Найдены дубликаты

+23

Черт возьми! Я 16 лет искал это видео!!! Спасибо вам!

раскрыть ветку 3
+3
Помню отец очень смеялся, когда я маленьким был.
раскрыть ветку 2
+23

а что с тобой не так было?

раскрыть ветку 1
+8

Вот получше качеством.

https://www.youtube.com/watch?v=yxS6GM42wNI


Только причём тут именно "персональные данные"?

раскрыть ветку 1
+7

Просто с ними так и получается. Роскомпозор за них трахает во все дыры, а Почта России бумажки с ПД выкидывает на помойку.

+24

Жиза.

+6
А есть ее координаты? Типа связяться с ней. Просто там большая площадь, помог бы убрать)).... пару слитков
раскрыть ветку 4
+3

слитки на самом деле так себе добыча. Их хрен реализуешь, да и переплавить на что то более мелкое проблематично

раскрыть ветку 3
+5
А в чем проблема переплавить на более мелкое? Любопытства ради
+3

Накопить легальных денег, официально открыть ювелирную мастерскую и ломбард. Принимать в ломбарде изделия с пробой , в мастерской увеличивать вес принятых изделий. Сдавать в другие ломбарды  или продажа как невыкупленные.

раскрыть ветку 1
раскрыть ветку 2
+1

Мультик в посте постарше, скорее всего. 1993-го года

раскрыть ветку 1
0

Никто не спорит.

+1
Иллюстрация к комментарию
+1
Иллюстрация к комментарию
0

Баян, конечно, но я все равно проулыбался на все ебало.

0

вот только подсобка уборщицы обычно надежнее самого надежного банка, так что не надо тут

-31

мде... и где тут айтишное? где информационная безопасность? где персональные данные? я уж не говорю, что данный мульт выкладывался

раскрыть ветку 4
+20

Есть такое слово - "аллегория"

раскрыть ветку 1
-2

есть аллегория, а есть попытка выдать осла за асхетинкого жеребца.

+3

Все просто, человек увидел ролик в комментах на хабре к статье о возможном сливе данных в приложении бургеркинга.

Там это было в контексте статьи, а здесь просто одиноко болтается.

-4

Не парься, гуманитариям не понять)

ещё комментарии
Похожие посты
113

Очень странные дела при подаче объявлений на ЦИАН

UPD. Как и писал в конце поста – если мне покажут, где я ошибся, я посыплю голову пеплом.

Нужно отдать должное специалистам Циан – очень быстро отреагировали и разложили все по полочкам. Привожу их объяснения без изменений:

Олег Масленников, Архитектор ИБ Циан:

«Занимаюсь безопасностью в Циан, хочу обратить внимание на пару фактических и технических ошибок в статье. Во-первых, утверждается, что данные «улетают» и обрабатываются заграничным сервисом. Это не так. Мы используем компанию Sumsub, это глобальная организация с HQ в Лондоне и офисами в тч в России, работающая в соответствии с законодательством Российской Федерации.

Российские паспорта обрабатываются российским юридическим лицом компании, ООО «Технологии цифровой безопасности» (sumsub.ru).

Информация о хранении:

— Ссылка на соответствующий раздел сайта: sumsub.ru/security

— Хранение по требованиям РКН: в соответствии с уведомлением, отправленным в РКН, персональные данные хранятся в ЦОДе компании «Селектел», в базе данных, доступ к которой разграничен средствами защиты информации, сертифицированными ФСТЭК России.

— ООО «Технологии цифровой безопасности» внесена в реестр Операторов ПДн Роскоомнадзора под регистрационным номером 78-17-003488 10.03.2017.

Во-вторых, про то, что данные уходят на сервер, который физически находится в Америке. Для защиты сайтов и сервисов Sumsub использует систему CloudFlare. CloudFlare является прокси, поэтому у них всегда один IP, но маршрут данных, при этом, идет в ближайший ДЦ. В России таких ДЦ два – в Москве и Санкт-Петербурге. Вы можете легко проверить этот маршрут с помощью traceroute.»

Добавлю, что подразделение безопасности cian.ru оказалось на удивление открытым и готовым обсуждать вопросы по безопасности.



TL;DR При загрузке паспорта на сайт cian.ru он «улетает» к заграничному сервису распознавания лиц на api.sumsub.com


Преамбула

И снова здравствуйте. Возможно шапочка из фольги снова давит голову, но есть вопросы и подозрения, которыми хотелось бы поделиться с вами. В одном из прошлых постов была показана странная и спорная «фича» в почтовике mail.ru. Новый день принёс новые открытия. На этот раз доброжелатель пожелал остаться анонимным. Но всё равно спасибо ему за то, что поделился фактурой.


Cian.ru – сайт, позиционирующийся как «достоверная база данных о продаже и аренде жилой, загородной и коммерческой недвижимости» и принадлежащий «ЦИАН. Групп». Ресурсы этой компании довольно популярны. Компания заявляет, что она – «Лидер онлайн-недвижимости России (по количеству посещений сайта cian.ru пользователями сети Интернет по данным LiveInternet в разделе «Недвижимость» по состоянию на 12 марта 2020 г.). Всё это есть в подвале сайта. Интересно другое.


Пару лет назад в Сети начали появляться вопросы относительно нового требования от ресурса: пользователь должен загрузить свой паспорт. Беглый гуглёж сразу приводит нас в справочный раздел, где перечислены необходимые действия для идентификации и поясняется, почему это хорошо.

Тем не менее, пользователи выказывали опасения (раз, два, три и т.д.), т.к. набор данных состоит как минимум из паспортных данных + скан паспорта РФ + фото с раскрытым паспортом в руке. Это для физлиц. Если вы ИП или Юрлицо, данных нужно ещё больше.


Но довольно лирики. Посмотрим, что будет, если пользователь просто подаёт объявление на продажу квартиры.


