Информационная безопасность и всё что с этим связано

[Santa]

Ну да!! А шо ВЫы хотели ?

[VoVaN]

Цитата:

Сообщение от AgaM

Тема - бред!

Цитата:

Сообщение от Santa

Ну да!! А шо ВЫы хотели ?

аргументы будут?

[Davlat]

Отличный план!
http://forbes.ua/business/1359093-st...fidencialnosti

Цитата:

Основатель сайта StopSelling.me Дэниэл Вителло решил объединить оба подхода. Его компания будет бесплатно оказывать пользователям услуги по удалению персональной информации. А чуть позже стартап планирует помогать тем, кто этого хочет, продавать свои данные онлайн-торговцам.

[Asseptik]

есть такой тип - Берд Киви, пишет под этим псевдонимом статьи на тему компьютерной безопасности, довольно таки интересно.

[Davlat]

http://slon.ru/future/programmnyy_te...a-999613.xhtml

Павел Дуров: «Настало время закрывать личную информацию»

[Davlat]

О краже номера любого украинского оператора мобильной связи http://habrahabr.ru/post/197998/ Текст в оффтопе, если что

Эту историю мне рассказал друг из Украины.

Возьмем обычного парня Алексея, у него есть несколько крупных сообществ во ВКонтакте, Одноклассниках или Facebook (не суть важно). Однажды ему написал рекламодатель Григорий, который хочет купить рекламу. Собственно, Алексей и позвонил Григорию и во время разговора рекламодатель попросил перезвонить ему через полчаса, чтобы уточнить некоторые детали сделки. Хорошо, он позвонил второй раз. Ничто не предвещало беды.

Но вечером ему позвонила какая-то незнакомая девушка и сказала, что она на него обиделась и всё кончено, после чего та бросила трубку. Алексей перезвонил девушке чтобы узнать, что это было, может ли он помочь и т.д. Звонит — на линии тихо. Позвонил второй раз, девушка подняла трубку и снова сказала, что обижена, после чего бросила трубку. Буквально через час счет телефона неведомым образом оказался пополнен на 20 гривен. «Ну, ошиблись номером, с кем не бывает» — подумал Алексей.
На этих странных событиях и закончился первый день. На следующий день приходит СМС, что номер ВКонтакте был изменен на новый.

Как же так? Как можно было утерять симку в своем же телефоне?

Оказывается, оператор life выдает новую симку, при условии, что Вы можете назвать дату последнего пополнения счета и последние номера, на которые вы часто звоните. А частые номера, что парадоксально, это те, на которые Вы звонили хотя бы 2 раза! Алексей звонил на два номера по два раза. Это значит, что у злоумышленника была дата пополнения (потому что он же ранее и положил те 20 гривен) и те самые два частых номера. После чего мошенники заполучили симку с номером Алексея.

В этот же день Алексей пошел в отделение оператора, они подтвердили факт смены симки.
Но для того, чтобы они начали даже разбирать сей странный факт, нужно писать заявление на юридический адрес. Но согласитесь, пока письмо начнут разбирать, то с симки выжмут все, что только можно.

Итак, что же делают мошенники в тот момент, пока Алексей тчетно пытается разобраться? Они восстанавливают пароль от страницы, перепривязывают на свой номер и выбрасывают ненужную симку с номером Алексея, после чего требуют выкуп за сообщества. Писать в Поддержку ВКонтакте бесполезно, факта кражи нет. «Обычная перевязка номера» — ответят там. В милиции сказали, что это интернет-мошенничество, они таким не занимаются. Но за 1000$ они могут рассмотреть дело Алексея. В отделении оператора life снова сказали: «Пишите заявление на юридический адрес».

Вот так вот можно запросто получить полный доступ к любой симке любого абонента, пользующегося услугами оператора life

А ведь за номером могут быть не только сообщества ВКонтакте, но и банковские счета, ведь сейчас некоторые банки позволяют делать многое со счетом, если у Вас есть доступ к своему номеру.

[Слоушлёпок]

Цитата:

Оказывается, оператор life выдает новую симку, при условии, что Вы можете назвать дату последнего пополнения счета и последние номера, на которые вы часто звоните.

Я поражен его неудачей. Это все знают. Я не держу никаких страниц вконтакте, но если бы была хотя бы одна, то настоящим администратором был бы фейкоаккаунт с привязанной страницей на левую симку, только что купленную, а администратором "для связи с общественностью" был бы настоящий я, и даже если бы восстановили сим-карту, то злоумышленники не смогли бы получить доступ к странице вконтакте, которую администрирует настоящий администратор. И это не только лайф выдает новую сим-карту по ее утере, и МТС тоже, но там могут быть другие условия, которые тоже легко подделать.

