Вверх страницы

Вниз страницы

Близ при дверях, у последних времен.

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Близ при дверях, у последних времен. » Новые формы электронного контроля » О том насколько можно доверять безопасности и защищенности IT-систем


О том насколько можно доверять безопасности и защищенности IT-систем

Сообщений 1 страница 14 из 14

1

Ну просто феерическая новость --- оказывается со всех существующих реализациях WPA2  для WiFi есть очень опасная уязвимость.
( WPA2 --- это протокол как-бы обезпечивающий безопасность при помощи криптографических методов  )

Описанная уязвимость кроется в самом WiFi стандарте на уровне протокола, а не в каких-то конкретных устройствах
с поддержой WiFi, поэтому атаке поддается практически любой продукт с корректной реализацией WPA2 шифрования.

На вашем устройстве есть WiFi?
Скорее всего вы подвержены атаке. В процессе исследования проблемы мы выяснили, что можно успешно
атаковать устройства Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys и подобные.

Особенно «больно» можно атаковать владельцев устройств с Android 6.0.
Атака на них позволяет перехватывать и подменять передаваеммые по WiFi данные.
41% андроид устройств подвержены «особенно разрушительной» версии атаки.

https://geektimes.ru/post/294431/

В общем, совершенно внезапно случайно выяснилось, что мы всё это время жили в дом с незапертой дверью
( в том смысле,  что любой обмен данными по WiFi был подвержен атакам позволяющим красть данные
и при желании подменять их! )

То есть, если у вас дома компьютер использует WiFi для подключению к Интернету
и вы пользуетесь на этом компьютере програмами типа банк-клиент для финансовых трасакций
то то, что Вы всё ещё до сих пор не лишились всех своих денег --- это милость Божия,
потому что благодаря этой уязвимости уже давно злоумышленники могли перехватить
ваши пароли и всё прочее и своровать все ваше деньги.

Ещё одна статья об этой уязвимости
https://habrahabr.ru/company/pentestit/blog/340182/

В общем безопасность WiFi оказалась гнилой и что ужасно --- быстрого исправления для этого нет
и не предвидится в силу того, что уязвимость носит фундаментальный характер и обусловлена не ошибкой
реализации, но дефектностью дизайна протокола WPA2. 

В качестве выхода предлагается обертывать все данные в зашифрованный VPN,   использовать всякие защищённые протоколы типа HTTPS.
Но не факт, что в них через некоторое время не обнаружится, что там тоже какая-нибудь засада.

+2

2

togiya написал(а):

оказывается со всех существующих реализациях WPA2  для WiFi есть очень опасная уязвимость.


togiya написал(а):

В качестве выхода предлагается обертывать все данные в зашифрованный VPN,   использовать всякие защищённые протоколы типа HTTPS.
Но не факт, что в них через некоторое время не обнаружится, что там тоже какая-нибудь засада.


...По щеке тихо скатилась скупая мужская слеза.... (образно)

Нет, быть может, всякие алгоритмы "безопасности" хоть в wi-fi, хоть в VPN, хоть в https действительно служат защитой
хоть от кого-нибудь (от школьников и студентов, допустим. Да и то - не от всех, наверное).
Ну и продать, условно говоря, https и L2TP\IPSec можно дороже, чем pptp и http.

Какая там безопасность....

"И чудесами, которые дано было ему творить перед зверем,
он обольщает живущих на земле, говоря живущим на земле,
чтобы они сделали образ зверя   который имеет рану от меча и жив."
,
    Вот и работа "образа зверя" - обольстить.
Т.е. попытаться выдать за правду то, что правдой совсем не является.
Соблазнить, спровоцировать, способствовать тому, чтобы человек сделал еще один неправильный шаг,
который может оказаться последним неправильным шагом в его жизни (и временной и вечной).

+3

3

Виталий83 написал(а):

Ну и продать, условно говоря, https и L2TP\IPSec можно дороже, чем pptp и http.