Фабула

Смотреть действия будем через нашу DLP. Интерес в первую очередь представляет перехват с модулей HTTPController и MonitorController. Думаю, из названия понятно, что каждый из них перехватывает. Заранее прошу прощения за качество скринов. На данный момент никто из сотрудников квартиру не продаёт, поэтому полностью воспроизвести кейс у себя не смогли. Показывать и пояснять будем на «боевой» системе.


Итак, отсортируем перехват с двух каналов по времени, чтобы чётко видеть хронологию действий.


Действие 1. Человек заходит на cian.ru, начинает подавать объявление. Видно в перехвате по http, что полетели фото. 4 штуки (строки №6-9 на скриншоте).

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Сразу же можно, не отходя от кассы, посмотреть вложение, которое улетело к cian.ru. Убеждаемся, что грузятся фото интерьера квартиры.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Перехват MonitorController’a (строка №10) всё подтверждает. Виден браузер, видны 4 загруженных фото, видны эти же фото в теле объявления.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Действие 2. Наступает интересный момент. После загрузки фото летят разные пакеты да по разным местам. Что-то на api циана, что-то в mail.ru, что-то в facebook. Зачем? Не знаю. Но явного криминала тут не нашли. Наконец, наступает момент, когда появляется шаг с подтверждением личности.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Некоторые читатели возможно задаются вопросом, а как это так удачно и в нужное время система скрины делает? Всё просто. У MonitorController’a есть опция «Делать скрин при смене активного окна». Здесь мы видим как раз такую ситуацию: человек нажимает кнопку, чтобы добавить фото, открывается окно, система реагирует. Никакого колдунства.


Взглянем на скрин поближе.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Если вы следили внимательно, то могли запомнить, что этот скрин находился на строке №27. Что же дальше по хронологии? Строка №28 спешит убить интригу – человек добавил свой паспорт. Но!

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Вы только посмотрите, что творят канадцы! (а может и не они). Паспорт улетает на api.sumsub.com. Можно убедиться, открыв в перехвате сам файл.

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

Осталась последняя надежда. Может этот сервис обрабатывает изображения в России? Хотелось бы драматически бросить в зал доказательства, но если быть честным, то надо быть им до конца. В данном случае наша DLP в качестве IP получателя фиксировала адрес прокси-сервера.


Поэтому предлагаю самим вам убедиться, когда улетают ваши паспорта при подаче объявлений. Со своей стороны могу в команду «ping –a», которая выдала «104.26.10.41».

Очень странные дела при подаче объявлений на ЦИАН Утечка данных, Паспорт, Циан, Информационная безопасность, Персональные данные, Длиннопост

В целом, в этот светлый сисадминский праздник, который к тому же ещё и пятница(!) хотелось бы верить в то, что я где-то ошибся или недопонял. Что ж, в таком случае, готов буду посыпать голову пеплом, публично извиняться и учить матчасть. А пока, призываю сообщество самостоятельно проверить изложенные факты и по возможности поделиться результатами.

P.S. Мой оригинал поста на Хабре.

UPD к посту имеются вопросы: #comment_176036026

Показать полностью 8
3219

Два по пять, ноль в уме

Звонок из бухгалтерии:

— У меня калькулятор неправильно считает!

К тому, что Excel «неправильно считает», я привык, а вот калькулятор-то в винде вроде адекватный.

— Как? Какой?

Мышка замирает в полёте к ярлыку программы удаленного доступа …

— На столе который!

Хм… Что ж, на калькулятор удалённо зайти ещё никто не смог.

— Сейчас подойду.

Двигаюсь в указанном направлении, попутно пытаясь сообразить, что вообще могло случиться. Захожу.

— Вот смотри. Умножаю цифру на 1,5 — получаю столько-то. Умножаю ту же цифру на 1,10 — получаю намного меньше!

Хорошо, что мою зарплату считает другой бухгалтер.

1431

В чём объем информации, брат? В литрах, конечно!

Мой друг Андрюха в молодости, при социализме (учёт в армии и социализм - два брата-близнеца) проходил практику в ФИАНЕ.

Считал на ЭВМ космический ядерный реактор. Тогда там на АЦПУ (это принтер) такие листинги были (распечатки, проще говоря), бумажные, с перфорацией поперёк, которые в стопку складываются, зигзагообразно. Андрюха их складывал колодцем в большой шкаф, который опечатывался в конце дня.

Стопка была здоровая, по пояс.

По защите диплома сотрудник 1-го отдела потребовал информацию уничтожить и написать отчёт о том, сколько информации, каким образом и при каких обстоятельствах уничтожено. Во дворе института была поставлена металлическая бочка и в присутствии этого сотрудника Андрюха подносил листинги, от стопки отрывал и жёг, шерудил кочергой. Долго. Это была рутина. А вот вопрос сколько информации уничтожено был решён оригинально. Считать количество листов было очень долго, взвешивать особо не на чем и тоже долго, и Андрюха предложил указать физический объём листингов, благо, форма стопки была правильной - параллелепипед. Так и сделали, померяли рёбра стопки, перемножили, и в отчёте указали, что методом сжигания в присутствии сотрудника Н дипломником Д было уничтожено 70 литров информации. Дословно.

2573

Самый известный в мире хакер

История Кевина Митника — программиста, который совершил более 20 киберпреступлений, но ни в одном не использовал украденные данные во вред.

Самый известный в мире хакер Реальная история из жизни, Программист, Длиннопост, Хакеры, Информационная безопасность, Интересное

Кевин Митник родился в 1963 году в маленьком городке на юге Калифорнии. Когда мальчику было три года, его родители развелись, и отец ушёл из дома. Мама работала официанткой и часто задерживалась на работе, чтобы обеспечить себя и сына. Сам Митник в автобиографии признался, что был сам себе няней и почти всё время проводил дома в одиночестве.


