Category: кино

Category was added automatically. Read all entries about "кино".

white

Улучшаем bug bonty-программы: что нужно знать

Свои программы для охотников за багами – Bug Bounty – сегодня появляются у все большего числа компаний. Тон здесь по-прежнему задают западные гиганты – Google, Apple, Facebook, Microsoft. Но за последние годы российский рынок все стремительнее перенимает мировой опыт: свои аналоги появились у Mail.ru, банка Тинькофф, Qiwi, Яндекса и даже у Минкомсвязи.


Collapse )
white

Дешевизна анонимизирует

Спорят тут об атаках на ряд ресурсов оружейной тематики. Выдвигают много версий, называют много потенциальных заказчиков, рассуждают "куи продест". Говорят, что эти взломы стоят-де огромных сумм.
Доллар дорогой и дешёвый

А реальность в том, что такая атака обходится нападающему относительно дёшево.

Если бы за организацию атаки взялся ваш покорный слуга, он бы потратил 100500 денег на анонимизацию и посредников. Потому что боится. Потому что собственную свободу (которая у него одна) ценит выше денег (которых и без того хватает). Но если задействовать людей, которые не боятся уголовной ответственности, то операция сразу дешевеет на порядок. А с применением административного ресурса – ещё на порядок.

Вместо того, чтобы покупать уязвимость 0-day, писать уникальную малварь, подбрасывать её администраторам ресурса, можно поступить проще и грубее. Есть СОРМ и иные способы перехвата трафика. Есть возможность изъять технику, носители, документы и телефоны у причастных людей. Можно задействовать агентуру – всегда найдётся человечек вблизи владельца ресурса или его администратора. Есть, наконец, возможность подкупить, запугать или обмануть кого-то из инсайдеров. Пользуясь инсайдерской информацией, имея содействие "изнутри", зная все пароли – взлом сайта осуществляется легко и дёшево.

Когда стоимость взлома резко снижена, круг возможных заказчиков-исполнителей резко расширяется. Вплоть до отдельных частных лиц.

white

Чёрт в сапогах

На днях закончил роман Лорен Вайсбергер «Дьявол носит Праду». Профессиональным взглядом ваш покорный слуга отметил упоминания в нём DLP-системы и других средств защиты информации. Они играют важную роль в сюжете. А действие романа происходит в 2002 году.

Работницы компании настолько боялись прослушивания и перлюстрации в офисе (в США это законно), что на словах постоянно хвалили свою начальницу-садистку. Страдали, мучались, мечтали учинить саботаж в извращённой форме, но при этом всегда к месту и не к месту вставляли хвалу своему боссу, не забывая натянуть американскую улыбку.

Главная героиня, поскольку попала в корпоративный ад недавно, ещё страдала двоемыслием. Говорила одно, а думала совершенно другое. При этом её коллеги, много дольше проработавшие в компании (и вообще – в отрасли моды), как-то незаметно привели мысли в согласие со своими словами. Они забывались и врали про свою любовь к вождихе даже тогда, когда никто не контролировал и контролировать не мог.

При обилии и даже избылке продакт-плейсмента в романе изготовитель ТСЗИ не упомянут. Это наводит на мысли. Представляется, что применение DLP описано автором отнюдь не по заказу, а потому что это – реальность тамошнего бизнеса.

Кстати, фильм, поставленный по роману, ужасен. Голливуд превратил исходный триллер, бичующий мерзости капиталистической эксплуатации и бездуховность западного общества, в лёгкую лирическую комедию без отрицательных героев и без намёка на социальную рознь. Евреи, DLP и низкопоклонство перед Европой также были беспощадно вымараны из кино.

white

Конкурсы на поиск уязвимостей

Конкурс – не новая, но набирающая популярность форма подтверждения устойчивости ко взлому программ, информационных систем и конфигураций. Она является альтернативой процедуре сертификации в профессиональной лаборатории. По сравнению с последней пентест-конкурс имеет такие преимущества:
  1. число тестировщиков больше, оно может достигать огромных величин;
  2. специализация тестировщиков шире;
  3. заказчик платит только за результат, если уязвимостей не найдено, платить не придётся;
  4. можно точнее оценить риски, например, если систему не взломали при размере премии 100 тыс. рублей, то в ней можно смело хранить ценности на эту сумму, зная, что злохакеры даже пытаться не будут.

