Создание "Системы коллективной безопасности"

Gal · 7 Май 2006

Создание "Системы коллективной безопасности"

Здравствуйте.
Предлагаю Вашему вниманию свои размышления по поводу разработки «системы коллективной безопасности»
Основные мысли следующие:
1. Создать общую глобальную базу данных подозрительных IP.
2. База данных будет пополняться из всех сайтов-участников, в случае, если с какого-то IP будет замечена попытка взлома (например, наличие кода в запросе или попытка вставить в запрос ноль-байт ). Все данные с этого IP (get, post, переменные окружения) будут записаны в отдельные логии для анализа, а сам IP будет добавлен в общую базу (можно даже с запросами).
3. В дальнейшем всех посетителей проверять по базе. Если это опасный IP, выполнять какое-то действие: как минимум просто фиксировать все его телодвижения. А если ввести «степень опасности» то можно его вообще не пускать. Если в течении какого-то время (например, года), с подозрительного IP не было взломов, он удаляется из базы.
Все попытки взлома систематизировать и рассылать участникам.
Таким образом, мы будем в курсе самых новых достижений в области взлома (ведь любой сложный взлом начинается с прощупывания, а его можно зафиксировать и смотреть дальше…). Это очень важно, ведь Зло не стоит на месте. Вообще здесь можно много думать…

BEZZ · 7 Май 2006

Таким образом, мы будем в курсе самых новых достижений в области взлома (ведь любой сложный взлом начинается с прощупывания, а его можно зафиксировать и смотреть дальше…)

очень неубедительно.

в данном случае при использовании ДОСа вся ваша база полетит.
на 100% защетиться от взлома нельзя!

Solid · 7 Май 2006

Автор оригинала: BEZZ
очень неубедительно.

в данном случае при использовании ДОСа вся ваша база полетит.
на 100% защетиться от взлома нельзя!

Глупый довыд.

BEZZ · 7 Май 2006

Глупый довыд.

Довод нормальный.

Gal
проксей (анонимных) немало и записывать огромное кол-во айпи в базу - это не выход.

kruglov · 7 Май 2006

Что насчет динамических IP?

WP · 7 Май 2006

Не знаю как другие, но когда я занимался подобным делом IP менялся каждую секунду.

Rammstein · 7 Май 2006

Данный вопрос я уже затрагивал на клабе...
С динамическим IP можно справиться, блокируя целую сеть (а уж владелец этой сети пусть сам разбирается).

Frol · 7 Май 2006

что тока не придумают чтобы не писать нормальный код.

Andreika · 7 Май 2006

от: администрация провайдера МТУ-Интел (РОЛ,....)
кому: системе коллективной безопасности

нас очень беспокоит то, что наши ipшники находятся в black листе вашей системы и наши клиенты не смогут посетить (если вдруг захотят, что врятли) ни один из трех сайтов, пользующихся вашей системой ... очень просим исключить наши ip адреса из списка, обещаем в ближайшее время перерыть пару гигов логов и найти и наказать злоумышленника, оставившего коммент с матерным словом на сайте газеты "Урюпинская крестьянка", пользующейся вашими услугами.
С уважением, МТУ-Интел.

BEZZ · 7 Май 2006

Урюпинская крестьянка

бы-га-га

убедительная прозьба - не блокируйте целую подсеть!

Небольшой пример: пров выдаёт айпи (динамические, на диалапе) к примеру: 001.*.*.1-255, ..... 004.*.*.1-255.
Если блокировать "типахаккера", который выйдет всего 4 раза из этих подсетей - 1020 потенциальных пользователей блокируется, а если у него прокси (90% вероятности) и выйдет он раз этак 30 с разных подсетей ..... калькулятор есть?