Когда ему было 12 лет, единственным развлечением, которое Митник нашёл для себя, было путешествовать на автобусе по Лос-Анджелесу. Однако денег не всегда хватало даже на билет, поэтому он мог позволить себе редкие поездки на короткие расстояния. Это продолжалось до тех пор, пока Митник не заинтересовался принципом работы пропускной системы в автобусе.


Для себя он отметил специальный штемпель, который проставлял на билете отметки о времени и направлении. Он аккуратно поинтересовался у водителя, где можно купить такой же, якобы для своего школьного проекта. Доверчивый водитель чуть ли ни сам отвёл подростка в магазин, где продавалось оборудование для общественного транспорта.


Ничего не подозревающая мать дала Кевину $15 на выполнение школьного задания, и вскоре он стал обладателем специального компостера. Дело оставалось за малым — получить бланки для билетов. Подросток также знал, где их найти. Водители выбрасывали полупустые бланки в конце смены в мусорные баки на конечных остановках.


Уже с бланками и штемпелем Митник мог направляться куда угодно и бесплатно, нужно было лишь запомнить расписание автобусов. Это не было проблемой — мальчик мог похвастаться феноменальной памятью. Даже сейчас, признаётся хакер, он помнит все телефоны и пароли из детства.

Самый известный в мире хакер Реальная история из жизни, Программист, Длиннопост, Хакеры, Информационная безопасность, Интересное

Другая страсть, которая отличала Кевина Митника с юных лет, — его увлечённость фокусами. Как только он видел новый трюк, он тренировался до тех пор, пока не исполнял его в совершенстве. Именно тогда, по его словам, он начал получать удовольствие от одурачивания других людей.


Первое знакомство с так называемой социальной инженерией состоялось в школе, когда у него появился друг, который посвятил Митника в основы телефонного хакинга — предшественника компьютерного. Первым делом он научил его звонить в любую точку мира бесплатно, хотя, как Митник узнал много позже, это развлечение на самом деле обходилось весьма дорого одной компании, с чьего номера подростки производили вызовы.


Он слышал, как и о чём говорили его новые друзья с телефонными компаниями, узнал о процедурах звонков и вскоре мог это делать самостоятельно. На ближайшие пятнадцать лет его жизнь была определена.


Самым забавным он считал поменять категорию обслуживания у абонента. И когда человек звонил в следующий раз с домашнего номера, телефонная компания отказывала ему в вызове, так как у неё отображался звонок с телефона, на котором не было денег.


Но Митник не просто баловался, он тщательно изучал телефонную индустрию — электронику, компьютеры, сотрудников, алгоритм работы. Уже в 17 лет он мог поговорить с любым сотрудником телекоммуникационных компаний, разбираясь в делах не хуже профессионала.


Его хакерская карьера началась в старшей школе. В то время термин «хакер» использовался для обозначения не преступника, а увлечённого программиста, который много времени проводил в попытках найти более быстрый и эффективный способ работы программ. Иногда целью было сократить количество шагов, чтобы ускорить процесс и закончить работу первым.


В 1979 году группа хакеров из Лос-Анджелеса залезла в компьютерную систему Digital Equipment Corporation (фирму, выпускающую вычислительное оборудование в США). Целью было использовать разработки компании для своего программного обеспечения. Митник мечтал попасть в группу для приобретения опыта.


Новые знакомые дали начинающему хакеру номер удалённого доступа корпорации. Но они прекрасно знали, что без знания аккаунта и пароля Митник не сможет попасть внутрь системы. Возможно, это было проверкой для новичка. Однако программист принял вызов. Представившись одним из разработчиков, юный хакер позвонил системному менеджеру.


Он сумел убедить админа, что не может попасть в свой аккаунт, и попросил его о поддержке по телефону. В течение пяти минут он получил возможность изменить пароль удалённого доступа. Митник зашёл в систему Digital Equipment Corporation, но не как обычный пользователь, а как привилегированный, один из её разработчиков. Новые приятели были впечатлены.


Но дальше произошло то, чего юный хакер никак не ожидал. Его «партнёры» использовали вход, чтобы скачать всё, что им было нужно. После чего позвонили в службу безопасности и «сдали» Митника. Это было первым серьёзным разочарованием программиста в тех, кого он был готов уже назвать друзьями. В дальнейшем ему ещё не раз пришлось столкнуться с предательством.


После старшей школы юноша продолжил образование в Центре компьютерного обучения в Лос-Анджелесе. Через несколько месяцев местная администрация заметила, что Митник нашёл слабое место в системе безопасности их компьютеров и получил полный доступ к их технике.


Осознав, что перед ними не просто развлекающийся студент, а возможно, программист-гений, ему предложили два варианта — быть исключённым за взлом или помочь усовершенствовать систему безопасности школы. Через некоторое время Митник закончил обучение с отличием.


В 1981 году подросток и двое его друзей взломали офисы компании Cosmos (Computer System for Mainframe Operations) корпорации Pacific Bell. Она являлась базой данных, которую использовали большинство американских телефонных компаний для контроля звонков. Подростки получили список ключей безопасности, коды дверей нескольких филиалов и инструкцию по пользованию системы Cosmos. Они украли информацию на сумму в $170 тысяч.


Но на этот раз Митнику не удалось выйти «сухим из воды» — менеджер телефонной компании обнаружил утечку данных и обратился в полицию. Дальше не выдержали нервы у девушки одного из друзей хакеров, и она сама пришла в местное отделение. Кевин Митник был приговорён судом по делам несовершеннолетних к трём месяцам тюремного заключения и одному году условно. Это была его первая криминальная запись, но не последняя.

Самый известный в мире хакер Реальная история из жизни, Программист, Длиннопост, Хакеры, Информационная безопасность, Интересное

Его следующий арест произошёл в 1983 году — для начала хакер взломал компьютер Университета Южной Калифорнии, после чего уже с него вошёл в систему Пентагона. На этот раз его приговорили к шести месяцам в тюрьме для несовершеннолетних. Уже тогда те, кто расследовал его преступления, говорили о Митнике не как об обыкновенном хакере, отмечая его неординарные способности.