PPTP не так уж плох, но в той его реализации что сделал Microsoft были преднамерено оставлены такие дыры,
в которые не то что мышь, но и целый слон могут пролезть ( по настоятельным просьбам АНБ, наверное ).

В общем-то об этом и Брюс Шнайер писал в 1998 ( https://www.schneier.com/academic/paper … pptpv2.pdf  /  https://www.schneier.com/academic/pptp/ )  и многие другие.

Виталий83 написал(а):

Вот и работа "образа зверя" - обольстить.
Т.е. попытаться выдать за правду то, что правдой совсем не является.


и что ещё характерно,  авторство многих криптографических алгоритмов прнадлежит  людям с характерными именами
например RSA  --- это аббревиатура от фамилий Rivest, Shamir и Adleman
Рональд Линн Ривест родом из США (NY),
Адлеман, Леонард Макс Адлеман тоже ( из Калифорнии ) и он помимо криптографии занимается работами по созданию ДНК-компьютера ( https://ru.wikipedia.org/wiki/ДНК-компьютер )
ну а Ади Шамир, он, как положено, из Тель-Авива из  института Вейцмана.
Те ещё ребята... 
Но тут вся беда общая для любой науки --- в том, что человек оторвавшись от живой связи с Богом теряет ориентиры, заблуждается и начинает причинять зло себе и другим.
( при этом к несчастью своему может вдобавок искренне полагать что делает некое благо для человечества, а на деле помогать лукавым и нечестивым в их беззаконных скверных делах )
А... Оставим это на суд Божий.

«Все зло начинается с того, что ум вращается исключительно вокруг науки и очень далек от Бога.
Поэтому такие люди не могут достичь внутреннего мира и гармонии.
А если бы их ум вращался вокруг Бога, он бы освятился, и тогда они смогли бы использовать науку
на благо миру и себе  - для своего внутреннего совершенствования».

Культура — это хорошо, но для того, чтобы она принесла пользу, необходимо «окультурить» еще и душу.
Иначе культура закончится катастрофой. «Зло, — сказал Святой Косма Этолийский, — придет от людей грамотных».
Несмотря на то, что наука продвинулась далеко вперед и достигла столь больших успехов, люди, стремясь помочь миру,
делают это так, что разрушают его, сами этого не понимая. Бог позволил человеку делать все по собственному разумению,
но, не слушая Бога, человек губит сам себя. Человек сам разрушает себя тем, что он создает.

Тот, кто беспрерывно оттачивает свой ум все новыми знаниями, но живет вдали от Бога,
в итоге превратит свой разум в обоюдоострый меч и его одной стороной будет мало-помалу резать себя,
а другой — ранить людей своими непререкаемыми, рассудочными, бездуховными решениями.
Напротив, вера в Бога привлекает силу Божию и ниспровергает все человеческие выводы, творит чудеса,
воскрешает мертвых и оставляет науку стоящей с открытым от изумления ртом».

(Преподобный Паисий Святогорец).

Он (человек – ред.) весь растворяется во внешнем мире и становится чуждым самому себе.
Мир с его технологическим прогрессом доходит до настоящего язычества.

(Cтарец Эмилиан (Вафидис).

«Если бы люди знали, что есть духовная наука, то побросали бы все свои науки и технику, и созерцали бы только Господа».

(Преподобный Силуан Афонский)

0

4

ещё одна громкая новость, оказываетя почти все современные компьютеры "дырявые" 
( то есть содержат уязвимость или  бэкдор, позволяющую заражать или скрытно управлять ими )

Intel подтверждает наличие уязвимости в огромном количестве процессоров из разных сегментов

Неделю назад мы писали о том, что в под­си­сте­ме Intel Management Engine най­де­на кри­ти­че­ская уяз­ви­мость,
ко­то­рая поз­во­ля­ет по­лу­чить доступ к огром­но­му ко­ли­че­ству ПК, ос­но­ван­ных на CPU Intel.
Тогда уточ­ня­лось, что речь шла о мо­де­лях по­ко­ле­ния Skylake и новее.
https://www.ixbt.com/news/2017/11/13/in … ngine.html

