Category: авто

Category was added automatically. Read all entries about "авто".

white

Утечка данных. Парковка запрещена

Утечки данных приводят к финансовым потерям. В течение десяти лет (а то и более) мы пытаемся донести до общественности этот факт. Но даже сегодня находятся недальновидные руководители компаний, которые отказываются верить в очевидное. Дескать, покажите нам хоть один случай, когда утечка данных привела к потере денег.

Вы спрашивали – мы отвечаем. 15 января компания Park ‘N Fly выпустила официальное заявление, где указывается, что платежные данные ее клиентов были скомпрометированы из-за уязвимости веб-сайта. К расследованию подключились сторонние эксперты по компьютерной форензике. По словам представителей Park ‘N Fly, скомпрометированы номера карт, имена владельцев, коды CVV. Электронные адреса клиентов, телефонные номера и пароли доступа к системе Park ‘N Fly, вероятно, также оказались в руках злоумышленников.

Компания приостановила процессинг платежей, о чем уведомляет на официальном сайте:
parker_program

Park ‘N Fly предоставляет услуги интернет-бронирования парковочных мест в аэропортах. Ранее эксперт по информационной безопасности Брайн Кребс писал в своем блоге о появлении на черном рынке большого объема номеров кредитных карт. Кребс предположил, что данные карт похищены из информационных систем бронирования парковок, принадлежащих Park ‘N Fly и еще одной компании, бронирующей парковки - OneStopParking. Тогда компании отказались признать факт утечки данных.

Брайн Кребс отмечает, что число карт клиентов Park ‘N Fly и OneStopParking, предлагаемых к продаже на черном рынке, исчислялось несколькими тысячами. Карты продавались на тех же «черных» ресурсах, что и дампы карт клиентов Home Depot, Target, Sally Beauty, P.F. Chang’s и Harbor Freight. Хакеры просили от 6 до 9 долларов США за одну запись, включающую имя владельца, адрес и телефон, номер и срок действия карты, трехзначный код подтверждения (CVV).

В 2014 году мы отмечали повышенный интерес злоумышленников к платежным данным, которые обрабатываются в информационных системах ритейлеров. Теперь хакеры добрались и до онлайн-сервисов. Очевидно, в 2015 следует ожидать массовых атак на компании, оперирующие большим объемом платежных данных, но менее защищенные, чем кредитные организации. Это могут быть крупные туристические онлайн-сервисы, системы бронирования авиабилетов, национальные интернет-провайдеры, логистические компании.

Мы настоятельно рекомендуем владельцам этих бизнесов задуматься о безопасности платежных данных своих клиентов. В противном случае масштабная атака, например, на туристический сервис может стать последним событием в жизни такого сервиса.
white

"Командир, может, договоримся?"

Навели тут добрые люди на статью про новое оснащение гаишников:
«Планшетник обеспечит связь с центральным сервером. Инспектору нет необходимости связываться с дежурной частью, "пробивать" по базе номера. На экране планшетника он увидит не только, где и когда зарегистрирована машина, но вообще все, что есть во всех информационных базах.»
Сразу же вспомнилось.

Когда я служил в маленьком отделении милиции, мы тоже постоянно "пробивали по базе" встречные, проезжие и остановленные машины. Ты туда – госномер, марку, цвет, а если не лень, то ещё номера кузова и двигателя. Тебе оттуда – соответствуют ли данные друг другу, числятся ли в розыске. Ноутбуков и, тем более, планшетов у нас тогда не было, так что пользовались голосовым интерфейсом через рацию или телефон. В эфире постоянно сыпалась цифирь от проверяемых машин.

И вот какая особенность. Если машина "неправильная" или в розыске, то отвертеться от задержания уже невозможно. Вот такие, к примеру, диалоги слышались в эфире:
Инспектор: Мерседес-300, белый, госномер [номер], кузов [номер], двигатель [номер]. Приём.
Дежурная часть: Пятьсот один! [т.е. в розыске]
Другой экипаж: Поздравляю!
Третий экипаж: С тебя причитается!
Дежурная часть: Высылаю ГНР.
Чтобы отпустить пойманного мерседеса за взятку – не могло быть и речи. А на всяких неправильных парковках и отсутствии огнетушителей много бабла не срубишь. Что делать?

Со временем была выработана особая технология "пробивки по базам", при которой обнаружение разыскиваемого объекта официально не фиксировалось. И можно было разобраться с ним неофициально. Как? Даже не спрашивайте. Коммерческая тайна.

С ноутбуками и планшетниками тоже, наверняка, можно что-то придумать. Патч, кряк, лоадер, альтернативная прошивка... То, что один человек сделал, другой завсегда разобрать сможет. Тем более, тут у водителя и инспектора интересы некоторым образом совпадают.

white

Отрицаемого шифрования не бывает

Никого не хочу обидеть, но субж, дорогие товарищи!

Зашифрованные данные вполне могут лежать в файле или партиции без какого-либо заголовка и видимой структуры, изображая из себя белый шум. Но какой программой вы будете осуществлять доступ, расшифровывать эти данные и монтировать виртуальный диск/каталог? Такую программу не поместишь на зашифрованной партиции, её существование и функциональность отрицать не удастся.

Небольшой объём секретов можно стеганографически запихнуть в файлы с картинками, музыкой и видео. А чем запихивать? Стегано-программы не входят в состав операционных систем по умолчанию. Неспроста. Наличие на вашем компьютере такой программы сразу же возбудит подозрение, которого вы и пытались избежать.

Водитель выпил, дорога незнакомая, да ещё прав нету – чтоб не привлекать внимания, едет очень медленно, в правом ряду. Гаишник его всё равно останавливает: «Ну? И куда же ты крадёшься?»

анекдот

Внутри имитационного криптоконтейнера может содержаться истинно секретный криптоконтейнер. Но подобная функциональность шифровального ПО никак не может быть секретом. Если противнику известно, что тот же TrueCrypt умеет делать"Hidden Volume" и "Hidden Operating System" внутри outer volume, то противник будет требовать от вас не один ключ (к имитационному контейнеру), а сразу два. И пока не получит их оба, не поверит, что вы ничего не скрываете.

Рассуждения неизбежно приводят к тому, что для истинной plausible deniability необходимо надёжно замаскировать не только хранилище зашифрованных данных, но и программную функцию, которая это реализует. Такую "отрицаемую функцию" теоретически можно иметь лишь в самописной программе, созданной для собственных нужд. В публичной документированной программе – никак. Отрицание каких секретов оправдает разработку собственной оригинальной шифровалки?

Но выход всё-таки есть... Поистине отрицаемое шифрование/стеганографию таки можно создать. Правда, потребуется сотрудничество многих разработчиков софта. Догадались?