Category: авто

Category was added automatically. Read all entries about "авто".

white

Утечка данных. Парковка запрещена

Утечки данных приводят к финансовым потерям. В течение десяти лет (а то и более) мы пытаемся донести до общественности этот факт. Но даже сегодня находятся недальновидные руководители компаний, которые отказываются верить в очевидное. Дескать, покажите нам хоть один случай, когда утечка данных привела к потере денег.

Вы спрашивали – мы отвечаем. 15 января компания Park ‘N Fly выпустила официальное заявление, где указывается, что платежные данные ее клиентов были скомпрометированы из-за уязвимости веб-сайта. К расследованию подключились сторонние эксперты по компьютерной форензике. По словам представителей Park ‘N Fly, скомпрометированы номера карт, имена владельцев, коды CVV. Электронные адреса клиентов, телефонные номера и пароли доступа к системе Park ‘N Fly, вероятно, также оказались в руках злоумышленников.

Компания приостановила процессинг платежей, о чем уведомляет на официальном сайте:
parker_program

Park ‘N Fly предоставляет услуги интернет-бронирования парковочных мест в аэропортах. Ранее эксперт по информационной безопасности Брайн Кребс писал в своем блоге о появлении на черном рынке большого объема номеров кредитных карт. Кребс предположил, что данные карт похищены из информационных систем бронирования парковок, принадлежащих Park ‘N Fly и еще одной компании, бронирующей парковки - OneStopParking. Тогда компании отказались признать факт утечки данных.

Брайн Кребс отмечает, что число карт клиентов Park ‘N Fly и OneStopParking, предлагаемых к продаже на черном рынке, исчислялось несколькими тысячами. Карты продавались на тех же «черных» ресурсах, что и дампы карт клиентов Home Depot, Target, Sally Beauty, P.F. Chang’s и Harbor Freight. Хакеры просили от 6 до 9 долларов США за одну запись, включающую имя владельца, адрес и телефон, номер и срок действия карты, трехзначный код подтверждения (CVV).

В 2014 году мы отмечали повышенный интерес злоумышленников к платежным данным, которые обрабатываются в информационных системах ритейлеров. Теперь хакеры добрались и до онлайн-сервисов. Очевидно, в 2015 следует ожидать массовых атак на компании, оперирующие большим объемом платежных данных, но менее защищенные, чем кредитные организации. Это могут быть крупные туристические онлайн-сервисы, системы бронирования авиабилетов, национальные интернет-провайдеры, логистические компании.

Мы настоятельно рекомендуем владельцам этих бизнесов задуматься о безопасности платежных данных своих клиентов. В противном случае масштабная атака, например, на туристический сервис может стать последним событием в жизни такого сервиса.
white

Как Левша китайскую блоху проиндексировал

Вы, наверное, слышали, как недавно Россия удивила Запад невдолбенным количеством видеорегистраторов на автомобилях. Они-то думали, что по объёму слежки от Большого брата они впереди планеты всей. Но российский младший брат оказался проворнее старшего. Граждане сами, без помощи государства и крупных корпораций организовали друг за другом такую плотную слежку, что полицейские режимы только завидуют.

Среди моих многочисленных знакомых первым (и пока единственным) обладателем носимого видеорегистратора тоже оказался русский – небезызвестный товарищ arjlover. А его регистратор – достаточно недорогим и удобным устройством.

Судя по всему, в мире стремительно заканчиваются места, которые бы не просматривались камерами видеонаблюдения.

Как-то естественно, несуетно и незаметно весь отснятый миллионами камер материал оказывается в Сети – там хранить удобнее. А когда данные уже там, то открыть к ним доступ – дело одного клика мышью.

Куда же указывает сия тенденция? На алгоритмы и устройства поиска. Навалить 100500 петабайт видео – много ума не надо. Научиться искать, распознавать и аттрибутировать его – вот это настоящий вызов для современной науки. Кто научится, станет вторым Гуглом.

Можно процеживать видеоданные в поисках чего-то полезного – и брать за это деньги с тех, кто смотрит. А можно наоборот, процеживать их в поисках вредного (утечек) – и за это брать деньги с тех, кто снимает. Та и другая задача обещают хорошие доходы.

white

"Командир, может, договоримся?"

Навели тут добрые люди на статью про новое оснащение гаишников:
«Планшетник обеспечит связь с центральным сервером. Инспектору нет необходимости связываться с дежурной частью, "пробивать" по базе номера. На экране планшетника он увидит не только, где и когда зарегистрирована машина, но вообще все, что есть во всех информационных базах.»
Сразу же вспомнилось.

Когда я служил в маленьком отделении милиции, мы тоже постоянно "пробивали по базе" встречные, проезжие и остановленные машины. Ты туда – госномер, марку, цвет, а если не лень, то ещё номера кузова и двигателя. Тебе оттуда – соответствуют ли данные друг другу, числятся ли в розыске. Ноутбуков и, тем более, планшетов у нас тогда не было, так что пользовались голосовым интерфейсом через рацию или телефон. В эфире постоянно сыпалась цифирь от проверяемых машин.

