Говнокод #16051 — SQL — Говнокод.ру

SQL / Говнокод #16051

−117
1. 1
2. 2
3. 3
4. 4
5. 5
6. 6
7. 7
8. 8
9. 9
```
Т.е. наполнение таблицы T005 будет таким: 

T001F01 | T005F01 | .... 
------------------------ 
   702  |    1    | .... 
   702  |    2    | .... 
............................. 
   703  |    1    | .... 
   703  |    2    | ....
```
Из почтовой переписки, слитой со взломанного ЦВК Украины.

Ну вот что это за привычка такая, в гос. конторах - шифровать название таблиц и полей?
А на аппликейшн уровне давать вменяемые имена.
Уже не в первый раз встречаю - бугурт вызывает нереальный.
Кто-то может назвать хоть один бенефит такого подхода? Чтобы враг не догадался?

Запостил: DBdev, 24 Мая 2014

Tweet
Комментарии (27) RSS
- chtulhu 24.05.2014 17:24 # +3
  
  http://www.govnokod.ru/641
  Ответить
  - DBdev 25.05.2014 10:45 # 0
    
    Там тоже нет ответа на вопрос "нагуано оно надо?" :(
    
    Но традиция, видно, знатная на территории всего экс-совка.
    Ответить
  - Fike 25.05.2014 22:59 # 0
    
    какое великолепное обсуждение
    Ответить
- guest 25.05.2014 03:11 # 0
  
  Откуда взял?
  Ответить
  - DBdev 25.05.2014 10:46 # +1
    
    Да у школьников, издевающихся над гос. служащими:
    http://cyber-berkut.org/
    Тут ещё немного разбора:
    http://ntv.livejournal.com/354389.html
    Ответить
    - guest 25.05.2014 12:25 # 0
      
      А где ссылка?
      Ответить
      
      DBdev 25.05.2014 14:31 # 0
      
      Ссылка на что конкретно интересует?
      Где я взял структуру БД?
      Переходите сюда: http://cyber-berkut.org/
      Находите ссылку на "emails1.7z", качаете.
      Открываете читалкой pst какой Вам нравится.
      Среди писем ищете мои ГК.
      Ответить
    - defecate-plusplus 25.05.2014 13:04 # +1
      
      Ну смею заметить, работа по рисованию схемок выполнена весьма качественно.
      Юзеров (там бложик ругается на плейн текст), видимо, заводили пакетно по входящим от заказчика экселевским таблицам - это не значит, что в самой системе они хранятся в плейн тексте. Как и файлик паролей к серверам - есть исполнитель, который выполнил свою работу, настроил сервера и отдал пароли заказчику. А дальше крутитесь как хотите.
      
      А вот насчет имен таблиц - подозреваю, что ты читаешь уже обфусцированный вариант, полученный из нормального, с человеческими именами. Потому и когнитивный диссонанс, что не поддерживаемое говно, но с неопровержимыми признаками, что писал не робот.
      
      p.s. надо бы взять на заметку, поизучать текущие техники обфускации и тоже применить, на всякий
      Ответить
      
      DBdev 25.05.2014 14:37 # 0
      
      > Ну смею заметить, работа по рисованию схемок выполнена весьма качественно.
      Это я не отрицаю. Даже добавлю, что сетевая инфраструктура тоже неплохо организована.
      
      > Юзеров (там бложик ругается на плейн текст), видимо, заводили пакетно по входящим от заказчика экселевским таблицам - это не значит, что в самой системе они хранятся в плейн тексте. Как и файлик паролей к серверам - есть исполнитель, который выполнил свою работу, настроил сервера и отдал пароли заказчику. А дальше крутитесь как хотите.
      
      Ну.... тут нам явно не известно, НО я не исключаю, что логины с паролями МОГЛИ храниться открыто в плейн текстовиках. Тут уж админы недоработали.
      
      > А вот насчет имен таблиц - подозреваю, что ты читаешь уже обфусцированный вариант, полученный из нормального, с человеческими именами. Потому и когнитивный диссонанс, что не поддерживаемое говно, но с неопровержимыми признаками, что писал не робот.
      
      Ну я какбэ достал структуру из переписки. Т.е. разработчики и мейнтейнеры не переписываются вменяемыми именами сущностей в БД, а вот такими "обфусцированными" именами, что наталкивает на мысль - база просто такая вот и есть.
      
      > p.s. надо бы взять на заметку, поизучать текущие техники обфускации и тоже применить, на всякий
      Бенефит в чём? Такой же как и у кодообфускации?
      Ответить
      
      defecate-plusplus 25.05.2014 14:50 # 0
      
      > бенефит в чем
      да палка о двух концах
      +: усложнить жизнь школохаккерам, да и экономному на сопровождении заказчику; защита прав на код
      -: может вылиться в негатив того самого заказчика, который признает в купленной системе неинтегрируемое, нерасширяемое и неуправляемое им говно; самому добавляется геморрой, разве что если уже все решено до нас, остается только кнопочку нажать
      
      если что - я лениво погуглил, обфускация/маскирование/шифрование/fine control данных и кода хранимых процедур в оракле находится, но чтобы автоматом имена таблиц и колонок убивать - пока что то нет
      Ответить
    - Fike 25.05.2014 22:41 # +2
      
      эх, помню времена, когда нтв-скайфи не занимался этой "АХАХАХА ВОТ ЭТО ПОВОРОТ"/сливов про ЕР не будет хуйней и был простым картинкоботом.
      Ответить
    - Fike 25.05.2014 22:42 # −1
      
