А вот тут я не согласен. Дело в том, что воровство и грабёж - тоже
подчиняется законам бизнеса. И грабить то, что лежит на поверхности -
экономически намного более целесообразно.

Например, если взять две машины-помойки под окном. В каждой по
магнитоле. Но в одной машине стоит простенькая визглявая сигналка.
Простенькая защита спасает, если вокруг тыщщи и миллионы машинок такой
же привлекательности, но без сигналки.

Разве не так?

(Reply to this) (Parent) (Thread)

магнитолы-то разные, если продолжить ассоциацию.
то есть, в защищённой машине магнитола стОит 1000 баков, а в другой - 10.
то есть, для получения одинаковой суммы в первом случае нужно слегка поковырятся и отключить сигнализацию, а во втором - вскрыть 100 машин.

(Reply to this) (Parent) (Thread)

Мыслишь верно. Поэтому я и акцентирую внимание на том, что
привлекательность одна и та же.
Как было написано в одной умной книге по безопасности - не бывает не
вскрываемых защит. Есть только вопрос стоимости взлома. А это значит,
что защита должна быть такой, что бы стоимость того, что хранится внутри
было дешевле стоимости взлома защиты.
Вот и рассматриваем варианты: автомобиль с магнитолой за 10 баксов в
машине не под фонарём и без сигналки - выломать отвёрткой сердцевину
замка и всё. А если машина на виду, да плюс с сигналкой которая просто
тупо орёт при открытии двери - то за те же 10 баксов магнитолы мы
получаем столько геморроя, что лучше пошариться по соседним дворам...

Разумеется, когда цена вопроса 1000-баксовая магнитора, то про охрана
должна быть совсем другая. Как раз это никак не противоречит утверждению
выше.

(Reply to this) (Parent) (Thread)

думаю, что мы отвлеклись, обсуждая автомобили)
при вскрытии базы данных таких крупных магазинов, как в статье, доход намного больше, чем при лазании по карманам, например.
ну представь себе - доступ к более чем 40 миллионов кредитных счетов!
это даже не тысячебаксовая магнитола, это намно-оого больше.

(Reply to this) (Parent) (Thread)

Упс! Мысль понял. Ага, я немного отвлёкся.

Я просто как админ админу скажу, что в зависимости от стоимости
информации - её можно закрывать и закрывать. И то, что с компьютера в
той же сети, где и база на 40 миллионов карточек не должно быть
возможно в интернет выходить или wifi подключать - это однозначно.
По-хорошему, там дисководы и USB должны быть отключены, а корпуса
опечатаны и т.п. Вопрос в наличии паранойи у админов - никто ж не
похвалит админа за то, что в сеть невозможно проникнуть, пока попытки
проникновения не было :-)

(Reply to this) (Parent) (Thread)

беда в том, что это сети магазинов и они постоянно связаны с центральной базой данных через, естественно, интернет.
вот тут-то и находится ахилесова пятка, здесь-то и делают дырки эти хакеры.

к тому же, при оплате карточкой, наличие на ней денег проверяют тоже через сеть.

(Reply to this) (Parent) (Thread)

:-) Вот-вот... Фильмов насмотрелся? Для обменов с банками существуют
специальные ритуалы. И если компьтер не просто подключен к интернету,
а в закрытой сети, у которой даже кабельная разводка не выходит на
незащищённые участки, установлен брандмауэр, который осуществляет
исключительно шифрованный канал до банка, по которому идёт только
несколько легальных типов запросов: есть запрос на списание денег с
карточки, есть запрос на получение остатка и т.п., но нет в принципе
команды на брэндмуэр, которая даёт список карточк, я уже не говорю
про доступ на файловом уровне. В этом случае, девочки-операционистки
играют в пасьянсы вместо аськи, а хакеры идут искать магазин, где
админ без паранойи.

(Reply to this) (Parent) (Thread)

ОК, в таком случае объясни, как им удалось прибрать к рукам такое кол-во кредиток.

