Category: путешествия

Category was added automatically. Read all entries about "путешествия".

white

Утечка данных. Парковка запрещена

Утечки данных приводят к финансовым потерям. В течение десяти лет (а то и более) мы пытаемся донести до общественности этот факт. Но даже сегодня находятся недальновидные руководители компаний, которые отказываются верить в очевидное. Дескать, покажите нам хоть один случай, когда утечка данных привела к потере денег.

Вы спрашивали – мы отвечаем. 15 января компания Park ‘N Fly выпустила официальное заявление, где указывается, что платежные данные ее клиентов были скомпрометированы из-за уязвимости веб-сайта. К расследованию подключились сторонние эксперты по компьютерной форензике. По словам представителей Park ‘N Fly, скомпрометированы номера карт, имена владельцев, коды CVV. Электронные адреса клиентов, телефонные номера и пароли доступа к системе Park ‘N Fly, вероятно, также оказались в руках злоумышленников.

Компания приостановила процессинг платежей, о чем уведомляет на официальном сайте:
parker_program

Park ‘N Fly предоставляет услуги интернет-бронирования парковочных мест в аэропортах. Ранее эксперт по информационной безопасности Брайн Кребс писал в своем блоге о появлении на черном рынке большого объема номеров кредитных карт. Кребс предположил, что данные карт похищены из информационных систем бронирования парковок, принадлежащих Park ‘N Fly и еще одной компании, бронирующей парковки - OneStopParking. Тогда компании отказались признать факт утечки данных.

Брайн Кребс отмечает, что число карт клиентов Park ‘N Fly и OneStopParking, предлагаемых к продаже на черном рынке, исчислялось несколькими тысячами. Карты продавались на тех же «черных» ресурсах, что и дампы карт клиентов Home Depot, Target, Sally Beauty, P.F. Chang’s и Harbor Freight. Хакеры просили от 6 до 9 долларов США за одну запись, включающую имя владельца, адрес и телефон, номер и срок действия карты, трехзначный код подтверждения (CVV).

В 2014 году мы отмечали повышенный интерес злоумышленников к платежным данным, которые обрабатываются в информационных системах ритейлеров. Теперь хакеры добрались и до онлайн-сервисов. Очевидно, в 2015 следует ожидать массовых атак на компании, оперирующие большим объемом платежных данных, но менее защищенные, чем кредитные организации. Это могут быть крупные туристические онлайн-сервисы, системы бронирования авиабилетов, национальные интернет-провайдеры, логистические компании.

Мы настоятельно рекомендуем владельцам этих бизнесов задуматься о безопасности платежных данных своих клиентов. В противном случае масштабная атака, например, на туристический сервис может стать последним событием в жизни такого сервиса.
white

Фейсбук-контроль

Пример нашего "Крибрума" оказался заразителен.
«Федеральная служба охраны (ФСО) намерена создать специальную базу негативно настроенных граждан, которые размещают в своих блогах публикации оппозиционной направленности... Уже в этом году силовики начнут проводить ежедневный мониторинг публикаций всех российских блогеров на предмет их отношения к власти. »
Обратите внимание, в чьих интересах будут собираться данные. Было бы логичнее подчинить такую базу ФСБ. Думаю, просто у ФСО с финансированием получше.
       

Что происходит на выходе подобных систем, мы уже видели неоднократно. Например:
«Житель американского города Шарлотт был арестован в среду, 5 сентября, спецслужбами за опубликованные в Twitter угрозы убить Барака Обаму.»
Или вот:
«A US man in West Haven, Connecticut has been arrested for allegedly Tweeting threats to executives, players and coaches of the New York Mets – a professional baseball team.»
Или так:
«Двое граждан Великобритании были задержаны в аэропорту Лос-Анджелеса за шутку, опубликованную в социальной сети "Твиттер", о намерении уничтожить США.»
Никто из террористов не пострадал, однако операция проведена, награды получены, все службы – при деле.

