Category: путешествия

Category was added automatically. Read all entries about "путешествия".

white

Утечка данных. Парковка запрещена

Утечки данных приводят к финансовым потерям. В течение десяти лет (а то и более) мы пытаемся донести до общественности этот факт. Но даже сегодня находятся недальновидные руководители компаний, которые отказываются верить в очевидное. Дескать, покажите нам хоть один случай, когда утечка данных привела к потере денег.

Вы спрашивали – мы отвечаем. 15 января компания Park ‘N Fly выпустила официальное заявление, где указывается, что платежные данные ее клиентов были скомпрометированы из-за уязвимости веб-сайта. К расследованию подключились сторонние эксперты по компьютерной форензике. По словам представителей Park ‘N Fly, скомпрометированы номера карт, имена владельцев, коды CVV. Электронные адреса клиентов, телефонные номера и пароли доступа к системе Park ‘N Fly, вероятно, также оказались в руках злоумышленников.

Компания приостановила процессинг платежей, о чем уведомляет на официальном сайте:
parker_program

Park ‘N Fly предоставляет услуги интернет-бронирования парковочных мест в аэропортах. Ранее эксперт по информационной безопасности Брайн Кребс писал в своем блоге о появлении на черном рынке большого объема номеров кредитных карт. Кребс предположил, что данные карт похищены из информационных систем бронирования парковок, принадлежащих Park ‘N Fly и еще одной компании, бронирующей парковки - OneStopParking. Тогда компании отказались признать факт утечки данных.

Брайн Кребс отмечает, что число карт клиентов Park ‘N Fly и OneStopParking, предлагаемых к продаже на черном рынке, исчислялось несколькими тысячами. Карты продавались на тех же «черных» ресурсах, что и дампы карт клиентов Home Depot, Target, Sally Beauty, P.F. Chang’s и Harbor Freight. Хакеры просили от 6 до 9 долларов США за одну запись, включающую имя владельца, адрес и телефон, номер и срок действия карты, трехзначный код подтверждения (CVV).

В 2014 году мы отмечали повышенный интерес злоумышленников к платежным данным, которые обрабатываются в информационных системах ритейлеров. Теперь хакеры добрались и до онлайн-сервисов. Очевидно, в 2015 следует ожидать массовых атак на компании, оперирующие большим объемом платежных данных, но менее защищенные, чем кредитные организации. Это могут быть крупные туристические онлайн-сервисы, системы бронирования авиабилетов, национальные интернет-провайдеры, логистические компании.

Мы настоятельно рекомендуем владельцам этих бизнесов задуматься о безопасности платежных данных своих клиентов. В противном случае масштабная атака, например, на туристический сервис может стать последним событием в жизни такого сервиса.
white

Десятый парадокс ИБ

Если в каком-то проекте от исполнителя требуется допуск к гостайне, хороших специалистов вы туда не заманите. Потому что неудобства и ограничения гражданских прав, причиняемые гостайной, не компенсируются.

Даже небольшие доплаты "за допуск" стараются не платить под всякими предлогами. С другой стороны, ограничения по закону дополняются самопальными ограничениями местных держиморд с одной извилиной от фуражки. Моя подруга, служащая Минобороны, совершенно беспрепятственно получила загранпаспорт в ФМС, пройдя все положенные проверки. А начальник на службе требует ото всех его сдавать в кадры, чтобы каждый раз перед поездкой в Турцию униженно выпрашивать обратно. Наученная предыдущим опытом товарок, она скрыла факт получения з/п и с лёгким сердцем отправилась в отпуск – навстречу вербовкам горячими южными мужчинами.

Лояльность, квалификация и цена рабочей силы составляют треугольник равновесия. Что бывает, если пренебречь одним из трёх, ярко продемонстрировал А.С.Пушкин.

В результате имеем железное правило: несекретные информсистемы делаются качественнее и дешевле, а секретные – хреновее и при этом дороже. Причём, в понятие "качество" входит также устойчивость ко всевозможным НСД, утечкам и подобным неприятностям.

Квалифицированный айтишник – зверь пугливый и капризный. В неволе не размножается. Так что сообразительные менеджеры ищут обходные пути. Например, оформляют не официальный допуск по закону о ГТ, а какую-нибудь полуофициальную "подписку о неразглашении". Но даже такая бумажка вызывает испуг и утечку мозгов из проекта.

Согласно первоначальной идее, статус гостайны должен приводить к повышенной ответственности исполнителей проекта. Крутнув не те гайки, добились прямо противоположного. Отличный повод ещё раз вспомнить вот эту картинку и поучительное нецензурное произведение классика.

white

Алё, ты где?

