Здесь спрятан здравый смысл или его безнадёжное отсутствие

-
Вдруг меня не поймут?
Пускай в таком случае
смертную казнь вернут,
Мир вокруг утопая в недостатках и
не желая исправляться. последнее запомню умирая:
только так можно надо мной было надругаться:
зная о проблеме, с решением на виду, мирно подыхая, но не уйду.
Какой смысл жить молча презирая ту страну что люблю?

Не бойся в чём-то оплошать,
Ну кто из нас не ошибался?
Куда страшнее — понимать,
Что мог, но даже не пытался...


Статья написана романтиком до мозга костей, читать с предельной осторожностью и всерьёз.


Спустя 6 лет моя интуиция направила меня написать эту статью, как результат окончания периода под названием "IT-инженерия и безопасность" и перед началом следующего: трейдинг, инвестирование и применение умений добытых в сети за 10 лет для достижения простой в конечном итоге, но сложной в исполнении цели под названием "Кнопка бабло". И желательно такой, чтобы ею могли пользоваться минимум 40 миллионов украинцев. Немного подождите и я просто подарю вам эту кнопку, по крайней мере постараюсь:) Надоело видеть вокруг людей еле сводящих концы с концами, работающих за гроши сутки на пролёт. Обслуживающие вороватых властных мудаков получают чаевых больше, чем самой зарплаты... Надоело это видеть, об этом слышать и так жить. Как и много чего еще, и об этом пойдёт дальше речь. Хотя в статью попадёт всего лишь песчинка по сравнению с тем морем обнаруженных мною проблем, но надо же было начать с самой болезненной темы. Так сказать, то, что дерёт моё сознание больше всего. Под катом как раз речь о глобальной головной боли, и о способе её решения. Тех.подробности описаны в отдельной статье и будут выложены ровно в момент исправления текущих проблем разработчиками браузерного ПО по этическим соображениям. На языке аналогий: это как дать всем магазинам и работающим в сфере услуг понять, что люди в масках это хорошо, только то, что они все открывают одну и ту же дверную ручку голыми руками напрочь нивелирует весь смысл масочного режима, делая из всего этого "каламбур". В конце концов страдают люди, которые не разбираются в биохимии и/или вирусологии. Таких примеров откровенной глупости вокруг настолько много, что любой другой на моём месте просто бы смирился, но нет. Кто-то же должен был во всей стране об этом подумать? И подумали те считанные граждане, что одели на себя перчатки. "Моя хата з краю, нiчого не знаю". С этими глупостями мы живём бок о бок и страдаем от них же.

По-скольку читателей у моего блога нет, а те, кто все-же наткнутся неведомым образом на эту статью — смогут познать таинство опыта программиста в близких для всех и в то же время острых вопросах, при этом не насущных, по-скольку понять эту проблему может далеко не каждый.

Начну пожалуй со своего главного достижения, но пока что не до конца реализованного и хочу задать вопрос, который ты, мой дорогой Читатель, должен задать сам себе: тебя раздражает реклама?
Конечно, ведь именно по этому люди предпочитают установить AdBlock например, или оплатить премиум-подписку, если карман позволяет, чтобы не видеть этого навязчивого желания втюхать тебе ненужный товар втридорога. Но знаете, даже оплатив подписку рекламодатели и корпорации всё равно продолжают собирать на Вас информацию (а вдруг в след.месяце юзер не оплатил, что ему показывать?), исходя из стандартных настроек всех операционных систем, приложений и вообще, всего, что как либо связано с отработкой Вашей личной информации. Зайдите в настройки любимого мессенджера, и копаясь, рано или поздно Вы обнаружите несколько настроек с названием "Отправлять анонимные отчеты"/"Персонализация рекламы" и так далее. И эти настройки всегда включены. Чтобы Вы понимали тонкость ситуации, можете проверить: переустановите приложение полностью. Все настройки сохранятся, кроме этих. Эти будут снова включены. И будут они включаться сами по себе даже при простом обновлении приложения. Что это значит? Это значит что разработчики сознательно написали код, который намеренно делает всё, чтобы Ваши данные "анонимно" (кавычки буквально) слались в облачные хранилища Google, Facebook, Instagram... и без МАЛЕЙШИХ исключений всех остальных обитателей рынка. И используют любую возможность вернуть Вас в объятия "цифрового отпечатка" без Вашего ведома. Пожалуй, данная беда больше всего меня раздражает и думая над ней годами, кажется, я смог совершить дерзкий вызов тем, кто обременил нас такой ситуацией.