И вот какая особенность. Если машина "неправильная" или в розыске, то отвертеться от задержания уже невозможно. Вот такие, к примеру, диалоги слышались в эфире:
Инспектор: Мерседес-300, белый, госномер [номер], кузов [номер], двигатель [номер]. Приём.
Дежурная часть: Пятьсот один! [т.е. в розыске]
Другой экипаж: Поздравляю!
Третий экипаж: С тебя причитается!
Дежурная часть: Высылаю ГНР.
Чтобы отпустить пойманного мерседеса за взятку – не могло быть и речи. А на всяких неправильных парковках и отсутствии огнетушителей много бабла не срубишь. Что делать?

Со временем была выработана особая технология "пробивки по базам", при которой обнаружение разыскиваемого объекта официально не фиксировалось. И можно было разобраться с ним неофициально. Как? Даже не спрашивайте. Коммерческая тайна.

С ноутбуками и планшетниками тоже, наверняка, можно что-то придумать. Патч, кряк, лоадер, альтернативная прошивка... То, что один человек сделал, другой завсегда разобрать сможет. Тем более, тут у водителя и инспектора интересы некоторым образом совпадают.

white

Расчёт и шанс

Идя на заранее продуманное преступление, человек не предъявляет паспорт, не светит рожу перед камерой, меняет номер автомобиля и заводит отдельный аккаунт электронной почты. Таким образом, прописка регистрация населения, видеонаблюдение, учёт автотранспорта и СОРМ бесполезны для раскрытия преступлений. Правильно? Конечно, нет.

Большинство преступлений совершается непрофессионалами в этом деле и без подготовки, почти спонтанно. А для тех, которые "с заранее обдуманными намерениями", расчёт злодея не всегда оказывается правильным. Поэтому меры по учёту и превентивной слежке всегда срабатывают; не одна, так другая.

Примерно то же самое можно сказать про утечки. Больше половины их вообще случайные. Остальные – намеренные, но разной степени намеренности и спонтанности. Все злоинсайдеры кажутся сами себе очень хитрыми. Но лишь у части из них это мнение имеет основания.

Все они твёрдо намерены обмануть службу ИБ и DLP-систему с просто зашкаливающей уверенностью в собственных силах (почитайте комментарии в нашем ЖЖ). Но не у всех это получится. В дискуссиях они в конце концов находят какой-нибудь канал и способ преодолеть защиту (или оппонент просто устаёт спорить), но в реальности – у них будет всего одна попытка.

С первого взгляда может показаться, что всякие антикриминальные и антитеррористические меры – глупы, наивны и преодолеваются на раз-два. Конечно, но только если вы – профессор Мориарти. Для реального статистического злодея сеть оказывается достаточно мелкой и достаточно многослойной.

white

Отрицаемого шифрования не бывает

Никого не хочу обидеть, но субж, дорогие товарищи!

Зашифрованные данные вполне могут лежать в файле или партиции без какого-либо заголовка и видимой структуры, изображая из себя белый шум. Но какой программой вы будете осуществлять доступ, расшифровывать эти данные и монтировать виртуальный диск/каталог? Такую программу не поместишь на зашифрованной партиции, её существование и функциональность отрицать не удастся.

Небольшой объём секретов можно стеганографически запихнуть в файлы с картинками, музыкой и видео. А чем запихивать? Стегано-программы не входят в состав операционных систем по умолчанию. Неспроста. Наличие на вашем компьютере такой программы сразу же возбудит подозрение, которого вы и пытались избежать.

Водитель выпил, дорога незнакомая, да ещё прав нету – чтоб не привлекать внимания, едет очень медленно, в правом ряду. Гаишник его всё равно останавливает: «Ну? И куда же ты крадёшься?»

анекдот

Внутри имитационного криптоконтейнера может содержаться истинно секретный криптоконтейнер. Но подобная функциональность шифровального ПО никак не может быть секретом. Если противнику известно, что тот же TrueCrypt умеет делать"Hidden Volume" и "Hidden Operating System" внутри outer volume, то противник будет требовать от вас не один ключ (к имитационному контейнеру), а сразу два. И пока не получит их оба, не поверит, что вы ничего не скрываете.

Рассуждения неизбежно приводят к тому, что для истинной plausible deniability необходимо надёжно замаскировать не только хранилище зашифрованных данных, но и программную функцию, которая это реализует. Такую "отрицаемую функцию" теоретически можно иметь лишь в самописной программе, созданной для собственных нужд. В публичной документированной программе – никак. Отрицание каких секретов оправдает разработку собственной оригинальной шифровалки?

Но выход всё-таки есть... Поистине отрицаемое шифрование/стеганографию таки можно создать. Правда, потребуется сотрудничество многих разработчиков софта. Догадались?