Се­год­ня Intel под­твер­ди­ла факт на­ли­чия уяз­ви­мо­сти. Ком­па­ния про­ве­ри­ла не только Management Engine (ME),
но и Server Platform Services (SPS) и Intel Trusted Execution Engine (TXE).
Ока­за­лось, что про­бле­мы име­ют­ся у ME версий 11.0/11.5/11.6/11.7/11.10/11.20, а также у SPS 4.0 и TXE 3.0.
А это в свою оче­редь озна­ча­ет, что про­бле­ма ка­са­ет­ся до­ста­точ­но ши­ро­ко­го списка про­цес­со­ров.

Он вклю­ча­ет по­ко­ле­ния Skylake, Kaby Lake, вось­мое по­ко­ле­ние CPU, в ко­то­рое пока входят модели
Kaby Lake Refresh и Coffee Lake, Xeon Processor E3-1200 v5 и v6, се­мей­ства Xeon Processor Scalable
и Xeon Processor W, CPU Atom C3000, се­мей­ство про­цес­со­ров Apollo Lake ли­ней­ки E3900,
ли­ней­ку Apollo Lake Pentium, а также про­цес­со­ры Celeron N и J.
Проще говоря, огром­ное ко­ли­че­ство на­столь­ных, мо­биль­ных и сер­вер­ных про­цес­со­ров,
вы­шед­ших за по­след­ние годы.

Про­бле­ма усу­губ­ля­ет­ся тем, что сама Intel, несмот­ря на всю за­кры­тость той же под­си­сте­мы ME,
не может ис­пра­вить си­ту­а­цию вы­пус­ком патча. Такие за­плат­ки должны вы­пу­стить про­из­во­ди­те­ли
си­стем­ных плат либо го­то­вых устройств, если речь о мо­биль­ном сег­мен­те.
А это, само собой, по­тре­бу­ет вре­ме­ни.

+2

5

Комерческие компании РФ, теперь могут получить право передавать персональные данные клиентов без их ведома. Соответствующие поправки в закон «О персональных данных» подготовили представители IT-бизнеса и фонд «Сколково».

Персональные данные россиян могут стать мерой обмена
Зачем бизнесу право передавать данные клиентов без их уведомления

Авторами поправок выступили представители компаний, которые сейчас работают над госпрограммой «Цифровая экономика». В фонде «Сколково» «Коммерсантъ FM» сообщили, что это ведущие частные и государственные IT-компании, однако не уточнили, какие именно.

По словам авторов законопроекта, они хотят облегчить распространение персональной информации граждан между различными компаниями.

Согласно инициативе, отвечать за сохранность таких данных будет та фирма, которая первой получила их от клиента. В дальнейшем она должна будет опубликовать у себя на сайте список организаций, с которыми она может этой информацией делиться, чтобы клиент был в курсе. Таким образом, человек будет знать, куда его данные могут пойти, но запретить их передачу по цепочке у него возможности не будет.

Плюсы от введения такой меры, по мнению авторов документа, очевидны. Бизнесу станет легче получать согласие на обработку персональных данных, а это расширит спектр услуг, которые можно получить дистанционно. Кроме того, компании смогут предлагать клиентам именно те продукты и услуги, которые им интересны.

Между тем, опрошенные «Коммерсантъ FM» эксперты отмечают, что практика передачи персональных данных из одной компании в другую без ведома клиента уже повсеместно существует. И в этом смысле, законопроект может упорядочить этот процесс. Но для этого в нем должно быть четко прописано, что конкретно компании могут делать с данными клиента, сообщил «Коммерсантъ FM» эксперт по информационной безопасности компании Trend Micro Николай Романов: «Сейчас все это дело хотят привести в какое-то упорядоченное состояние. От того, как это смогут формализовать, будет зависеть конечный результат. Если действительно получится прописать понятный и прозрачный механизм, чтобы человек понимал, что происходит с его персональными данными, то, наверное, это будет лучше, так как снизится количество злоупотреблений подобной информацией».