А что эти данные им дают? Ну, ярким примером будет ситуация, когда в поиске гугла Вы искали например лекарство от геморроя, а спустя минуту в приложении Facebook/Instagram (одна компания на данный момент) вам внезапно показывается реклама именно на основе Вашего предыдущего интереса. Замечали такое? Как так? 2 разные компании на полном автомате обмениваются Вашими запросами? Это лишь вершина айсберга: они коллекционируют не только то что Вы ищите, но и абсолютно всю Вашу активность. Создаётся некий цифровой отпечаток, который отличает Вас от остальных 7.5 миллиардов людей. Не стоит забывать, что нейронные сети и автоматическая отработка данных повсеместно используется уже даже на дешёвых смартфонах, а значит у гигантов отрасли — есть буквально всё: ваши интересы, болезни, уровень знаний, основанный на вопросах заданных гуглу и так далее. Попробуйте поставить себя на место владельца социальной сети, что рубит миллиарды ежедневно покупая и продавая ЛИЧНУЮ информацию пользователей.

Как так получилось? Разве это не запрещено? Запрещено. Только они обошли этот запрет создав понятие "цифрового отпечатка" и написав обманчивое "анонимно", сделали якобы персональную информацию в базе — не соотносимой к пользователю. Только вот, странность одна не даёт покоя: как же они тогда на анонимных "репортах" умудряются показать эту рекламу именно тебе, а не соседу например? Значит идентификация есть, и тотальное нарушение законодательства всех цивилизованных стран. Да, этот вывод получен на основе рассуждения, но, подумайте о том, есть ли противоречия в этом рассуждении и спустя стадию "отрицания" Вы "примете" тот факт, что корпорации давшие Вам социальные сети, браузеры и вообще интернет в том самом виде, который мы наблюдаем сейчас: интернет, где постоянно взламывают пароли, воруют твои данные, а цифровые отпечатки снимаются буквально по всему интернету с помощью скриптов "Аналитики" и прочих, что сейчас ставят на свои веб-сервисы буквально все, кто хотят чтобы их сайт был как можно выше в выдаче поисковой системы. Цепь замкнулась: пользователи сами с радостью размещают у себя скрипты, что снимают с них цифровые отпечатки. Одно здесь напрягает: почему же корпорации не говорят об этом прямо? И всеми способами маскируют данное поведение?

У Google (которому кстати принадлежит даже этот блог-сервис) так и вовсе есть свой браузер, который позволяет пользователям хранить в нём свои пароли, про остальное додумайте сами.
Как Вы полагаете: компания сделала браузер, чтобы помочь людям, или, чтобы заработать на тех данных, что открываются взору имея полный контроль над данными пользователя? Я на практике убедился, что данная компания абсолютно беспардонно, тише воды, ниже травы, скрываясь от утилит для мониторинга трафика, которые могли бы выдать эту активность. Для специалиста по безопасности — это положение дел настолько привычно, что они относятся к этому как к должному, но, и здесь начинается самое интересное:
однажды выполняя заказ клиента по разработке панели для менеджмента кредитных карт в обменном сервисе ко мне написал человек, который не мог справится с атаками конкурентов на их проект (начиналось с DDoS атак, которые с горем пополам перерубали в датацентре, а закончилось тем, что их проект был на CMS Joomla, известной дырявой системе управления "магазином"). Человек жаловался на то, что база их клиентов утекает куда-то, и клиентам начинают поступать "рекламные" звонки. Проблема стояла настолько остро, а бессилие человека было таким откровенным, что я решил разобраться в проблематике вопроса и изучить его проблему. Несмотря на все возможные меры безопасности, настройки, ограничения прав - взломщикам удавалось каким-то образом внедрять вредоносный JS-код в сайт, и я потратил около недели на то, чтобы разобраться в Joomla и найти причину: оказалось, что модуль установленный на сайт, был с XSS дырой, что в конечном итоге и привело к данной проблеме.
Решение было простым: накатил глобальный фильтр на все скрипты так, чтобы все входящие данные "обезвреживались" именно для данного типа атак. Проблема исчезла. До этого её не могли решить по словам клиента: две хостинг компании, четыре системных администратора работающие на них, а так-же частные программисты и "специалисты" по Joomla. Потратив кучу денег, сил и времени, не решив проблему человек попал ко мне и получил это решение в 3 раза дешевле, в 8 раз быстрее и в бесконечность раз надёжней. Изучив зловредные скрипты я очень быстро наткнулся на блоги, облачные хранилища, где сотни примеров подобных зловредов реализованных десятками способов — буквально заставили задуматься: НЕУЖЕЛИ браузер настолько ПЛОХО справляется с контролем данных, что всё это работает без запинок?
Это было лишь начало истории: заметив новую, еще не открытую для себя тему я хорошенько выспался и принялся за разбор всех найденных скриптов, большинство из которых я в конце концов подмечал уже напрямую на зараженных сайтах. Так оказалось проще, и актуальней. К тому-же, каждый 3ий магазин заражён. Вот настолько всё плохо (а я даже и не подозревал, что зайдя в чужой интернет магазин, введя свои данные, E-Mail и НЕ ДАЙ АЛЛАХ СОВЕРШИТЬ ТАКУЮ ГЛУПОСТЬ) пароль который используется в том-же виде на других Ваших аккаунтах — Вы легко отправляете их в коллекцию очередному барыге, что потом будет сбывать их на чёрном рынке (вот кстати неделей ранее поймали в моём городе одного такого торгаша, но, как он получал свои данные — мне неизвестно, но факт фактом — горожане оказались не такие простые как на первый взгляд).
И вот раздумывая на тему того, как убить всех зайцев одним решением, мне в голову пришло 2 идеи:
- Собрать все зловреды в кучу, объединить их уникальные черты, и переделать логику работы стандартов HTML/JS таким образом, чтобы проблема решалась. И думая над этим около года, переварив кучу клиентов с одной и той же проблемой я пришел к выводу, что решение может быть только одно: новая версия стандарта HTML/JS в котором контроль над данными будет отдан в приоритет языку HTML. Работать это должно просто: данные вводятся в "поля", этим полям необходимо создать "свойство" при включении которого данные из данного поля становятся недоступны для JS. Вуаля — проблема утечки данных во всём мире, и во всех браузерах, на всех ОСях решена. Не долго думая я написал несколько писем в контактные формы официальных представителей компаний делающих браузеры.
Прошёл месяц, два, три... и спустя пол года я понял, что ни ответа, ни фиксов не будет.

