Комментарии 56
Примерно в конце 2014 года попался сайт сервисного центра по ремонту ноутбуков. Вполне настоящего, по-моему в Москве. Владельцу пришла гениальная идея сделать редизайн, скопировав дизайн sony_ru. На первый взгляд это выглядело как официальная страница сервисного центра Сони. Через пару месяцев пожаловался в официальную техподдержку Сони недовольный ремонтом клиент, считавший что ремонт ему делал официальный сервис центр. Представитель Сони подал в суд на этот СЦ.
По факту оказалось, что герой истории зашифровал всю виртуалку, ключи, естественно, хранил отдельно и вообще оказался более чем разбирающимся в том, как работают интернеты.
Прошу прощения, если глупый вопрос, а разве можно так зашифровать, чтобы имея доступ к памяти виртуальной машины, нельзя было достать ключ шифрования?
Для удобства следствия вы должны думать что да.
А разве такой доступ есть? CPU с аппаратной виртуализацией на уровне железа изолирует гостевую ОС, насколько я знаю.
В общем случае есть. Виртуальные машины изолируются друг от друга, а не от гипервизора. Для защиты от злонамеренного гипервизора есть решения типа Intel SGX, но это уже несколько другое.
Есть конечно. С аппаратной виртуализацией все получше стало, но все равно подумайте - как, например, сетевой пакет попадает в виртуальную машину? Или покидает ее?
Ээ... никто не мешает поставить всю ВМ на паузу в любой момент. Или исполнять ее по одной инструкции за раз, как в дебаггере.
Это как? Вот зашел на биржу клиент, это обычный браузер, какой-нибудь tls. У ВМ в памяти лежит ключ, которым она этот траффик расшифровывает. Почему его нельзя достать?
Если файлы зашифрованы, то тоже должны быть постоянные операции шифрования-дешифрования и тоже должны быть ключи.
Все равно должен быть незашифрованный загрузчик, который получает ключ расшифровки по сети при старте виртуальной машины. Зная код загрузчика, зная траффик, который он получил и передал, мы можем отреверсить ключ.
Но повторяюсь, я в этом не разбираюсь, может глупости пишу.
Разработчик Win 10 Tweaker вон зловредный код держал в открытом виде на своем хостинге.
Предупреждаем владельца машины, что в течение N дней будет начата проверка и мы получим гостевой доступ на его ВМ
А это вообще законно? Вы действуете по запросу М$ или полиции? А если там бд с персональными данными? А если вам в ответ "я не даю согласия на доступ к моей информации"?
Проверка не инициируется просто так. Допустим, к нам обращаются контролирующие органы или майкрософт с заявлением, что по их мнению есть нарушения, тогда у нас нет выбора, кроме как инициировать проверку. Если в проверке клиент отказывает, мы будем вынуждены остановить его обслуживание.
А в российском законодательстве от хостера не требуется трогать содержимое виртуальных машин — начиная с гостевой ОС и ниже. То есть мы принципиально не можем знать, что там внутри VD-сервера. То есть в международном праве MS составили соглашение, которое было оттранслировано в Россию, где оно вступило в конфликт с российским правом
вы же не только в РФ работаете, а как в других странах?
На практике чаще возникает другая ситуация такого опосредованного пиратства: речь про незнание того, как правильно менять лицензии MS на другие такие же лицензии MS при переезде в облако. Дело в том, что лицензии напрямую не переносятся, и использовать тот же ключ от вашего прикладного ПО уже нельзя. Нужно использовать специальный сервис MS — License Mobility.
это прикладной софт, а лицензировать операционку в облаке вроде бы вообще нельзя (только через хостера)
Про прикладной софт, верно, но не противоречит тому, что написано. Просто mobility не даст перенести то, что нельзя.
Вы бы мануал/ы написали: как все то, что описано в топике - организовать на практике. Это была бы тема. А так, неинтересная заметка. Даже без ИМХО. Тут не я-дзен, а хабр. Ничего личного. Просто уже второй раз ведусь на ваше кликбейтное название. Неприятно.
с таким подходом скоро вообще будет почитать нечего
с таким подходом скоро вообще будет почитать нечего
Ну тогда сорян, если вам заметка зашла. Мне вообще не зашла. Объясните деревенщине/мне, в чем ее практический смысл?
Технического смысла нет, есть развлекательно-познавательный. Но заголовок как бы и предполагал достаточно лёгкое чтиво, и мне лично было любопытно посмотреть, с чем там сталкиваются. Ну и про лицензии MS на ноутах, например, я вообще не задумывался.
Технического смысла нет
В этом и был смысл моего комментария выше.
есть развлекательно-познавательный.
Мы про хабр или про ТВ речь ведем?..
Ну и про лицензии MS на ноутах, например, я вообще не задумывался.
