов паролей» порносайтов — это, либо сознательное размещение порноресурсами паролей доступа в открытых каталогах для привлечения новых клиентов на сайт (что бы «втянулись»), либо плод применения какого-либо тривиального приема для обхода системы контроля номера кредитной карты.

Первое могут позволить себе либо очень крупные, либо очень молодые ресурсы, второе чаще проходит только с сайтами, использующими номер кредитки для проверки возраста. Не буду объяснять почему.

Мне, как человеку достаточно много проработавшему с различными системами оплаты достаточно просто воспользоваться вторым методом. Чтобы получить, например, вот этот вот вход. Роман, специально для тебя. Пользуйся, пока не прикрыли.

Что касается номеров кредиток, то как их воруют я не знаю и знать не хочу. Это дело подсудное, в отличие от того что я проделал, добывая логин из предыдущего абзаца. Получив логин, я не нарушил функционирования ни одного из компонентов сайта, не помешал получить прибыль с этого порноресурса, не получил чью-то приватную информацию и так далее и тому подобное.

Так что, Роман, расслабь сфинктер, номеров кредиток я тебе подарить или продать не смогу. То же самое я хочу сказать и Peter’у, написавшему предыдущее письмо о кредитках. И, конечно, все вышесказанное не означает, что я теперь буду периодически публиковать пароли для порноресурсов. Для этого есть другие сайты.

WatzNew. Screenshot

Как наверное хоть кто-то успел заметить на «морде» сайта появилась ссылка «Канал WatzNew». За это надо сказать большое спасибо Alex’у, приславшему мне готовый файл канала. Так что, у тех, кто уже пользуется этой замечательной программой появилась возможность добавить в нее мой сайт и отпала необходимость читать следующий абзац.

Вкратце, я попытаюсь объяснить, что есть WatzNew и почему стоит пользоваться этой программой.

WatzNew время от времени посещает добавленные ранее сайты (т. н. «каналы») или почтовые ящики и сообщает пользователю о всех произошедших там изменениях. Каким именно методом программа будет сообщать об изменениях решает сам пользователь. WatzNew настолько развита, что, при соответствующих настройках, умеет сама вычленять из страницы новостные блоки.

Простые каналы программа умеет создавать в режиме «мастера». К сожалению, «мастер» не поможет новичку самостоятельно, без копания в документации создавать свои каналы любой сложности, используя все возможности сбора информации, предоставляемые этой программой. Но, в большинстве случаев, можно и не лезть в дебри. Например, как оказалось, многие из посещаемых мною каждый день сайтов уже имеют сконфигурированные каналы WatzNew.

Любителей Perl ждет приятный сюрприз — программа умеет использовать программы на языке Perl, как фильтры, так что можно создавать каналы практически неограниченной сложности.

К сожалению, у любой программы есть недостатки. У этой программы их два. Первый — программа платная, что, впрочем, при использовании некоторых поисковых машин с «говорящими» названиями, проблемой не является. Второй недостаток — глюки последней, на данный момент, (1.6) версии программы под W2K. Глюки обходимые, но очень неприятные. Надо будет выбрать время и написать авторам баг репорт.

Давно я так не смеялся. Вот тут. 936 килобайт. Смешное начинается, примерно, с трети, но рекомендую послушать сначала.

По телевизору услышал «противостояние идеологии и фактологии». Журналисты у нас — мастера русской словесности. Да…

Цитата из письма Petivan’a. Письмо полностью приводить не буду — оно слишком обширно.

…вот Вы говорите о дырявости www.chat.ru. О каких дырах Вы говорите? Что
именно Вы имеете ввиду?.. Ведь я ничего подобного не сылшал…

Я говорю о том, что, хотя видны некоторые усилия команды Chat.RU по затыканию дыр в защите web-mail, иначе, как «отчаянными» и «неудачными» их назвать нельзя.

Например, возьмем к рассмотрению тот факт, что в HTML-письмах веб-майл не выполняет абсолютно никакой фильтрации тегов и вставок на скриптовых языках и использует для идентификации пользователя два параметра, передаваемых в строке запроса.

Получается, что любой владелец почтового ящика на Chat.RU, получив мое письмо с редиректом на мой сервер, выполненным любым, пришедшим мне в голову способом, находится под угрозой прочтения мною его писем, так как номер его сессии попадет в мои логи, как referrer. И, пока он не нажал на кнопку «выход» (а многие просто закрывают окно после завершения работы) я смогу беспрепятственно прочитать любые его письма, просто набрав в строке запроса браузера строчку, попавшую мне в логи.

Chat логин

Справедливости ради, стоит отметить, что получить пароль пользователя, узнав номер его сессии не удастся — программисты Chat.RU об этом позаботились. Но можно обмануть пользователя — загрузить в HTML-письме свою страницу, которая откроет пользователю окно, похожее на окно логина Chat.RU (см. скриншот), что бы пользователь подумал, что произошел какой-то сбой и ему нужно залогиниться заново.

Естественно, есть очень бдительные люди, но явное большинство легко поведется на такой трюк. Кстати, пользователь может ошибиться и ввести неверный пароль, но это очень легко проверить — достаточно будет написать скрипт, который тут же попытается залогиниться с полученным паролем.

Довольно интересной задачей является поиск раскрытия метода шифрования, используемого для идентификации пользователя при попытке смены пароля. У меня до этого руки не дошли, но я успел выяснить, что зашифрованная строка зависит только от имени пользователя (!) и некой соли, которая время от времени изменяется и никак не зависит от пароля. Хотя, может быть, это просто некоторый случайный идентификатор каждого пользователя.

В любом случае от этого знания есть некоторая польза — если вы заметили, что ближний ваш меняет пароль Chat.RU прямо в браузере, доступ к которому вы имеете, то совсем нетрудно по журналу (history) найти его идентификатор и поменять пароль вторично. :) У вас в запасе, по моим прикидкам, есть время до ночи того же дня.

Я не знал. Оказывается, если ваш компьютер, как и мой офисный, не имеет «шнурка» соединяющего CD-ROM и звуковую карту, то не все еще потеряно. Windows ME, 2000 и XP имеют возможность подавать звук с аналоговых компакт-дисков прямо через IDE-интерфейс на звуковую карту. Конечно, при условии, что CD-ROM поддерживает такую возможность.

Для того, что бы включить «цифровое воспроизведение», так это называется, необходимо проделать следующее. Выберите «Мой компьютер» -> «Свойства» -> «Устройства» -> «Устройства чтения компакт-дисков», выбрать свой CD-ROM и в его свойствах выбрать «использовать цифровой выход для этого устройства».

Для линейки NT (2000 и XP) путь несколько другой, но отличается не слишком, так что найти аналогичную галочку труда не составит.

Пишите! Отвечу обязательно!