shaman007 | Entries tagged with безопасность

Коллега попал, а в интернете истории о подобных проблемах.

Суть в том, что Билайн продает старые номера, которые кому-то уже когда-то принадлежали. Иногда к этим номерам когда-то был привязан "Мобильный Банк", позволяющий делать переводы денег по SMS, например, перекидывать со счета на телефон. Сбербанк иногда забывал отвязывать номер от мобильного банка, даже если клиент об этом просил.

http://crypto.stackexchange.com/questions/3645/how-is-ciphercloud-doing-... - интересное обсуждение (SUMMARY: их самостоятельно реализованное шифрование "ниочень"). Занятно, что многие бы его не заметили, если бы идиоты из ChipherCloud не выступили с DMCA Takedown Note о том, что 2 скриншота используют их торговую марку.

Пошел я сегодня двачить капчу на очень плохой сайт. Настолько ужасный, что вместо него я увидел заглушку Ростелека о том, что сайт внесен в реестр запрещенных. Открыл я тогда порт в Луна-Парке, прописал его локальным DNS'ом вместо гугловского и, о чудо, заглушка исчезла! Эффект воспроизвелся на некоторых других провайдерах, которые отображали заглушку на этот сайт и без участия DNS гугла, только с провайдерским DNS.

Какие из этого выводы делать, кроме практических, я не знаю.

Луна-парк продолжает развиваться: получил у StartSSL сертификат. Теперь могу читать почту в общественном месте.

Следующий вопрос: а к Roundcube S/MIME реально прикрутить?

Сайт-затычка andreybondarenko.com:

- стандартная капча друпала: 1 регистрация в минуту.
- рекапча: около 10 в сутки.

Профит! Интересны 2 момента: зачем на домене, на который и ссылок-то нигде нет, постить свой хлам в комментарии к единственной записи, при чем промышленными масштабами. Второй момент: как сейчас обходят рекапчу? Не руками же ее двачат, это должно быть слишком расточительно так спамить в никому не нужный "блог".

UPDATE:

Оказывается, подтверждение адреса было необязательным для постов в комменты, хоть и приходило.

Заметил, что банкоматы в Ситибанке вымазаны вазелином в тех местах, где имеет смысл крепить камеры или скиммеры. Жирно так вымазаны. Занятно.

Сегодня я узнал, что "Контур" рекомендует(!) использовать стандартные пин-коды для токенов, 1235678 или 1234567890, установленные на заводе. А для удобства работы надо ставить галочку "запомнить пин". То есть для безопасности надо получать токен в банке, ставить их уродливый драйвер, носить брелоки. Зачем?

Пруфлинки:

http://www.контур-софт.рф/index.php/vopros-otvet/14-contour-extern-g-installation-and-setup

"Рис. 6. Pin-код для контейнера
Рекомендуется указать стандартный pin-код (12345678)"

http://www.kontur-extern.ru/support/faq/34/183

"При возникновении окна c просьбой ввести pin-код (см. рис. 3), необходимо указать значение 12345678. Для удобства работы следует отметиться галкой пункт Запомнить pin-код. "

Чтобы самому не забыть. Валидность чужого паспорта (нужно, например, при сдаче-найме жилья, продаже машин), можно проверить тут: http://services.fms.gov.ru/info-service.htm?sid=2000

Если требуется определить в той ли стране пользователь, что и хост, с которого он соединяется, надо проверить его часовой пояс (js это позволяет). Многие, кто выходят через прокси, забывают или ленятся его поменять.

Попробовал проверить, работает ли способ отпечатать палец на желатиновой конфете, а потом авторизоваться этой конфетой через биометрический сканер. Теперь у меня ноутбук липкий. А способ не работает.

Сейчас модный тренд: сформируй запрос так, чтобы это было похоже на "стандартный набор переменных" чего-то инстересного и прочти SMS, посмотри базу ДТП или кеши корзин сексшопов.

Знаете, около двух-трех лет назад одним моим знакомым пришло в голову развлекаться поиском стандартных имен файлов, создаваемых фотоаппаратами в Google Images... Так вот, американским судмедэкспертам тоже выдают эти чертовы мыльницы на работе, не советую пытаться повторить эти запросы (если их не вычистили).

Робота-поисковика не научить этике, он будет индексировать все, до чего сможет дотянуться, а битард всгда сможет сформировать запрос, выдающий не этичные результаты.

В этой статье чуть менее, чем полностью раскрываются понятия "шлимазл" и "безблагодатность":

http://www.gazeta.ru/business/2011/07/19/3699217.shtml

А еще там есть слова "Сколково" и "Microsoft"!

Слушать имеет смысл 7:30, общая мысль: "интернет плохой".

По финаму сегодня в новостях передавали другого ПР-щика, общаяя мысль оптять, что "интерент плохой".

Мне кажется, пытаются перевести проблему из технической ошибки в политическое русло, что "а они все равно не имели права". Нда.

Посмотрел фичи, которые будут в Льве. Это просто праздник домашнего параноика какой-то!

