| Comments: |
Блин... Ну надо же шифровать коммерческий трафиик, закрывать. Эх! Никогда люди этому не научатся :-(
против лома, говорят, нет приёма.
хакеры находят всё новые и новые дырки в защитах - делать-то им больше нечего, вот и ломают всё подряд.
![[User Picture]](http://lj.rossia.org/userpic/45988/2147515789) | | | Re: Reply to your comment... | (Link) |
|
А вот тут я не согласен. Дело в том, что воровство и грабёж - тоже
подчиняется законам бизнеса. И грабить то, что лежит на поверхности -
экономически намного более целесообразно.
Например, если взять две машины-помойки под окном. В каждой по
магнитоле. Но в одной машине стоит простенькая визглявая сигналка.
Простенькая защита спасает, если вокруг тыщщи и миллионы машинок такой
же привлекательности, но без сигналки.
Разве не так?
![[User Picture]](http://lj.rossia.org/userpic/34754/2147509628) | | | Re: Reply to your comment... | (Link) |
|
магнитолы-то разные, если продолжить ассоциацию.
то есть, в защищённой машине магнитола стОит 1000 баков, а в другой - 10.
то есть, для получения одинаковой суммы в первом случае нужно слегка поковырятся и отключить сигнализацию, а во втором - вскрыть 100 машин.
| | | Re: Reply to your comment... | (Link) |
|
Мыслишь верно. Поэтому я и акцентирую внимание на том, что
привлекательность одна и та же.
Как было написано в одной умной книге по безопасности - не бывает не
вскрываемых защит. Есть только вопрос стоимости взлома. А это значит,
что защита должна быть такой, что бы стоимость того, что хранится внутри
было дешевле стоимости взлома защиты.
Вот и рассматриваем варианты: автомобиль с магнитолой за 10 баксов в
машине не под фонарём и без сигналки - выломать отвёрткой сердцевину
замка и всё. А если машина на виду, да плюс с сигналкой которая просто
тупо орёт при открытии двери - то за те же 10 баксов магнитолы мы
получаем столько геморроя, что лучше пошариться по соседним дворам...
Разумеется, когда цена вопроса 1000-баксовая магнитора, то про охрана
должна быть совсем другая. Как раз это никак не противоречит утверждению
выше.
| | | Re: Reply to your comment... | (Link) |
|
думаю, что мы отвлеклись, обсуждая автомобили)
при вскрытии базы данных таких крупных магазинов, как в статье, доход намного больше, чем при лазании по карманам, например.
ну представь себе - доступ к более чем 40 миллионов кредитных счетов!
это даже не тысячебаксовая магнитола, это намно-оого больше.
| | | Re: Reply to your comment... | (Link) |
|
Упс! Мысль понял. Ага, я немного отвлёкся.
Я просто как админ админу скажу, что в зависимости от стоимости
информации - её можно закрывать и закрывать. И то, что с компьютера в
той же сети, где и база на 40 миллионов карточек не должно быть
возможно в интернет выходить или wifi подключать - это однозначно.
По-хорошему, там дисководы и USB должны быть отключены, а корпуса
опечатаны и т.п. Вопрос в наличии паранойи у админов - никто ж не
похвалит админа за то, что в сеть невозможно проникнуть, пока попытки
проникновения не было :-)
| | | Re: Reply to your comment... | (Link) |
|
беда в том, что это сети магазинов и они постоянно связаны с центральной базой данных через, естественно, интернет.
вот тут-то и находится ахилесова пятка, здесь-то и делают дырки эти хакеры.
к тому же, при оплате карточкой, наличие на ней денег проверяют тоже через сеть.
| | | Re: Reply to your comment... | (Link) |
|
:-) Вот-вот... Фильмов насмотрелся? Для обменов с банками существуют
специальные ритуалы. И если компьтер не просто подключен к интернету,
а в закрытой сети, у которой даже кабельная разводка не выходит на
незащищённые участки, установлен брандмауэр, который осуществляет
исключительно шифрованный канал до банка, по которому идёт только
несколько легальных типов запросов: есть запрос на списание денег с
карточки, есть запрос на получение остатка и т.п., но нет в принципе
команды на брэндмуэр, которая даёт список карточк, я уже не говорю
про доступ на файловом уровне. В этом случае, девочки-операционистки
играют в пасьянсы вместо аськи, а хакеры идут искать магазин, где
админ без паранойи.
| | | Re: Reply to your comment... | (Link) |
|
ОК, в таком случае объясни, как им удалось прибрать к рукам такое кол-во кредиток.
| | | Re: Reply to your comment... | (Link) |
|
Всё очень просто: создаются условия для работы, но не создаются
условия для безопасности. Вот ты сейчас в ЖЖ сидишь по шифрованному
каналу или нет? Вот и мне для ЖЖ разницы нет. А информация о карточках
не имеет права передаваться в нешифрованном виде. Для этого надо
поставить пару птичек (возможно - добавить пару приблуб или
библиотек). Я их ставлю. А мои колллеги - не ставят. Потому что
вероятность вот этого хаккера, который будет расшифровывать и
применять в дело - почти нулевая. А вероятность того, что мальчикам и
девочкам надо выполнять работу и крутить жизненный цикл оплат - 100%,
вероятность отказа оборудования - ощутимо существует. Поэтому то, что
на виду - это делается. А закладывания на безопасность - это далеко не
всегда и не у всех. Собственно, очень хорошо, если есть образованный и
скучающий безопасник. Которому нет дела до процесса - он ходит и палит
где не шифровано, где операционистка пошла пописять консоль не
заблокировав, где пароль от системы ЗАПИСАН и т.п. А если такого нет,
то эти вопросы остаются на совести и самосознании амина... Вот тут и
получается, что в одном банке, где я работал, передача данных (кроме
денежных проводок) осуществлялась на базе движка fido, причём, адреса
выдавались в зависимости от номера филиала, а пароль устанавливался по
единому правилу получающийся из адреса... А мои коллеги как-то пришли
и показали, что они подняли сервис маленький, к которому можно
обратиться через wap, а там список наших серверов и возможность их
перезагружать или выключать. И вообще никакого пароля. Надо просто
знать адрес типа gbb.pp.ru и можно управлять серверами в самом сердце
предприятия. А пароля нет, потому что пароль с мобильного вводить
неудобно...
| | | Re: Reply to your comment... | (Link) |
|
то есть, попали эти хлопцы в банк данных через сеть?
