Жизнь коммерса.

[fgh]

Я уже когдато приводит пример - достаточно в контроллере сетевой карты сделать систему отправки сырого трафика "куда надо", и там будет все - пароли, звук, видео, и абсолютно не обнаруживаемый бекдор "на всякий случай"...

Ну если бы такое было, то прощай крипта. К примеру, каждый копировал наверняка сид фразы перед тем, как их вставить в метамаск. Или просто записывал сид в электронный файл перед шифрованием или стеганографией. Если производитель железа шпионит и собирает приватную инфу пользователя, то мы бы давно лишились своих криптосредств. Поэтому наверно пока такого нет скорее всего.

[heyod hewow]

Поэтому наверно пока такого нет скорее всего.

Есть. Несколько лет назад амеры обнаружили, что телекоммуникационное оборудование Huawei умеет перехватывать сырой трафик на уровне железа (т.е. шпионское ПО на уровне ассемблера / прошивок микроконтроллеров чипов). И запретили ввоз и использование всей продукции Huawei и ZTE еще, кажется.

Смогут ли таким образом вычленить из сырого трафика модема Васи Пупкина его сид от метамаска, который он однажды скопипастил в блокнот или приложение для паролей? Нет. Вопрос пост-обработки, как всегда. Одно дело "зарядить" партию пейджеров роутеров, поставляемых в госконторы США (а такой эпизод вроде бы вменяют Хуавею) и потом ловить и расшифровывать поток от конкретного оборудования, поставленного в конкретные места (Пентагон, к примеру). Другое дело - получить и постобработать трафик от сотен миллионов обычных бытовых модемов, роутеров, смартфонов и т.д. Это слишком энерго-и-времязатратно, и никому не надо, даже китайцам, поскольку это колоссальное количество мусорных данных, которое и хранить-то негде, не то что там среди всего этого мусора фото васиного писюна сиды искать.   

[fruktik]

Это не меня понесло, это наиболее вероятный сценарий будущего. Мне-то не жалко, если пенсионер утащит упаковку лаврового листа или даже пачку масла, я все понимаю. Но если хотя бы одна из торговых сетей поставит себе такую систему, то все прочие сети тоже подтянутся, потому что это конкурентное преимущество и сокращение расходов и потерь.

И вполне возможно, что "база воров" у них будет общая. Даже если одна сеть не будет делиться своей своей базой добровольно с другими сетями, то все равно будут утечки через манагеров и айтишников, как это всегда бывает. То ли айтишники сами предложат базу новому клиенту-торговой сети за небольшую доплату к контракту, то ли уволенный и обиженный управляющий придет в другую сеть и предложит свои услуги, а положительным довеском к резюме будет база с прежнего места работы. ))

Не очень завидный сценарий для тех, кто решил красть в магазинах. Такое будущее, как мне кажется, уже не за горами. Если так и дальше дело пойдет, то уже в ближайшее время такой сценарий реализуется на практике. Меня бесит то, что персональные данные с легкостью утекают в чужие руки. Нет никакой управы на это. За это дело следует наказывать и достаточно строго.

[heyod hewow]

Меня бесит то, что персональные данные с легкостью утекают в чужие руки. Нет никакой управы на это. За это дело следует наказывать и достаточно строго.

Очень сложно доказать, что данный гражданин спер базу и передал стороне Б за некоторое количество денежных знаков - базу жирных клиентов ли, базу с персональными данными, или, как в нашем обсуждаемом сабже, базу магазинных воров. Если, конечно, тот гражданин не совсем технический дурак. А ойтишнеги, обслуживающие подобные базы, чаще всего не дураки. Базу ведь необязательно носить на флешке в кармане, ее можно залить на правильно созданное облако (не оставляя своих следов при его создании), потом потереть системные логи выкачки базы, а после к облаку предоставить доступ тому, кто больше заплатит.

[fgh]

Это не меня понесло, это наиболее вероятный сценарий будущего. Мне-то не жалко, если пенсионер утащит упаковку лаврового листа или даже пачку масла, я все понимаю. Но если хотя бы одна из торговых сетей поставит себе такую систему, то все прочие сети тоже подтянутся, потому что это конкурентное преимущество и сокращение расходов и потерь.

