Информационная безопасность выживальщика

[Tyler Durden]

Точно установлено, что каждый террорист без исключения пользуется канализацией и водопроводом. Надо отключить эти трубы, или поставить датчики со сканерами отпечатков пальца для пользователей) В истории с Телеграммом мне интересно как в РФ нарушаются сразу 2 статьи российской же Конституции и всем пофиг)

 

[Скржитек]

Кто-то майнит за ваш счёт на сайте правительства Московской области

Недавно узнал про портал открытых данных, на котором органы власти размещают наборы общедоступных данных. Есть такой портал у правительства РФ (data.gov.ru), у правительства Москвы (data.mos.ru), у Министерства культуры (opendata.mkrf.ru) и у многих других.
Так как я живу в Московской области, решил заглянуть на сайт правительства МО mosreg.ru/otkrytye-dannye. Там я нашел ссылку на сам портал открытых данных data.mosreg.ru
Переходим на сайт и видим:

Мы же хотим помочь правительству Московской области? Нажимаем "Разрешить" и получаем пустую страницу. Чтобы разобраться, посмотрим на код страницы:

Как мы видели выше, майнер спрашивает разрешение на запуск. Вы конечно можете не давать разрешения, но все-таки странно видеть такое на правительственном сайте.

 

[Mih@il]

Кто-то майнит за ваш счёт на сайте правительства Московской области

А реально видел такую табличку по адресам ? Проверяется ведь все элементарно, ну если нет - я там нихера не нашел, то чего набрасывать.

От перепостов легенды и рождаются - каждая внешняя ссылка на публикацию повышает ее ценность для поисковых роботов, нахера фейкам рекламу делать.

 

[Скржитек]

Да фик его знает, может уже отработали.

 

[Arigato]

Скорее всего ломанули и вставили скрипт. Вот и ушли на обслуживание искать дыры.

Да, вряд ли кто-то специально ломал сайт правительства. Задача взломать как можно больше, делается это так: берется какая-то одна (или несколько) потенциальных уязвимостей. Далее прогоняются миллионы сайтов, скрипт проверяет, работает ли эта дыра. Те сайты, на которых работает - заражаются. Специально искать дыры под конкретный сайт никто не будет, если только это не заказ на сам сайт.

 

[Скржитек]

Обезврежен крупнейший в мире сайт-"киллер"
Правоохранительные органы Европы и Национальное криминальное агентство Великобритании (NCA) объявили о закрытии WebStresser — крупнейшего в мире сервиса, оказывавшего услуги по организации распределенных атак типа "отказ в обслуживании" (DDoS). За площадке можно было заказать "убийство" любого сайта по цене от $15 в месяц.
В операции Operation Power Off участвовали сотрудники полиции 12 стран. Как сообщается на сайте Интерпола, спецслужбы заблокировали инфраструктуру WebStresser в США, Великобритании и Нидерландах. Также были арестованы 6 человек, в том числе в Австралии и Гонконге, подозреваемых в управлении WebStresser.
Имена задержанных не называются. По данным специалиста по кибербезопасности Брайана Кребса, под стражу был взят Юван Миркович, который ранее открыто обсуждал свое участие в WebStresser на Facebook. Свою последнюю запись 19-летний житель Сербии оставил 3 апреля, за день до начала операции.
WebStresser считалась крупнейшей площадкой для оказания услуг, позволяющих "обрушить" любой сайт. На ней было зарегистрировано 136 тысяч пользователей, которые в общей сложности заказали свыше 4 миллионов DDoS-атак.

 

[Скржитек]

В WhatsApp обнаружили сообщение, от которого зависает смартфон
МОСКВА, 6 мая — РИА Новости. Пользователи WhatsApp пожаловались на вредоносные сообщения, которые вызывают сбой в работе смартфонов. Об этом сообщает MensXP.
Авторы послания заранее предупреждают получателей о "ловушке". Тем не менее нашлись пользователи, которые в нее попали.
"Твой WhatsApp зависнет на некоторое время, если ты нажмешь на следующее сообщение", — говорится во вредоносной рассылке. Затем следуют несколько пробелов и надпись "не нажимай сюда".
По данным портала, на месте пробелов на самом деле скрыты символы, нажатие на которые вызывает сбой в работе гаджета. При этом пользователи отмечают, что для устранения проблемы необходимо просто перезагрузить смартфон.