Относительно этого в статье не то чтоб лож, но изложено ведение мягкотелых, что не есть законы и/или основы капитализма. Могу привести многократные примеры, которые базируются на немалом рабочем опыте. Требуется?..
Относительно этого в статье не то чтоб лож, но изложено ведение мягкотелых, что не есть законы и/или основы капитализма. Могу привести многократные примеры, которые базируются на немалом рабочем опыте. Требуется?..
А было бы интересно почитать.
А было бы интересно почитать.
Что вы хотите знать относительно лицензирования венды на ноутах? По сути и вкратце: стоит ОЕМ версия ПО и мягкотелые ни за что ответственности не несут.
Те самые многократные примеры.
У меня например была полная уверенность что если на любом компе винда изначально была предустановлена и ключ в BIOS — лицензия следует за ноутом автоматически без каких то отдельных доказательств и бумаг. Даже если винда на этом компе — опция.
Кстати ноуты от не-ноутов тут разве различаются?
Те самые многократные примеры.
Верно заданный вопрос содержит половину ответа. Мне не трудно привести примеры. Задайте вопросы конкретно.
У меня например была полная уверенность что если на любом компе винда изначально была предустановлена и ключ в BIOS — лицензия следует за ноутом автоматически без каких то отдельных доказательств и бумаг.
С точки зрения мягкотелых - да. Если вести речь про ОЕМ версию венды. С точки зрения правовой - нет и/или будут нюансы в зависимости от страны. В общем, но вкратце: лицензии Майкрософт дифференцируются по трем основным критериям: ОЕМ, бизнес и дом. То есть/пример: венда 10 ПРО версия лицензия для дома/частная - стоит 200 баксов в розницу, а венда 10 ПРО бизнес лицензия стоит уже 500 баксов. В тоже самое время эта венда, но ОЕМ версия стоит баксов 50-70.
Даже если винда на этом компе — опция.
Вы ошибаетесь. Потому что если венда от вендора стоит, то ОЕМ версия, а если опция, то как правило (по соглашению мягкотелых), точнее должна быть - боксовая версия.
Кстати ноуты от не-ноутов тут разве различаются?
По сути да. Уточните от чего/какого устройства? Опционального/самосбор или готовое от вендора?
ЗЫ: Но все вышеописанное актуально: при наличии знаний, соглашений, лицензий, сертификатов и законов. Менты же просто проверяют т. н. корневые сертификаты - а-ля валидация венды. А какого типа лицензия им вообще пофиг и/или у них нет знаний/понимания того, что оная дифференцируется.
По сути да. Уточните от чего/какого устройства? Опционального/самосбор или готовое от вендора?
Два примера. Как вот это работает?
Ноут. Продается американской конторой. Если нужно винду — +139 USD за Home/+199 USD за Pro к цене (а так — линукс, реально работающий а не для формальных целей).
Российский магазин электроники, может вместе с комплектующими, если они в принципе между собой совместимы, продать и услугу "соберите мне из этого комп"(даже коробки отдадут потом). в комплект можно добавить винду (которую они продают и отдельно тоже, где то около 9к рублей) и ее установят.
Как вот это работает?
Тут два нюанса есть: 1) я не знаю законов США относительно АЙТ; 2) могу только предположить, что ценообразование дифференцируется в зависимости от региона. Вообще, при условии, что вы в РФ и частное лицо, то лучше сделать так: купить ноут без ОС и/или железо, а потом купить поддон/нижняя крышка от ноута, которая с "акцизной маркой" - ключом от венды 7. Если нужна ПРо версия, то берет вин 7 хоум премиум, а если сойдет и домашняя, то берете вин 7 домашнюю или старт. Ключ от семерки можно легитимо юзать для десятки. При 2-х условиях выше: РФ и частное использование. На самом деле можно и для частного бизнеса. Мягкотелые против, в теории, а на практике все норм. Менты же в ПТУ учились, те, что от АЙТ. Это не совет, призыв и/или подобное что-либо, но лишь описание реалий, которые имеют быть.
Мошеннические АТС — реально та история, где бы нам чисто по-человечески хотелось бы делать что-то, но мы ограничены и правилами, и законом, и здравым смыслом. Выглядит это так: регистрируются с американских номеров, оплачивают американскими пейпалами или кредитными картами, ставят виртуальную АТС, а затем к ней подключается куча людей
Вы создали для мошенников инструмент и его им продаёте. При этом тут же говорите что хотели бы что-то сделать. Ну так сделайте: уберите возможность анонимно пользоваться вашими услугами. Но нет, профит важнее людей. Деньги не пахнут. Минусуйте.
Виртуальный сервер - это такой же инструмент как, скажем, молоток. Можно для строительства использовать, а можно головы в подворотнях проламывать. И производитель молотков заранее не знает как каждый конкретный экземпляр будет использоваться.