В целом поддержали инициативу и в «Ростелекоме». Как сообщили «Коммерсантъ FM» в компании, это поможет бизнесу упростить процессы обработки данных, а для граждан сделает их оборот более прозрачным и подконтрольным.

Впрочем, далеко не все так оптимистичны. Поправки раскритиковали, например, в Фонде развития интернет-инициатив. Там считают, что персональные данные могут принадлежать только клиенту и только он может решать, куда и кому их передавать, а законопроект напрямую нарушает права россиян.

Некоторые аналитики также обращают внимание на то, что это предложение идет вразрез с мировыми тенденциями. Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников напоминает, что принятый недавно в Евросоюзе регламент защиты данных, наоборот, резко ограничивает права компаний в части распоряжения персональными данными граждан. По его мнению, предложенные российским бизнесом и фондом «Сколково» поправки просто позволят компаниям свободно перепродавать данные клиентов: «Я не вижу в этих поправках абсолютно никакого стимула для развития цифровой экономики. Речь идет о банальном переводе персональных данных граждан в рыночный товар.

Операторов связи Роскомнадзор уже в течение нескольких лет привлекает к административной ответственности даже за продажу анонимных профайлов пользователей Сети, поскольку это нарушает тайну связи и противоречит закону о персональных данных и рекламе. Легализация этого ничего хорошего принести никому не может».

Как пояснили «Коммерсантъ FM» в фонде «Сколково», сейчас законопроект отправлен на рассмотрение в рабочую группу по нормативному регулированию цифровой экономики. Она либо одобрит поправки, либо вернет их в «Сколково» на доработку.

В июле СМИ сообщали, что Mail.ru Group разработала для Facebook приложения, которые собирали персональные данные пользователей с разрешения социальной сети. После изменения политики Facebook, доступ приложений к личной информации пользователей был закрыт.
https://www.kommersant.ru/doc/3718313?u … ifr_social

0

6

Компания Nightwatch Cybersecurity, специализирующаяся на компьютерной безопасности, рассказала о новой найденной уязвимости в операционной системе Android.

Она позволяет приложениям игнорировать разрешения на получение системной информации, такой как имя сети Wi-Fi, идентификатор BSSID (Basic Service Set Identifiers), MAC-адрес устройства, DNS-сервер и локальные IP-адреса.
С такими данным приложение может определить местоположение и отследить любое Android-устройство, вплоть до точного географического адреса. Хакерам это позволяет атаковать Wi-Fi-сеть.

Хорошая новость в том, что Google уже устранила эту уязвимость в новой версии ОС — Android 9.0 Pie. Плохая новость заключается в том, что она пока установлена менее чем на 0,1% устройств Android.
http://www.ucnews.ru/detail/11410384367 … a83b4ee9fd

0

7

Роскомнадзор готовится блокировать сайты по протоколу IPv6

Надзорное ведомство рассылает операторам связи письма с уведомлением, что к началу октября планируется завершить разработку механизма внесения записей по протоколу IPv6 в выгрузках реестра запрещенных сайтов
https://roskomsvoboda.org/41214/

0

8

Firefox будет по умолчанию блокировать все трекеры

https://www.securitylab.ru/news/495378.php

0

9

ФСБ увидела угрозу нацбезопасности в проекте глобального интернета
ФСБ стала еще одним российским ведомством, выступившим против реализации проекта OneWeb, авторы которого намерены обеспечить глобальный доступ в интернет. Ранее было известно о возражениях Роскомнадзора

Фото: oneweb.world
Проект британской OneWeb по созданию системы спутниковой связи может потенциально представлять угрозу нацбезопасности России. Об этом заявил представитель ФСБ Владимир Садовников, передает Reuters.