Журналисты тут все в мыле ищут какую-нибудь очередную утечку. Очень уж тема популярная. Вот, вчера пришли за комментариями к этому:
«В сети появился сервис, который определяет по номеру мобильного телефона страну, в которой сейчас находится абонент, если телефон включен. Пользователи утверждают, что сервис действительно работает.»
Ну, что сказать? Принципиальной сложности тут нету. Телефон регистрируется в местной сети. Сеть всегда "знает", где телефон зарегистрирован, чтоб работала маршрутизация. Эту информацию нетрудно снять для любого оператора мобильной связи, коих в мире тысячи.

Вспомнился презабавный случай начала 2000-х. Знакомый адвокат, послушав рассказы вашего покорного слуги, собрался съездить на Кубу, отдохнуть с местными любвеобильными мучачами. Жене сказал, что у него сложное дело в Новосибирске. У адвоката действительно было сложное дело в Новосибирске, но он убедил тамошнего подзащитного, что нужна психиатрическая экспертиза, положил его в больницу, а сам – на самолёт и в тропический рай.
Румба
Но настоящие пляски с бубном будут у операторов связи.

Супруга время от времени звонит на сотовый, а наш герой жалуется ей на холодную сибирскую погоду и суровых прокуроров, рассекая при этом в белом кабриолете вдоль синего моря с коричневыми мулатками. Но покрытие сетью связи на Кубе не сплошное. Как-то наш путешественник выехал за его пределы, и телефон потерял сеть. Но регистрация-то в сети осталась. И тут в очередной раз звонит супруга. А ей электрическая женщина на чистом испанском отвечает, дескать, абоненто но посибле. Тут-то всё и раскрылось.

Вашему покорному слуге представляется, что описанное выше – это самая страшная утечка, которая может случиться из-за помянутого сервиса.

Но западная общественность и незападные регуляторы вряд ли с этим согласятся. Есть мнение, что сервис будут запрещать, информацию о текущей регистрации мобильных телефонов – засекречивать, а оператора, который ею торгует – наказывать. Придумают в очередной раз каких-нибудь мифических киллеров, которые гоняются за абонентами по всему миру. Или слепых воров, которым не видно, дома ли хозяин. Или даже не станут утруждаться придумыванием угрозы, а просто так: «в связи с терроризмом, педофилией и нарушением авторских прав, запретить...» И роуминг обратно подорожает.

white

Баги и деньги

Не сказать, что нижеописанная утечка оригинальна. Однако, показательна.

В крупной европейской компании-посреднике, которая занимается путешествиями и гостиницами, в информационной системе бронирования обнаружился баг. Даже не программная ошибка, а алгоритмическая некорректность расчёта. При бронировании отеля со скидкой доля гостиницы вычислялась без учёта объявленной скидки. Например, отельный номер продаётся потребителю на сайте за 100 евро. Из них 15 остаётся посреднику, а остальные 85 перечисляются гостинице. Далее, время от времени отельный менеджер повышает цену продажи комнаты до 200 евро и выставляет 50-процентную скидку (настоящих скидок там никогда не практиковалось). Вроде бы, условия для всех сторон остались прежними. Но вместо прежних 85 евро отелю переводится 85% от 200, то есть 170.

Долгих два года наш посредник, "leading online travel & leisure retailer" ничего не замечал. Огромные обороты, как-никак, онлайновые продажи каждую секунду щёлкают... Отели, разумеется, не заметить не могли: всё-таки у каждого своя бухгалтерия. Но помалкивали.

Кто там говорил, что европейцы – законопослушные и стучать охочие? Два года денежки получали и не жужжали. Ни один из отелей-клиентов не признался.

Так называемое неосновательное обогащение, в принципе, подлежит возврату, однако после закрытия очередного финансового периода, уплаты налогов и дивидендов – всё, поезд ушёл.

Вы думаете, произошла утечка? Ну, да, можно назвать это утечкой.

Один из seo-оптимизаторов, помогавший фирме продвигаться в Сети, обнаружил этот баг. И не нашёл ничего умнее, как поделиться информацией с потерпевшей стороной. В расчёте на "дальнейшее выгодное сотрудничество" и благодарность в опосредованно-материальной форме. Благодарности он не дождался, а вот с сотрудничеством дела действительно изменились. Отели, с которых незадачливый потерпевший пытался (в основном безуспешно) получить назад переплаченные денежки, прослышали, кто им обломал халяву. Честного оптимизатора лицемерно поблагодарили за проявленную принципиальность. Однако ни одного контракта в области отельного бизнеса он больше не получил.

Можно назвать это утечкой. А можно и наоборот – умением хранить секреты.

А вы сообщили бы, если б узнали о неосновательном обогащении, которое получает ваша лавка?

white

Не экономьте на бесполезном

Как известно, во всех гостиничных номерах есть телефоны, подключенные к местной АТС и к городской сети. Проводными телефонами давно уже никто не пользуется. К тому же, гостиничные тарифы, как всем известно, сильно завышены. Так что ситуация "2-3 тарифицируемых звонка в неделю на сотню комнат" никого из персонала не удивляет. От этих телефонов давно бы отказались, но без них отелю не дадут звёзд; есть такой атавизм в правилах.