Недостатки конкурса по сравнению с профессиональной сертификацией:
  1. для привлечения большого числа желающих потестировать требуется хорошая реклама;
  2. вряд ли удастся сохранить в тайне исходники, если только они использовались при тестировании;
  3. для сильнодырявых систем можно заплатить больше премий, чем было запланировано;
  4. сроки тестирования немного длиннее, чем в лаборатории.

Обратите внимание на первый недостаток. Нужна реклама, чтоб набежало достаточно много достаточно разносторонних доброхакеров. Величиной премий тут не компенсировать. О проводимом тестировании должны в короткие сроки узнать сотни компетентных людей, которые обычно уже чем-то заняты и не проводят дни в поисках подработки.

Отсюда с неизбежностью вытекает, что тестирование следует объявлять не каждому производителю отдельно, а через посредника-агрегатора. В одном месте следует сосредоточить все объявляемые конкурсы, именно это место рекламировать, именно туда завлекать знающих людей, а там уже предлагать несколько объектов для поиска уязвимостей. Производителям же следует нести свои продукты на тестирование в этот единый центр.

Кто может и кто готов стать таким центром? Есть предложения?

white

Палочная система страйкс бэк

Из далёкой-далёкой галактики пишут:
«Управление "К" ГУ МВД России "пробует задокументировать" распространение нелегального контента в локальных сетях провайдеров, рассказал «Газете.Ru» начальник отдела К по Московской области Жаннат Сералинов. "У каждого провайдера на месте есть своя локальная сеть, — объясняет он. — Чтобы привлечь больше пользователей, они распространяют все что необходимо, в том числе фильмы. Сейчас мы пытаемся привлечь самих провайдеров к уголовной ответственности именно за распространение этих фильмов, порнографических материалов с участием несовершеннолетних — незаконного контента".»
Спрашивается: почему локалки? Официальных файлопомоек там давно уже нет, остались лишь лично-неформально-админские. Контент в основном передаётся через файлообменные сети. А наполнение скачано из Интернета.

Всё просто. Выявлять распространителей контрафакта по сети и доказывать их вину уже более-менее научились. Уже отработаны "проверочные закупки" файлов через торренты. Суды уже приучены не замечать ст.1273 ГК про свободное использование в личных целях. Эксперты-подстилки уже проинструктированы, как завышать оценку стоимости экземпляров. База для репрессий готова. Одно лишь обстоятельство мешает.

Правоохранительные органы в РФ устроены по территориальному принципу. У каждого подразделения есть "своя земля". Выходить за её пределы не просто сложно и опасно, а невыгодно, потому что тогда вожделенная "палка" достанется другим. Но файлообменные сети не хотят придерживаться границ округов, районов и областей. Прикиньте, какова вероятность, что из выявленных ста сидеров хотя бы один IP будет на вашей земле (и при этом не окажется сыном фээсбешника).

Поэтому операции против файлообменных пиратов можно проводить только внутри домонетов. Каковая кампания с этого дня и начинается. Шифруйте диски, сушите сухари, закупайте VPN-ы, присматривайте адвоката.

white

Утечки и помойки

Комментарии в HTML-коде и JS-коде, насколько известно вашему покорному слуге, обычными поисковиками не индексируются.

В то же время, количество HTML-кода в среднем проекте давно превысило обозримое глазами количество.

Это значит, что в комментариях можно прятать и искать разные сюрпризы. Там могут встречаться заметки программистов, "отпечатки личности" автора, пасхальные яйца, старые пароли и забытые адреса, свидетельства о нарушении авторских прав, информация для внутреннего использования, прежние варианты текста, откровенные признания, следы неафишируемых отношений между сайтами. <!--Я сам иногда вставляю такие комментарии "не для прессы". Движок ЖЖ их вырезает при показе в браузере. Но они видны при получении ответов на почту.-->

Было бы интересно поискать утечки подобного рода. Были, помнится, интересные случаи, когда скрытые комментарии находили в исполняемом коде проприетарных программ.

Тут конкурентные разведчики хвалятся своим квази-поисковиком "Программа для допроса Интернета". Сможете?

white

"Исповедь кардера"

Обещал почтеннейшей публике рецензию на книгу А.Малова "Исповедь кардера" – вот, извольте.

Начальная часть книги (примерно первые 10 глав) достаточно похожа на правду. Насколько я знаю данный вид бизнеса (а знаю я его даже с двух сторон), именно так и происходит с начинающими тружениками CCN-а, CVV-а и PIN-а. Ну, разве что, размер дохода героя чуть преувеличен. Но зарабатывают кардеры вполне неплохо, если осторожно.

А вот далее слегка приукрашенные воспоминания переходят не просто в фантастику, а в откровенную фэнтези. Переходят как раз в том месте, где, по логике событий, с героем должны были случиться первые неприятности.

Этот сюжетный шов хорошо заметен. Сразу в памяти всплыл такой же составной фильм "Олигарх", снятый по мотивам книги Б.А.Березовского и, говорят, на его деньги. Первые 2/3 фильма излагается почти реальная (а местами и вовсе документальная) история становления российского миллиардера. А вот с момента ссоры олигарха Платона Маковского с пролезшим во власть кагебешником Корецким жанр фильма меняется. Воспоминания прерываются и начинаются эротические фантазии Березовского, что бы он сделал с Путиным, если бы смог. В жизни, как все знают, верх взяла другая сторона. Причём, задолго до выпуска фильма. Так что, фантазировать на публике было бесполезно.

Ровно тот же составной жанр "документальный мемуар – эротическая фантазия" мы наблюдаем в рецензируемой книге.


Так он выглядит в книге.
Когда до нашего талантливового Иосифа Кардера дотянулись наконец руки правоохранительных органов (это событие, как вы понимаете, исторически неизбежно), автор книги спешно переключается с «как было» и «как могло быть» на «как было бы правильно». Вместо тупых, жадных до денег и давно поклавших на интересы Родины держиморд, с которыми сталкиваются обычные кардеры, автор рисует нам технически грамотных (ха!), бескорыстных (ха-ха!) патриотичных (ха-ха-ха!) бойцов невидимого фронта, которые привлекают героя для выполнения особо важных правительственных заданий (гы-ы-ы, держите меня семеро!). Описанные в сюжете задания, кстати, в корне противоречат интересам РФ.


А так – на самом деле.
Другие рецензенты рассуждают о вреде или пользе данной книги, о её влиянии на молодое поколение, о допустимости романтизации криминальных элементов или сотрудников органов. Бросьте, господа! Современная пиар-наука давно уже опровергла и отвергла метод "воспитание народа на положительных примерах". Во всяком случае, для взрослых. Показ в книгах и фильмах успешных положительных героев и наказанных отрицательных вовсе не даёт зрителю руководства к действию. Это – заблуждение тупого агитпропа 1930-х, от которого уже в 1960-х отказались в развитых странах. Криминальный элемент в качестве главного героя как таковой не может повредить государственной идеологии (если она есть). А вот цензура и запрет соответствующих произведений – очень даже может. Это доказал ещё Ходжа Насреддин в XIV веке.

