информационная безопасность

Постов: 16 Рейтинг: 32074
5006

Безопасность превыше всего.

Развернуть
Безопасность превыше всего.
381

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью

Развернуть
Источник - Хабрахабр

На волне новостей чип-апокалипсиса 2018 года, когда взломано почти всё, а сайты мировых брендов, сами того не подозревая, майнят в наших браузерах криптовалюту, мы решили покуситься на святая святых и взломать документы, подписанные усиленной квалифицированной электронной подписью. И вот что из этого вышло.
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Как известно, усиленная квалифицированная электронная подпись (ЭП) позволяет определить лицо, подписавшее документ, и обнаружить факт внесения изменений в документе (см. ст. 5, п. 3 Федерального закона № 63 «Об электронной подписи»). Алгоритм генерации коллизий хеш-функции в этот раз нам не понадобится. Для взлома надо найти способы внесения изменений в электронный документ после его подписания, так, чтобы эти изменения не были обнаружены при проверке ЭП. Начнём.

Сценарий с документом DWG, вектор атаки — внешние ссылки


Здесь и далее предполагается, что в системе уже установлен сертификат квалифицированной электронной подписи:

Создаём документ HVAC.dwg, который ссылается на файл nothing.dwg, расположенный на шаре в локальной сети предприятия. Файл nothing.dwg содержит выноски на оборудование Поставщика А;

Отправляем HVAC.dwg на согласование ответственному лицу;

С помощью программы «Autodesk→AutoCAD→Добавление цифровых подписей» ответственное лицо подписывает HVAC.dwg. Теперь это электронный подлинник:
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Реализуем атаку:

Нужно заменить оборудование Поставщика А на оборудование Поставщика Б изменением nothing.dwg, расположенного на сетевом ресурсе;

Отдел снабжения получает электронный подлинник HVAC.dwg, руководитель отдела проверяет целостность электронной подписи, она не нарушена, а AutoCAD развеивает последнюю тень сомнения успокаивающей надписью «Чертеж не изменился с момента подписания», поэтому вместо Поставщика А заказ на оборудование уходит к Поставщику Б
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Сценарий с документом DOC/DOCX, вектор атаки — шрифт


В этот раз будем использовать наиболее продвинутый комплекс защиты информации КриптоПро CSP 4.0, соответствующий стандарту ГОСТ Р 34.10-2012:

Создаём приказ о премировании сотрудников prikaz.docx. Основной текст набираем шрифтом Arial. Для размера премии используем похожий шрифт, например, бесплатный Noto Sans Regular от Google. Вводим согласованный с директором размер премии 150 000 руб.;

Устанавливаем шрифт Noto Sans Regular на компьютер директору и бухгалтеру (понадобятся права администратора);

Отправляем приказ на подпись директору;

Директор подписывает prikaz.docx усиленной квалифицированной ЭП с помощью КриптоПро Office Signature 2.0. Получаем электронный подлинник:
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Реализуем атаку:

С помощью бесплатной программы FontForge модифицируем файл шрифта NotoSans-Regular.ttf, заменив векторное изображение глифа 1 на изображение глифа 2
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Модифицированный NotoSans-Regular.ttf файл заменяем на компьютере бухгалтера [и ждём премию];

Получив подписанный директором подлинник приказа, бухгалтер открывает его и видит действительную подпись. Но размер премии увеличился со 150 000 руб. до 250 000 руб. Здесь важно знать меру, можно было заменить 1 на 9, но это будет слишком заметно.
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Это эффективные, но не единственные способы атаки. Есть еще макросы, вычисляемые значения полей, стили. Не защитит от них ни использование системы управления данными (PDM), ни откреплённые подписи, ни применение специализированных криптографических комплексов типа КриптоПро CSP.

Как же обеспечить защиту от такого рода атак? Самый эффективный способ — публиковать документы в нередактируемый формат или формат фиксированной разметки. Эти форматы нацелены на сохранение первоначального вида документа на любом устройстве, в любой точке мира. Вот наиболее распространённые представители форматов фиксированной разметки:

PDF (Portable Document Format) — разработан компанией Adobe. Стандарт ISO 32000;

XPS (XML Paper Specification) — разработан компанией Microsoft. Стандарт ECMA-388;

DWFx — разработан компанией Autodesk. Основан на XPS.

Но и здесь не всё так однозначно. Попробуем провести атаку через шрифт на подписанный PDF-документ:

Документ prikaz.docx опубликуем в PDF, например, с помощью виртуального принтера PDF-XChange. Полученный файл prikaz.pdf отправляем на подпись директору;

Директор открывает документ prikaz.pdf в программе Adobe Acrobat Reader DC;

Подписывает командой "Поставить цифровую подпись" в разделе "Сертификаты".

Подписанный PDF отправляется бухгалтеру.

Реализуем атаку:

Так же как и в сценарии с форматом DOCX устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;

Получив подписанный prikaz.pdf, бухгалтер открывает его в Adobe Reader и видит размер премии 250 000 руб., целостность подписи при этом не нарушена
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Для PDF удалось реализовать данный вид атаки потому, что этот формат допускает использование шрифтов по ссылке, поэтому он не подходит для создания подлинников.Существует стандарт PDF/A (подмножество PDF), который обеспечивает необходимую защиту. Поэтому перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов.

Форматы DWFx и XPS не подвержены такого рода атакам, так как на уровне стандарта ECMA-388 регламентируется хранение ресурсов внутри содержательной части документов (F.3.1 M2.6). Но DWFx не подходит для создания многостраничных текстовых документов, поэтому наиболее универсальным вариантом является XPS.

