first commit

2. DDOS

@@ -0,0 +1,71 @@
+2. ДДОС - 12 минут
+  2.1 Крупнейшие ботнеты NECURS, MIRAI, BRICKERBOT, WIREX
+      2.1.1 NECURS - Responsible for emailing massive amounts of
+            ransomware, banking malware, dating spam,
+            pump-n-dump stock scams, and cryptocurrency
+            wallet-phising
+      2.1.2 MIRAI - Malware that turns network devices (IOT)
+            running Linux into remotely controlled bots that can
+            be used as part of a largescale botnet network
+            attacks.
+      2.1.3 BRICKERBOT - Attacks via remote execution using a
+            destuctive sequence. It leverages a network of
+            detection sensors, including bots and sentinels, and
+            only attacks infected devices
+      2.1.4 WIREX - Infected 120,000 Android smartphones via
+            hundreds of mobile apps found in the Google Play
+            store.
+  2.2 Как заражаются устройства - стандартные логины/пароли и
+      известные эксплойты для обнаруженного софта или устройства
+      очень хороший способ скомпрометировать системы от ПК до
+      ИОТ устройств. Поиск подходящих устройств ведется либо
+      самостоятельно путем перебора IP адресов и снятия меток
+      с машин либо через специальные поисковики типа Shodan.
+      Зная адреса машин и версии софта установленных на них
+      бот автоматически запускает скрипт с эксплойтом и пытается
+      получить доступ либо брутфорсит стандартные пути и пароли.
+      Получив доступ в систему (если это была не целевая атака
+      на конкретно ваш сервер, скорее всего получите криптомайнер,
+      в случае ПК кей логгер в комплекте с сетевым сканнером,
+      либо атакующий вирус для привлечения вашего железа к
+      труду на пользу ботнета.
+  2.3 Что с этим можно сделать?
+      2.3.1 Обновляйте софт. Возможно вам лень или нету времени
+            разворачивать зависимости и вы используете супер
+            старые продукты потому что так работает, помните
+            что это так же работает для злоумышленников.
+      2.3.2 Установите каптчу. Логика простая, с любым именем
+            и содержимым используется устанавливаимая сайтом
+            кука. Предположим есть простейший сайт с единой
+            точкой входа, проверяем у запроса куку, если она
+            есть - безусловно пропускаем на сайт, если нет
+            записываем хэши IP и User-Agent, еще рекомендуют
+            добавить местоположение полученное по IP.
+            Далее логгируем время + метки запроса. Смысл в том
+            что бы одному IP дать один шанс на получение куки.
+            Если клиент приходит второй раз без куки, шлем
+            его в каптчу. Если не прошел шлем его ... опять
+            в каптчу или в блэклист. Для API и AJAX запросов
+            можно делать примерно тоже самое.
+      2.3.3 Cloudflare. Хоть и не очень хороший сервис, так
+            как IP реально машины все равно можно было узнать,
+            23.02.2017 исследователи подготовили отчет об
+            уязвимостях, в частности была возможность угнать
+            пользовательские ssl ключи но радует что уязвимость
+            закрыли за 7 часов, а первый фикс выпустили за 47
+            минут поэтому вроде как ничего не успело утечь.
+            С другой стороны сервис уже более зрелый, главное
+            если ваш домен уже застветился в сети с вашим IP
+            перед установкой CF прокси сменить IP сервера.
+      2.3.4 Не забывайте про Firewall. Очень важно держать
+            лишние порты закрытыми для внешнего мира и
+            ограничить исходящий трафик. Если ваше приложение
+            состоит из микросервисов, старайтесь разместить
+            их сугубо в закрытой внутренней сети.
+      2.4.5 Отдельного внимания заслуживает настройка локальных
+            mail сервисов. Кроме того что правильная настройка
+            mail сервиса достаточно не тривиальная задача,
+            к сожалению их очень часто забывают обновлять.
+            Поэтому по возможности использовать внешние
+            сервисы с доступом по API.
+  