[Davlat]

"Но перед тем, как впадать в такую паранойю, я бы задался вопросом: а кому из них мы нужны? Неуловимые Джо, которых никто не ловит."

http://tjournal.ru/paper/private-life

текст в оффтопе

Безопасность — в голове

Владислав Цыплухин
@tsyplukhin
5 НОЯБРЯ, 09:21
2 091 ПРОСМОТР
7 КОММЕНТАРИЕВ
Владислав Цыплухин об участившихся выступлениях Павла Дурова с его новым продуктом Telegram, о личных данных, приватности и паранойе. И о том, где, по его мнению, прячется безопасность.




Если пытаться анализировать последние выступления Дурова, то я бы назвал их успешными. Крепким фундаментом для продвижения Telegram эти гастроли пока не назовёшь, но какие-то свои гипотезы на публике он опробовал — убедился, что можно масштабировать. Детально отзывы о выступлении я не читал, и статистики регистраций у меня нет. Тем не менее, тон публикаций в уважаемых изданиях и комментарии к ним говорят о том, что продукт назвали не клоном, а чем-то «средним между Snapchat и WhatsApp» — уже хорошо. Очевидно, в том числе для этого перед самым выступлением выкатывали функцию самоуничтожения сообщений.

Игра на страхах людей и теме безопасности актуальна всегда; последние скандалы в мировой прессе публику только раскалили. Желающих на этом тренде полетать становится всё больше, но Дуров смекнул быстрее остальных. И, кажется, теперь намерен ехать на нём ещё долго.

В России разговоров про Telegram и безопасность ещё больше (сказываются местоположение Сноудена и популярность Дурова). Говорят даже те, кого это никогда не волновало. Что точно произошло — они не знают: появился некий Сноуден, заявил что-то про слежку и спрятался в России. Кто-то даже вспомнит название программы PRISM, но не более того. А фотография Сноудена в кепке на Красной площади теперь вызывает больший резонанс, чем документы или манифесты, которые он публикует.

Лично для меня словосочетание «безопасный мессенджер» — пиар. Так же как и отчасти манипулятивный слоган Telegram: «Taking back our right to privacy». Нет, я верю в то, что команда Дурова не обманывает; что использует протокол, на расшифровку которого потребуются миллионы лет. Верю, что они лучше остальных делают продукты. Но этот протокол шифрования — всего лишь одно из преимуществ продукта Telegram. Ни он, ни сканер отпечатков пальцев на новом iPhone не спасут от собственной глупости тех, у кого начала кружиться голова от накала в прессе страстей неизвестного происхождения. Наоборот, они только введут людей в заблуждение, что «там» можно хранить всё самое ценное.

Хочется спросить этих людей: а вы уверены, что Дуров не новый агент разведки? Вы уверены, что, условно, Apple не снимает данные, когда мы нажимаем кнопки? И каким алгоритмом будете защищаться от своих девушек — или от людей, которые выхватят незаблокированный телефон из рук? Вы правы, это уже звучит как абсурдная паранойя, но не я смешал в одну кучу понятия нарушение приватности частных лиц, семейные разборки и федеральную слежку спецслужб. Когда слышу от случайных людей рассуждения на тему безопасности, хочется прямо вскочить на стул и закричать: «Никакой! Никакой протокол не защитит вас от вашего собственного идиотизма!».

Если кто-то предполагает, что за него рано или поздно возьмутся (по самым разным причинам) спецслужбы или даже правоохранители среднего уровня, то пора уходить в лес. В наше время, когда инструменты слежки стали такими дешёвыми (а защита, кстати, очень дорогой), когда прослушать могут даже на приличном расстоянии через направленный микрофон, сама идея о регистрации в интернете кажется абсурдной. Если не сдаст провайдер или какой-нибудь пилот, то это сделает консьерж в подъезде, который знает о вас больше родителей. Но перед тем, как впадать в такую паранойю, я бы задался вопросом: а кому из них мы нужны? Неуловимые Джо, которых никто не ловит.



Задумываться о безопасности мы начали не с того конца. Потому что уже добровольно предоставили интернет-сервисам фотографии с изображением себя и своих близких, номера мобильных телефонов и, самое ценное, — данные о своём местонахождении.