Или можем? Может не принимать пэйпэл? Может не регать с американских номеров?
Это по существу. А сравнение со всякими молотками, ножами, вилками/ложками это демагогия. Вы не из тех кто за открытую продажу всем подряд огнестрела «потому что убивает не оружие а человек»?
Если 60% из платящих пэйпалом - мошенники, является ли это основанием чтобы отказывать в обслуживании остальным 40%?
Но это же бизнес, а его задача зарабатывать деньги.
нам чисто по-человечески хотелось бы делать что-то
потерять часть (уверен не большую) клиентов (денег)
Вы из своего кармана готовы бизнесу компенсировать эти деньги? Если нет - дискуссию можно считать завершенной.
Ну будут с кредитных карт платить, разница-то в чём? Пейпал как бы не является анонимным средством платежа.
И да, сравнивать VDS с огнестрелом некорректно, потому что огнестрел — он, знаете ли, создан для стрельбы, то есть для опасной деятельности. А VDS, как и молоток — это инструменты, которыми можно не только делать что-то опасное или вредное.
Что значит — без опасений быть пойманными? Все платежи можно отследить, а по ним — найти мошенников.
Проблема-то тут исключительно в том, что отслеживать никто не умеет — но это не проблема хостера.
То есть если кто-то стуканёт в MS про пиратский софт либо MS по каким-то признакам решит, что возможно наличие пиратского ПО в организации, то мы должны провести аудит ВМ.
На практике выглядит это так:
Мы получаем запрос на то, что на такой-то машине есть признаки пиратского софта.
Предупреждаем владельца машины, что в течение N дней будет начата проверка и мы получим гостевой доступ на его ВМ.
Приходят к нам с запросом на данные биллинга и блокировку. Причём запрос этот мы отклоняем, потому что блокировать в России имеет право только суд и РКН.
Я правильно понимаю что «по просьбе» MS о возможном пиратском софте они на виртуалку залезают проверять а МВД глупое в суд отправляют? Это конечно не проблема хостера а МВД, а забота о людях и противоборство мошенникам прям сквозит из каждого слова!
Вы решаете проблему не с того конца. Хостинг-провайдеры следят за тем, за чем могут следить -- тот же масс-спам или DOS хотя бы отлавливают!
А вот с АТС отлавливать подмены номера и массовый обзвон должны были бы Операторы Связи, и ваши претензии как раз звучали бы по адресу, если были бы направлены к ним.
интересно, почему dos атака - это не законно
Почта как явление системно больна из-за того, что придумывалась во времена динозавров Интернета, и с тех пор не сильно поменялась, разве что обросла костылями.
Ничем она системно не больна. Электронная почта — это аналог обычной почты. Когда ты взял, написал письмо, подписал кому и опустил в любой почтовый ящик даже не имея собственного! И этим она и замечательна! В отличии от современных насквозь зарегистрированных и запротоколированынных сервисов. Почта это такая штука, когда «почтовый ящик» можно сделать самому себе и «прибить под столом». Саму идею реализации такого обмена как всегда испортили сами люди.
я был бы очень рад, если бы мне в обычный почтовый ящик в подъезде приходила только та корреспоненция, которую я сам хотел бы там
видеть
Нет. Тут принципиальная разница. Обычная почта стоит денег. И если отправлять куда-нибудь далеко, то больших. На ней просто невозможно организовать отправку в несколько миллионов писем. Максимум - десятков тысяч дешёвых рекламных буклетов на строго определённые адреса совсем неподалёку.
То есть в международном праве MS составили соглашение, которое было оттранслировано в Россию, где оно вступило в конфликт с российским правом. В итоге это противоречие решается следующим костылём:
Странно, если что вступает в конфликт с законом РФ на територии РФ это что то недействительно.
Если вы откжаете M$ в чем то, то оно пойдет в суд ибо другими законными методами воздействовать на вас не может, и будет пробовать принудить вас это сделать, а принудить не может из-за того что это действие не законно на територии РФ. (ну это так, ремарка)
плюс можем делать запрос на доступ на арендованную машину в случае обнаружения состава преступления...
Вы можете проводить следственные действия для определения состава преступления??!! и по какой статье?? :)
>>>> Приходят к нам с запросом на данные биллинга и блокировку. Причём запрос этот мы отклоняем, потому что блокировать в России имеет право только суд и РКН.
Вы вполне можете блокировать мошеннические АТС по факту обращения к вам с информацией о неправомерных действиях. В ваших (да и всех операторов) правилах же написано, что нельзя использовать ваши VDS для неправомерных операций и вы с чистой совестью такое блокируете. Вообще не понял вашу позицию, если честно. DDoS блокируем, фродовые звонки - нет. Странно.
Какие бывают незаконные использования хостинга (с чем мы сталкивались)