Все эти годы программист совершенствовал не только свои знания в технике, но и в психологии, оттачивая мастерство выдавать себя за других людей по телефону и выуживать нужную ему информацию. Если трюк с автобусными билетами Митник, по его словам, не ассоциировал с мошенничеством, то получая секретные сведения, хакер понимал, что занимается незаконной деятельностью.

Самый известный в мире хакер Реальная история из жизни, Программист, Длиннопост, Хакеры, Информационная безопасность, Интересное

Однако долгое время он сам себя оправдывал тем, что ему было просто любопытно, как далеко он может зайти и какую ещё секретную информацию сможет получить. За это время в среде хакеров Митник получил прозвище «Кондор», так звали героя Роберта Редфорда в шпионском триллере режиссёра Сидни Поллака «Три дня Кондора». В фильме персонаж скрывался от ЦРУ, используя телефонную сеть.


После двух тюремных сроков Митник, казалось, одумался и в 1987 году зажил обычной жизнью со своей девушкой. Однако страсть к обману в какой-то момент вынудила его провернуть незаконные операции с кредитными карточками и телефонными номерами, что снова привело полицию в его квартиру. Митника обвинили в краже программного обеспечения MicroCorp Systems у небольшой калифорнийской компании-производителя. В том же году он был приговорён к трём годам условно.


С такой биографией устроиться на хорошую работу было проблематично, но Митник попытался и послал резюме в Security Pacific Bank, где ему вполне ожидаемо отказали. В отместку хакер подделал отчётность банка, которая показывала $400 млн убытка, и стал распространять эту информацию по сети. Отделу безопасности банка вовремя удалось остановить фальсификацию.


Не найдя достойного применения своему таланту легально, Митник объединился со своим другом Ленни ДеЧикко. Вместе они совершали атаки на одну компьютерную компанию с целью скопировать новую операционную систему. Взломы осуществлялись с компьютеров фирмы, где техником работал ДеЧикко. Достаточно быстро компания обнаружила атаки и заявила об этом, только на этот раз не в полицию, а в ФБР.


Митник, заподозрив, что кто-то идёт по их следу, и испугавшись ареста, попытался подставить своего компаньона — ДеЧикко. Узнав это, последний просто сознался во всём своему руководителю и сотрудникам ФБР. В 1988 году Митника снова арестовали.


Урон от кражи оценивался в миллионы долларов, Митнику были предъявлены обвинения в компьютерном мошенничестве и владении кодами доступа. Это был уже пятый арест хакера, и на этот раз он привлёк внимание общественности, в первую очередь за счёт необычной тактики защиты.


Адвокаты программиста запросили для него один год тюрьмы и шесть месяцев в реабилитационной клинике для лечения от компьютерной зависимости. Это было в новинку для того времени, но суд действительно усмотрел связь между навязчивой идеей Митника взламывать компьютерные системы и психологическим состоянием, наподобие наркотического.


После тюремного срока и работы с психиатрами хакеру было запрещено приближаться не только к компьютерам, но и к телефону, хотя в то время с телефона нельзя было выйти в сеть. Митник устроился на малооплачиваемую должность программиста в мелкой компании по рассылке почты в Лас-Вегасе. Но где бы ни работал хакер, вскоре работодатели узнавали о его «послужном списке».


В то время ФБР провело обыск в доме и на рабочем месте одного из членов группы телефонных хакеров, в которой годами ранее состоял Митник. Был выдан ордер на арест программиста за нарушение условий его освобождения в 1989 году. Но он не стал ждать очередного тюремного срока и сбежал, после чего был объявлен в федеральный розыск.

Самый известный в мире хакер Реальная история из жизни, Программист, Длиннопост, Хакеры, Информационная безопасность, Интересное

В 1991 году Кевин Митник проснулся знаменитым благодаря репортёру New York Times Джону Маркофу, который специализировался на статьях о бизнесе и технологиях. В тот же год журналист получил премию от Ассоциации издателей программного обеспечения. Позже Митник утверждал, что Маркоф предложил ему совместно написать книгу о нём, но программист отказался — в ответ журналист сделал его «самым знаменитым хакером мира», и читатели охотно ему поверили.


По словам Митника, всё началось с череды статей в New York Times, которые были полны «ложных обвинений и клеветы». Но они не только позже сделали книгу Маркофа Takedown («Взлом») бестселлером, но и дали органам власти повод сделать из Митника самого главного преступника в компьютерном бизнесе.


Несколько лет о хакере ничего не было слышно, только в 1994 году ФБР приступило к расследованию случаев, в которых отчётливо прослеживался почерк Митника. Во-первых, компания Motorola заявила, что кто-то украл программы, позволяющие контролировать сотовую связь. Кроме того, фирма McCaw Cellular Communications рассказала о краже серийных номеров новых мобильных телефонов.


Всё это, по мнению ФБР, было дело рук Кевина Митника. Однако поймать программиста помог случай. В том же году хакер взломал домашний компьютер одного из ведущих американских специалистов по компьютерной безопасности Цутому Симомуры.

Самый известный в мире хакер Реальная история из жизни, Программист, Длиннопост, Хакеры, Информационная безопасность, Интересное

Японец занимался тем же, что и американец, только они находились по разные стороны закона. Cимомура посчитал делом чести поймать Митника, тем более, что тот не только взломал его компьютер, но и оставил оскорбительное для него звуковое сообщение. Чтобы сохранить профессиональную репутацию, Симомура помогал ФБР, и в итоге в 1995 году им удалось поймать Митника, который, скрываясь, сменил не одно удостоверение личности.


Кевину Митнику было предъявлено более 20 обвинений — в краже программного обеспечения, несанкционированном доступе с использованием телефонных линий, взломе компьютеров Университета Южной Калифорнии, краже файлов, перехвате электронных писем и многом другом. Среди пострадавших компаний были такие громкие имена, как Apple, Nokia, Motorola и другие.