Участникам соцсетей следует учесть, что их "экстремистский рейтинг" будет повышаться не только будущими, но и прошлыми публикациями. Например, если в ваших давнишних твитах и постах слишком часто употреблялись слова «оружие», «валить» и «кровавая г-ня», то будьте готовы. Ближайший к вам агент получит задание провести с вами профилактическую беседу. От отчёта, который он напишет, сильно зависит ваша дальнейшая карьера, возможность покупки билетов на самолёт и в Оружейную палату. Ваш покорный слуга данный квест уже прошёл, поэтому смело может пользоваться всей лексикой русского языка без исключений.

Заказы на чистку соцсетевой кармы принимаются нашими партнёрами, лицензиатами "Крибрума". Торопитесь, количество мест ограничено.

white

Десятый парадокс ИБ

Если в каком-то проекте от исполнителя требуется допуск к гостайне, хороших специалистов вы туда не заманите. Потому что неудобства и ограничения гражданских прав, причиняемые гостайной, не компенсируются.

Даже небольшие доплаты "за допуск" стараются не платить под всякими предлогами. С другой стороны, ограничения по закону дополняются самопальными ограничениями местных держиморд с одной извилиной от фуражки. Моя подруга, служащая Минобороны, совершенно беспрепятственно получила загранпаспорт в ФМС, пройдя все положенные проверки. А начальник на службе требует ото всех его сдавать в кадры, чтобы каждый раз перед поездкой в Турцию униженно выпрашивать обратно. Наученная предыдущим опытом товарок, она скрыла факт получения з/п и с лёгким сердцем отправилась в отпуск – навстречу вербовкам горячими южными мужчинами.

Лояльность, квалификация и цена рабочей силы составляют треугольник равновесия. Что бывает, если пренебречь одним из трёх, ярко продемонстрировал А.С.Пушкин.

В результате имеем железное правило: несекретные информсистемы делаются качественнее и дешевле, а секретные – хреновее и при этом дороже. Причём, в понятие "качество" входит также устойчивость ко всевозможным НСД, утечкам и подобным неприятностям.

Квалифицированный айтишник – зверь пугливый и капризный. В неволе не размножается. Так что сообразительные менеджеры ищут обходные пути. Например, оформляют не официальный допуск по закону о ГТ, а какую-нибудь полуофициальную "подписку о неразглашении". Но даже такая бумажка вызывает испуг и утечку мозгов из проекта.

Согласно первоначальной идее, статус гостайны должен приводить к повышенной ответственности исполнителей проекта. Крутнув не те гайки, добились прямо противоположного. Отличный повод ещё раз вспомнить вот эту картинку и поучительное нецензурное произведение классика.

white

Телесные ограничения

Вот, например, у нас в стране нет охраны и пропускного режима в госучреждениях, больницах, вокзалах, офисах, школах, монастырях. В банках и отелях охранники хоть и стоят, но пропускают любого. Так, впрочем, устроено во всех цивилизованных странах. Почему? Неужели у нас не бывает воров и хулиганов? Бывают. Но подавляющее большинство людей – честные и спокойные. Поэтому выгоднее терпеть убытки от редких случаев воровства и хулиганства и проводить по ним ресурсоёмкие расследования, чем постоянно держать охрану и каждый день напрягать ею добросовестных посетителей. Элементарный анализ рисков с очевидным результатом.

Совсем другой расчёт – для компьютерных систем. В сетевом мире не важно, что добросовестных пользователей большинство. Потому что отдельные, единичные, кое-где-у-нас-поройные злоумышленники, найдя небольшую дырочку в защите, тут же запустят в неё ботов и вирусов. Если деятельность одной вредоносной программы становится рентабельной, её хозяин легко увеличивает поголовье малвари в миллион раз, получая в миллион раз больше барыша.

Принцип «один человек – один голос» неплохо работает, пока это – действительно человек со своим физическим телом, не подлежащим репликации. В виртуальном же мире, где можно форкнуться много раз по смешной цене, летит к чертям не только копирайт, созданный для бумажных носителей. Но и отточенные веками принципы физической охраны. Информационная безопасность – не безопасность, защита информации – не защита.

white

В чужой монастырь со своим поиском

Приходилось слышать, как самоуверенные иностранцы заявляли о поддержке в своём продукте русского языка или даже всех языков. Естественно, обламывались. Но понять свой облом могли далеко не сразу. Особенности языка не позволяют иностранцу понять, чего именно он не понимает.

