Paweł Goleń, blog

Śląscy policjanci zatrzymali dwóch 16-latków, którzy za pomocą stworzonego przez siebie programu rozsyłali spam. Właściciele zaatakowanego przez hakerów popularnego serwisu społecznościowego Nasza-klasa oszacowali straty na 60 mln zł. (więcej)

Dzielnych mamy policjantów, prawda? Tylko dlaczego każdego (by nie powiedzieć “pierwszego lepszego”) “przestępcę komputerowego” nazywa się hakerem? Ale nawet pomijając ten irytujący fakt, znów chcę wykorzystać NK jako dobry przykład złego przykładu. W tym przypadku ponownie nadużyta została funkcjonalność portalu. Monitorowanie NK i wychwytywanie nowych zdjęć jest zadaniem trywialnym, dodanie komentarza do zdjęcia również. Wykorzystanie komentarzy do zdjęć do spamowania także nie jest epokowym odkryciem. To tyle jeśli chodzi o pomysłowość i umiejętności “hakerów”.

A teraz o działaniach drugiej strony. Jak podała policja, właściciele Naszej-klasy wycenili straty powstałe przez dwa miesiące na blisko 60 milionów złotych. To, to już jest śmiech na sali. Dwa miesiące? Skoro powstałe przez ten czas straty można liczyć w milionach złotych, to dlaczego nie zostały podjęte działania mające na celu wyeliminowanie podatności? Wprowadzenie limitów na komentarze, implementacja CAPTCHA dla “podejrzanie często” komentujących. Kosztowałoby to zdecydowanie mniej, niż owe utracone 60 milionów. Co z tego, że “sprawcy” zostali znalezieni? Czy dwaj szesnastolatkowie oddadzą owe 60 milionów? Wątpię.

Prawda jest taka, że przy tworzeniu serwisu kwestie związane z bezpieczeństwem zostały potraktowane po macoszemu. Nie chodzi mi tutaj nawet o jakość kodu i błędy implementacji, ale o funkcjonalność. Przy jej projektowaniu kwestie bezpieczeństwa nie zostały uwzględnione, w związku z czym często można ją nadużyć do celów innych, niż zamierzone. Zupełnie inną kwestią jest wydajność portalu. Najwyraźniej ktoś mocno wierzył, że dokładanie kolejnych serwerów rozwiąże każdy problem z wydajnością. A tu nagle okazuje się, że wydajność wcale nie skaluje się liniowo... No kto by się tego spodziewał!

A tak z innej beczki, to zastanawiam się, czy owe zmniejszenie ilości odwiedzin rzeczywiście miało związek z owym strasznym atakiem. Nie śledzę za bardzo informacji związanych z NK, ale nie dotarły do mnie żadne informacje, by NK działała przeraźliwie wolno, a nie wierzę, by takich głosów nie było, jeśli w skutek “sparaliżowania” działalności systemu spadek ruchu byłby rzędu dwóch milionów odsłon(?) dziennie (i to przez dwa miesiące!).

Oryginał tego wpisu dostępny jest pod adresem No straszne, znowu ta Nasza Klasa

Autor: Paweł Goleń