о чём я, собственно, и говорил)
| | | Re: Reply to your comment... | (Link) |
|
Попали в банк через сеть, которую в нарушение всех требований
безопасности сделали админы, которые надеятся на авось
| | | Re: Reply to your comment... | (Link) |
|
интересно, админов напрягут?
в смысле, станут ли требовать возмещение ущерба.
| | | Re: Reply to your comment... | (Link) |
|
Понимаешь, тут всё как всегда. Эти правила 99% админов могу более-менее
рассказать по памяти, но только процентов пятнадцать их выполняют.
Собственно, если бы спёрли два компа, то я думаю, что нагнули бы
админов. А при такой сумме - полетят админы, начальство IT (вплоть до
технического директора), служба информационной безопасности. Как и
положенно в таких случаях.
Думаю, что срок давности уже прошел, да и деталей не будет. Я когда-то
работал в НИИ Криминологии, криминалистики и судебной экспертизы. Очень
давно. И как-то принесли не к МВД-шным экспертам, а к нам дискетку с
вопросом: "Может ли содержимое дискеты уничтожить банковскую
информационную систему". Короче, там дело было в чём: специалист по
профилю подружился с админами, начал приходить на работу по выходным и
админы ему оставляли ключи и он включал сервер. Потом он сделал проводку
огромной суммы за бугор, а базу данных уничтожил. При помощи самописной
программы на бейсике. Причём, про программирование он ничего не знал и
видно, что не консультировался и учебники не использовал. Он не знал как
получить список файлов на диске, поэтому писал программу полного
перебора всех вариантов комбинаций букв и цифр и для каждой проверял
есть ли такой файл, а если есть удалял. Но он не смог отладить эту
программку :-)
Короче, это я к чему всё рассказываю: на момент проведения экспертизы,
местоположение парня было неизвестно. Но я знаю, что филиал
переукомплектовали - от управляющего до уборщиц. И это правильно.
| | | Re: Reply to your comment... | (Link) |
|
ну и парень правильно поступил - хвать деньги и бежать)
| | | Re: Reply to your comment... | (Link) |
|
Ну я не знаю. Это не мой метод. :-)
А вообще, я про админов, которые знали, что в серверную никого пускать
нельзя, но это же свой парень... А ещё про что грамотно делается, когда
разгоняется весь филиал, если что-то такое произошло. Понятно, что на
одних админов такой ущерб не повесишь, хотя управляющий филиала такой
поворот событий никак не мог бы предугадать и предусмотреть. Пусть он
хоть раз в день начальнику службы безопасности будет говорить, что бы
всё было по правилам - не будет же он сам смотреть кто ходит в
серверную.
| | | Re: Reply to your comment... | (Link) |
|
и не мой, метод-то.
но коль уж полез воровать, так хоть не остался сидеть в том же банке, как тот машинист из Москвы, что перевёл кучу денег, украденых из банка, на свой счёт в том же банке и давай жировать, машины\квартиры покупать и т.д.)
| | | Re: Reply to your comment... | (Link) |
|
Ну да. Голову не надо выключать что бы ты ни делал.
| | | Re: Reply to your comment... | (Link) |
|
именно)
Кстати, о жадности. Вчера по радио передавали, что доблестная израильская полиция задержала... Точнее, всё началось с того, что кто-то подал жалобу в полицию на хозяйку детского садика, в котором опекалось их чадо, дескать, хозяйка, сцуко, квитанции об оплате не выдаёт, типа. Проверка показала, что садик вообще был незарегистрирован нах, и налоги со своего мелкого бизнеса дамочка, соответственно, и не думала платить. Тогда в её офис пришли с обыском и обнаружили какие-то странные бумаги, с подозрительными расчётами. В результате изучения найденных документов, полиция установила, что муж хозяйки занимается контрабандой бриллиантов и арестовала всю цепочку - 15 человек. Во как оно...
афигеть!
я видел сообщение про задержание контрабандистов камешков, но не обратил особого внимания.
а стоило бы, видать))
У меня куда-то ухнулось пол-зарплаты за этот месяц. Пожаловался в банк. Обещали разобраться в течении двух недель. Вот сижу и ломаю голову, вернут деньги или нет. :(
вроде как обязаны вернуть.
пройдёт две недели - напомни им ещё раз, объясни, что банков много и есть с лучшей защитой, чем эти.
У нас банки и фирмы выбирают друг дружку без участия тех чьи деньги они собираются хранить. Все решают жирные откаты от тех кому это выгодно, тем кто принимает решение.
это точно.
Ты кстати мне про статью в ас_коллегии скажи, ничего лишнего я не навыдумывал? А то если чего не надо, так я совсем ее уберу.
Тогда я ее из под замка вывожу. | |
![[info]](http://lj.rossia.org/img/imported-profile.gif){kind=small}