И вполне возможно, что "база воров" у них будет общая. Даже если одна сеть не будет делиться своей своей базой добровольно с другими сетями, то все равно будут утечки через манагеров и айтишников, как это всегда бывает. То ли айтишники сами предложат базу новому клиенту-торговой сети за небольшую доплату к контракту, то ли уволенный и обиженный управляющий придет в другую сеть и предложит свои услуги, а положительным довеском к резюме будет база с прежнего места работы. ))

Не очень завидный сценарий для тех, кто решил красть в магазинах. Такое будущее, как мне кажется, уже не за горами. Если так и дальше дело пойдет, то уже в ближайшее время такой сценарий реализуется на практике. Меня бесит то, что персональные данные с легкостью утекают в чужие руки. Нет никакой управы на это. За это дело следует наказывать и достаточно строго.

Насколько я знаю (могу ошибаться) в РФ обычно за слив баз паролей или персональных данных обычно следует не более, чем извинение. Типа, простите, кто-то слил базу - поменяйте пароли и паспортные данные., мы не виноваты. Раздолбайство при хранении данных в РФ вроде не наказывается. Так что придётся и далее страдать. Но это-то ещё ладно. А вот как быть, к примеру, если бы был слив сидов от, скажем, битков на государственном хранении? Особенно, если они не застрахованы.

[DrBeer]

А теперь считаем сколько у нас вокруг нас, даже дома, даже в спальне, устройств подключенных к сети. ? Извините что всем перегадил утро 

Да чего уж там, многие уже в курсе. )) Достаточно утром, попивая смузи якобс 3в1 у себя в блиндаже на кухне произнести вслух слово "ботинки", как через минуту реклама ботинок будет во всех лентах всех твоих гаджетов. ))

И это только то что мы видим и можем сопоставить... А сколько еще интересного у них, "там" накоплено - вообще сложно представить. Все таки ДВК1 - была прекрасной ЭВМ, с ее 32 КБ памяти, все на транзисторах и транзисторных сборках, никаких технологических иньекций ! Если бы только не черно-зеленый монитор диагональю 14 дюймов выжигавший за 4 часа глаза 
Правда сложно представляю сете например тикток в нем 

[fruktik]

Насколько я знаю (могу ошибаться) в РФ обычно за слив баз паролей или персональных данных обычно следует не более, чем извинение. Типа, простите, кто-то слил базу - поменяйте пароли и паспортные данные., мы не виноваты. Раздолбайство при хранении данных в РФ вроде не наказывается. Так что придётся и далее страдать. Но это-то ещё ладно. А вот как быть, к примеру, если бы был слив сидов от, скажем, битков на государственном хранении? Особенно, если они не застрахованы.

Если честно, то я только рад буду тому моменту, если гос. Битки будут украдены. Меньше денег останется на различные военные мероприятия. Как-то не очень отношение в РФ к персональным данным. Что такая за гос. политика в этом вопросе? Ну какие, к черту, извинения? Тут должно наказываться по всей строгости закона. Только таким образом можно победить эту масштабную проблему, которая захлестнула страну.

[fgh]

Насколько я знаю (могу ошибаться) в РФ обычно за слив баз паролей или персональных данных обычно следует не более, чем извинение. Типа, простите, кто-то слил базу - поменяйте пароли и паспортные данные., мы не виноваты. Раздолбайство при хранении данных в РФ вроде не наказывается. Так что придётся и далее страдать. Но это-то ещё ладно. А вот как быть, к примеру, если бы был слив сидов от, скажем, битков на государственном хранении? Особенно, если они не застрахованы.

Если честно, то я только рад буду тому моменту, если гос. Битки будут украдены. Меньше денег останется на различные военные мероприятия. Как-то не очень отношение в РФ к персональным данным. Что такая за гос. политика в этом вопросе? Ну какие, к черту, извинения? Тут должно наказываться по всей строгости закона. Только таким образом можно победить эту масштабную проблему, которая захлестнула страну.

Никто не считает это за проблему, всем на это наплевать. Это отношение идёт инерцией ещё с Советского Союза, когда мы были технологически отсталы. Сейчас вроде и ценные цифровые данные появились и у народа и у государства, а отношение пока такое же легкомысленное.
  Но тут ещё должна быть инициатива со стороны самих граждан, которые должны более ответственно относиться к своим данным.

[DrBeer]

Насколько я знаю (могу ошибаться) в РФ обычно за слив баз паролей или персональных данных обычно следует не более, чем извинение. Типа, простите, кто-то слил базу - поменяйте пароли и паспортные данные., мы не виноваты. Раздолбайство при хранении данных в РФ вроде не наказывается. Так что придётся и далее страдать. Но это-то ещё ладно. А вот как быть, к примеру, если бы был слив сидов от, скажем, битков на государственном хранении? Особенно, если они не застрахованы.