Отчаявшись я начал искать иной способ решения проблемы, и я его придумал, и успешно помог нуждающимся клиентам в защите своей личной информации: короткий PHP скрипт, при должной подстройке под указанный проект надёжно защищал сайт. Но проблема не решена, ведь заставить всех владельцев всех интернет магазинов, а так-же CMS добавить этот "защитный костыль" - задача нереальная.

Пришлось возвращаться к желанию "заставить" браузеры поменять свою политику безопасности, и тут, я обнаружил кучу дыр: технические подробности пожалуй оставлю закрытыми, по скольку данные дыры всё еще актуальны. Но, после их успешного исправления я объясню даже не программисту что происходит, и почему "политика безопасности" на самом деле пыль в глаза.

Не добившись отклика от разработчиков Chrome, Opera, Firefox, Edge я решил изучить то, как эти браузеры себя ведут в ситуациях, когда происходит явная утечка данных: плодом моей работы стал JS-франкенштейн, что объединил в себе все дыры, общие для буквально каждого браузера из списка. И как оказалось далее — не просто общие, а необходимые. Разбирая и деобфусцируя днями напролёт скрипты Аналитик, и прочих "сервисов" я обнаружил, что некоторые из них БУКВАЛЬНО пользуются этими дырами для еще более "скрытной" передачи.

Меня поверг шок. Объясню кратко: они сделали браузер, и наделили его изъянами в самых трудно-доступных местах И ПОЛЬЗУЮТСЯ этими изъянами. Но, проблема то в том, что эти изъяны используют недоброжелатели для буквально тех же целей: получение личной информации пользователя без ведома обычного пользователя, далёкого от всех этих вопросов.

ИТОГО: одни зарабатывают миллиарды "имея" весь рынок, обводя во круг пальца законодательство, а другие (сторонние локальные воры информации с заражённых площадок) - помогают им оставаться не замеченными, перебивая на себя всё внимание специалистов.

И я в действительности обнаружил, что видимо АБСОЛЮТНО никто до меня не додумался провести жесткий анализ поведения метрик, аналитик этих сервисов, разобрав весь их код по полочкам. По крайней мере я не нашёл ни одной статьи ни на русском, ни на английском по данной теме. Я лишь нашёл статьи с описанием того, как ограничить браузер, но это костыль, а не решение.

На данный момент я смог добиться того, чтобы данный код и его "проблематика" дошли до широкой публики. Более чем уверен, что проигнорировать УЖЕ данную эскалацию они не смогут и если они примут верное решение - мы получим гораздо более безопасный интернет с точки зрения пользователя, который хоть раз в жизни сталкивался с тем, что его данные попали в "базы" рассылок или его пароли оказались в широком доступе. Стоит уточнить, что в данной статье идёт разбор лишь половины проблемы (XSS), но, решив эту, остальные исчезнут сами по себе, по скольку они взаимосвязанны на уровне "рыба без воды".