РИА Новости

 

[fonDEER]

А что, и так можно было?
https://dostalo.livejournal.com/856773.html
Сегодня в Мосгорсуде приняли феерическое по красоте решение. Принято оно было в ответ на иски к Роскомнадзору нескольких компаний, понесших огромные убытки из-за блокирования их работы во время «бомбежки по площадям» в войне государства с дуровским «Telegram».
Решение очень простое, и звучит оно так: «Решение Таганского суда о блокировке доступа к Telegram 13.04.2018 года НЕ СЧИТАЕТСЯ ВСТУПИВШИМ В СИЛУ, поскольку оно было оспорено представителями данного мессенджера в законном порядке, а вынесения решения еще не последовало.
То есть по закону, если есть жалоба, поступившая ДО решения суда, то сначала она должна быть рассмотрена, в законном порядке удовлетворена (или отклонена), и только потом даже вынесенное решение суда может считаться вступившим в силу.
И заявила об этом ни много ни мало — а руководитель пресс-службы Мосгорсуда Ульяна Солопова. Заявила корреспондентам ТАСС. И информация о блокировке Telegram на сайте РКН о блокировке будет снята (ну, по крайней мере должна быть).
То есть вы понимаете? »Бомбежки Воронежа» от лица РКН (нанесшие российским предприятиям — банкам, аэропортам, службам доставки, супермаркетам и т.д. — убытки в размере уже более 100 млрд. руб.) не просто безумие, но еще и беззаконие. За которое никто не отвечает, а война с Дуровым, похоже, спускается на тормозах (ведь такие решения наши суды без указки сверху не принимают).
И как к этому относиться? Что следующее могут «начать бомбить» государевы люди?
P.S. Кстати, согласно недавнему опросу, 30% не каких-то бабушек на лавочках, а пользователей интернета, заявили, что «готовы от него отказаться», если на то будет государева воля. В общем, как в анекдоте — «веревку и мыло выдавать будут — или с собой приносить?»

 

[Desmaster]

Вскрываем хардверный имплант. Как устроен девайс для слежки, замаскированный под кабель USB

S8 data line locator — это подслушивающее устройство, снабженное модулем GSM, которое умещается в штепселе обычного кабеля USB для зарядки и передачи данных. Оно поддерживает частоты GSM 850, 900, 1800 и 1900 МГц.

 

[Скржитек]

Google позволяет разработчикам читать вашу почту. Как это прекратить
Вполне вероятно, что письма в вашем почтовом ящике Gmail читает кто-то еще. Причем разрешение на это — вероятно, даже не догадываясь об этом — дали вы сами. О том, как такое возможно, написала накануне газета The Wall Street Journal.

Сама Google некоторое время назад объявила, что перестает сканировать пользовательскую переписку. Однако компания не запретила делать это разработчикам приложений для Gmail — программных дополнений, расширяющих функциональность почтового сервиса.

По данным газеты, многие разработчики этой возможностью активно пользуются, причем речь идет не только об автоматическом сканировании — многие позволяют сотрудникам буквально читать чужие письма. Причем формально все законно: разрешение на доступ запрашивается при подключении приложения к аккаунту Gmail, но, как правило, спрятано глубоко в многостраничном пользовательском соглашении.

Больше всего интереса пользовательская переписка представляет для маркетинговых компаний, которые, чтобы получить информацию о предпочтениях людей, создают подключающиеся к Gmail приложения вроде инструментов для сравнения цен или автоматических планировщиков путешествий.

Насколько Google контролирует такое поведение разработчиков, неясно — компании стоило бы как минимум информировать клиентов, многие из которых вряд ли подозревают, что дают кому-то, включая живых людей, а не только компьютерные программы, доступ к своим письмам. Когда такой доступ есть, ничто не мешает повторению ситуации как в случае с Facebook и Cambridge Analytica.

Вот как можно узнать, какие приложения имеют доступ к вашему аккаунту Google (а, значит, и почте в Gmail). Для начала нужно перейти по адресу https://myaccount.google.com. В разделе "Безопасность и вход" в левом столбце выберите "Приложения, у которых есть доступ к аккаунту". Также можно сразу перейти по этой ссылке. На странице приводится список сторонних приложений с разрешениями и то, к данным каких сервисов Google у них есть доступ. Программы с доступом к Gmail могут читать вашу почту. Выглядит это так:

Нажав "Отмена доступа", вы отключите приложение от аккаунта Google. Оно больше не сможет читать ваши письма — но и функциональность свою почти наверняка потеряет.

 

[Татия]

В поиске "Яндекса" появились приватные документы пользователей Google Docs

В поисковой выдаче российского сервиса "Яндекс" выдавались документы пользователей сервиса Google Docs, содержащие приватную информацию. Эти документы не были защищены настройками приватности. Об этом сообщает Meduza, передает УНН.

"Документы, попадающиеся в выдаче "Яндекса", не были защищены настройками приватности — это означает, что их создатель разрешил просмотр (или даже редактирование) всем, у кого есть нужная ссылка", - говорится в сообщении.