— А деньги у них там, доллары называются, ну точь-в-точь как наши баксы.

Заявить о поддержке всех языков, независимо от их особенностей может лишь законченный шовинист-эгоцентрист, не знающий ни одного языка кроме родного.

Любопытный пример из тайского языка. Там некоторые буквы пишутся под строкой, а некоторые другие – над ней. (Плюс надстрочные тоновые знаки, поэтому легко может получиться 4-этажная конструкция.) Соответствующие символы в шрифтах имеют формальную нулевую ширину, так что при наборе в редакторе оказываются как раз над/под предыдущим символом. (В русских шрифтах тоже есть один такой символ – знак ударения.) При одновременном появлении надстрочного и подстрочного знака их можно набирать в любом порядке, выглядеть будет совершенно одинаково. Выглядеть для человека, но не для компьютера.

Вот, к примеру, слово ку̂нг (креветка):

    กุ้ง         กุ้ง

юникод: 0E01 0E38 0E49 0E07   0E01 0E49 0E38 0E07

Чтобы программа сообразила, что это одно и то же слово, нужен соответствующий логический блок, знающий о надстрочных и подстрочных символах.

А такая особенность того же тайского и лаосского языков, как написание слов без пробелов? Это вам как? Тоже справитесь? (Строго говоря, пробелы у них есть, но используются они не для отделения слов, а вместо запятых и точек.) В немецком есть слабый аналог: компаунды – составные слова, когда определения присоединяются к главному слову; с точки зрения компьютера, слова записываются без пробелов.

И поисковые системы, и DLP, и мониторилки мнений – все они нуждаются в глубокой переработке для каждого из языков.

white

Алё, ты где?

Журналисты тут все в мыле ищут какую-нибудь очередную утечку. Очень уж тема популярная. Вот, вчера пришли за комментариями к этому:
«В сети появился сервис, который определяет по номеру мобильного телефона страну, в которой сейчас находится абонент, если телефон включен. Пользователи утверждают, что сервис действительно работает.»
Ну, что сказать? Принципиальной сложности тут нету. Телефон регистрируется в местной сети. Сеть всегда "знает", где телефон зарегистрирован, чтоб работала маршрутизация. Эту информацию нетрудно снять для любого оператора мобильной связи, коих в мире тысячи.

Вспомнился презабавный случай начала 2000-х. Знакомый адвокат, послушав рассказы вашего покорного слуги, собрался съездить на Кубу, отдохнуть с местными любвеобильными мучачами. Жене сказал, что у него сложное дело в Новосибирске. У адвоката действительно было сложное дело в Новосибирске, но он убедил тамошнего подзащитного, что нужна психиатрическая экспертиза, положил его в больницу, а сам – на самолёт и в тропический рай.
Румба
Но настоящие пляски с бубном будут у операторов связи.

Супруга время от времени звонит на сотовый, а наш герой жалуется ей на холодную сибирскую погоду и суровых прокуроров, рассекая при этом в белом кабриолете вдоль синего моря с коричневыми мулатками. Но покрытие сетью связи на Кубе не сплошное. Как-то наш путешественник выехал за его пределы, и телефон потерял сеть. Но регистрация-то в сети осталась. И тут в очередной раз звонит супруга. А ей электрическая женщина на чистом испанском отвечает, дескать, абоненто но посибле. Тут-то всё и раскрылось.

Вашему покорному слуге представляется, что описанное выше – это самая страшная утечка, которая может случиться из-за помянутого сервиса.

Но западная общественность и незападные регуляторы вряд ли с этим согласятся. Есть мнение, что сервис будут запрещать, информацию о текущей регистрации мобильных телефонов – засекречивать, а оператора, который ею торгует – наказывать. Придумают в очередной раз каких-нибудь мифических киллеров, которые гоняются за абонентами по всему миру. Или слепых воров, которым не видно, дома ли хозяин. Или даже не станут утруждаться придумыванием угрозы, а просто так: «в связи с терроризмом, педофилией и нарушением авторских прав, запретить...» И роуминг обратно подорожает.

white

Прямое соединение

А не кажется ли вам, коллеги, что Интернет изменил нашу жизнь... гораздо меньше, чем должен был?