* шифрование не только домашнего раздела
* мгновенный вайп данных
* шифрование резервной копии в TM
* песочница для приложений

Я слоупок и об этом писали уже 100 раз, но популярный сервис Dropbox авторизует пользователя по уникальному "host_id", а файлы по хешу. Возможностей для развлечений масса, можно направленно тырить файлы, который пользователь расшаривает только себе, а можно положить сам дропбокс, расшарив всем подконтрольным много-много файлов. Соответственно, моментально появился сервис: "кто-то сказал вам хеш - у вас теперь есть его файл" (статья с подробным описанием).

Примечательно, что судя по заметке на Хабре, господа из Дропбокса пошли не по пути исправления технических проблем, а стали размахивать DMCA, стали давить на разработчика, чтобы он удалил проект с GitHub'а, грозить судом и всячески привлекать к себе внимание.

В свете истории о хранении координат iPhone'ом в корыстных интересах Стива, на /. всплыла история с Мичеганской полицией, опыт которой перенимает DHS.

Смотрите какая штука есть в свободной(?) продаже. Говорят, что им не страшен "Phone user lock code" (пинкод на SIM или на телефон?), что она ищет удаленные данные, выводит историю звонков и т.п.

Пускай пока тут повисит:

http://www.vedomosti.ru/politics/news/1249722/fsb_obespokoena_ispolzovaniem_v_rossii_servisov_skype_i

А еще сегодня Саша Грей вышла на пенсию. И мемуары уже издала.

Недавно взял у тещи старый компьютер, поставил его под верстак, настроил там веб и почту. Думал, что так как andreybondarenko.com стоит у меня в подписи в почте, то я получу некоторое количество спама, а апачем никто особенно не заинтересуется. А вот совсем все наоборот: к постфиксу иногда кто-нибудь постучится и отвалится по таймауту, а в логах апача просто красота:

64.120.232.114 - - [05/Feb/2011:13:40:54 +0300] "POST http://cpanel.sslpayments.com/info.php HTTP/1.1" 404 331 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
76.74.252.134 - - [03/Feb/2011:18:48:14 +0300] "GET //phpmyadmin/ HTTP/1.1" 404 267 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
174.3.161.18 - - [03/Feb/2011:06:58:29 +0300] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 374 "-" "-"
62.80.2.61 - - [02/Feb/2011:16:17:02 +0300] "GET HTTP/1.1 HTTP/1.1" 400 270 "-" "Toata dragostea mea pentru iEdi"
62.80.2.61 - - [02/Feb/2011:16:17:03 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 278 "-" "Toata dragostea mea pentru iEdi"
62.80.2.61 - - [02/Feb/2011:16:17:03 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 278 "-" "Toata dragostea mea pentru iEdi"
95.211.8.147 - - [01/Feb/2011:14:53:43 +0300] "GET /user/soapCaller.bs HTTP/1.1" 404 269 "-" "Morfeus Fucking Scanner"

На хабре реклама забавного сервиса: http://www.dompodprismotrom.ru.

Суть сервиса в следующем: вы устанавливаете на свой компьютер нечто на flash'e, которое в зависимости от тарифного плана позволяет заглянуть в камеру через веб, получать уведомления о регистрации движения в кадре и запись происходящего. Меня смущают некоторые моменты:

- в состав современной сетевой камеры входит ПО, которое делает то же самое. Цены начинаются от 2500р на устройства с WiFi.

- пользователь пускает себе домой вебкамеру, которую контролирует некая никому не известная фирма (возможно, состоящая из одного человека) с сервером в Голландии. Я бы поостерегся так делать.

- как такой сервис работает с точки зрения закона? Например, некто поставил клиента на компьютер третьего лица в рамках "настройки интернета" и камера записала немного СР частной жизни. В течение 48 часов это видео будет хранить на сервере.

Контактов фирма особенно не дает, whois домена немного более информативен. Нет, не то чтобы я не доверял Роману Сквирскому, но очень личную сторону жизни затрагивает его сервис.

Один мой знакомый потерял всю записную книгу телефона весьма неочевидным способом: злые люди украли телефон, а потом стерли все контакты в ней. А телефон синхронизировал это новое состояние в Outlook, то есть из него пропало все содержимое адресной книги.

Profile

shaman007

Специалистам по всему

August 2015

S	M	T	W	T	F	S
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Syndicate

Page Summary

Style Credit

Style: Neutral Good for Practicality by timeasmymeasure

Expand Cut Tags

No cut tags

Page generated Sep. 26th, 2017 03:46 am

Специалистам по всему

We do what we must because we can

Entries tagged with безопасность

Мошенничество со Сбербанком и Билайном

ChipherCloud

Дипиай-шмипиай

Несамоподписанный SSL

Двачить капчу

Защита от хацкеров

Банковский энтерпрайз

Хозяйке на заметку

Хозяйке на заметку

Эксперимент

Yandex.cache

Пятница!

SMS vs Yandex

Mac OS X Lion

Defective by design

Не только iPhone следит за тобой

(no subject)

Домашний сервер

Дом под присмотром

О пользе пинкодов, синхронизации и т.п.