Пресс-секретарь "Яндекса" Илья Грабовский сообщил, что в службу поддержки обратились пользователи с жалобами на проблему доступности файлов на docs.google.com.

[MOD="Zusman"]ссылка ведёт на новостной украинский сайт. Так правильней.

https://tjournal.ru/73189-yandeks-s...-docs-tam-uzhe-nashli-paroli-i-lichnye-dannye[/MOD]

 

[Лонгин]

Есть и РИА:
https://ria.ru/technology/20180705/1523978519.html

 

[Arigato]

В поиске "Яндекса" появились приватные документы пользователей Google Docs

Заголовок противоречит содержанию: "Эти документы не были защищены настройками приватности".

 

[Лонгин]

Заголовок противоречит содержанию

Не совсем. Это как "частная жизнь" и ее защита. Типа в прессе появляются фотки генпрокурора из папараццинезащищенной сауны.

 

[Arigato]

Типа в прессе появляются фотки генпрокурора из папараццинезащищенной сауны.

Совсем не тоже. Поисковик индексирует все подряд (технически есть возможность запретить индексацию определенных страниц или сайтов, даже если они открыты, но эта возможность не обязана давать 100% результата). То есть если информация является открытой и на нее ведут ссылки, то поисковик, рано или поздно, доберется и до нее. Если же ты считаешь информацию приватной, то необходимо закрыть к ней свободный доступ, тогда ни только поисковик не сможет спокойно ее проиндексировать, но и простой пользователь ее не увидит (не факт, что эта защита спасет от хакера, но в целом доступ будет невозможен). Если же ты по какой-то причине не закрываешь доступ, значит эта информация уже не является приватной, она уже публичная даже без индексацией поисковиком, потому как находится в открытом доступе в публичном месте - в интернете. Это, по аналогии с фотками, как если самому нафоткать себя в сауне, развесить эти фотки на фонарных столбах и ходить плакаться, что прохожие на них смотрят :laugh4:

Сама по себе сауна закрыта от свободного доступа. Репортер с фотикок выступает в данном случае в роли хакера, получающего доступ к закрытой информации.

 

[Лонгин]

Arigato, Ну, не знаю. Ближайший аналог гуглодоступа - автоматический замок, данных - имущество. Если хозяин сознательно открыл замок и бросил дверь, это значит, что он растяпа. Но имущество не перестает принадлежать ему, срач в квартире остается его приватным делом, а зрение проходящих мимо распахнутой двери соседей - ни в чем не виновато.

 

[ionuchin]

Эх! Где те времена, когда достаточно было, уходя из дома, подпереть дверь палочкой, чтобы от ветра не болталась...

 

[Arigato]

Лонгин, ну то, что пользователь сам растяпа, это верно подмечено. Скажем так, поисковик - это некая летающая камера, которая летает по улице и все снимает. И если куда-то дверь открыта - она спокойно залетает и снимает там. И если вы не хотите, чтобы сняли внутри вашего дома - закрывайте двери. Забываете закрывать двери - сами виноваты.

 

[Скржитек]

Масштабная утечка: в сеть попали платежи «Сбербанка», авиабилеты и другие данные россиян.
CEO-специалист по работе с поисковыми системами в интернете Павел Медведев обнаружил, что многие крупные российские компании пренебрегают базовыми средствами безопасности данных своих клиентов. С помощью поискового запроса в «Яндексе» можно найти сканы чужих паспортов, билеты на самолет или поезд, данные о платежах в «Сбербанке» и многие другие персональные данные.

Павел Медведев показал, как с помощью поиска можно получить персональные данные россиян на сайтах мэра Москвы mos.ru, «Сбербанка», ВТБ и других ресурсах. Создатели этих сайтов не уделили достаточно внимания безопасности и поисковой оптимизации, поэтому некоторые веб-страницы с персональными данными попали в поисковую выдачу «Яндекса». Подобная ситуация недавно была с приватными документами из Google Docs, которые тоже на время появились в поиске.


Для примера Павел получил данные о нескольких десятков платежей через систему «Сбербанка»:

Таким же образом он получил электронные билеты на поезд через сервис для покупки билетов банка ВТБ:

Еще страшнее, что через официальный сайт мэра Москвы можно найти сканы чужих паспортов и других документов

Для решения проблемы Павел рекомендует создателям сайтов ограничить все страницы с персональными авторизацией через логин и пароль. Еще им нужно запретить роботам поисковых систем индексировать подобные страницы, чтобы в будущем избежать утечек данных. Однако пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности сайтов.

https://hi-tech.mail.ru/news/krupnaya-utechka/?frommail=1

 

[Arigato]

Однако пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности сайтов.

А также извещений о том, что на ваше имя взяли кредит ardon: