Category: путешествия

Category was added automatically. Read all entries about "путешествия".

white

Утечка данных. Парковка запрещена

Утечки данных приводят к финансовым потерям. В течение десяти лет (а то и более) мы пытаемся донести до общественности этот факт. Но даже сегодня находятся недальновидные руководители компаний, которые отказываются верить в очевидное. Дескать, покажите нам хоть один случай, когда утечка данных привела к потере денег.

Вы спрашивали – мы отвечаем. 15 января компания Park ‘N Fly выпустила официальное заявление, где указывается, что платежные данные ее клиентов были скомпрометированы из-за уязвимости веб-сайта. К расследованию подключились сторонние эксперты по компьютерной форензике. По словам представителей Park ‘N Fly, скомпрометированы номера карт, имена владельцев, коды CVV. Электронные адреса клиентов, телефонные номера и пароли доступа к системе Park ‘N Fly, вероятно, также оказались в руках злоумышленников.

Компания приостановила процессинг платежей, о чем уведомляет на официальном сайте:
parker_program

Park ‘N Fly предоставляет услуги интернет-бронирования парковочных мест в аэропортах. Ранее эксперт по информационной безопасности Брайн Кребс писал в своем блоге о появлении на черном рынке большого объема номеров кредитных карт. Кребс предположил, что данные карт похищены из информационных систем бронирования парковок, принадлежащих Park ‘N Fly и еще одной компании, бронирующей парковки - OneStopParking. Тогда компании отказались признать факт утечки данных.

Брайн Кребс отмечает, что число карт клиентов Park ‘N Fly и OneStopParking, предлагаемых к продаже на черном рынке, исчислялось несколькими тысячами. Карты продавались на тех же «черных» ресурсах, что и дампы карт клиентов Home Depot, Target, Sally Beauty, P.F. Chang’s и Harbor Freight. Хакеры просили от 6 до 9 долларов США за одну запись, включающую имя владельца, адрес и телефон, номер и срок действия карты, трехзначный код подтверждения (CVV).

В 2014 году мы отмечали повышенный интерес злоумышленников к платежным данным, которые обрабатываются в информационных системах ритейлеров. Теперь хакеры добрались и до онлайн-сервисов. Очевидно, в 2015 следует ожидать массовых атак на компании, оперирующие большим объемом платежных данных, но менее защищенные, чем кредитные организации. Это могут быть крупные туристические онлайн-сервисы, системы бронирования авиабилетов, национальные интернет-провайдеры, логистические компании.

Мы настоятельно рекомендуем владельцам этих бизнесов задуматься о безопасности платежных данных своих клиентов. В противном случае масштабная атака, например, на туристический сервис может стать последним событием в жизни такого сервиса.
white

Десятый парадокс ИБ

Если в каком-то проекте от исполнителя требуется допуск к гостайне, хороших специалистов вы туда не заманите. Потому что неудобства и ограничения гражданских прав, причиняемые гостайной, не компенсируются.

Даже небольшие доплаты "за допуск" стараются не платить под всякими предлогами. С другой стороны, ограничения по закону дополняются самопальными ограничениями местных держиморд с одной извилиной от фуражки. Моя подруга, служащая Минобороны, совершенно беспрепятственно получила загранпаспорт в ФМС, пройдя все положенные проверки. А начальник на службе требует ото всех его сдавать в кадры, чтобы каждый раз перед поездкой в Турцию униженно выпрашивать обратно. Наученная предыдущим опытом товарок, она скрыла факт получения з/п и с лёгким сердцем отправилась в отпуск – навстречу вербовкам горячими южными мужчинами.

Лояльность, квалификация и цена рабочей силы составляют треугольник равновесия. Что бывает, если пренебречь одним из трёх, ярко продемонстрировал А.С.Пушкин.

В результате имеем железное правило: несекретные информсистемы делаются качественнее и дешевле, а секретные – хреновее и при этом дороже. Причём, в понятие "качество" входит также устойчивость ко всевозможным НСД, утечкам и подобным неприятностям.

Квалифицированный айтишник – зверь пугливый и капризный. В неволе не размножается. Так что сообразительные менеджеры ищут обходные пути. Например, оформляют не официальный допуск по закону о ГТ, а какую-нибудь полуофициальную "подписку о неразглашении". Но даже такая бумажка вызывает испуг и утечку мозгов из проекта.

Согласно первоначальной идее, статус гостайны должен приводить к повышенной ответственности исполнителей проекта. Крутнув не те гайки, добились прямо противоположного. Отличный повод ещё раз вспомнить вот эту картинку и поучительное нецензурное произведение классика.

white

Алё, ты где?