Так вот, в одной европейской гостинице вышел из строя конвертор (шнур) COM9-USB, которым была соединена АТС с биллинговым компьютером. Телефонная станция исправно работает, но счета за звонки постояльцам не выставляются. И никто этого не замечал месяца три – в силу редкости такого события, как звонок с гостиничного телефона. Когда всё-таки обнаружили эту неприятность, управляющий сначала расстроился. Но, посмотрев в счета от оператора связи, повеселел: оказалось, недоплаченная посетителями сумма за все три месяца настолько ничтожна, что даже новый шнур обойдётся дороже.

Управляющий отелем посчитал немного и пришёл к выводу, что от взимания платы за телефон можно вообще отказаться. Обслуживание биллинга стоит дороже. С того момента звонки из этой гостиницы стали для клиентов бесплатными. Но постояльцам об этом не сказали: на всякий случай, чтоб морально неустойчивые не повелись на халяву.

Однако утечка всё же случилась.

В один прекрасный день от оператора связи прислали счёт за телефон примерно в 5000 раз больше среднемесячной суммы. Обнаружилось, что в один и тот же вечер сразу трое постояльцев этого отеля решили позвонить на платный номер (номер с повышенной тарификацией вызова) в соседней стране. И все трое "говорили" по платной линии всю ночь. А наутро дружно выехали.

Сначала грешили на персонал. Но позже нашли на интернет-форуме восторженный отзыв одного из постояльцев, который сообщал, что в этой замечательной гостинице с него не взяли денег за телефонный звонок, хотя он добросовестно пытался заплатить. Сразу после появления этого сообщения злоумышленникам карта и попёрла.

white

Ошибки старого безопасника 7

В не таком уж далёком году знакомые вашего покорного слуги оперативно обеспечивали расследование одного убийства. Подозреваемый никак не признавался. И вообще ушёл в глухую "51-ю". Но вдруг внезапно он просится на допрос и сообщает о наличии у него алиби. Якобы в период совершения преступления он уехал из Москвы в другой город "по личным делам". По каким именно – опять "51-я".

Защитник ходатайствует сделать выемку из БД ж/д билетов РЖД (тогда ещё МПС), а также из книги регистрации гостиницы. И – о, чудо! – находится железнодорожный билет на имя подозреваемого и регистрационная карточка из гостиницы. Верить в чудеса следователи с операми не привыкли (они и в чистую-то правду верят через раз).

Но доказать подлог не смогли. Дежурный администратор гостиницы у нас бы раскололся за милую душу, признался бы, гад, когда, как и по чьему указанию подделал запись. Но он – в другом городе. Прессовать его удалённо нельзя, а местное ОВД никакой заинтересованности не проявило.

Что касается подложной записи в БД ЖД, тут даже непонятно, кого именно прессовать. Была бы это БД какой-нибудь мелкой лавки, изъяли бы сервера и отправили к чёртовой матери на экспертизу – пусть разбираются, кто и когда внёс/исправил запись. Но с конторой типа МПС такие штуки не проходят.

Все понимали, что если оправдать человека на основании каких-то непонятных "записей" в какой-то тёмной БД, зараза тут же распространится на всех убийц и бандитов. Если адвокат один раз нашёл ход к сисадмину (хакеру) такой удобной "базы алиби", то найдёт и в будущем. И посыпятся вообще все дела. Чтоб закрыть эту потенциальную уязвимость, пришлось упомянутые доказательства... того... сделать недействительными. И с этого момента больше попыток взлома БД РЖД не предпринималось.

А вы говорите – "целостность".

white

Всё равно тайна!

Вчера подкинули "в тему" интересную статью, как издание "Коммерсант" привлекли за разглашение гостайны.

Хотя все данные были собраны журналистами из открытых источников: из публикаций других СМИ, выступлений Президента, министра обороны, губернаторов и прочих официальных лиц, сайтов городов, посёлков и воинских частей (есть и такие), из книг, телепередач и социальных сетей. Причём, составители буквально для каждого байта своих сведений готовы указать источник. Итоговый вердикт суда – разглашение государственной тайны.

Прислушайтесь к своему здравому смыслу. Слышите? Слышите, какую чушь он несет?! Он утверждает, что "открытый источник" или "официальный источник" – это оправдание. Что публикация превращает секретные сведения в несекретные. А теперь послушаем комментарий юриста.