Представьте себе, как бы прославилась Украина, если бы законодательно запретила разработчикам устанавливать по умолчанию включенным "сбор данных", "персонализацию"? Это было бы сенсацией, достойной статьи в Times. Украинцы стали бы счастливее, жизнь стала бы приятней, а Ваша личная жизнь немного более приватной, и перестала быть предметом торговли между рекламными агрегаторами. 

Повторюсь: данная статья посвящена ГЛОБАЛЬНОЙ проблеме утечки данных. Корпорации показывающие Вам рекламу это не беда, по сравнению с тем, когда Ваши учетные записи воруют, воруют данные Ваших кредитных карт и это всё "в пределах политики безопасности". Хреновая политика, ребята. Я Вам говорю это однозначно. И я бы мог понять, если бы решения не было, но оно есть, и очевидное. Осталось лишь Вам понять причину и следствие.

Что забавно, за свою попытку донести в сборе "JS-франкенштейна" я получил 0 ответов от тех, чья работа - безопасность, за то получил нереальную пощёчину от тех, кто зарабатывая по "чёрному" очевидно скоро лишится прибыли (попытались взломать, и очернить мою репутацию, тем самым сделали известным, ну что ж - спасибо), но, а в данный момент всё зависит от того что предпримут браузеры и рекламные корпорации. Я дал им "концентрат" того дерьма, что всё это время насилует интернет и рядового пользователя, благодаря работоспособности которого вокруг и сплошь утечки, воровство. И я ведь почти ничего не изобрёл — всем это доступно в пару кликов, LOL. Данный "концентрат" объединил худшие черты той политики менеджмента данными что сейчас во всю применяется по всему интернету (базис на текущих стандартах HTML/JS). И к тому-же дал им единственное верное решение этой проблемы (HTML поставить над JS в приоритете по управлению данными и точка). Теперь у них есть другая проблема: как остаться при своих рекламных деньгах так, чтобы соорудить фикс исходя из этой проблемы и не лишить себя "цифровых отпечатков" благодаря которым реклама приносит десятикратную прибыль? Крайне заинтригован решением, и жду, надеюсь всё-же здравый смысл победит. Хотя, в тот момент когда я понял что спустя год им плевать, без всякого ответа лично для меня стало очевидно полное отсутствие здравого смысла.

P.S. Знаете сколько глобальных проблем можно решить с подачи одной руки? Представьте, а что если бы на законодательном уровне интернет-провайдерам запретили бы вешать провода между домами, обматывать ими столпы так, что там возникает "улей" из проводов, которые и греются, и теряют энергию за счет электро-магнетизма и завихрений токов (не говоря уж про качество связи), и ХУЖЕ ВСЕГО висят везде над головами, мешая насладится небом, деревом, жизнью, создавая по всей стране одно и то же "зрелище" из висящих намотанных абы как и во все стороны проводов. Я мечтаю о том дне, когда сам президент задаст мне вопрос "что ты предлагаешь?", а мне есть что предложить. Одного президентского срока не хватит на все нововведения, но, могу сказать одно: есть страны, без этих проблем, потому что людям там не плевать. И если случится чудо, и всё-же меня услышат — буду рад помочь всем и сразу занявшись решением этих проблем на благо моей родной земле, потому-что помогать каждому по отдельности — жизни не хватит. Переварив за 10 лет тысячи клиентов, сотни других разработчиков я могу уверенно сказать что стал специалистом в многогранной сети, и имея этот опыт — смогу исправить те глупые ошибки, что мы допускаем, и как народ, и как государство.

Вот и я решил быть первым (видимо) в своей стране, который вместо того чтобы "смотать" в Силиконовую Долину и кормить заморский бизнес всё еще здесь, искренне надеясь на то, что рано или поздно всё это разрулится. Проблемы сами по себе не решаются, даже хуже, тыкнешь кого-то носом в проблему - тебя проигнорируют или нагрубят, если ты их решение очевидно выставляешь "глупым". Ты заслужишь внимания только если проблема становится занозой, о чём и была данная статья. Чертовски не правильно устроен мир решающий только те проблемы, что уже принесли головную боль большой аудитории? Было бы хорошо, если бы мир их решал с одного письма адресованного тем для кого эта работа. Пусть им будет стыдно, надеюсь этот текст до них дойдёт:) Тем временем те, кто хотят защиту от этого "концентрата" будут вынуждены долго и муторно костылять свои проекты лишним кодом.