ещё хочу добавить по проблемме:
я когда-то тоже работал над подобной системмой и результат тестирования узерами оказался неожиданным для меня.
Дело в том, что "типахаккеры" меняют проксик, но зачастую не меняют браузер. => начал ставить им куки и сессии. Естественно ели брать начинающиго, то недогадываеются оищать куки и закрывать браузер.Если брать процентное соотношение то (всё грубо упращенно):
блокировка по IP - 20% гарантии
блокировка по подсети - 35%
установка куков и сессий - 40%

Естественно всё приведенно примерно, но единственный факт - чем больше мы усложняем жизнь хаккерам: блокировка IP, куки, подтверждение регистрации на емаил, использование картинок (точнее прибавляем им рутинной работы) тем лучше спим по ночам ))

Gal · 8 Май 2006

Постойте, господа! Я же не сказал блокировать подозрительные IP. Я сказал иметь их ввиду. Это значит отслеживать. Блокировать можно только в том случае, если в чем-то уверен. Отслеживать, фиксировать, изучать - потом уже блокировать, если будет возможность.
BEZZ, Ваша мысль по поводу установки куков очень полезна. Так легко отсеять мелких хулиганов. А ешё можно подумать над активной системой: попытка взлома? - получи вирус...

WP · 8 Май 2006

К чему это всё? Давайте лучше не допускать ошибок в программах. А слежка ничего не даст...

BEZZ · 8 Май 2006

не допускать ошибок в программах

это гутт

А слежка ничего не даст

...

WP · 8 Май 2006

Время которое было бы потрачено на анализ логов, лучше б потратили на поиск багов.

kruglov · 8 Май 2006

Какие меры предусматриваются для борьбы со ложными заявками? А также их неимоверным количеством?

WP · 8 Май 2006

А также можно сделать где-нить <span style="display: none"><img src="http://superpuperhost/superscript.php?verysecureparam=I%20AM%20COOL%20HACKER!!!%00"></span>

kruglov · 8 Май 2006

WP
I am a search crawler

baev · 10 Май 2006

А что это, вообще, в форуме «Вопросы по программированию на РНР» делает?

(По-моему, самое место в «Прожектах»...)

Bermuda · 10 Май 2006

Re: Создание "Системы коллективной безопасности"

Идея интересная, но, увы, неглубокая. Следует копать глубже.

Поделюсь своей идеей.

Давайте обратим внимание на реальный мир окружающий нас. В нем живут реальные люди, разные люди.

Пример 1:
Я постоянный посетитель моего любимого бара. В один прекрасный вечер, случается так, что у меня не оказывается денег расплатится в баре. ЗАСЛУЖИВ репутацию порядочного клиента в этом баре я могу расчитывать на снисхождение и просить у бармена жать мне возможность принести деньги на следующий день. Вполне допустимая ситуация.

Пример 2:
В тот же самый бар, приходит человек и от моего имени заказывает что-либо. Уходя не платит, тем самым портя мою репутацию, что недопустимо.

Есть идея разработать некую адаптивную систему например авторизации пользователя. РЕАЛЬНЫЙ пользователь, имеет несколько сценариев доступа к сайту. Например, с работы с обычного компьютера, в дороге с PDA и дома с нотбука. Накапливая и анализируя набор данных, такие как переменные которые шлёт клиент, ip-адрес, диапазоны времени можно сгруппировать "профили доступа" пользователя, нарисовать его портрет. Таким образом со временем система будет иметь стандартные профили пользователя. При очередном визите пользователя, система может проверять соответствие одному из "профилей доступа" и в случае соответствия снимать некоторые дополнительные проверки, тем самым облегчая жизнь пользователю.

Итак, что же мы имеем.

1. Пользователь со временем зарабатывает себе "профили доступа", а система в свою очередь снимает с него часть проверок, облегчая например доступ к информации.

2. В случае попытки взлома взломщик заранее не может знать "профили доступа" пользователя или по крайней мере, это не так просто сделать. Это значит, что система должна применить расширенную систему проверок. Это очень важно для защиты РЕПУТАЦИИ пользователя, например на каком-либо аукционе.

3. С случае если статистической информации недостаточно и "профили доступа" еще не созданы, то система применяет стандартную систему проверок.

Итак, пользователь со стажем имеет упрощенный режим доступа и, одновременно услиненную защиту. Новый пользователь не имеет никаких неудобств, стандартный доступ.

Короче, евристический анализ основанный на накопленной статистике. Нейросеть?

Andreika · 10 Май 2006

Bermuda
может и нейросеть, потому, что я ничего не догнал.. нада завтра утром перечитать

Создание "Системы коллективной безопасности"

Новичок

Новичок

Drosera anglica

Новичок

Новичок

^_^

PHPClub::News

Новичок

"PHP for nubies" reader

Новичок

Новичок

^_^

Новичок

^_^

Новичок

^_^

Новичок

‹°°¬•

Новичок

"PHP for nubies" reader