«Гарантии, что система спутниковой связи не носит разведывательного характера и не сможет нанести ущерб интересам личности и общества Российской Федерации, носят в большей степени декларативный характер и не могут быть достоверно проверены российской стороной», — передает агентство слова Садовникова.

Подробнее на РБК:
https://www.rbc.ru/business/24/10/2018/ … _full-link

0

10

29 октября 2018

В Сеть попала база данных 421 тысячи сотрудников Сбербанка РФ

В Сбербанке произошла утечка данных, в результате которой имена и адреса электронной почты 421 тысячи сотрудников банка оказались в открытом доступе в Интернете. Руководство банка заверило, что утечка данных не представляет никакой угрозы клиентам и автоматизированным системам, а адресная книга доступна всем сотрудникам.
По данным издания "Коммерсантъ", на днях база данных сотрудников Сбербанка появилась в открытом доступе на специализированном форуме phreaker.pro. Эту информацию подтвердили представители пресс-службы банка. Один из сотрудников Сбербанка и представитель сторонней организации, которая связана с информационной безопасностью банка, подтвердили подлинность базы.


База представляет собой текстовый файл размером порядка 47 мегабайт с более чем 421 тысячей записей, содержащих ФИО сотрудников, и их логины для входа в операционную систему, в большинстве случаев совпадающие с адресами их электронной почты. Также можно узнать, в каком подразделении работает тот или иной сотрудник. Базу выложил в Сеть неизвестный пользователь. Она бесплатна для доступа, передает РИА Новости.

Также база содержит данные о сотрудниках дочерних организаций Сбербанка и сведения об уволенных сотрудниках. Она актуальна на 1 августа текущего года.

https://www.vesti.ru/doc.html?id=3077025

На днях на одном специализированном форуме была выложена база данных сотрудников Сбербанка. База представляет собой текстовый файл размером около 47 мегабайт, в котором содержится свыше 421 тыс. записей с ФИО сотрудников и их логинами для входа в операционную систему, которые в большинстве случаев совпадают с адресами их почты. Также можно узнать, в каком подразделении работает сотрудник. В базе содержатся данные о сотрудниках дочерних организаций Сбербанка, в том числе зарубежных. При этом размер базы превышает численность всех сотрудников группы Сбербанка, которая, согласно данным МСФО по итогам первого полугодия 2018 года, составляла почти 300 тыс. человек. Связано это может быть с тем, что в базе содержатся данные о некоторых (не всех) уволенных сотрудниках. База была выложена неизвестным пользователем. Доступна бесплатно.

Проверка “Ъ” показала, что информация в базе актуальна на 1 августа 2018 года (найти сотрудников, трудоустроенных позже, “Ъ” не удалось).

Для проверки подлинности данных “Ъ” сравнил адреса электронной почты некоторых непубличных менеджеров Сбербанка с собственной базой данных, есть в базе и три e-mail президента банка Германа Грефа. Подлинность базы также подтвердили один из сотрудников Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка. В пресс-службе Сбербанка также сообщили, что там известно о публикации части адресной книги сотрудников.

http://rucompromat.com/articles/german_ … ie_dannyie

Веб-аналитик «Лаборатории Касперского» Владислав Тушканов отметил, что утечки данных в последнее время происходят достаточно часто, им подвержены и финансовые компании, и здравоохранение, и государственные ведомства. «Для самого предприятия это может быть чревато репутационными потерями, также утечки несут угрозу непосредственно тем, чьи данные попадают в открытый доступ»,— полагает господин Тушканов. По словам управляющего партнера экспертной группы Veta Ильи Жарского, клиенты банка могут усомниться, что банк, не сумевший защитить данные собственных сотрудников, хорошо обеспечивает безопасность клиентской информации.