Почему же после всего этого люди, не торгующие оружием и наркотиками, так сильно переживают о сохранности сообщений? Потому что тенденциозно жужжит пресса — в эти моменты невольно вспоминаешь, что давно собирался сменить пароль. Потому что тайная переписка с любовницей важнее физической безопасности (конечно, пока угроза не подступает к порогу). Потому что девушки не задумываются о том, что могут расстаться с парнем, которому отправляют снимки обнаженных себя. Потому что в электронной переписке мы позволяем себе больше, чем в жизни, и не прогнозируем, что ироничное «Вот Ленка сука!», вырванное из контекста, при публикации или пересылке приобретет иной смысл.

Потому что соцсети затмили традиционные правила информационной гигиены. Мы забыли, что нельзя доверять секреты людям, не стоит говорить гадости за их спиной, нужно быть бдительным и что за слова приходится отвечать. А может и не затмили, а, наоборот, приоткрыли обществу его проблемы. Как бы там ни было — умные люди виртуальное общение от реального уже не отделяют. Тот же Дуров в личной переписке всегда сдержан; пишет так, чтобы «не стыдно было показать людям». Он как раз понимает, что секрет, который знают больше одного человека, знают все.

А лучше вообще секретов не иметь. По крайней мере, так считают другие мои знакомые. По их мнению, открытость несёт порядочным людям только пользу. Я с ними пока не согласен, но некоторые их вопросы определенно ставят меня в тупик, поэтому выносить какой-то вердикт о личных данных сегодня мне просто не по зубам.

— Влад, ты бы хотел, чтобы все твои финансовые транзакции были доступны не только банку, но и ряду государственных организаций?

— Нет, конечно.

— Вот Навальный, например, хотел бы сделать полностью открытый счет, но у банков сегодня даже таких услуг нет. Тебе есть что скрывать?

— Эмм… Да, в общем-то, нет. Мне так просто спокойнее.

— Скажи, а если за счет этого и набора другой информации тебе бы разрешили передвигаться по Европе без визы, ты бы согласился раскрывать её автоматически?

— (Задумался).

И вы задумайтесь.


А Ленка всё-таки сука,
Владислав Цыплухин,
Специально для TJournal

[Davlat]

Как умный зомбоящик шпионил за хозяином http://habrahabr.ru/post/202770/

[VoVaN]

http://tsn.ua/groshi/aktivistiv-yevr...mi-325292.html

Цитата:

Мітингувальників Євромайдану прослуховують і навіть без їхнього відома розсилають повідомлення.

Про це "Вестям" повідомили джерела у вищому керівництві однієї з компаній стільникового зв'язку. За їхніми даними, на Майдані працюють кілька потужних піратських переносних базових станцій, які замінюють собою легальні базові станції операторів. Таким чином, пірати можуть керувати чужими телефонами.

Ну "прослушивают" - это шизовато, но остальное вполне не исключено. Прикол в том, что такую вещь весьма просто вычислить и триангулировать.
Чем занимается киевский частотнадзор? Ищут не проплаченные вайфаи, из-за которых троллейбусы загораются блеать?!

[rezonat3]

https://duckduckgo.com/

[Робот Вертер]

в чем прикол?

[rezonat3]

альтернатива google. Поисковик, не сохраняющий историии поисковых запросов (по крайней мере официально)

[walery]

Цитата:

Duck Duck Go is a search engine based in Valley Forge, Pennsylvania

я не доверяю пиндосам

Почесав затылок, юзер дописал через 32 секунды

Цитата:

Сообщение от rezonat3

альтернатива google. Поисковик, не сохраняющий историии поисковых запросов (по крайней мере официально)

[m-16]

это утка

[Matvey]

Цитата:

Сообщение от rezonat3

альтернатива google. Поисковик, не сохраняющий историии поисковых запросов (по крайней мере официально)

И полностью дублирующий выдачу Яндекса

[rezonat3]

DuckDuckGo gets its results from over one hundred sources, including DuckDuckBot (our own crawler), crowd-sourced sites (like Wikipedia, which are stored in our own index), Yahoo! (through BOSS), Yandex, WolframAlpha, and Bing.

Иногда выдачи очень похожи, да.

[m-16]

Если что-то выглядит как утка, плавает как утка и крякает как утка, то это, скорее всего, утка

[Davlat]

http://itexpert.org.ua/rubrikator/it...skie-mery.html

Цитата:

9 января, на заседании правительства приняли программу защиты информационных ресурсов государства от противоправного (хакерского) вмешательства, передает корреспондент IT-Expert.

Сам документ представляет собой перечень мер, необходимых, по мнению его создателей, для защиты государственных информационных ресурсов от хакерских атак. В частности, такими являются:

1. Установление защиты от ddos-атак на госорганы.

2. Пересмотр правила использования домена gov.ua.

3. Построение специального центра обработки данных.