Взять хотя бы многочисленных торговых посредников. В 1990-х нам казалось, что они все сдохнут. Что потребители будут самостоятельно подбирать и заказывать себе товары и услуги, сами их оплачивать и давать производителям фидбек. Техническая возможность для всего этого давно есть. А торговые посредники не вымерли.

Конечно, мне сейчас приведут в пример туристическую отрасль. Многие самостоятельно бронируют отели и приобретают авиабилеты. Посредники-турагенты неуклонно теряют аудиторию и перепрофилируются с посредничества в продажах на консалтинг и агрегацию.

Но почему не во всех отраслях стало так?

Посредники в продаже автомобилей, квартир, нефти, стройматериалов, наркотиков и металлорежущих станков сидят на попе ровно, как будто никакой Интернет их не припекает. А так называемые копирасты посредники в продаже лицензий на музыку, книги и фильмы вцепились в своё место зубами и когтями так, что "вся королевская конница" не сдвинет, не то, что какой-то там Интернет.

Я уж не говорю про банки. Вот, казалось бы, легко обходимые посредники. Во всяком случае, в качестве прокладки между кредитором и заёмщиком. Тоже практически никаких подвижек за 20 лет.

Есть мысли, отчего паразитическое посредничество не искореняется при наличии на то технической возможности?

white

Привязать, чтоб не украли

При покупке авиабилетов через Интернет есть такое правило: держатель карточки сам должен быть в числе пассажиров. Платить за билеты для других не положено. Это правило появилось не сразу, а после многочисленных действий кардеров, которые приобретали билеты по чужим картам. Однако из указанного правила имеется исключение: принимаются платежи "невзирая на лица" по тем картам, которые зарегистрированы за турагентствами и туроператорами. (Кстати, каждый такой агент готов за долю малую купить для вас билет, если ваша собственная карточка не принимается.)

В основном это несложное правило кардинг в авиаперевозках почти искоренило. Не само правило как таковое, а введение именных билетов. Если б авиабилеты до сих пор оставались бы на предъявителя, продажу через Интернет, пожалуй, пришлось бы запретить или серьёзно ограничить. Вот вам плата за анонимность.

Персонализация и деанонимизация могла бы покончить с кардерством вообще. Представьте себе, что любая транзакция по вашей карте будет проведена только тогда, когда географические координаты терминала совпадают с текущими координатами держателя карты, которые отслеживает его Айфон независимая система геопозиционирования.

Большие братья – они бывают разные. Альтруисты и параноики. Диктаторы и демократы. Заступники и копирасты. Выберите себе хорошего брата, вместо того, чтоб прятаться от плохого.



Кстати
PC Week/RE
Открыть материалНиколай Федотов
“Ловить злохакеров экономически не выгодно”
Тема киберпреступности и перспектив борьбы с нею сегодня волнует многих. Своим мнением на сей счет с читателями …
Открыть материал
white

Баги и деньги

Не сказать, что нижеописанная утечка оригинальна. Однако, показательна.

В крупной европейской компании-посреднике, которая занимается путешествиями и гостиницами, в информационной системе бронирования обнаружился баг. Даже не программная ошибка, а алгоритмическая некорректность расчёта. При бронировании отеля со скидкой доля гостиницы вычислялась без учёта объявленной скидки. Например, отельный номер продаётся потребителю на сайте за 100 евро. Из них 15 остаётся посреднику, а остальные 85 перечисляются гостинице. Далее, время от времени отельный менеджер повышает цену продажи комнаты до 200 евро и выставляет 50-процентную скидку (настоящих скидок там никогда не практиковалось). Вроде бы, условия для всех сторон остались прежними. Но вместо прежних 85 евро отелю переводится 85% от 200, то есть 170.