До начала XX века название боевого корабля украшало собой бескозырку. Ныне это гостайна.
Факт обнародования сведений, составляющих гостайну, никак не отражается на их формальном статусе. Гостайна остаётся гостайной, хоть её на первой странице центральных газет пропечатай. А наименование воинских частей, их дислокация и имена командиров – эти сведения считаются гостайной ещё с тех времён. Следовательно даже простая перепечатка из иного источника – вполне себе разглашение.

В прошлые разы, как описано в статье, на журналистов возбуждали уголовные дела по ст.283 УК. Но неизменно их прекращали за отсутствием состава преступления. Думаете, потому прекращали, что "открытые источники". А вот и нет:
«Статья 283. Разглашение государственной тайны
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены...»
Видите квалифицирующий признак «по службе или работе»? В нём всё дело.

Человека невозможно привлечь к уголовной ответственности, если он не получал секретные сведения официально. Неофициальный же носитель может себе позволить разглашать что и где угодно. Как, например, ваш покорный слуга, который совсекретные приказы изучал, но справки не имел. И журналисты тоже не были официально допущены и ознакомлены с соответствующими тайными сведениями. Поэтому и вывернулись. А издание (юрлицо) не вывернулось, поскольку оно не к уголовной ответственности привлекается, а к административной, в соответствии со ст.4 закона "О СМИ". Там ни про какой допуск не сказано; там просто: «разглашения сведений, составляющих».

Конечно, следует оговориться, что сама система, когда секретными считаются названия и дислокации военных частей, давно себя изжила. Она неплохо работала в 1930-е. Но в эпоху гуглокарт и соцсетей превратилась в чемодан без ручки. Но чтоб его наконец выбросили, требуется время: те офицеры, которые ещё лейтенантами поняли бессмысленность этой системы, должны дослужиться до маршалов. Не раньше.

white

Ошибки старого безопасника 1

Надеюсь, все наши культурные читатели знают сказку о старом капитане, торговавшем своими ошибками. Вдохновившись идеей, пиарщики "Инфовотч" решили собрать коллекцию ошибок сотрудников ИБ. С покупателями сейчас сложно, так что публиковать будем бесплатно.

Итак, первый рассказ. Художественная обработка А.Кирьянова. Collapse )
Если кто из уважаемых коллег сочтёт возможным поделиться своей ошибкой, пишите пожалуйста мылом. Опубликуем историю на ваших условиях.
white

Сеанс с разоблачением

Ходят слухи, что спецслужбы используют социальные сети для наведения справок. Дескать, с помощью таких сетей они могут узнать очень много о любом человеке. Не станем утверждать, что это неправда. Просто спецслужбы здесь, так сказать, в общей очереди.

Недавно на популярном веб-форуме самостоятельных путешественников один из пользователей поделился проблемой. Он увидел предложение, крайне заманчивое, но одновременно внушающее опасения – купить очень дешёвые авиабилеты (всего 250 долларов за маршрут Петербург-Бангкок и обратно). К тому же, без предоплаты. Продавец сказочных билетов скрывался за номером ICQ. Он утверждал, что риска никакого нет, но подробностей не раскрывал.

Сеанс чёрной магии Воланда
Среди путешественников сразу завязалась оживлённая дискуссия. Один из участников форума, проведя поиск в Интернете по ключевым словам, нашёл веб-сайт продавца с тем же предложением и выяснил, на кого зарегистрировано доменное имя. Другой участник немедленно ввёл эти данные в "Одноклассников" и обнаружил другие сведения о человеке: год рождения, место учёбы и т.д. На сайте "ВКонтакте" также нашлась учётная запись того же торговца дешёвыми билетами. Там были дополнительные данные и ссылка на такое же предложение авиабилетов. Кто-то из участников обсуждения связался через "ВКонтакте" с людьми, покупавшими такие билеты, получил и опубликовал их «показания» – куда летали, почём, не было ли в пути проблем. Нашелся на форуме доброволец, который связался с продавцом и забронировал себе билет. Оказалось, что ещё один участник дискуссии имеет доступ в систему бронирования авиабилетов. По номеру брони он моментально установил, кто, когда и каким способом этот билет оплатил. Метод получения «левых» билетов стал предельно ясен.

Заодно общественность проверила и инициатора обсуждения – не подставной ли, с какого IP-адреса пишет, в каких ещё форумах выступал; нашлась и его анкета "ВКонтакте", и фотографии в публичном фотоальбоме и прочее.

В итоге недолгого обмена данными самостоятельные путешественники цинично содрали покров тайны, обнажив всё – личность продавца, его место жительства и работы, метод мошенничества, список клиентов, историю заказов. И сделали выводы.

Это обсуждение на веб-форуме – фактически вполне компетентное расследование, за которое не стыдно было бы службе безопасности крупной фирмы, а уж для наших правоохранительных органов подобным результатом оперативной работы можно было бы гордиться.

К сожалению, ветка форума с данным обсуждением сейчас уже удалена.