Митник не признал себя виновным, говоря, что никогда не пользовался полученной информацией в личных целях. На суде он рассказал, как, например, взломал компьютер Джорджа Лукаса и прочёл сценарий нового эпизода «Звёздных воин», однако никому не сказал ни слова. Сам режиссёр узнал об атаке на свой компьютер только после признания Митника.


Тем не менее программист был приговорён к пяти годам заключения без права выхода под залог. Тысячи хакеров поддержали Митника, настаивая на его невиновности. Главным аргументом было то, что все свои атаки программист совершил из чистого любопытства. В поддержку они организовали движение Free Kevin, которое продвигали с помощью самых известных сайтов.

Самый известный в мире хакер Реальная история из жизни, Программист, Длиннопост, Хакеры, Информационная безопасность, Интересное

За всё это время Митнику действительно было предъявлено множество обвинений в кражах, взломах, атаках, но ни разу никто не смог доказать, что хакер использовал эти данные во вред — он не стирал информацию, не разрушал систему, также неизвестно ни об одном случае продажи украденных секретов.


Несмотря на защиту, Митник находился в федеральной тюрьме до 2000 года. После выхода на свободу программисту в течение трёх лет было запрещено прикасаться к любому электронному устройству, которое могло быть подключено к интернету — от компьютера до телевизора.


Известно, что даже когда Митнику предложили сыграть роль сотрудника ЦРУ в сериале «Шпионка», в эпизоде, где по сценарию ему полагалось работать за компьютером, специально для этого был изготовлен картонный макет электронного устройства.

Самый известный в мире хакер Реальная история из жизни, Программист, Длиннопост, Хакеры, Информационная безопасность, Интересное

Несмотря на ограничения, программист не терял времени — он основал собственную компанию «Оборонительное мышление», которая стала консультировать по вопросам безопасности, и сел за книгу — в ней он рассказал свою историю. Однако по решению суда он не мог получать от неё экономическую выгоду до 2010 года.


Книга «Искусство обмана» описывает методы манипуляции и убеждения, применив которые можно выдать себя за другого человека и получить коды доступа к системам. Сам Митник объяснил, что его книга преследует образовательные цели. «Определённые техники и трюки были использованы против некоторых компаний, однако все истории в книге — вымышленные», — сказал он.


Вскоре Митник рассказал об идее для своей следующей книги, в которой собирался описать реальные хакерские атаки. Он попросил своих «коллег» о помощи в написании, взамен обещав анонимность, копии своих книг с автографом, а за самую громкую историю предложил награду в полмиллиона долларов. В 2005 году вышла его новая книга «Искусство обмана».


Каждая книга Митника становилась бестселлером. В 2011 году вышла новая — «Призрак в сети: Мои приключения как самого разыскиваемого хакера в мире». Через шесть лет была выпущена ещё одна книга — «Искусство быть невидимым».


Это не единственные книги, вышедшие о знаменитом программисте. Ещё в 1996 году, когда Митник сидел в тюрьме, журналист New York Times Джон Маркоф совместно с японским специалистом Цутому Симомура выпустили о нём книгу «Взлом».


Через четыре года она была экранизирована, фильм получил одноимённое название, а его автор Маркоф — $1 млн. Кроме того, Митник несколько раз становился персонажем компьютерных игр.


Официально программист так никогда и не вернулся к хакерской деятельности. Многие отмечают, что за те годы, что он провёл в тюрьме, развитие технологий настолько далеко ушло вперёд, что хакер при всём своём желании не смог бы вернуться к ремеслу. Тем не менее, сам Митник говорит об осознанном отказе от взломов компьютеров.


В своей книге он написал: «Я размышлял о своей жизни в течение последних тридцати лет. Я признаю, что совершал крайне плохие поступки, которые были вызваны любопытством, желанием изучать технологии и испытать свои умственные способности. Сейчас я изменился. Я направил свои таланты и знания об информационной безопасности и социальной инженерии на пользу правительству, компаниям и людям. Чтобы предотвращать, защищать и реагировать на любые угрозы информационной безопасности».

Показать полностью 7
107

Банки такие банки...

Понадобилось открыть ИП. Как только мои данные попали в налоговую, сразу начались звонки от банков (персональные данные? не, не слышал). Все предлагают открыть счет именно у них. На просьбу отправить условия на почту большинство отвечает "там очень длинно, давайте мы вам голосом расскажем". Ну да, конечно, голосом-то я все цифры отлично запомню. Пара человек посоветовали поискать документацию самому, на сайте банка.

Звонить начинают с девяти утра, ведь информацию о том, что будильник у меня стоит на десять я в налоговую не предоставлял.

Один из банков позвонил трижды с разницей в полчаса. Поругался чуть-чуть, больше не звонят.

Банк, через который я для простоты оформлял всё в налоговой позвонил и тоже не смог прислать тарифы. А потом подключил меня на самый простой тариф автоматически, так как я поставил такую галочку где-то на старте, когда документы передавал. Зачем звонили?..

Начал отвечать, что счет открыт, но если очень хотите - пришлите мне информацию о тарифах, я подумаю. Один банк прислал в телеграмм скриншот кратких условий. Второй - уточнил, в каком я городе, чтобы прислать правильную информацию, после чего скинул смской ссылку на сайт, где нужно выбрать свой город.

Не понимаю, как они вообще так работают...

320

Лучшее в информационной безопасности

Лучшее в информационной безопасности Разработка, Персональные данные, Информационная безопасность, Профессиональный юмор

НЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ:

1. НЕ ПОЛЬЗОВАТЕЛИ

2. НЕ ПАРОЛИ

3. НЕ ПЛАТЕЖНЫЕ ДАННЫЕ


— О да, улучшение безопасности — следующий шаг в наших планах.