Если честно, то я только рад буду тому моменту, если гос. Битки будут украдены. Меньше денег останется на различные военные мероприятия. Как-то не очень отношение в РФ к персональным данным. Что такая за гос. политика в этом вопросе? Ну какие, к черту, извинения? Тут должно наказываться по всей строгости закона. Только таким образом можно победить эту масштабную проблему, которая захлестнула страну.

Никто не считает это за проблему, всем на это наплевать. Это отношение идёт инерцией ещё с Советского Союза, когда мы были технологически отсталы. Сейчас вроде и ценные цифровые данные появились и у народа и у государства, а отношение пока такое же легкомысленное.
  Но тут ещё должна быть инициатива со стороны самих граждан, которые должны более ответственно относиться к своим данным.

Меня в этом всем беспокоит только дин момент - как удается прое.. ой, потерять данные и дать им в ОТКРЫТОМ виде утечь кудато ?  Есть масса решений которые достаточно устойчиво шифруют данные, что делает данные "нечитаемыми". Да, есть нюанс - если ктото упрет ключ шифрования - то вот это проблема, так храните его подобающим образом, организуйте инфраструктуру, используйте многоуровневые системы безопасности, пусть государство разрабатывает системы для безопасного хранения и также несет ответственность,... ну или несите ответственность по полной программе, это будет хорошей мотивацией  !
ПС Да, я прекрасно понимаю что никакой ответственности не будет, потому что под раздачу попадет огромное количество "своих"

[fgh]

Меня в этом всем беспокоит только дин момент - как удается прое.. ой, потерять данные и дать им в ОТКРЫТОМ виде утечь кудато ?  Есть масса решений которые достаточно устойчиво шифруют данные, что делает данные "нечитаемыми". Да, есть нюанс - если ктото упрет ключ шифрования - то вот это проблема, так храните его подобающим образом, организуйте инфраструктуру, используйте многоуровневые системы безопасности, пусть государство разрабатывает системы для безопасного хранения и также несет ответственность,... ну или несите ответственность по полной программе, это будет хорошей мотивацией  !
ПС Да, я прекрасно понимаю что никакой ответственности не будет, потому что под раздачу попадет огромное количество "своих"

Да, среди "своих" много расп***ев.)  А так, если брать обычных людей, то причины выкладывания в открытый доступ разные. Кто-то по глупости банально не заморачивается. Может опубликовать где-нибудь на форуме. Кто-то сознательно торгует своими данными за копейки на правах дропа. Кстати, сейчас постепенно уже даже нейросети появляются для создания фейковых сканов паспортов и разного рода удостоверений. Конкретную ссылку дать не могу, но такая инфа попадалась. Это называется "Смерть КУСю и АМЛ!!!"

[fruktik]

Никто не считает это за проблему, всем на это наплевать. Это отношение идёт инерцией ещё с Советского Союза, когда мы были технологически отсталы. Сейчас вроде и ценные цифровые данные появились и у народа и у государства, а отношение пока такое же легкомысленное.
  Но тут ещё должна быть инициатива со стороны самих граждан, которые должны более ответственно относиться к своим данным.

А чья прямая обязанность прививать такую "культуру ответственности"? Конечно, это должно быть государство. По телевидению обязана появляться реклама с такой информацией. Вот тогда совсем иная ситуация будет. Других вариантов донести до сознания граждан эти данные сведения. По всей стране люди смотрят зомбоящик. А на счет инициативы, то тут я бы добавил... Нет её и никогда не было среди простых обывателей территории РФ. Вот так просто.

[heyod hewow]

Меня в этом всем беспокоит только дин момент - как удается прое.. ой, потерять данные и дать им в ОТКРЫТОМ виде утечь кудато ?  Есть масса решений которые достаточно устойчиво шифруют данные, что делает данные "нечитаемыми". Да, есть нюанс - если ктото упрет ключ шифрования - то вот это проблема, так храните его подобающим образом, организуйте инфраструктуру, используйте многоуровневые системы безопасности, пусть государство разрабатывает системы для безопасного хранения и также несет ответственность,... ну или несите ответственность по полной программе, это будет хорошей мотивацией  !