вот тут была опубликована эта база:
https:// phreaker.pro/forum/threads/Базы-данных-Часть-2.23999/page-392

там-же и множество других, в том числе база ГИБДД, Сведения о транспортных средствах и их владельцах на 30.09.2018 ... в общем, смотрите сами:
https:// phreaker.pro/forum/threads/Базы-данных-Часть-2.23999/page-151#post-318782

+1

11

да уж... чего там только нет, как когда-то на "Горбушке"

0

12

Почему это когда то? Всё там же, всё то же и не надо в даркнет лазить...

0

13

Технологии / Интернет и digital

Данные клиентов «Акадо» оказались в открытом доступе

Они обнаружились в базе регистратора IP-адресов RIPE
02 ноября 2018


«Акадо» сейчас ведет внутреннюю проверку этой информации

Евгений Разумный / Ведомости

Данные клиентов «Акадо», среди которых юридические и физические лица, оказались в свободном доступе
– об этом в своем блоге на Medium написал сотрудник Фонда борьбы с коррупцией Антон Здольников.
По его словам, их имена, названия и контактные данные оказались в базе данных RIPE Network Coordination Centre
– одной из пяти организаций, занимающихся распределением IP-адресов в Европе и СНГ.

Здольников утверждает, что через базу данных RIPE, вводя IP-адреса, используемые головной компаний «Акадо»,
«Комкор», можно узнать фамилию, имя, отчество пользователя или название организации, адрес, контактный телефон.
По словам блогера, он нашел адреса расположения подключенных «Комкором» камер наблюдения департамента
информационных технологий (ДИТ) Москвы, банков, контакты жителей элитного поселка Жуковка.
В 20.00 в пятницу при вводе IP-адресов в базу данных RIPE такая информация уже не выдавалась.

«Акадо» ведет внутреннюю проверку этой информации, сообщила его представитель Светлана Белых.
«Мы понимаем, что вопросы защиты персональных данных и кибербезопасности имеют первостепенное значение,
а также находятся под пристальным вниманием общественности», – отметила она. Компания в своей повседневной
деятельности принимает все необходимые меры по минимизации рисков, которые могут повлиять негативно
на ее клиентов, утверждает Белых.

Операторы должны отчитываться перед RIPE об использовании IP-адресов, отмечает знакомый менеджеров «Акадо».
База RIPE общедоступна и там действительно можно найти контактные данные юридических лиц, пользующихся IP-адресами,
отмечает он. По его словам, данные физических лиц могли попасть в базу потому, что подключение их домов оформлялось
на юридические лица, а в качестве контактных лиц были указаны домовладельцы. Впрочем, подобная практика подключений,
как и вся сложившаяся ситуация, нуждается в дополнительной проверке, заключает он.

Здольников пишет, что у других провайдеров подобных проблем не обнаружил.

https://www.vedomosti.ru/technology/art … 5557-akado

0

14

В интернете в свободном доступе выложена информация о 257 тысячах пользователей "Фейсбука",
у 81 тысячи аккаунтов доступны даже личные сообщения.   Хакеры, стоящие за утечкой, утверждают,
что всего у них есть данные 120 млн человек. 

Расследование Facebook показало, что злоумышленники использовали вредоносные расширения для браузеров.

В начале сентября на англоязычном форуме Blackhatworld, посвященном поисковой оптимизации,
появился загадочный пост от нового пользователя с ником FBSaler.  "Мы продаем персональную информацию
пользователей "Фейсбука".   Наша база включает 120 миллионов аккаунтов, с возможностью выборки
по конкретным странам.   Стоимость одного профайла составляет 10 центов", - написал он.

Пользователь приложил ссылку на сайт Fbserver, на котором в качестве примера была выложена
часть информации.   Русская служба Би-би-си не нашла подтверждения информации о наличии
у хакеров 120 млн аккаунтов, однако на Fbserver действительно попали персональные данные
пользователей соцсети.

https://www.bbc.com/russian/news-45886476

+2


Вы здесь » Близ при дверях, у последних времен. » Новые формы электронного контроля » О том насколько можно доверять безопасности и защищенности IT-систем