Лучшее в информационной безопасности заключается в том, что чем дольше вы откладываете вопросы, связанные с ней, тем меньше вам вообще нужно ими заниматься.

447

Как мама хакера проникла в тюрьму и заразила компьютер начальника

Как мама хакера проникла в тюрьму и заразила компьютер начальника Тюрьма, Хакеры, Текст, Пентест, Информационная безопасность, Мама, Длиннопост

На что вы готовы ради успешного завершения проекта? Не спать ночами, отправить семью в отпуск, чтобы они вас не отвлекали, литрами пить кофе и энергетики? Есть варианты и покруче. Cloud4Y хочет поделиться удивительной историей аналитика по вопросам кибербезопасности. Джон Стрэнд, получивший контракт на проверку системы защиты исправительных учреждений, выбрал человека, который идеально подходил на роль пентестера: собственную мать.


Джон Стрэнд специализируется на проникновении в различные системы и оценке их защищённости. Его услугами пользуются различные организации, желающие выявить слабые места в собственной защите до того, как эти дыры в безопасности будут обнаружены хакерами. Как правило, Стрэнд сам выполняет задачи на проникновение или подключает одного из своих опытных коллег из Black Hills Information Security. Но в июле 2014 года, готовясь к ручному тестированию в исправительном учреждении в Южной Дакоте, он принял весьма неожиданное решение. На выполнение задания он послал свою маму.


Идея ввязаться в такую авантюру принадлежит самой Рите Стрэнд. Примерно за год до событий, когда ей было 58 лет, она стала финансовым директором Black Hills, а до этого примерно три десятка лет работала в сфере общественного питания. Имея столь внушительный профессиональный опыт, Рита была уверена, что сможет выдать себя за инспектора здравоохранения, чтобы проникнуть в тюрьму. Всё что требовалось, так это поддельное удостоверение и правильный шаблон поведения.


«Однажды она подошла ко мне и сказала: «Ты знаешь, я хочу куда-нибудь проникнуть», — рассказывает Странд — «Как я мог отказать ей?».


Пентест — это не так просто, как кажется. Специалисты по тестированию на проникновение всегда говорят, что благодаря одному лишь уверенному виду можно добиться невероятных результатов, но пустить новичка в исправительное учреждение штата – это пугающий эксперимент. И хотя обычно нанятым пентестерам разрешено проникать в системы клиента, в случае их поимки могут возникнуть проблемы. Два пентестера, которые проникли в здание суда штата Айова в рамках заключённого ранее договора, провели 12 часов в тюрьме после того, как были пойманы. Потом был суд, долгие разбирательства, и лишь недавно всё закончилось. Благополучно для парней, хотя нервы им помотали изрядно.


Задача Риты Стрэнд была осложнена отсутствием технических знаний. Профессиональный пентестер может оценить цифровую безопасность организации в режиме реального времени, и сразу установить backdoor, который соответствует найденным в конкретной сети уязвимостям. Рита же могла изобразить надменного инспектора здравоохранения, но она совсем не была хакером.


Как проходил пентест

Как мама хакера проникла в тюрьму и заразила компьютер начальника Тюрьма, Хакеры, Текст, Пентест, Информационная безопасность, Мама, Длиннопост

Чтобы помочь Рите попасть внутрь, ей сделали поддельные документы, визитку и бейдж «руководителя» с контактной информацией Джона. Предполагалось, что после проникновения внутрь Рита сфотографирует точки доступа учреждения и физические средства безопасности. Вместо того, чтобы заставлять женщину в возрасте взламывать какие-либо компьютеры, Джон снабдил маму так называемыми «Rubber Duckies»: вредоносными флешками, которые она могла подключить к любому устройству. Флэшки устанавливали связь с её коллегами из Black Hills и открывали им доступ к тюремным системам. Затем они дистанционно выполняли другие компьютерные операции, пока Рита продолжала действовать внутри.


«Большинству людей, которые занимаются пентестом впервые, очень некомфортно», — рассказал Стрэнд. «Но Рита была готова к работе. Кибербезопасность в тюрьме имеет решающее значение по очевидным причинам. Если кто-то может проникнуть в тюрьму и захватить компьютерные системы, вывести кого-то из тюрьмы будет действительно просто».

Утром в день пентеста Стрэнд с коллегами собрались в кафе возле тюрьмы. Пока готовился их заказ, ребята собрали рабочую систему с ноутбуками, мобильными точками доступа и другим оборудованием. И когда все было готово, Рита поехала в тюрьму.


«Когда она вышла, я подумал, что это была очень плохая идея» — вспоминает Стрэнд. «У неё нет опыта проникновения, нет опыта взлома ИТ. Я сказал: «Мама, если всё станет плохо, тебе нужно взять телефон и немедленно позвонить мне».


Пентестеры обычно стараются проводить на объекте как можно меньше времени, чтобы избежать лишнего внимания и подозрений. Но после 45 минут ожидания Рита так и не появилась.


«Когда прошло около часа, я начал паниковать», — улыбается Джон Стрэнд. «Я корил себя за то, что должен был это предусмотреть, пока мы ехали в одной машине, а сейчас я сижу в глуши в кафе, и у меня нет возможности добраться до неё».


Внезапно ноутбуки Black Hills начали подавать сигналы активности. Рита сделала это! Установленные ею USB-закладки создавали так называемые веб-оболочки, которые давали команде в кафе доступ к различным компьютерам и серверам внутри тюрьмы. Стрэнд вспоминает, что один из коллег кричал: «Твоя мама в порядке!».


На самом деле Рита вообще не встретила никакого сопротивления внутри тюрьмы. Она сказала охранникам на входе, что проводит внеплановую медицинскую инспекцию, и они не только пропустили ее, но и оставили у неё мобильный телефон, с помощью которого она записала всю процедуру проникновения на объект. На тюремной кухне она проверила температуру в холодильниках и морозильниках, сделала вид, что проверяет наличие бактерий на прилавках и полках, искала просроченные продукты и делала фотографии.