Как удается? Да очень просто - человеческий фактор. Иногда это социальная инженерия, иногда обычная глупость и невнимательность, часто - хитрые диверсии, подкуп/вербовка или внедрение крота... но в любом случае, человек - самое слабое звено даже при использовании самых хитровы***нных многоуровневых систем безопасности. Не буду напоминать о случае с одним из самых крупных опсосов несколько месяцев назад, ты наверняка в курсе. ))

[DrBeer]

Меня в этом всем беспокоит только дин момент - как удается прое.. ой, потерять данные и дать им в ОТКРЫТОМ виде утечь кудато ?  Есть масса решений которые достаточно устойчиво шифруют данные, что делает данные "нечитаемыми". Да, есть нюанс - если ктото упрет ключ шифрования - то вот это проблема, так храните его подобающим образом, организуйте инфраструктуру, используйте многоуровневые системы безопасности, пусть государство разрабатывает системы для безопасного хранения и также несет ответственность,... ну или несите ответственность по полной программе, это будет хорошей мотивацией  !

Как удается? Да очень просто - человеческий фактор. Иногда это социальная инженерия, иногда обычная глупость и невнимательность, часто - хитрые диверсии, подкуп/вербовка или внедрение крота... но в любом случае, человек - самое слабое звено даже при использовании самых хитровы***нных многоуровневых систем безопасности. Не буду напоминать о случае с одним из самых крупных опсосов несколько месяцев назад, ты наверняка в курсе. ))

Человек всегда был , ест ьи будет самым слабым звеном, по простой причине - у человека есть масса хотений, желаний, комплексов и прочих тараканов, которые можно очень эффективно использовать. С текхникой так не получится. Поэтому всегда в первую очередь ищут решение через человека. Да, аппаратные или софтверные  дыры тоже проблема, но их можно обнаружить и исправить. Человека исправить нельзя, как бы не звучало печально...

ПС Про опсоса на К начинается конечно в курсе Еще когда только начали говорить о "хацкерской атаке" я говорил - ищите внутри когото, так систему валить (а дело в том что там произошел по сути "захват управления") чрез дыры в софте / железе - не получится. Я не сильно глубоко но чуть прикасался к тому как устроена инфраструктура и сестемЫ опсосов, там все очень хорошо продумано, там очень высокий уровень безопасности, там очень серьезные механизмы контроля. И только внутренний пользователь с высокими правами, может выполнять некий набор действий, не попадая под мониторинг системы. если очень просто - он для нее валидный и права такие ему даны специально, для выполнения широкого спектра задач...

ПС "опсос" - термин возникший на заре мобильной связи, впервые услышал на форуме МабилА  во второй половине 90х годов

[heyod hewow]

ПС "опсос" - термин возникший на заре мобильной связи, впервые услышал на форуме МабилА  во второй половине 90х годов

Я, пожалуй, первый раз его осознанно услышал в 2002, когда у меня появился первый собственный мобильный телефон. )

[DrBeer]

Я уже когдато приводит пример - достаточно в контроллере сетевой карты сделать систему отправки сырого трафика "куда надо", и там будет все - пароли, звук, видео, и абсолютно не обнаруживаемый бекдор "на всякий случай"...

Ну если бы такое было, то прощай крипта. К примеру, каждый копировал наверняка сид фразы перед тем, как их вставить в метамаск. Или просто записывал сид в электронный файл перед шифрованием или стеганографией. Если производитель железа шпионит и собирает приватную инфу пользователя, то мы бы давно лишились своих криптосредств. Поэтому наверно пока такого нет скорее всего.

Я не думаю что крупные компании будут "мелочь по карманам тырить", намного дороже собирать и владеть такой информацией, чтобы использовать, когда придет реальный Час-ХЭ... Ну как минимум я бы наверное так сделал
И думаю крипта - не самое главное для них, глобальная информация намного дороже, точнее ее владение и возможность использовать когда надо.

ПС "опсос" - термин возникший на заре мобильной связи, впервые услышал на форуме МабилА  во второй половине 90х годов

Я, пожалуй, первый раз его осознанно услышал в 2002, когда у меня появился первый собственный мобильный телефон. )

Я попал в мобильный мир как раз в конце 90х поэтому чуток раньше слово "опсос" в уши прилетело Прикольные времена были, чтото перепрошивали, какието коды кодили... В начале 00 завел себе Sismens SL45i - вот там разгул для ковыряльщиков в кишках телефона был !!! Как никак засунули в него поддержку JavaME,да еще с поддержкой внешних карт памяти,  со всеми вытекающими