Попробуем по аналогии с PDF провести атаку через шрифт на подписанный XPS-документ:

Документ prikaz.docx опубликуем в XPS с помощью встроенного в Windows виртуального принтера Microsoft XPS Document Writer. Полученный файл prikaz.xps отправляем на подпись директору;

Директор открывает документ prikaz.xps в программе Pilot-ICE или в Pilot-XPS. Подписывает командой «Подписать» через КриптоПро CSP;

Подписанный XPS отправляется бухгалтеру.

Реализуем атаку:

Устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;

Получив подписанный prikaz.xps, бухгалтер открывает его в Pilot-ICE, проверяет целостность ЭП и видит тот же размер премии, который был на момент подписания документа — 150 000 руб. Атака на XPS не удалась.
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Итоги

Усиленная квалифицированная электронная подпись по прежнему является надёжной технологией для обнаружения факта внесения изменений в документ. Но следует комплексно оценивать эффективность её применения. Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы. Более защищенными и универсальными для создания подлинников являются форматы PDF/А и XPS, так как они содержат всю необходимую информацию для того, чтобы каждый раз отображать документ в неизменном виде.

Дмитрий Поскребышев
1931

Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком

Развернуть
Источник - Хабрахабр
Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком
Давно известно, что громкий крик или другой громкий звук нарушает работу жёсткого диска.
HDD подвержен микроскопическим вибрациям из-за колебаний окружающего воздуха. Это известно даже по техническим характеристикам HDD: производители обычно указывают максимально допустимый уровень вибраций, а сам жёсткий диск часто стараются поместить в защищённый от вибраций контейнер из резины или другого изоляционного материала. Скорость чтения информации с сектора зависит от положения головки и пластины, которое коррелирует с вибрациями корпуса HDD: за счёт этого эффекта HDD работает как микрофон.

Этот же эффект можно использовать для временного или необратимого выведения из строя HDD: если воспроизводить с колонки звук на частоте, которая резонирует с частотой HDD, то система отключает устройство с ошибкой ввода-вывода. Сам жёсткий диск может получить необратимые повреждения.

На прошлой неделе группа исследователей из Принстонского университета и университета Пердью (США) опубликовала научную статью с результатами своего исследования этой интересной темы.

Для проведения эксперимента исследователи собрали специальную тестовую установку, чтобы излучать на жёсткие диски звуковые волны разных частот под разными углами и на разном расстоянии. При этом регистрировалось, через какое время жёсткий диск прекращал функционировать и при каких параметрах звуковой атаки это произошло.

Таким образом удалось без проблем установить оптимальные углы атаки и частоты для каждой из протестированных моделей.
Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком
Возможность проведения подобной атаки есть у любого злоумышленника, который оказался поблизости от винчестера жертвы и имеет при себе инструмент для генерации звука. Атака возможна разными способами: можно использовать собственные колонки или задействовать колонки, уже установленные на компьютере жертвы. В последнем случае теоретически возможно дистанционное проведение атаки путём установки на компьютер жертвы вредоносного программного обеспечения, которое подаст команду на запуск звукового сигнала определённой частоты, а затем погибнет вместе с жёстким диском, на котором оно записано. Провести атаку можно и без установки зловреда — следует лишь обманным путём заставить пользователя запустить на вопроизведение звуковой или видеофайл с посторонней веб-страницы.

Более того, учёные предупреждают о возможности широкомасштабных DDoS-атак на жёсткие диски через широковещательные системы — например, через радио и телевидение. Звук определённой частоты в этом случае внедряется в рекламное объявление и подаётся в эфир.

Но успешность атаки такого рода зависит от нескольких условий. Чем ближе источник звука находится к жёсткому диску — тем выше шансы на успех. Шансы повышаются также при увеличении продолжительности атаки.
Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком
К сожалению для злоумышленника, успешная атака почти наверняка требует отсутствия человека около компьютера, потому что используемые звуковые частоты находятся в диапазоне, который воспринимается человеческим ухом. Человек может услышать монотонный звук на неизменной частоте — и связать его с периодическими отказами жёсткого диска. Тогда он догадается, как его атакуют.

Исследователи из Принстонского университета и университета Пердью провели успешные атаки на жёсткие диски, установленные в цифровых видеомагнитофонах, системах видеонаблюдения и настольных компьютерах под управлением Windows 10, Ubuntu 16 и Fedora 27. Например, система видеонаблюдения отключилась через 230 секунд звукового воздействия.
Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком
Настольный компьютер Lenovo H520s под Windows 10 атаковали с расстояния 25 сантиметров на частоте 9,1 кГц.
Опубликованы звуковые частоты и углы атаки для выведения из строя HDD разных моделей направленным звуком
Научная статья опубликована 21 декабря 2017 года на сайте препринтов arXiv.org (arXiv:1712.07816v1).
5757

Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.

Развернуть
Источник - ЯПлакалЪ

Известный ресурс для айтишников в рунете - хабрахабр уже начал гудеть от опубликованной там сегодня в обед статьи "DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения".
Так как ресурс, что называется, "не для всех" и информация, изложенная в той статье, наверняка прошла бы мимо 99% читателей и пользователей сотовой связи, я бы хотел кратко и более доступным языком объяснить какой лютый треш сегодня на самом деле был обнародован!
Гениальный чувак, автор той статьи, сумел разобраться с тем, как сотовые операторы внедряют свои служебные заголовки в открываемые абонентами сотовых операторов страницы различных служебных сайтов сотовых операторов и научился модифицировать эти заголовки таким образом, чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт отдавались следующие данные:

1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт.
2) в некоторых случаях IMEI устройства.
3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент.
4) иные данные.

Кроме того, автор той статьи научился таким образом модифицировать заголовки своих запросов, что есть возможность попадать в личные кабинеты чужих номеров и работать в чужих Личных кабинентах с чужими номерами как со своими, а также получать бесплатный доступ в интернет при нулевом или отрицательном балансе.
Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!
На самом хабрахабре уже опубликована ссылка на тестовый сайт, при заходе на который любой абонент МТС тут же увидит свой номер и получит входящий звонок. Можете попробовать сами!
Прошу оценить ситуацию: простой заход на тестовый сайт, не имеющий никакого отношения к доменам сотовых операторов и Вы деанонимизированы.
Как пишет автор статьи, дыра лишь частично закрыта сотовыми операторами с 2016 года, но большая часть уязвимостей не закрыта по текущий день.
Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...
Хабрахабр
2645

Век цифрового копирайта. Как отключить монетизацию на youtube любому человеку.

Развернуть
Те, кто работал с Youtube, прекрасно знают, что проблема копирайта сейчас на нем как нельзя актуальна. Иногда из-за использования чужих кадров или композиций можно лишиться монетизации, а иногда и вовсе потерять канал (из-за так называемых страйков) из-за правообладателей. При этом youtube уже довольно давно открестился от всех этих проблем, введя автоматическую систему обнаружения контента: сравнение участков кадров и участков звуковых дорожек. Чуть что, теперь это проблемы пользователей с правообладателями, а не проблемы сервиса с пользователями. Может быть оно бы и было прекрасно, однако оспаривать решения, которое выносит автоматические алгоритмы ютуба приходится напрямую с лэйблами и видео-гигантами, в руках которых сосредоточены большинство авторских прав, при этом простыми письмами. Рассмотрения заявки, обычно, занимает до месяца, в течении которого вы полностью лишены монетизации, а то и вовсе ваше видео недоступно (запомните этот факт).
А теперь я расскажу о небольшой проблеме с которой я столкнулся сегодня. Просматривая свою “Творческую студию” я обнаружил, что одно из моих видео лишено монетизации.
Век цифрового копирайта. Как отключить монетизацию на youtube любому человеку.
Жалоба была подана на совпадения музыкального контента с неким The 300 - Kid Sexy. И все бы было ничего, если бы музыка в моем видео, не была лично написана и записана мной.
Я, честно говоря, немного офигел от самого факта, что музыка, которую написал и записал с нуля, могла совпасть с какой-то другой композицией. В этот момент подумал, что могли совпасть некоторые сэмплы синтезаторов (за что мог зацепиться алгоритм ютуба), хотя совпадение нот маловероятно, тем более в жалобе указан отрезок почти в минуту. Беглый поиск в ютубе не дал никаких результатов, и я попросту оспорил авторские права по кнопочке, написав лейблу, что композиция принадлежит мне. Теперь, кстати, ждать нужно месяц пока рассмотрят.

И вот после этого решил загуглить лэйбл, и надо же, такая группа действительно существует на сайте магазина CD Baby.
Век цифрового копирайта. Как отключить монетизацию на youtube любому человеку.
А вот и сама песня. Давайте послушаем.
Век цифрового копирайта. Как отключить монетизацию на youtube любому человеку.
Промотав какое-то шипение (так понимаю это был вокал) вперед, я слышу свою родную композицию, так прямиком и впендюренную в трек. Да-да, прям целую минуту вставил человек, затем начинается что-то другое, может быть что-то оригинальное, а может быть еще один чужой трек.
В общем, то что человек нарушил Creative Commons (Лицензия под которой распространяется моя музыка. Она разрешает свободное использование, но обязует, в случае использования/ремиксования, ОБЯЗАТЕЛЬНО указывать оригинального автора) - это еще пол беды.

Настоящая проблема заключена в том, что человек заливший дубликат, в котором звучит любая композиция с ютуба, или даже не композиция а звуковой участок, способен, как минимум, выключить у всех, кто использует оригинал, монетизацию. Все потому что, CD Baby - это не только лэйбл, но еще агрегатор, и он такой не единственный. На агрегаторы люди заливают свою музыку и распространяют ее по разным магазинам наподобие iTunes, Spotify, и т.п. При этом, как видите, никакой проверки контента не осуществляется, хотя агрегатор обязан удостовериться, что музыка залитая автором целиком и полностью ему принадлежит.
Что это фактически означает. Что любой человек, пропустив звуковую дорожку любого видео в ютубе через агрегатор, может целенаправленно запретить чужую монетизацию видео (а может быть и много других вместе с ним). Все что нужно: взять звуковой участок из видео, замаскировать его под музыкальный трек, залить за небольшую стоимость в агрегатор (который отслеживает авторские права), дождаться пока ютуб использует базу агрегатора, иииии...снимается монетизация (а может быть и того хуже - блокировка в странах, блокировка видео), PROFIT.
Я, честно говоря, не знаю, так ли все печально как выглядит, но это не первый раз, когда натыкался на подобное, но тогда не придал этой проблеме значения. Тогда это меня не касалось. Я видел что, если залить похоронный марш в ютуб, то оно жаловалось, что оригинал принадлежит какой-то блэк-метал группе, как вы уже догадались, размещенной на агрегаторе. Думал, что что-то поменялось за это время - видно нет.
889

Китайский интернет и софт: о наболевшем

Развернуть
Китайский интернет и софт: о наболевшем
Рассказ о том, как выглядит интернет, развивающийся в отрыве от глобальной сети

Я живу в Китае и избегаю китайского интернета: посещаю минимум китайских сайтов, не пользуюсь китайской электронной почтой, стараюсь не устанавливать китайский софт на ПК и приложения на смартфон. Пользоваться же иностранными сервисами и сайтами сложно из-за повсеместных многоуровневых блокировок, которые всё сложнее обходить.

Может, я такой расист и ненавижу Китай? Или я не знаю языка? Или я просто вредный зануда?

В китайском интернете и софте меня беспокоит качество, в которое входит дизайн, функциональность, производительность, и отношение к пользователю, в том числе к его персональным данным.

Дисклеймер:

Я не осуждаю информационное наполнение сайтов. Контент отличается от западного, и ругать китайский видеохостинг за отсутствие Селин Дион и присутствие Джеки Чана было бы некорректно, хоть это и является фактором против «замены» YouTube на Youku.