Журналисты тут все в мыле ищут какую-нибудь очередную утечку. Очень уж тема популярная. Вот, вчера пришли за комментариями к этому:
«В сети появился сервис, который определяет по номеру мобильного телефона страну, в которой сейчас находится абонент, если телефон включен. Пользователи утверждают, что сервис действительно работает.»
Ну, что сказать? Принципиальной сложности тут нету. Телефон регистрируется в местной сети. Сеть всегда "знает", где телефон зарегистрирован, чтоб работала маршрутизация. Эту информацию нетрудно снять для любого оператора мобильной связи, коих в мире тысячи.

Вспомнился презабавный случай начала 2000-х. Знакомый адвокат, послушав рассказы вашего покорного слуги, собрался съездить на Кубу, отдохнуть с местными любвеобильными мучачами. Жене сказал, что у него сложное дело в Новосибирске. У адвоката действительно было сложное дело в Новосибирске, но он убедил тамошнего подзащитного, что нужна психиатрическая экспертиза, положил его в больницу, а сам – на самолёт и в тропический рай.
Румба
Но настоящие пляски с бубном будут у операторов связи.

Супруга время от времени звонит на сотовый, а наш герой жалуется ей на холодную сибирскую погоду и суровых прокуроров, рассекая при этом в белом кабриолете вдоль синего моря с коричневыми мулатками. Но покрытие сетью связи на Кубе не сплошное. Как-то наш путешественник выехал за его пределы, и телефон потерял сеть. Но регистрация-то в сети осталась. И тут в очередной раз звонит супруга. А ей электрическая женщина на чистом испанском отвечает, дескать, абоненто но посибле. Тут-то всё и раскрылось.

Вашему покорному слуге представляется, что описанное выше – это самая страшная утечка, которая может случиться из-за помянутого сервиса.

Но западная общественность и незападные регуляторы вряд ли с этим согласятся. Есть мнение, что сервис будут запрещать, информацию о текущей регистрации мобильных телефонов – засекречивать, а оператора, который ею торгует – наказывать. Придумают в очередной раз каких-нибудь мифических киллеров, которые гоняются за абонентами по всему миру. Или слепых воров, которым не видно, дома ли хозяин. Или даже не станут утруждаться придумыванием угрозы, а просто так: «в связи с терроризмом, педофилией и нарушением авторских прав, запретить...» И роуминг обратно подорожает.

white

Не экономьте на бесполезном

Как известно, во всех гостиничных номерах есть телефоны, подключенные к местной АТС и к городской сети. Проводными телефонами давно уже никто не пользуется. К тому же, гостиничные тарифы, как всем известно, сильно завышены. Так что ситуация "2-3 тарифицируемых звонка в неделю на сотню комнат" никого из персонала не удивляет. От этих телефонов давно бы отказались, но без них отелю не дадут звёзд; есть такой атавизм в правилах.

Так вот, в одной европейской гостинице вышел из строя конвертор (шнур) COM9-USB, которым была соединена АТС с биллинговым компьютером. Телефонная станция исправно работает, но счета за звонки постояльцам не выставляются. И никто этого не замечал месяца три – в силу редкости такого события, как звонок с гостиничного телефона. Когда всё-таки обнаружили эту неприятность, управляющий сначала расстроился. Но, посмотрев в счета от оператора связи, повеселел: оказалось, недоплаченная посетителями сумма за все три месяца настолько ничтожна, что даже новый шнур обойдётся дороже.

Управляющий отелем посчитал немного и пришёл к выводу, что от взимания платы за телефон можно вообще отказаться. Обслуживание биллинга стоит дороже. С того момента звонки из этой гостиницы стали для клиентов бесплатными. Но постояльцам об этом не сказали: на всякий случай, чтоб морально неустойчивые не повелись на халяву.

Однако утечка всё же случилась.

В один прекрасный день от оператора связи прислали счёт за телефон примерно в 5000 раз больше среднемесячной суммы. Обнаружилось, что в один и тот же вечер сразу трое постояльцев этого отеля решили позвонить на платный номер (номер с повышенной тарификацией вызова) в соседней стране. И все трое "говорили" по платной линии всю ночь. А наутро дружно выехали.

Сначала грешили на персонал. Но позже нашли на интернет-форуме восторженный отзыв одного из постояльцев, который сообщал, что в этой замечательной гостинице с него не взяли денег за телефонный звонок, хотя он добросовестно пытался заплатить. Сразу после появления этого сообщения злоумышленникам карта и попёрла.

white

Всё равно тайна!

Вчера подкинули "в тему" интересную статью, как издание "Коммерсант" привлекли за разглашение гостайны.

Хотя все данные были собраны журналистами из открытых источников: из публикаций других СМИ, выступлений Президента, министра обороны, губернаторов и прочих официальных лиц, сайтов городов, посёлков и воинских частей (есть и такие), из книг, телепередач и социальных сетей. Причём, составители буквально для каждого байта своих сведений готовы указать источник. Итоговый вердикт суда – разглашение государственной тайны.