HISTORY: письма разработчикам были высланы почти ровно год назад. Им очевидно плевать, без живого примера зловредного использования они даже не смотрят видимо на такие запросы, но что же, очевидно "бараньи" инстинкты свойственны даже большим корпорациям. Заставляют специалистов делать сложные POC'и на уязвимости, иначе они их просто не исправят. А ведь это время они могли потратить на поиск других, таких-же важных дыр.

Надеюсь разослав данную статью найдётся публичная личность, что захочет помочь мне реализовать и повлиять на хотя-бы самые острые проблемы.

Разве нормально то, что рекламные корпорации принадлежащие другой стране располагают ГОРАЗДО большим объемом персональной информации на каждого отдельного пользователя и делает на этом деньги, чем даже например то же СБУ (по факту коллекционирует бюрократическую воду со всех доступных ей инстанций ограниченными ими же)? Предполагаю что АНБ, ЦРУ вряд-ли поделились даже такой устаревшей утилитой как X-KeyScore с нашим СБУ. 
А почему? Потому-что информация — власть, деньги, и даже больше - залог независимости. Не пора ли её забрать обратно, в свои руки? Я не предлагаю китайский фаерволл, или "чебурнет" и всё в таком духе. Ни в коем случае. Моё предложение законодательно обезопасить хотя-бы граждан своей страны, отрезав источник данных, отрегулировав его. И это делается в течении пары дней. Но не делается потому, что проблема настолько далёкая от ума обычных пользователей, что они её просто не осознают. Что уж там: когда я обнаружил зловреды на магазинах которыми сам пользуюсь — был просто вне себя. "Теперь ясно как сливали пароли.". Это пока-что единственное локальное решение, что пришло мне в голову исходя из того наблюдаемого пофигизма заморских компаний. То ли пофигизма, то ли холодного расчёта, а как это оценить и воспринять — думайте сами. Я понял одно: такое положение дел выгодно всем, кроме пользователей страдающих от этой дилеммы. Только уверяю Вас: мы сильно пожалеем об этих дырах ровно в тот маловероятный момент, когда появится реальная опасность. Пусть звучит смешно, но как легко будет инопланетной цивилизации проникнуть в нашу сеть и сожрать всю информацию о каждом благодаря такому интернету? И как по Вашему — они захотят иметь с нами дело после подобного? Понятное дело спец.службам нужен "черный ход" для выполнения своих обязанностей, но причём тут реклама или дыры доступные каждому? Вот-вот.

С Вами был Billar и просьба, ссылаясь на данный материал указывайте ссылку. Мне читатели не помешают, ибо писать есть о чём. Было бы для кого ;)




Комментарии

Отправить комментарий

Популярные сообщения из этого блога

РФ или нацистская педерация?

-
Изображение
"Что не смеетесь? Не смешно? Не поняли? ЭТО РОССИЯ!" Концепция власти, образа мышления и конечная мотивация. Как самая большая страна мира превратилась в "нацистскую педерацию" или почему они выбрали путь самоуничтожения? Чтобы лучше понять суть того или иного государства необходимо рассматривать не только современное, но и прошлое, ведь как известно "народ не знающий своего прошлого - не имеет будущего". И к слову, именно в данном смысле отравлено население данной страны. Причём отравлено умышленно: они переписывали историю каждый раз, после каждого своего провала. Они переписывали книги, уничтожали летописи, стирали с лица земли любые зацепки, которые могут рассказать о настоящей истории данной страны. Подробней об этом как небудь в следующий раз, но кое что для начала тут . В конечном итоге эта техника удержания разума многонациональной страны - довольно глупа и не эффективна, так как все не уничтожишь. Тем не менее у наших "соседей" нынч
Далее...

Что произошло с Украиной?

-
Изображение
Великими не рождаются - великими становятся. Давно я как-то в свой блог не писал, иногда вспоминал про сие место, но идей чего бы такого сюда расписать - не приходило. А тут, встала старая и больная для меня тема - и я сформировал у себя в голове некоторую теорию, которая имеет необычайно яркое обоснование. Я смогу пояснить как именно нас смогли так нещадно нагнуть раком и мало того, спрогнозирую итоги. Начну пожалуй с железного аргумента, иначе весь читаемый дальше текст будет восприниматься как феерично ебанутая больная выдумка сумасшедшего автора. http://rutube.ru/video/cd0f3467a4d673f86168488125c81540/ - данное видео датировано 23.09.2009 Просмотрите данное видео от начала до конца и осознайте всю глубину ахуевания  от увиденного зрелища. Что теперь скажете? Есть еще сомнения что мир в котором мы живем - жалкая пародия на реальность? Мы в театре господа, в большом театре под названием общество. И этот театр распадается на маленькие труппы, именуемые государ
Далее...