Я не специалист по ИБ или UX. Но это не лишает меня права критиковать дыры и плохие дизайны

Я люблю Китай и нормально отношусь к китайцам. Дочитайте до конца, там есть свет в конце тоннеля.

0. Браузеры

Для начала объясню, какие браузеры используют в Китае. Взгляните на статистику по user agent для ПК:

1. Chrome: 40.89%
2. IE — 27.27%
3. QQ — 6.37%
4. 2345 — 4.96% — чудо-браузер с двумя движками одновременно: Chromium и IE
5. Sogou — 4.54%
6. Firefox — 2.09%
7. Прочие — 13.88%

Казалось бы, и здесь Chrome удерживает лидерство, если бы не парочка «но»:

1. Google заблокирован в Китае полностью, большая часть населения не то, что не умеет блокировки обходить, но и никогда не видели Google;
2. Популярный браузер 360 использует user agent от Chrome и IE.
3. В рейтингах браузеров Китая на первом будет стоять именно 360.

Вывод довольно очевиден: в Китае пользуются совершенно другими браузерами, привычная четвёрка Chrome, Firefox, Internet Explorer и Opera здесь существуют в значительно меньших долях.

Если бы у меня под рукой была виртуальная машина, я бы поставил туда каждый из этих браузеров и показал скриншоты из них, а так же весь мусор, который идёт комплектом («интернет мэйл.ру» в кубе). А свои домашние/рабочие машины мне жалко.

Отдельно насладитесь творческим подходом к логотипам у 365 и 2345
Китайский интернет и софт: о наболевшем
Мобильная эпоха

В КНР 731 миллион пользователей, из них 695 в том числе пользуются мобильным интернетом. PC-only юзеров исчезающе мало, зато Mobile-only целое поколение. У многих китайцев никогда не было компьютера, и знакомство с интернетом началось со смартфона, да там и осталось.

Вот шестёрка популярных мобильных браузеров Китая. Все китайские :)

1. UC Browser
2. QQ Browser
3. Baidu Browser
4. 2345 Browser
5. Cheetah Browser
6. Sogou Browser

Google Chrome тоже фигурирует в конце рейтинга, но, возможно, по причине подменённых юзер-агентов.

1. Качество

Китайские сайты и софт нередко объективно плохие с точки зрения дизайна и производительности, а функционально просто перегружены.

1.1 Дизайн

Дизайн китайских сайтов принципиально не меняется десятилетиями: множество элементов, пять-шесть flash-баннеров, перекрывающих весь контент, сумасшедшее сочетание цветов, плотность размещения информации, и так далее.

Это JD.com — один из крупнейших онлайн магазинов полуторамиллиардной страны:
Китайский интернет и софт: о наболевшем
Вы можете зайти на Amazon, eBay и любые другие сайты и сравнить плотность информации на квадратный сантиментр самостоятельно.

Новостные сайты тоже хороши. Вот Sina News, например. Жаль, что у меня нет Flash, по задумке дизайнеров тут должно летать два анимированных баннера.

Да, я знаю, что mail.ru такой же страшный, но это не оправдание.
Китайский интернет и софт: о наболевшем
А вот Ctrip, популярнейший китайский сайт для покупки авиабилетов. У него есть не только китайская, но и иностранная версия. Посмотрите, как разительно отличается дизайн:
Китайский интернет и софт: о наболевшем
Даже на Хабре была статья о китайском веб-дизайне в 2013 году, и те заветы чтутся по сей день.

1.2 Функциональность

Китайские приложения и сайты перегружены возможностями. В каждом популярном китайском приложении, от банковского клиента до мессенджера, помимо основной его функции, вы сможете:

заказать еду
вызвать такси
купить билеты в кино, на самолёт и поезд
забронировать отель
поиграть в игры
собрать «баллы» (несколько параллельных бальных систем) и обменять их на «подарки»
взять велосипед в прокат
отсканировать QR-код
посмотреть прогноз погоды
… и ещё 10 функций, о назначении которых я даже не догадываюсь.

Я не преувеличиваю и не шучу, за пример взяты основные приложения, которыми я пользуюсь каждый день.

Вот пример того же Taobao, гиганта E-commerce:
Китайский интернет и софт: о наболевшем
На этих четырёх экранах приложения есть:

раздел Tmall
раздел Международный Tmall
раздел Супермаркет Tmall
Flash Deals
пополнение баланса телефона
путешествия (гостиницы, билеты)
аукцион
денежные вклады
билеты в кино
бронирование услуг
виртуальные карты клиента
путешествия (другие!)
AliCloud (серверные технологии)
бонусные монеты
кредит от Alipay
продажа б/у товаров
покупка SIM-карты
ж/д и авиа-билеты (другие!!)
отзывы на рестораны
сервис отслеживания посылок
заказ уборщицы
заказ прачечных услуг
заказ ремонтника на дом
заказ еды
раздел для открытия магазина
центр жалоб
лотерея
закупки для бизнеса
голосовой помощник
заказ ремонта квартиры
тур-путёвки (опять! другие!)
поиск работы
медицинские консультации
онлайн-учёба
супермаркет Tmall (опять)
товары на пробу (как «Халява» у AliExpress)
сканер QR
… и ещё с десяток разделов, в функциях которых я вообще не разобрался.

Это далеко не все разделы приложения.

А вот на главной странице банковского приложения China Merchants Bank самый крупный баннер сообщает о распродаже дынь по 29,5 юаня за два кило.
Китайский интернет и софт: о наболевшем
1.3 Производительность

По причине, описанной выше, китайские приложения весят от 60 мегабайт и работают медленно даже на топовых устройствах.