4. Повышение эффективности лицензирования криптографической защиты.

5. Создание лаборатории сертификации систем информационной защиты.

6. Создание Порядка отнесения объектов к критической информационной инфраструктуре страны.

7. Создание защищенной информационной инфраструктуры государства (защищенная система обмена данными в рамках государственного электронного документооборота).

8. Создание команд «быстрого реагирования» на возникающие киберугрозы.

Стоимость реализации указанных в документе мерах составит 15 млн. грн. бюджетных средств.

Напомним, что как сообщалось ранее, 9 января на заседании Кабинета министров рассмотрят программу защиты государственных информационных ресурсов от противоправного вмешательства.

[Слоушлёпок]

Да кому вы надо, чтобы за вами следили еще?

[m-16]

http://internetua.com/Microsoft-goto...lya-Windows-XP

[Davlat]

Цитата:

Сообщение от Слоушлёпок

Да кому вы надо, чтобы за вами следили еще?

никому.
проходите мимо.

upd.

Цитата:

Маразм крепчает: Украина вводит нотариальное заверение распечатки вебсайтов и блокирование сайтов
Законопроект уже доступен по адресу http://sips.gov.ua/ua/pr121313. Викимедиа Украина уже официально заявила о своей глубокой взволнованности, однако протестного настроения более пока не заметно.

Самое интересное из этого законопроекта
1. Вносятся изменения сразу в ряд законов (о защите авторских прав, телекоммуникациях, милиции, нотариате и кодексе об админ.нарушениях).
2. Нотариальная распечатка страницы веб-сайта становится легальным инструментом (даже боюсь представить перспективы злоупотреблений).
3. Любой сайт можно заблокировать без решения суда, только на основании заявления о нарушении авторских прав.
4. Ответственность за недостоверное предоставление информации о нарушении авторских прав нигде не прописано.
5. Удачный политический момент для появления такого инструмента (на фоне появления большого количества неконтролируемых властью прямых трансляций политических событий).

Добро пожаловать в 1984.
http://habrahabr.ru/post/209046/

[VoVaN]

Придумывая сложный пароль не стоит забывать о здравом смысле. И его энтропии )

[VoVaN]

Инженер прослушивал разговоры ФБР с помощью Google Maps

Цитата:

Свободное размещение в Google Maps телефонных номеров сыграло с ФБР злую шутку.
Обычному сетевому инженеру удалось доказать, что популярный сервис карт от Google, совершенно не защищен от мошенников и даже угрожает национальной безопасности.

[rezonat3]

Кстати, есть вопрос. Будет ли норма переходить на https?

[CatTT]

не будет. зачем?
по теме- http://habrahabr.ru/post/209746/

[VoVaN]

Ахаха.
Заметил что мой сервер что-то пучит нипадеццки. Давно туда не заглядывал (всё работает - нафиг), полез разбираться. Переполнился раздел с логами, ибо логов накопилось over9000. Совсем старые потер, новые почитал. Батющки! Да меня же злые китайские хаккеры взламывают! Вероятно, по классической технологии (на запрос пароля вводить "Мао Цзэдун" до тех пор пока не пустят). Ну хрен с ними, внешний SSH мне вроде как не очень нужен, так что просто забанил его нафиг с внешнего интерфейса. Рут-пароль-то ядреный, но всё равно как-то не комфортно.

А вот и кусочек списка атакунов:
222.186.25.187
218.242.101.164
58.218.201.37
61.174.51.206
60.190.219.204

Ботнэт штоле.

[CatTT]

ботнет поболее доноров было бы...
только почему вас?) тренируются?)))

[VoVaN]

Да хрен его знает. Мой сервер не представляет абсолютно никакого "целевого" интереса для внешнего мира, он просто "есть". М.б. просто автоматом широко посканили 22-й порт, нашли мой ИП и автоматом же подбирают по словарю, типа "просто так". Логики ноль, но тем не менее.
Забавно то, что после того как все входящие пакеты начали отправляться в drop - активно сканить перестали, но с этих же адресов всё еще периодически стучатся примерно раз час.

[PhoeniXX]

ну какбы вчерашний UP - http://heartbleed.com/

эпичный фейл OpenSSL, который разом вполне погубил большую часть Https приложений живущих на Linux серверах. Забавность что бага существовала с 2012 года, и кто-то наверняка ей активно пользовался. Благодаря баге, можно стянуть приватные ключики сертификатов, логины, пароли, сессии. Все то что храниться в памяти. Не все это просто сделать, но вполне себе возможно.

А потеря приватных ключей для Https сертификата - уже больше не защищает от MITM атаки.