Также Рита попросила осмотреть рабочие зоны сотрудников и зоны отдыха, сетевой операционный центр тюрьмы и даже серверную комнату — всё это якобы для проверки на наличие насекомых, уровня влажности и заплесневелости. И никто ей не отказал. Ей даже разрешили бродить по тюрьме в одиночку, дав предостаточно времени для того, чтобы сделать кучу фотографий и установить USB-закладки везде, где только можно.


В конце «инспекции» директор тюрьмы попросил Риту посетить его кабинет и дать рекомендации, как учреждение может улучшить организацию питания. Благодаря большому опыту в сфере питания женщина рассказала о некоторых проблемах. Затем она передала ему специально подготовленную флешку и сообщила, что у инспекции есть полезный контрольный список вопросов для самооценки и что он может использовать его для устранения текущих проблем. На флешке лежал Word-файл, заражённый вредоносным макросом. Когда начальник тюрьмы открыл его, он дал Black Hills доступ к своему компьютеру.


«Мы были просто ошарашены», — говорит Стрэнд. «Это был ошеломительный успех. Представителям кибербезопасности теперь есть что сказать о фундаментальных недостатках и слабостях действующей системы. Даже если кто-то уверяет, что он инспектор здравоохранения или кто-то ещё, необходимо лучше проверять информацию. Нельзя слепо верить тому, что говорят».


Что в итоге

Знающие эту историю другие пентестеры считают, что пусть успех Риты и является в большей степени удачным стечением обстоятельств, но ситуация в целом хорошо отражает их повседневный опыт.


«Результат применения небольшой лжи и физических аспектов может быть невероятным. Мы выполняем похожие работы всё время и редко оказываемся разоблачёнными», — соглашается Дэвид Кеннеди, основатель ещё одной фирмы по тестированию на проникновения, TrustedSec. «Если вы утверждаете, что являетесь инспектором, аудитором, авторитетным лицом, то вам всё позволено».


Рита больше никогда не участвовала в тестах на проникновение. А Джон Стрэнд и сейчас отказывается говорить, в какую тюрьму проникала его мать. Уверяет, что сейчас она уже закрыта. Но усилия команды оказали существенное влияние на организацию безопасности, говорит Стрэнд. И в шутку добавляет: «Я также думаю, что благодаря нашему тесту уровень здравоохранения в организации был повышен».

Показать полностью 1
2732

Дырявый Сапсан

Дырявый Сапсан Сапсан, РЖД, Wi-Fi, Взлом, Информационная безопасность, Персональные данные, Текст, Длиннопост, Негатив

Уже был пересказ новости с хабра, как один пассажир обнаружил дыру в безопасности, подключившись к Wi-Fi в поезде.

Недавно история получила продолжение.


Немного пояснений:

В поезде, для доступа к Wi-Fi, надо указать номер места, вагона и последние 4 цифры паспорта.

Собственно, данные паспорта должны где-то храниться, а если они хранятся в локальной сети, то может быть к ним есть доступ не только у системы авторизации.

Немного покопавшись, пассажир получил полный доступ к важным контейнерам на сервере, в том числе и базе данных.

https://habr.com/ru/post/476034/


Достаточно иметь ноутбук, а при должном умении, хватит и смартфона, установить популярные средства для администрирования сети. И спокойно подключиться к внутренней сети РЖД, скачать данные пассажиров, ставить майнеры, а то и вовсе, стереть содержимое.


Ну вот, дыры есть, пароли простые и одинаковые (это то же самое, что их отсутствие). Казалось бы, очевидно, нормально настроить докер и службы, чтобы каждый школьник не заходил в ssh под рутом.

Но нет, это ведь РДЖ. Тут все не как у людей.

Они взялись "расследовать" это дело.

https://habr.com/ru/news/t/476422/


По итогу расследования выяснили, что Сапсан взломать обычный человек не способен. Следовательно, взломавший - злоумышленник. К тому же, обладающий специальными техническими средствами.

А с системой все в порядке, ибо «Что есть защищенная система? Защищенная система — это та система, взлом которой стоит дороже, чем ценность информации, которая там есть. Вот и все», — подытожил директор по информационным технологиям ОАО «РЖД»».

https://habr.com/ru/news/t/476920/


Из этого можно сделать вывод, что защищать персональные данные пассажиров дороже, чем нормально настроить порты.


Ну и ладно, потереть данные на сервере это не такая уж и трагедия, поезд от этого не остановится. К тому-же персональные данные давно уже все слили, их можно почти легально купить оптом или в розницу.

Главный посыл не в этом, а в том, что многие критически важные детали держатся на каких-нибудь племянниках троюродного брата жены директоров ИТ, с которых нет никакого спроса.


А если какой-нибудь здравомыслящий человек делает комментарии, то его пытаются напугать или говорят, что все и так прекрасно работает. В случае коллапса - наклеивают новые обои с нарисованными окнами и выставляют террористами, попавших под руку.


Технологии развиваются и расширяются, а процент чиновников, которые в них не разбираются, не падает. Скоро дело дойдет до того, что пара человек смогут парализовать всю страну, подключившись к дырявой инфраструктуре.

Показать полностью
116

В интернет - по паспорту... Гладко было на бумаге, да забыли про овраги...

Чем дальше, тем абсурднее. Госдуме и Совете Федерации всерьёз предложили обсудить идею входа в интернет по паспорту

ссылка

Автор идеи - президент Ассоциации предпринимателей по развитию бизнес-патриотизма "Аванти" Рахман Янсуков. Мотивация: "персонификация каждого юзера, с целью предотвращения неправомерных действий, а также ограждение несовершеннолетних от негативного влияния" - по сути размытая, неконкретная, шаблонная аргументация.

Оставим сейчас в стороне главный вопрос: для чего это нужно и кому это выгодно. Вспомним вот о чём...