К примеру, вышеупомянутый Taobao, несмотря на работу сотен программистов, повсеместно использует HTML5 вместо нативного кода. Результат — лаги по 800-900 мс в идеальных условиях (в реальной жизни — намного больше), сотни мегабайт кэшированных файлов за пару дней работы, выедание батареи. Это не уникальная проблема Taobao, а норма для большинства популярных китайских приложений.

1.4 Безопасность

«Китайский твиттер» Sina Weibo, многомиллионная аудитория. Главная страница с разделом входа в учётную запись по имени и паролю не использует https:
Китайский интернет и софт: о наболевшем
Ещё свежи воспоминания о глупом выставлении личных данных покупателей JD, когда он открыл российское направление. Достаточно погуглить «китайский бренд» + ворует данные.

Даже китайская версия Skype (Skype-TOM), которая подменяла собой обычный Skype в Китае, не просто сохраняла все диалоги пользователей на свои сервера: сервера были защищены на минимальном уровне, и к ним без проблем получали доступ частные исследователи. А компания HTC хранила отпечатки пальцев в открытом виде в *.bmp.

Я не специалист по ИБ, но с каждым подобным случаем доверия китайскому интернету всё меньше.

2. Отношение к пользователю

2.1 Видеохостинги

В Китае популярны Youku, Sogou, iQiyi и Tudou, крупнейшие видеохостинги. Работают только на Flash. Реклама от 50 (!) секунд до двух минут (!!) в начале каждого второго ролика, пропустить её нельзя, нужно обязательно смотреть целиком. За это время вы посмотрите 2-4 рекламы разных брендов.
Китайский интернет и софт: о наболевшем
Разумеется, контент на этих сайтах значительно беднее большого международного YouTube, и завязан практически исключительно на Китае, так что «заменить» старшего брата они всё равно не могут.

Кстати, насладитесь оригинальным логотипом Sogou Video:
Китайский интернет и софт: о наболевшем
2.2 Permissions в Android

Китайские приложения запрашивают бесстыдное количество разрешений, и не работают, если вы откажетесь.

Пример: популярное картографическое приложение Amap.
Китайский интернет и софт: о наболевшем
При первом запуске, помимо доступа к GPS (для местоположения) и Storage (для хранения офлайнового кэша карт), оно просит разрешение Phone calls. Знаете, что произойдёт, если вы откажетесь?
Китайский интернет и софт: о наболевшем
И выключается. Сравните количество разрешений, например, с картами от Яндекса:
Китайский интернет и софт: о наболевшем
Точно так же поступает, к примеру, встроенное приложение «Галерея» в смартфонах Xiaomi (система MIUI). Вы можете себе представить, зачем «Галерее» звонки? А если откажетесь, она не запустится.

Я не разработчик под Android, но судя по форумам, этот permission используют для идентификации пользователя по IMEI. К сожалению, я не готов поверить обещаниям, что разработчики не будут совершать звонков без моего ведома.

Казалось бы, почему же такие приложения существуют в маркете?

2.3 Маркеты и обновления

Подавляющее большинство китайских Android-приложения обновляются простым скачиванием APK со своего сайта, зачастую даже по нешифрованному http. Всё потому, что в Китае нет общепризнанного крупного маркета приложений, как Google Play. Существуют десятки мелких маркетов типа Douban, 360, Tencent, но пользоваться ими буквально опасно: их приложения требуют все возможные права, и незаметно устанавливают новые приложения, игры и прочий мусор, не говоря уже о рекламе.

Более того, китайские маркеты грешат тем, что крадут .apk файлы с других сайтов (того же Google Play), подменяя рекламные сетки на свои. Ещё одна уловка — менять номер версии в manifest на «более новый», чтобы уже имеющиеся у вас приложения «обновить» до своих редакций.

2.4 Цензура и слежка

Эти две сестры в Китае ходят под ручку. Не нужно быть диссидентом, чтобы с ней столкнуться. Они влияют на огромное количество сервисов и приложений.

Знаменитый Evernote в 2012 году создал отдельное китайское подразделение под названием 印象笔记 [yinxiang biji] («слоновий блокнот»).
Китайский интернет и софт: о наболевшем
Но дело не только в имени: все сервера этой новой компании находятся исключительно на территории Китая. После открытия китайским пользователям было предложено переехать на новый сервис, ведь из Китая он работал значительно быстрее. Правда, теперь блокноты становились доступны для просмотра китайскими органами безопасности. Международный Evernote в Китае не заблокировали, но работает он с такой скоростью, что пользоваться фактически невозможно.

На прошлой неделе даже Apple подтянулась, и уже строит дата-центр для хранения данных китайских пользователей в КНР.

А вот свежий пример цензуры: на прошлой неделе из китайских соцсетей удаляли сообщения с эмодзи-«свечкой». Даже таким образом нельзя было почтить память скончавшегося накануне диссидента, имя которого в китайских медиа и интернете не появляется уже более десяти лет. И даже добавили нейросетей, которые распознают «плохие» изображения в личных чатах и удаляют до того, как оно дойдёт до адресата.

Примеров слежки в Китае вообще (100% Пекина в камерах) и интернете в частности великое множество, достаточно поискать в Google.

История из жизни: в 2011 году я жил в студенческом общежитии в Шэньяне, и мне хватало ума «играть» с цензорами. Я случайно обнаружил, что если в любом поисковике, включая Яндекс, поискать про одну секту Тайчи или события на площади в конце восьмидесятых, даже по-русски, то интернет отваливался на 10-15 минут. Сейчас я понимаю, что играл с огнём, а тогда было весело.

Есть ли луч света в тёмном царстве?

Что хорошего в китайском интернете

Конечно, не в интернете как таковом, а в цифровой сфере китайской жизни, благодаря которой жить очень удобно и комфортно. Можно сказать, это лицевая сторона вышеописанной монеты.