(Reply to this) (Parent) (Thread)

Всё очень просто: создаются условия для работы, но не создаются
условия для безопасности. Вот ты сейчас в ЖЖ сидишь по шифрованному
каналу или нет? Вот и мне для ЖЖ разницы нет. А информация о карточках
не имеет права передаваться в нешифрованном виде. Для этого надо
поставить пару птичек (возможно - добавить пару приблуб или
библиотек). Я их ставлю. А мои колллеги - не ставят. Потому что
вероятность вот этого хаккера, который будет расшифровывать и
применять в дело - почти нулевая. А вероятность того, что мальчикам и
девочкам надо выполнять работу и крутить жизненный цикл оплат - 100%,
вероятность отказа оборудования - ощутимо существует. Поэтому то, что
на виду - это делается. А закладывания на безопасность - это далеко не
всегда и не у всех. Собственно, очень хорошо, если есть образованный и
скучающий безопасник. Которому нет дела до процесса - он ходит и палит
где не шифровано, где операционистка пошла пописять консоль не
заблокировав, где пароль от системы ЗАПИСАН и т.п. А если такого нет,
то эти вопросы остаются на совести и самосознании амина... Вот тут и
получается, что в одном банке, где я работал, передача данных (кроме
денежных проводок) осуществлялась на базе движка fido, причём, адреса
выдавались в зависимости от номера филиала, а пароль устанавливался по
единому правилу получающийся из адреса... А мои коллеги как-то пришли
и показали, что они подняли сервис маленький, к которому можно
обратиться через wap, а там список наших серверов и возможность их
перезагружать или выключать. И вообще никакого пароля. Надо просто
знать адрес типа gbb.pp.ru и можно управлять серверами в самом сердце
предприятия. А пароля нет, потому что пароль с мобильного вводить
неудобно...

(Reply to this) (Parent) (Thread)

то есть, попали эти хлопцы в банк данных через сеть?
о чём я, собственно, и говорил)

(Reply to this) (Parent) (Thread)

Попали в банк через сеть, которую в нарушение всех требований
безопасности сделали админы, которые надеятся на авось

(Reply to this) (Parent) (Thread)

интересно, админов напрягут?
в смысле, станут ли требовать возмещение ущерба.

(Reply to this) (Parent) (Thread)

Понимаешь, тут всё как всегда. Эти правила 99% админов могу более-менее
рассказать по памяти, но только процентов пятнадцать их выполняют.
Собственно, если бы спёрли два компа, то я думаю, что нагнули бы
админов. А при такой сумме - полетят админы, начальство IT (вплоть до
технического директора), служба информационной безопасности. Как и
положенно в таких случаях.

Думаю, что срок давности уже прошел, да и деталей не будет. Я когда-то
работал в НИИ Криминологии, криминалистики и судебной экспертизы. Очень
давно. И как-то принесли не к МВД-шным экспертам, а к нам дискетку с
вопросом: "Может ли содержимое дискеты уничтожить банковскую
информационную систему". Короче, там дело было в чём: специалист по
профилю подружился с админами, начал приходить на работу по выходным и
админы ему оставляли ключи и он включал сервер. Потом он сделал проводку
огромной суммы за бугор, а базу данных уничтожил. При помощи самописной
программы на бейсике. Причём, про программирование он ничего не знал и
видно, что не консультировался и учебники не использовал. Он не знал как
получить список файлов на диске, поэтому писал программу полного
перебора всех вариантов комбинаций букв и цифр и для каждой проверял
есть ли такой файл, а если есть удалял. Но он не смог отладить эту
программку :-)

Короче, это я к чему всё рассказываю: на момент проведения экспертизы,
местоположение парня было неизвестно. Но я знаю, что филиал
переукомплектовали - от управляющего до уборщиц. И это правильно.

(Reply to this) (Parent) (Thread)

ну и парень правильно поступил - хвать деньги и бежать)

(Reply to this) (Parent) (Thread)

Ну я не знаю. Это не мой метод. :-)

А вообще, я про админов, которые знали, что в серверную никого пускать
нельзя, но это же свой парень... А ещё про что грамотно делается, когда
разгоняется весь филиал, если что-то такое произошло. Понятно, что на
одних админов такой ущерб не повесишь, хотя управляющий филиала такой
поворот событий никак не мог бы предугадать и предусмотреть. Пусть он
хоть раз в день начальнику службы безопасности будет говорить, что бы
всё было по правилам - не будет же он сам смотреть кто ходит в
серверную.

(Reply to this) (Parent) (Thread)

и не мой, метод-то.
но коль уж полез воровать, так хоть не остался сидеть в том же банке, как тот машинист из Москвы, что перевёл кучу денег, украденых из банка, на свой счёт в том же банке и давай жировать, машины\квартиры покупать и т.д.)

(Reply to this) (Parent) (Thread)

Ну да. Голову не надо выключать что бы ты ни делал.

(Reply to this) (Parent) (Thread)

именно)

(Reply to this) (Parent)