Долгих два года наш посредник, "leading online travel & leisure retailer" ничего не замечал. Огромные обороты, как-никак, онлайновые продажи каждую секунду щёлкают... Отели, разумеется, не заметить не могли: всё-таки у каждого своя бухгалтерия. Но помалкивали.

Кто там говорил, что европейцы – законопослушные и стучать охочие? Два года денежки получали и не жужжали. Ни один из отелей-клиентов не признался.

Так называемое неосновательное обогащение, в принципе, подлежит возврату, однако после закрытия очередного финансового периода, уплаты налогов и дивидендов – всё, поезд ушёл.

Вы думаете, произошла утечка? Ну, да, можно назвать это утечкой.

Один из seo-оптимизаторов, помогавший фирме продвигаться в Сети, обнаружил этот баг. И не нашёл ничего умнее, как поделиться информацией с потерпевшей стороной. В расчёте на "дальнейшее выгодное сотрудничество" и благодарность в опосредованно-материальной форме. Благодарности он не дождался, а вот с сотрудничеством дела действительно изменились. Отели, с которых незадачливый потерпевший пытался (в основном безуспешно) получить назад переплаченные денежки, прослышали, кто им обломал халяву. Честного оптимизатора лицемерно поблагодарили за проявленную принципиальность. Однако ни одного контракта в области отельного бизнеса он больше не получил.

Можно назвать это утечкой. А можно и наоборот – умением хранить секреты.

А вы сообщили бы, если б узнали о неосновательном обогащении, которое получает ваша лавка?

white

Пальцы второго сорта

Зашла речь об использовании биометрии (конкретнее – пальчиков) в дверных замках квартир, автомашин, офисов, гостиниц. Безопасно или нет?

Как ни странно, ответить на этот вопрос прямо сейчас нельзя. Только после внедрения этой технологии станет известна степень риска. Дело в следующем.

Когда мы, безопасники принимаем решение об использовании персданных (в частности, биометрических), мы оцениваем риск их утечки в целях мошенничества. Именно в целях мошенничества. Можно ли с помощью утекших данных украсть деньги? Если да – мы их будем усиленно защищать или вовсе откажемся от их обработки. Если нет – мы ограничимся минимальной защитой, только чтоб формально выполнить требования законодательства.

А можно ли украсть деньги с помощью чужих пальчиков? Да, если они будут использованы для удостоверения личности в платёжных системах, банкоматах, удалённом банковском обслуживании, получении льгот и т.п. сервисах, завязанных на материальный интерес.

   
У индусов с глубокой древности так определено, принято и заповедано богами: правая рука – для чистых дел типа еды; левая рука – для нечистых типа подтирания зада. Например, подав что-то левой рукой, вы серьёзно обидите человека.
Упрощённо говоря, есть два класса информационных систем: "серьёзные" и "несерьёзные". Сложные и простые, денежные и некоммерческие, защищённые и не очень. Вот они узрели возможность применения биометрического подтверждения личности и выжидательно смотрят друг на друга. И каждый из них говорит: «Если вы начнёте использовать, то мы не станем. Ибо опасно.» Нельзя применять отпечаток пальца в банкомате, если эти пальцы употребляются для дверей в гостиницах и, как следствие, доступны десяткам тысяч недоверяемых работников отельного бизнеса. И наоборот. Если по пальчику можно оформить кредит и загранпаспорт, никакой здравомыслящий человек не сунет его в аутентификатор веб-форума.

Те и другие выжидают. Те и другие не могут оценить риски, пока противная сторона не определится. Пат. Заколдованный круг.

Выход из ситуации видится в том... Догадались уже? Элементарно!

Требуется глобальное соглашение. Или стандарт. Можно RFC. Все 10 пальцев человека должны быть упорядочены по степени важности. 1-й и 2-й – только для авторизации при банковских операциях, 3-й и 4-й – для паспортно-визовых целей и так далее. А 9-й и 10-й – для наименее защищённых и наименее доверяемых систем, где красть почти нечего. Вовсе не обязательно, чтобы под соглашением подписались сразу все операторы персданных и производители софта. Достаточно договориться лишь некоторым. Не соблюдающих сию договоренность "невидимая рука рынка" подтянет. За шкирку.