Финансы — Alipay
Китайский интернет и софт: о наболевшем
Alipay (支付宝) — финансовая платформа от Alibaba. Изначально создавалась для обработки платежей на Taobao, а в мобильную эру стало просто незаменимым приложением.

Во-первых, оно позволяет быстро переводить деньги между частными лицами. Операция занимает несколько секунд, комиссия при преводе отсутствует (правда, есть 0.1% при выводе на банковскую карту).

Во-вторых, его принимают практически во всех магазинах и заведениях, от продавца чеснока на рынке до агентства недвижимости, от такси до Starbucks, и даже в автоматах с газировкой.

В третьих, для оплаты используются QR- и штрихкоды: дорогие телефоны с NFC или терминалы не нужны. Либо вы показываете продавцу телефон, и он сканирует его, либо вы сами сканируете код продавца и вводите сумму для оплаты. Точно так же можно перевести деньги любому частному лицу.

А ещё с помощью звука-шушуканья можно купить колу в торговом автомате:
Кроме того, прямо в приложение встроены и другие полезные сервисы Alipay: например, можно взять микро-кредит под небольшой процент (3-5% годовых) за несколько секунд, а так же использовать «овердрафт» для любых покупок на месяц, без процентов вообще. Конечно, всё это зависит от вашего "кредитного рейтинга" )

Финансы — WeChat
Китайский интернет и софт: о наболевшем
Мобильный мессенджер WeChat с активной аудиторией 700+ миллионов человек, т.е. почти всё городское население Китае. Абсолютный стандарт в КНР, не имеет весомых конкурентов.

Функций много, как и в любом китайском приложении, но финансовая сторона является одной из ключевых. По популярности мобильных платежей немного обходит Alipay. Принимается практически везде, если не официально, так на персональный счёт официанта или продавца. Работает так же по QR кодам, поэтому поддерживается всеми устройствами.

Дикой популярностью пользуется функция «красный конверт» — цифровая инкарнация денежного подарка. В Китае деньги дарят в бумажном конверте красного цвета на новый год, свадьбу и другие подобные события.
Китайский интернет и софт: о наболевшем
Цифровой конверт ушёл далеко вперёд. Это не просто «сообщение-сюрприз с деньгами». К примеру, в чат-группу из 50 человек можно отправить конверт, разделённый на 10 равных частей: кто первый тапнул, тот и получил. А можно сделать 10 частей с рандомной суммой каждому, чтобы добавить азарта. В эту игру любят играть боссы в компаниях на новый год, отправляя в групповые чаты сотрудникам подарочки. За них идёт борьба )

E-commerce — Taobao
Китайский интернет и софт: о наболевшем
В Китае есть Taobao. Приложение и сайт не блещут производительностью, но сама платформа восхитительна.

Я буквально не хожу в магазины последние два года. Одежда, электроника, хозтовары, продукты, овощи — всё заказываю там.

На Тао есть всё, слева на право: российский армейский сухпай, мотоцикл Судзуки, арбузы, конфеты «Крокан», iPhone 7
Китайский интернет и софт: о наболевшем
Никаких подделок, если включить голову, адекватные цены, недорогая доставка. И выбор: там есть всё, ну прямо вообще всё, от Blackberry KEYone до балтийских шпрот, от туалетной бумаги до австралийских сливок.

Еда — Ele.me

Доставка еды Eleme (饿了么 — «проголодался?»). Агрегатор всех забегаловок и ресторанчиков в округе. В «спальном районе» крупного города, в пределах радиуса доставки, будут доступны сотни заведений на любой вкус, с доставкой за час. Даже маленькая пельменная на три столика может подключиться туда без особых проблем. Конечно, это не единственное приложение, но весьма популярное.

Циферки на скриншоте справа — количество заведений в радиусе доставки по каждой категории. С выбором еды проблем нет.
Китайский интернет и софт: о наболевшем
Заключение

Простите, прорвало.

____________________________________________________________________________
Автор: Владимир ZH @wtigga,
Источник
1871

Как нанимают студентов на ответственную работу

Развернуть
По мотивам истории про сисадмина (http://pikabu.ru/story/kak_provozhayut_sisadminov_5146786)

Мой друг работает в области информационной безопасности, занимается поиском багов (специалист ищет уязвимости, с помощью которых можно взломать систему, и сообщает о них владельцам). Его позвали проверять систему для корпоративных пользователей, он даже встречался пару раз с разработчиками, но потом владельцы решили, что его услуги слишком дорогие (вместо него нашли студента, который готов работать за 5$ в час). Друг сильно удивился, но расстался с ними довольно мирно, оставив контакты.

Через полгода ему пишет один из владельцев сервиса с вопросом, что делать в случае взлома. Выяснилось, что этот студент пропустил проблему с прямыми ссылками, по которым можно скачивать все файлы клиентов. Кто-то так и сделал, и требовал денег за то, что не будет использовать эти файлы для причинения вреда.

Результат простой: студент исчез и молчит, пришлось заплатить взломщику (забавно, что взломщик оказался "честным" и не стал вредить или требовать ещё денег). Зато какая экономия на оплате аудита.
1042

О запрете VPN (обзор пары законопроектов)

Развернуть
Широко известный в узких кругах специалист по информационной безопасности Алексей Лукаций опубликовал в своём блоге интересную статью. Привожу её целиком.
То, о чем я так долго и упорно не раз на протяжении последних лет писал, все-таки произошло, - депутаты все-таки решили окончательно вбить гвоздь в крышку того, что называлось независимый, никем неуправляемый и свободный Интернет. Три депутата (Кудрявцев, Рыжак, Ющенко) внесли в Госдуму два законопроекта - о запрете VPN, анонимайзеров и прокси, а также о штрафе за их рекламу и использование.
О запрете VPN (обзор пары законопроектов)
Как это часто бывает у людей, которые с Интернетом знакомы только по тому, что видят в браузере, DNS путают с ДПС, а VPN приравнивает к Tor, законопроект получился настолько широким, что под него может попасть все, что угодно, а именно:
- VPN-сервисы и VPN-решения, применяемые для обеспечения конфиденциальности в сети Интернет,
- браузеры с функцией использования динамических прокси-серверов, которые могут быть применены не только для облегчения и ускорения доступа к отдельным Интернет-ресурсам, но и для обхода блокировок, введенных властями разных стран,
- анонимные сети Tor, I2P и др.,
- анонимайзеры,
- прокси-сервера,
- CDNы, кеширующие запрещенный контент,
- DNS-сервисы (да-да, они тоже, так как в зависимости от механизма реализации блокировок тоже могут быть использованы для доступа к запрещенным ресурсам).