Жизнь реального кардера (как в России, так и в США, Европе, Китае) бывает похожа на первые 10 глав книги. Но далее вместо шпионской романтики начинаются криминальные будни. Новоявленного компьютерного гения кладут мордой в пол, потом этой же мордой с размаху тыкают в материал на него (бывает, что даже не сфальсифицированный) и говорят без особых патриотических реверансов: "Будешь работать на нас или сядешь". Судя по количеству работающих по кардерам подразделений и по числу соответствующих уголовных дел, примерно 95-98% взятых за жопу делает правильный выбор. Означает это, что отныне кардер должен отдавать "крыше" от 30 до 80% своего дохода (как договоритесь) плюс стучать на коллег и клиентов. И, не дай бог, чего утаишь или скрысятничаешь – другие кардеры заложат со скоростью стука, превышающей, как известно, скорость звука.

До полного опопсения кардерства осталось только снять низкобюджетный телесериал по этой книге. После этого ни один уважающий себя автор к теме не притронется.

white

Подсчитайте ваши столбики

Надеюсь, все уважаемые читатели уже знают о бесполезности упования на технические средства в защите от утечек. Техника на втором месте, главное – человек. Секретность данных в головах людей всегда держалась на трёх столпах. Это мораль, логика и страх.

Выдай нам Военную Тайну!
Во-первых, носитель секретных сведений будет относиться к хранимой информации серьёзно, если руководствуется соображениями иррационального характера – этическими, идеологическими, религиозными. То есть, хранить тайну «из принципа», потому что «так надо» или «партия велела» или «западло» или что-нибудь в этом роде.

Во-вторых, к сохранению тайны людей побуждают чисто рациональные соображения. Во многих случаях понятно, для чего нужна конфиденциальность. Разглашение очевидным образом приводит к ущербу для предприятия, государства или группы людей, отражаясь в итоге и на самом носителе секрета. То есть, человек не разглашает, потому что понимает, к чему это может привести. (Естественно, при этом он должен ассоциировать себя с той группой, которая получает бонус. При более широком взгляде на мир логика начинает работать в другую сторону.)

В-третьих, действует страх наказания. За разглашение тайны обычно предусмотрены какие-нибудь неприятные последствия – от выговора до расстрела. Здесь ещё присутствуют такие множители как неотвратимость наказания, и как сам субъект оценивает свои шансы попасться.

Заметьте: такого фактора как деньги в списке нет. Деньги могут развязать язык. Деньгами можно компенсировать некоторые неудобства, связанные с секретностью. Но платить за молчание невозможно. В отсутствие 1, 2, а особенно третьего фактора деньги никак не повлияют на решение человека хранить тайну или выдать её.


white

DLP-агенты

Знающие люди говорят, что по эффективности защиты от покушений никакая охрана (ни внутренняя, ни внешняя) не может сравниться с агентом, работающим в спецслужбе вероятного противника. Оттуда виднее, кто что готовит, когда и как. Даже если готовят не те, а другие. И времени на то, чтобы закрыть босса своей грудью – не полсекунды, а недели и месяцы. Чем дальше от объекта охраны, тем эффективней.

Недавно ваш покорный слуга заметил как на его сайт (на статью про расследование инцидентов) пришли по такой вот ссылке: http://yandex.ru/yandsearch?p=2&text=%D0%BD%D1%83%D0%B6%D0%BD%D0%BE%20%D1%81%D0%BA%D0%BE%D0%BF%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%20%D0%B2%D1%81%D1%8E%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8E%20%D0%B8%D0%B7%20%D0%BE%D1%84%D0%B8%D1%81%D0%B0
в переводе на русский это значит
http://yandex.ru/yandsearch?p=2&text=нужно скопировать всю информацию из офиса
Айпишник – московского выделенного канала, скорее всего, домашнего.

Намёк поняли?

Так где выгоднее ставить DLP-систему? На офисном канале? На домашнем? На поисковике? Или, может быть, она должна контролировать вообще все доступные каналы передачи информации? Эдакий колхоз всех обладателей коммерческой тайны, и прочей конфиденциальной информации. Чем дальше от объекта охраны, тем эффективней.