Прислушайтесь к своему здравому смыслу. Слышите? Слышите, какую чушь он несет?! Он утверждает, что "открытый источник" или "официальный источник" – это оправдание. Что публикация превращает секретные сведения в несекретные. А теперь послушаем комментарий юриста.


До начала XX века название боевого корабля украшало собой бескозырку. Ныне это гостайна.
Факт обнародования сведений, составляющих гостайну, никак не отражается на их формальном статусе. Гостайна остаётся гостайной, хоть её на первой странице центральных газет пропечатай. А наименование воинских частей, их дислокация и имена командиров – эти сведения считаются гостайной ещё с тех времён. Следовательно даже простая перепечатка из иного источника – вполне себе разглашение.

В прошлые разы, как описано в статье, на журналистов возбуждали уголовные дела по ст.283 УК. Но неизменно их прекращали за отсутствием состава преступления. Думаете, потому прекращали, что "открытые источники". А вот и нет:
«Статья 283. Разглашение государственной тайны
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены...»
Видите квалифицирующий признак «по службе или работе»? В нём всё дело.

Человека невозможно привлечь к уголовной ответственности, если он не получал секретные сведения официально. Неофициальный же носитель может себе позволить разглашать что и где угодно. Как, например, ваш покорный слуга, который совсекретные приказы изучал, но справки не имел. И журналисты тоже не были официально допущены и ознакомлены с соответствующими тайными сведениями. Поэтому и вывернулись. А издание (юрлицо) не вывернулось, поскольку оно не к уголовной ответственности привлекается, а к административной, в соответствии со ст.4 закона "О СМИ". Там ни про какой допуск не сказано; там просто: «разглашения сведений, составляющих».

Конечно, следует оговориться, что сама система, когда секретными считаются названия и дислокации военных частей, давно себя изжила. Она неплохо работала в 1930-е. Но в эпоху гуглокарт и соцсетей превратилась в чемодан без ручки. Но чтоб его наконец выбросили, требуется время: те офицеры, которые ещё лейтенантами поняли бессмысленность этой системы, должны дослужиться до маршалов. Не раньше.

white

Сеанс с разоблачением

Ходят слухи, что спецслужбы используют социальные сети для наведения справок. Дескать, с помощью таких сетей они могут узнать очень много о любом человеке. Не станем утверждать, что это неправда. Просто спецслужбы здесь, так сказать, в общей очереди.

Недавно на популярном веб-форуме самостоятельных путешественников один из пользователей поделился проблемой. Он увидел предложение, крайне заманчивое, но одновременно внушающее опасения – купить очень дешёвые авиабилеты (всего 250 долларов за маршрут Петербург-Бангкок и обратно). К тому же, без предоплаты. Продавец сказочных билетов скрывался за номером ICQ. Он утверждал, что риска никакого нет, но подробностей не раскрывал.

Сеанс чёрной магии Воланда
Среди путешественников сразу завязалась оживлённая дискуссия. Один из участников форума, проведя поиск в Интернете по ключевым словам, нашёл веб-сайт продавца с тем же предложением и выяснил, на кого зарегистрировано доменное имя. Другой участник немедленно ввёл эти данные в "Одноклассников" и обнаружил другие сведения о человеке: год рождения, место учёбы и т.д. На сайте "ВКонтакте" также нашлась учётная запись того же торговца дешёвыми билетами. Там были дополнительные данные и ссылка на такое же предложение авиабилетов. Кто-то из участников обсуждения связался через "ВКонтакте" с людьми, покупавшими такие билеты, получил и опубликовал их «показания» – куда летали, почём, не было ли в пути проблем. Нашелся на форуме доброволец, который связался с продавцом и забронировал себе билет. Оказалось, что ещё один участник дискуссии имеет доступ в систему бронирования авиабилетов. По номеру брони он моментально установил, кто, когда и каким способом этот билет оплатил. Метод получения «левых» билетов стал предельно ясен.

Заодно общественность проверила и инициатора обсуждения – не подставной ли, с какого IP-адреса пишет, в каких ещё форумах выступал; нашлась и его анкета "ВКонтакте", и фотографии в публичном фотоальбоме и прочее.

В итоге недолгого обмена данными самостоятельные путешественники цинично содрали покров тайны, обнажив всё – личность продавца, его место жительства и работы, метод мошенничества, список клиентов, историю заказов. И сделали выводы.

Это обсуждение на веб-форуме – фактически вполне компетентное расследование, за которое не стыдно было бы службе безопасности крупной фирмы, а уж для наших правоохранительных органов подобным результатом оперативной работы можно было бы гордиться.

К сожалению, ветка форума с данным обсуждением сейчас уже удалена.