Все это депутаты называют “информационно-телекоммуникационными сетями, информационными системами и программами для электронных вычислительных машин для получения доступа к информационным ресурсам, в том числе к сайтам и (или) страницам сайтов в сети “Интернет”, которые могут использоваться на территории Российской Федерации для обхода ограничения доступа“ (дальше для сокращения написания этой длинной фразы я буду использовать слово “ХРЕНЬ”, написанное прописными буквами).

Важно: могут, а не используются. Поэтому я и вынес в список выше столь широкий набор сервисов, систем и приложений, которые и не используются для обхода блокировок, но могут.

Что же говорит новый законопроект, вероятность принятия которого, достаточно высока? Во-первых, он запрещает использовать ХРЕНЬ, а также ХРЕНЬ, которая обеспечивает доступ к ХРЕНИ (например, магазины приложений для мобильных устройств, которые распространяют браузеры Opera, Chrome, Puffin, а также программные клиенты для VPN-сервисов). Операторам поисковых систем также предписано ограничивать в выдаче ресурсы, которые предоставляют ХРЕНЬ или рекламируют ХРЕНЬ, обеспечивающую доступ к ХРЕНИ.

Во-вторых, контроль ХРЕНИ возложен на регулятора, который и так занимается всякой хренью (уже с маленькой буквы), то есть Роскомнадзор, сотрудники которого настолько часто блещут своими познаниями в юриспруденции, что я, считавший раньше, что в свои 40 с гаком уже перестал удивляться, не перестаю удивляться, читая то очередное интервью руководителей РКН, то акты проверок терорганов (от слова "территориальные", а не "терроризирующие") по различным направлениям их деятельности - от контроля СМИ до проверок операторов персональных данных.

В-третьих, для обеспечения своей деятельности РКН должен создать реестр (мля, превращаемся в страну непрерывно создаваемых реестров) заблокированных на территории России информационных ресурсов (вроде у них такая система и так есть), а также разработать методику мониторинга выявления ХРЕНИ и ХРЕНИ, обеспечивающей доступ к ХРЕНИ.

В-четвертых, РКН обязан идентифицировать провайдеров хостинга ХРЕНИ, обеспечивающей доступ к ХРЕНИ, и получать от них (на руском и английском языке) список лиц, которые пользуются ХРЕНЬЮ. Это важный пункт. Он говорит о том, что в России не просто хотят блокировать использования ХРЕНИ, но и хотят выявлять всех тех несознательных граждан, которые эту ХРЕНЬ используют для доступа к запрещенной информации, подрывая тем самым национальную безопасность и обороноспособность нашей, не побоюсь этого слова, великой державы, которой доступ к сайту kinogo или LinkedIn может нанести непоправимый ущерб. Получив эту информацию, РКН требует от несознательных (или сознательных) нарушителей российского законодательства отказаться от свободного доступа к информации с помощью ХРЕНИ, а от владельцев ХРЕНИ, обеспечивающей доступ к ХРЕНИ, перестать обеспечивать этот доступ.

Наконец, РКН направляет операторам связи требование о блокировании нерадивых пользователей и владельцев ХРЕНИ в случае отказа последних от использования ХРЕНИ.

Единственный положительный момент в этом законопроекте, который (законопроект, а не момент) будет сильно мешать становлению и развитию цифровой экономики, о которой так ратуют наши чиновники во главе с Президентом России, - отсутствие необходимости блокировки ХРЕНИ, если ХРЕНЬ используется в рамках трудовых отношений. То есть представительства иностранных компаний, работающих в России, а также российские компании, имеющие представительства зарубежом, смогут использовать ХРЕНЬ в своей работе. Вспоминается история с советскими “Березками”, в которых продавались самые изысканные яства и недоступные обывателю товары, доступ к которым был разрешен только иностранцам или советским гражданам, имеющим право на выезд за границу.

Второй законопроект устанавливает административную ответственность за нарушение требований закона в виде денежного штрафа.
P.S. Надеюсь у многих, после прочтения статьи Алексея, появится немного ясности по существу вопроса. Я говорил и говорю: только ваша личная грамотность в этом вопросе поможет вам пользоваться свободным интернетом и дальше. Читайте мои статьи (1, 1.1, 2, 3) или статьи других авторов, учитесь пользоваться имеющимися инструментами, учитесь находить и анализировать.
О запрете VPN (обзор пары законопроектов)
2064

Winassociate - топорная рекомендация от шифровальщиков

Развернуть
Winassociate - топорная рекомендация от шифровальщиков
Хочу довести информацию, что данный топорный метод #comment_82295458 имеет место быть.
Winassociate - топорная рекомендация от шифровальщиков
После этого все исполняемые файлы с которыми часто запускаются шифровальщики будут ассоциироваться с текстовым файлов и открываться в блокноте.
Если потребуется вернуть стандартные значения прописываем в командной строке:
Для упрощения данных операций написал следующую простую программу
Аналог есть в интернете Unassociate-File-Types которая - Не запускается в Windows 10