      "Мы, КиберБеркут, объявляем о том, что в формируемую нами КиберАрмию вступили уже 4,5 тысячи добровольцев. "
      
      lal
      Ответить
      
      bormand 25.05.2014 22:44 # +3
      
      > 4,5 тысячи добровольцев
      И, скорее всего, 4490 из них годятся только на пушечное мясо для DDoS'а.
      Ответить
      
      guest 26.05.2014 13:18 # 0
      
      А есть какая-то ответствтенность за участие в добровольном ботнете?
      Ответить
      
      bormand 26.05.2014 15:27 # 0
      
      > А есть какая-то ответствтенность за участие в добровольном ботнете?
      Я нифига не юрист, но, скорее всего, если найдут и докажут добровольность, то припишут вот это:
      
      Статья 273 УК РФ. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
      Ответить
      
      guest 26.05.2014 18:12 # 0
      
      А будут ли что-то делать? Предположим, собрал админ сайта айпишники, с которых атаковали сайт.
      Ответить
      
      bormand 26.05.2014 19:58 # 0
      
      > А будут ли что-то делать?
      Да хрен его знает, пробовать на себе как-то не хочется ;)
      
      Если админ напишет заявление - то пробить людей по айпишникам вообще не проблема.
      
      Так что если чел настолько упоротый долбоёб, что ломал что-то серьезное в своей стране (особенно госконтору) со своей машины через свой инет, написал об этом в своем бложике, да еще и забыл стереть тулзы - есть ненулевая вероятность залететь.
      Ответить
      
      guest 27.05.2014 13:22 # 0
      
      Я про тулзы вроде лоика.
      Ответить
      
      bormand 27.05.2014 13:25 # 0
      
      Дык лоик это ж "компьютерная программа, заведомо предназначенная для несанкционированного блокирования компьютерной информации". Вполне канает под статью.
      
      P.S. Там, кстати, во втором параграфе статьи есть ветка про "то же деяние, совершенное группой лиц" (а ддос как раз и совершается группой лиц).
      Ответить
      
      guest 27.05.2014 17:21 # 0
      
      Насчет заведомо - не факт, официально это вроде как тулза для нагрузочного тестирования. Нелегально тогда ее нецелевое использование. Вопрос: что могут впаять и будет ли кто искать конкрентых юзеров?
      Ответить
      
      bormand 27.05.2014 17:37 # 0
      
      > будет ли кто искать конкрентых юзеров
      Имхо, очень маловероятно. Если в ботнете десятки тысяч юзеров - это явно не толпа малолетних мудаков с loic'ом. И искать среди них тупо некого, там 99.99% окажутся невинными жертвы вирей (а остальные ими прикинутся).
      
      Ну а если человек 30-50 решат поддосить сайтец какого-нибудь ФСБ - может и залетят на описанную выше статейку :) Если ищущим не влом будет ордера выбивать. И еще есть вероятность, что никто к кому не придет, зато на СОРМ'е эти айпишки поставят на мониторинг, и юные кулхацкеры залетят на чем-то еще.
      Ответить
      
      guest 28.05.2014 15:26 # 0
      
      >зато на СОРМ'е эти айпишки поставят на мониторинг
      А что будет с динамическими ip / провайдерским рашконатом?
      Ответить
      
      bormand 28.05.2014 15:43 # 0
      
      > А что будет с динамическими ip / провайдерским рашконатом?
      А где по-твоему СОРМ установлен? :)
      Ответить
      
      guest 28.05.2014 16:25 # 0
      
      В самой зассаной локалке на 30 компов с натом?
      Ответить
      
      bormand 28.05.2014 16:34 # +1
      
      > В самой зассаной локалке на 30 компов с натом?
      Ну так это ж не провайдер. Если СОРМ вдруг понадобится - навесят у провайдера на весь айпишник этой говносетки. А придут потом к хозяину айпишника, который эту сетку друзяшкам раздал. И он с радостью перечислит их всех, а заодно расскажет, кто из них больше всего похож на хакера ;)
      Ответить
      
      guest 28.05.2014 18:50 # 0
      
      >Ну так это ж не провайдер.
      Но там вполне может быть нат. И поставить его "на мониторинг" много не даст.
      Ответить
- chtulhu 25.05.2014 10:56 # 0
  
  >Кто-то может назвать хоть один бенефит такого подхода? Чтобы враг не догадался?
  Может это просто проДвинутые архитекторы? А простые кодеры потом пытаются сделать что-то вменяемое
  Ответить
Добавить комментарий
Ошибка компиляции комментария:

Гости могут высказаться только в понедельник, среду, четверг или воскресение
Я, guest, находясь в здравом уме и твердой памяти, торжественно заявляю:

А не использовать ли нам bbcode?

[b]жирный[/b] — жирный

[i]курсив[/i] — курсив

[u]подчеркнутый[/u] — подчеркнутый

[s]перечеркнутый[/s] — перечеркнутый

[blink]мигающий[/blink] — мигающий

[color=red]цвет[/color] — цвет (подробнее)

[size=20]размер[/size] — размер (подробнее)

[code=<language>]some code[/code] (подробнее)

Проверочный код: *

Говнокод: по колено в коде.

SQL / Говнокод #16051

Комментарии (27) RSS

Добавить комментарий