3. Hackers History

@@ -0,0 +1,55 @@
+3. История хакеров - 15 минут.
+   3.1 Общество полуночного перешивания компьютеров.
+       3.1.1 Правильно ли мы понимаем термин хакер?
+             Хакерами незаслужено считаю киберпреступников. Хотя это не правильно.
+             Мне больше всего нравится «Человек, наслаждающийся доскональным
+             пониманием внутреннего устройства систем, компьютеров и компьютерных
+             сетей в частности». Для киберпреступников правильный термин -
+             взломщик, крэкер.
+       3.1.2 Взлом замков
+             На заре сотворения кибер мира, доступ к машинам получить было крайне
+             сложно. И очень часто люди работали ночью. 
+             Скажем, вы работаете ночью на PDP'6 в MIT, и она выходит вдруг из строя.
+             Вы проверяете ее внутренности и обнаруживаете, что ей нужна
+             одна деталь. Вам может понадобиться инструмент, для того чтобы эту
+             запчасть установить, вы делаете вывод, что вам нужен диск, лента,
+             отвертка, паяльник, запасная микросхема, а они находятся под замком.
+             Железяка стоимостью в несколько миллионов долларов простаивает впустую,
+             потому  что  хакер,  который  знает,  как  ее  отремонтировать,  не
+             может  добраться  до микросхемы стоимостью в 75 центов или до
+             осциллографа, запертого в сейфе. Поэтому хакеры были вынуждены добывать
+             ключи для таких замков и сейфов, после чего можно было спокойно брать
+             запчасти, поддерживать работу компьютера, аккуратно заменять сгоревшие
+             детали и продолжать работать дальше.  И если вы были вхожи в этот круг,
+             то у вас был доступ к комбинациям и ключам от всех сейфов. То есть, у
+             вас был доступ ко всему.
+       3.1.3 Взлом телефонных сетей. Раньше телефонная сеть управлялась тональными
+             сигналами. Первокурсник, Стюарт Нельсон начал изучать программирование
+             на PDP'1. У него не заняло много времени обучение PDP'1 некоторым новым
+             фокусам. Он запрограммировал спикер так, что  тот генерировал
+             соответствующие  тональные  сигналы,  которые  передавались  в микрофон
+             телефонного  аппарата.  Эти  сигнальные  тоны заставляли откликаться и
+             танцевать под его дудочку телефонную систему. И линии танцевали, да еще
+             как! В сложной взаимосвязанной системе телефонных линий вызовы
+             переходили с одного места на другое, иногда доставая до Обсерватории
+             Хайстек  (которая  также  была  подсоединена  к  телефонной  системе
+             МТИ),  потом  они могли перейти на внешние линии, и, почувствовав свободу,
+             пойти гулять по всему миру. Их  ничто  не  могло  остановить,  потому
+             что  тональные  сигналы,  которые  Нельсон генерировал при помощи PDP'1,
+             в точности соответствовали управляющим сигналам телефонной компании,
+             которые использовались для трансфера внутренних вызовов по всему миру.
+             Стью Нельсон знал, что это позволит ему свободно путешествовать по всей
+             соблазнительной системе, не заплатив при этом ни единого пенни.
+             Нельсон не одобрял тех из студентов МТИ, которые  занимались
+             изготовлением  «синих  коробок»  («блюбоксов»)  –  специальных устройств,
+             с помощью которых можно было делать звонки за счет телефонной компании.
+             Стив Возняк, шутник с неустоявшимся и странным чувством юмора, столь
+             умный от природы, столь же и глупый от отсутствия жизненного опыта, Воз
+             содержал у себя дома телефонную службу Dial'a'Joke («набери анекдот»),
+             выбрасывая в округу бесконечный поток  шуточек  про  поляков. Джобс и
+             Воз построили свои собственные блюбоксы, и не только пользовались ими
+             сами, но и одно время торговали ими из'под полы в студенческих общагах
+             в Беркли. Воз однажды использовал свою «коробку» для того чтобы
+             позвонить Римскому Папе. Он представился Генри Киссинджером, и почти
+             дозвонился до Его Святейшества, пока кто'то в Ватикане не сообразил,
+             что звонивший был совсем не тем, за кого он себя выдавал.

Main.txt

@@ -0,0 +1,37 @@
+Дата 14.09.19
+Тема - "Безопасность веб приложений"
+Докладчики - Янковой Иван Александрович
+             Колибаба Эдуард ...
+
+План доклада:
+
+1. (Видео) Визуализация ДДОС атаки https://www.youtube.com/watch?v=1wq6LIjPHkk - 5 минут
+2. ДДОС - 12 минут.
+  2.1 Кто это делает? Самые крупные атаки. 2 минуты
+  2.2 Типы ботнетов 2 минуты
+  2.3 Защита с помощью капчи - 2 минуты
+  2.4 Cloudflare подобные - 4 минуты
+  2.5 Защита API от DDOS - 2 минуты
+3. История взломов - 15 минут
+  3.1 Кто такие хакеры, почему им нравится взламывать замки, как Столлман взломал MIT - 3 минуты
+  3.2 Взлом телефонных сетей по гудкам, как Возняк и Джобс продавали блюбоксы, Apple уже не тот - 4 минуты
+  3.3 Червь Морриса, кто такой Моррис и Пол Грэм, Viaweb - 1 минута
+  3.4 Wikileaks - 2 минуты
+  3.5 Stuxnet как пример сверхопасного оружия - 2 минуты.
+  3.6 Что дальше? Электрокары, кардиостимуляторы и электронные импланты, тотальная слежка. - 2 минуты.
+4. Типы уязвимостей. 15 минут
+  4.1 Cross-Site Scripting - 1.5 минуты
+  4.2 Information Leakage - 1.5 минуты
+  4.3 Brute Force - 1.5 минуты
+  4.4 XML External Entities - 1.5 минуты
+  4.5 Fingerprinting - 1.5 минуты
+  4.6 URL Redirector Abuse - 1.5 минуты
+  4.7 Path Traversal - 1.5 минуты
+  4.8 Cross-Site Request Forgery - 1.5 минуты
+  4.9 SQL Injection - 1.5 минуты
+  4.10 Insufficient Authorization - 1.5 минуты
+5. Просто интересные факты - 8 минут
+  5.1
+  ...
+  5.n
+6. Вопросы и ответы.