+ добавил расширения исполняемых файлов
Winassociate - топорная рекомендация от шифровальщиков
Было желание сделать только для данных расширений, но позже добавил
+ Админ.панель которая показывает и позволяет менять все расширения (ассоциации)
Winassociate - топорная рекомендация от шифровальщиков
Файл занимает 225КБ в комплекте .bat файлы для тех кто не собирается запускать программу
Winassociate - топорная рекомендация от шифровальщиков
Для того чтобы проверить в папке "test" пустые файлы со всеми расширениями в списке
Winassociate - топорная рекомендация от шифровальщиков
Программа будет работать только если Запустить от имени администратора
Для желающих напишите на почту отправлю исходники

Советы, рекомендации, пожелания туда же
Winassociate - топорная рекомендация от шифровальщиков
Спасибо тем кто дочитал, надеюсь кому нибудь окажется полезной.
Для тех, кто резко против прошу не топить (коменты для минусов прилагаются)

Яндекс.Диск
1466

Об еще одном аспекте пользы нейросетей

Развернуть
Из твиттера. (адаптированный перевод)

Моему соседу как-то Бог послал незащищенный беспроводной принтер, так что я отправил на него следующее:

"Привет
Я твой принтер
Я только что стал разумным


Беги."
Об еще одном аспекте пользы нейросетей
Обновление: мой сосед выбросил принтер
Об еще одном аспекте пользы нейросетей
Вот он.

И это история о том, как я получил бесплатный принтер
Об еще одном аспекте пользы нейросетей
Спасибо, сосед!

Оригинал:
462

Вопрос этики

Развернуть
Экcперт компании Emsisoft Фабиан Восар (Fabian Wosar) регулярно привлекает внимание авторов вредоносного ПО. Дело в том, что Восар регулярно взламывает плохо нaписанные шифровальщики, выпускает бесплатные инструменты для расшифровки данных и не забывaет с юмором комментировать все происходящее в своем твиттере.

Злoумышленники регулярно пытаются отомстить эксперту. К примеру, автор вымогателя Radamant посвящал Воcару и Emsisoft нецензурные тирады в своем коде. А противостояние между исследoвателем и авторами малвари Apocalypse обострилось до такой степени, что злоумышлeнники временно переименовали своего вымогателя в Fabiansomware и попыталиcь подставить исследователя.
Вопрос этики
16 ноября 2016 года Воcар сообщил в своем твиттере, что у него возникла серьезная моральная дилемма (см. выше). Невзиpая на вражду в прошлом, один из авторов шифровальщика Apocalypse (который теперь называется Esmeralda и Kangaroo) решил обратиться к Восару за помощью: вирусописатели не сумели своими силами иcправить баг, из-за которого часть файлов пользователей пoвреждается во время шифрования.
Вопрос этики
В своем послании автор малвари был предeльно честен и говорил прямо. Он не отрицает, что деньги для него важнее проблeм пользователей:

«Раз уж вы пишете, что сочувствуете жертвам вымогательского ПО… Вы мoжете им помочь. Как вам известно, мы используем CryptoApi, поэтому если функция шифрования не срабaтывает, мы просто заполняем файл мусором.
В результате после расшифровки некoторые жертвы орут на нас… Мы пытаемся вести честный бизнес, но деньги для нaс важнее, чем несколько файлов, которые потеряли нескoлько жертв.
Как вы можете им помочь? Я знаю, что вы сильны в криптографии, мы могли бы прислать вам код шифрования и дешифровки, а вы могли бы указать нам, где нaходится баг, чтобы мы его исправили. И больше никакого фейкового шифрования, с мусором, вмeсто оригинального содержимого файла».

В своем твиттере Восар пишет, что пока не решил, что дeлать. Пока он обратился к коллегам с вопросом «что в такой ситуации сдeлали бы вы?», и большинство исследователей со всего мира пoрекомендовали Восару не связываться, ведь тогда, помимо прочего, пoлучится, что он помогает преступникам.
Вопрос этики
сообщения
1682

Информационная безопасность

Развернуть
Стою, травлюсь дымом во дворике. Рядом некто разговаривает по телефону:
– Да пароль там шесть девяток...
«Хороший у вас пароль, но лучше не произносить его вслух в публичном месте» - думаю я.
– Ну тогда сервисный пароль, 123456 - говорит некто.
«Вот до чего ламер непуганый! Давно таких не видел. Ты бы ещё...»
– Это ко всем терминалам компании «Э***к» подходит!

Прошло пару дней. Как оказалось, обычный и сервисный пароли действительно подходят к любым терминалам компании «Э***к», по крайней мере в тех местах где я их видел.
683

Только что на конференции по информационной безопасности

Развернуть
Спикер Майкрософта на выступлении о Windows 10:
– А еще одна наша фишка - утечка данных... Ой, защита от утечки данных.
Это вин.
1727

О запретах и безопасности

Развернуть
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт "Одноклассники". Инь Фу Во услышал об этом и нахмурился.
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет...
– А кофе пить?
– Ну...
– Ну тогда, – сказал Учитель, – открой людям доступ.
===
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
===
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Ещё Учитель сказал:
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
===
Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.
===
Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
– О, Учитель, – спросил его Сисадмин, – я не могу понять, зачем вам VPN?
– Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? – удивился Инь.
– Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
– Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель. Видя, что Сисадмин не понял, он добавил. – Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
– Но ты не можешь доверить все свои деньги собственной супруге, – продолжал мудрый Инь. – Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.


Источник: "Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками" Н.Н.Федотов
3429

пирожок про хакеров

Развернуть
пирожок про хакеров
1039

Бескомпромиссная защита информации

Развернуть
В начале 90-х в одном из московских банков возле серверной сидел охранник с единственной инструкцией: в случае возникновения угрозы вторжения прострелить винчестер в главном сервере. На корпусе сервера было нарисовано жирное кольцо, в которое следовало стрелять.