Инициаторы этого типично вахтёрского безумия думают однобоко. Нужно быть не совсем в здравом уме, чтобы не понимать, что ввод паспортных данных при входе в интернет означает повальный слив персональных данных граждан в сеть. Которым с огромной радостью будут пользоваться в своих целях мошенники разных мастей. Эта инициатива не только не оградит, но наоборот - усилит негативное влияние интернет-криминала на добропорядочных граждан.


Впрочем, инициаторам этой глупой затеи всё это божья роса, на сограждан им наплевать. Про то, что добропорядочный юзер вполне рутинно вычисляется по IP-адресу, они, видимо, забыли. Ну а жулик будет всё это спокойно обходить по VPN, и легко воровать данные паспортов. К своему вящему удовольствию. К какому масштабному обману населения это приведёт, просто неописуемо. Остаётся только молиться, что всё же восторжествует здравый смысл, и  в ГД и СФ отклонят опасную идею.

486

Хакеры «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского».

Хакеры «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского». Россия, Новости, Хакеры, IT, Кибербезопасность, Персональные данные, Взлом, Информационная безопасность

Члены хакерской группировки «Лурк», подозреваемые в хищении 1,2 млрд рублей у россиян, обвинили во взломе Сбербанка бывшего сотрудника «Лаборатории Касперского» Руслана Стоянова, осужденного за госизмену. Об этом говорится в заявлении для СМИ лидера хакеров Константина Козловского. По его словам, недавняя утечка данных клиентов Сбербанка — «мелкое событие» по сравнению с тем, что делали «лурки».


«Стоянов ломанул весь „Сбербанк-лизинг“ — компанию-разработчика Сбербанка для физлиц — и весь Северо-Западный филиал Сбера, — заявил Козловский. — Весь Domain Admin. Представьте, есть огромное здание Сбера, Domain Admin — ключ ко всем дверям в нем».


В подтверждение слов Козловского указывает на листы из уголовного дела хакеров — распечатки их общения в мессенджере Jabber во время взлома (события 2016 года). «Все, я главный домен админ Сбера», — пишет пользователь с ником Meg. «Закрепись, пожалуйста», — просит его Cashout. «Работал бы Ваш файл, закрепился бы, наверное», — отвечает Meg, сообщая позже, что смог отправить СМС-ку от Сбербанка.


«Мне, Козловскому, следствие вменяет использование ника Cashout, — заявил „URA.RU“ лидер хакеров. — Ник Meg же следствием не вменяется никому. По делу видно — он взламывал Сбер и многое другое. <…> Уже четвертый год все мои попытки рассказать, что Meg — это Стоянов Руслан из „Лаборатории Касперского“, разрушаются о нежелание властей слышать правду».


«На одном из ближайших заседаний суда мой подзащитный и его товарищи намерены потребовать установления личности, скрывающейся за ником Meg», — заявила агентству адвокат Козловского Ольга Кезик.


В деле «лурков» есть распечатка журнала операций вируса (см. СКРИН), которые также можно расценить как подтверждение взлома серверов Сбербанка в 2016 году — пояснения этого «URA.RU» представил другой участник группировки Александр Сафонов. «URA.RU» направило запросы — из «Лаборатории Касперского» ответ к моменту публикации не поступил, в Сбербанке заявили, что не комментируют данную тему.


Источник: https://ura.news/news/1052403240

Показать полностью
436

Про SIMJacker, вирусы через SMS и это все

Навеяно постом, а еще больше комментариями к нему, где «гуру» высказали свое авторитетное мнение: этой дыре сто лет, она не работает, она вообще не дыра, на симках нет исполняемого кода, КГ/АМ и далее со всеми остановками.


У меня для вас плохие новости: дыра есть и она работает, за что мы все должны отвесить низкий поклон алчным операторам, пихающим на SIM-карты свои «приложения», рукожопым разработчикам SIM Application Toolkit (STK) и Корпорации добра, которая выпустила дырявый «интерпретатор» для поддержки этой дряни.


Если у вас телефон на Android, то на нем есть приложение STK.apk (STK.apk и STK2.apk на двухсимочном). На iPhone тоже есть какое-то приложение, но не знаю как оно называется и как выглядит его иконка. Если его запустить, появится приложение с заголовком «Меню оператора» или что-то в таком ключе, управляющее «дополнительными сервисами» – «Хамелеон», «Живой баланс» и т.п. мусор.

Про SIMJacker, вирусы через SMS и это все Информационная безопасность, Sim, СМС, Уязвимость, Хакеры, Длиннопост

Код для управления этими сервисами записан на SIM (да, Карл, на SIM есть исполняемый код!) и часть этого кода можно исполнить путем отправки на соответствующий смартфон (планшет, систему видеонаблюдения, запирающее устройство, трекер – всюду, куда воткнута SIM-карта) специального SMS-сообщения от оператора. Это был лишь вопрос времени, когда хакеры «подберут ключи» и смогут сами отправлять такие SMS, чтобы с их помощью управлять чужим устройством.


Как обезопасить себя, пока операторы не выпустят новые, исправленные SIM-карты (спойлер: никогда)? Если у вас на устройстве Android и есть рут – удалить, отключить, заморозить приложения STK.apk Это не повлияет на базовый функционал SIM-карты, т.е. вы по-прежнему сможете звонить, принимать звонки, посылать и получать SMS/MMS, а также шастать в Интернете. Не будут работать только «дополнительные сервисы» оператора.


Если же рута нет, это можно сделать через ADB, выполнив 2 команды:

pm disable-user com.android.stk

pm disable-user com.android.stk2

Обладателям яблодевайсов, увы, ничего подсказать не могу – у вас идеальная закрытая экосистема, где производитель уже позаботился обо всех возможных потребностях клиентов. Вот своему производителю и задавайте вопросы, как жить дальше...

Показать полностью 1
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: