Ответы пользователя по тегу Информационная безопасность
  • Какую выбрать тему дипломной работы в сфере "информационная безопасность, мобильная разработка (ios)"?

    @nirvimel
    Например, напишите про, очевидную для некоторых и неизвестную для остальных, проблему связанную с автоматической синхронизацией с iCload, то есть автоматической засылкой личных данных на "вражеские" сервера. К чему это приводит в результате все уже видели в 2014. Кстати, эта дыра на iCload, возможно, не закрыта до сих пор, так как сообщений о ее закрытии за все время не поступало (и даже, если закрыта конкретно та, то могут оставаться еще сколько угодно незакрытых).
    Ответ написан
  • Существует ли список самых популярных паролей рунета?

    @nirvimel
    ТОП-100 (формат - "пароль: количество_ящиков"):
    123456             : 39177
    123456789          : 13892
    111111             : 9826
    qwerty             : 7926
    1234567890         : 5853
    1234567            : 4668
    7777777            : 4606
    123321             : 4324
    000000             : 3304
    123123             : 3031
    666666             : 2807
    12345678           : 2570
    555555             : 2416
    654321             : 2299
    gfhjkm             : 1804
    777777             : 1500
    112233             : 1482
    121212             : 1432
    12345              : 1431
    987654321          : 1385
    159753             : 1172
    qwertyuiop         : 1120
    qazwsx             : 1109
    222222             : 967
    1q2w3e             : 939
    0987654321         : 874
    1q2w3e4r           : 872
    1111111            : 832
    123qwe             : 804
    zxcvbnm            : 772
    88888888           : 762
    123654             : 724
    333333             : 707
    131313             : 697
    999999             : 690
    4815162342         : 661
    12344321           : 639
    1qaz2wsx           : 633
    11111111           : 615
    asdfgh             : 609
    qweasdzxc          : 583
    123123123          : 578
    159357             : 574
    zxcvbn             : 571
    qazwsxedc          : 545
    ghbdtn             : 533
    1234554321         : 524
    1111111111         : 523
    1q2w3e4r5t         : 500
    1029384756         : 465
    qwe123             : 455
    789456123          : 448
    147258369          : 444
    1234qwer           : 439
    135790             : 428
    098765             : 426
    999999999          : 422
    888888             : 408
    12341234           : 408
    12345qwert         : 401
    qweasd             : 395
    987654             : 392
    111222             : 391
    147852369          : 380
    asdfghjkl          : 375
    789456             : 375
    samsung            : 373
    159951             : 365
    101010             : 357
    vfhbyf             : 355
    444444             : 353
    qwerty123          : 348
    nikita             : 348
    qweqwe             : 335
    q1w2e3             : 331
    fyfcnfcbz          : 328
    00000000           : 325
    qwaszx             : 325
    qazxsw             : 322
    010203             : 321
    marina             : 319
    9379992            : 316
    123789             : 316
    zzzzzz             : 308
    qqqqqq             : 308
    11223344           : 307
    dbrnjhbz           : 306
    qwertyu            : 303
    147258             : 299
    12345678910        : 298
    232323             : 296
    yfnfif             : 294
    55555              : 292
    aaaaaa             : 291
    147852             : 289
    fylhtq             : 287
    fktrcfylh          : 284
    1qazxsw2           : 279
    q1w2e3r4           : 278
    7654321            : 277


    Скрипт, которым построен топ:
    import re
    import collections
    
    regex = re.compile(r'^([a-zA-Z0-9_.+-]+)@[a-zA-Z0-9-]+\.[a-zA-Z0-9-.]+:(.+)$')
    
    counter = collections.Counter()
    
    with open('yandex.txt', encoding='ascii', errors='ignore') as file:
        for line in file:
            match = regex.match(line)
            if match:
                # login = match.group(1)
                pass_ = match.group(2)
                counter[pass_] += 1
    
    for pass_, count in counter.most_common(100):
        print('%-19s: %i' % (pass_, count))


    Источник: слив базы яндекса в сентябре 2014 (точное количество ящиков == 1.261.810)
    Ответ написан
  • Как защитить приложение клиент-банк от взлома?

    @nirvimel
    Подготовка:
    1. В чистую виртуальную машину с отключенной сетью ставится чистый Windows с лицензионного диска (никакая не СБОРКА! и не готовый образ).
    2. Никакой другой ПОЛЕЗНЫЙ софт на эту ВМ не ставится.
    3. Ставится банк-клиент, скаченный с официального сайта.
    4. Подключается сеть в режиме NAT.
    5. Заносятся все данные и ключи. Проверяется подключение к серверу (увидеть свой баланс).
    6. Делается снепшот виртуальной машины.

    Работа:
    1. Запуск ВМ. Работа в банк-клинте (как обычно). Откат ВМ к снепшоту, сделанному на этапе подготовки.

    Только не говорите, что это НЕ УДОБНО.
    Во-первых, это неправда; запустить/остановить/откатить VirtualBox (например) не сложнее, чем распечатать накладную в 1С.
    Во-вторых, если бы даже это было действительно не удобно, то это все равно не имело бы значения, когда речь идет о безопасности банковских операций.
    Ответ написан
  • Как скрыть реальный ip при использовании телефонии(sip)?

    @nirvimel
    1. Чрезвычайно сложно найти VPS, разрешающий поднятие выходной ноды Tor (а вы не думали почему во всем мире этих нод не так уж много?).
    2. Еще сложнее оплатить его анонимно. Нужна будет чужая кредитка... (тут долго объяснять), но по цепочке денежных транзакций выйти на вас будет ГОРАЗДО проще, чем по цепочке VPN.
    3. Поднятие выходной ноды сразу привлечет к этому IP внимание спецслужб всего мира. Контролировать трафик выходящий из Tor - их работа. Все соединение начнут логгироваться (множеством заинтересованных сторон). До этого вы были никому ненужным рядовым анонимом. Теперь вы - владелец выходной ноды, это как выступать на сцене перед огромным залом.
    4. Итак, вы проходили регистрацию при покупке сервера, ставили туда софт, настраивали, тестировали... Значит к этому моменту профиль сетевой активности с вашего реального IP уже довольно сильно коррелирует с профилем активности на этом сервере. Во всем мире становится тесно остается все меньше адресов с таким высоким уровнем корреляции. А значит, люди, владеющие статистикой трафика, уже довольно точно представляют откуда управляется эта выходная нода.
    5. Ну и самое главное (с чего следовало бы начать): Tor не защищает от timing-атак на коммуникации в реальном времени. А SIP по определению есть коммуникация в реальном времени, следовательно подвержен timing-атакам сквозь Tor (и любые low latency сети/тоннели).
    Ответ написан
  • Есть ли хороший антивирус для работы на хостинге?

    @nirvimel
    есть один проект на шаред хостинге, там постоянно появляются шеллы.

    В болоте лежит туша мамонта с прошлогодней охоты, но в ней (почему-то) постоянно заводятся черви.


    Ну не могут шеллы заводится сами! НЕ МОГУТ!
    Пока у вас в команде будет в порядке вещей такой подход к гигиене системной безопасности и разграничению доступа, когда шеллы на сайте заводятся сами, до тех пор вам не поможет ни один антивирус (ни платный, ни бесплатный).
    Ответ написан
  • Возможна ли слежка или иное вредоносное воздействие от данного файла?

    @nirvimel
    1. В виртуальную машину ставите Windows XP SP3 (чистый корпоративный, а не какую-то говносборку).
    (Не говорите, что это долго, если это надо сделать один раз, и пользоваться потом постоянно).
    2. Делаете снепшот виртуалки с чистой свежеустановленной ОС.
    3. Ставите своего торояна (пусть даже это - очень ценная и полезная программа, разницы нет).
    4. Делаете снепшот виртуалки со свежеустановленным трояном.
    5. Запускаете эту Вашу Прелесть. Работаете с ней ровно один сеанс.
    6. Откатываете виртуальную машину к снепшоту (4) (или к снепшоту (2), когда захочется поиграть с другим трояном).
    ...
    7. PROFIT.
    Ответ написан
  • Как реализовать защищенный и не отслеживаемый телефон?

    @nirvimel
    Как считаете, такая схема достаточно надежна или есть более защищенные/удобные способы?

    На этом погорели многие. Люди настолько привыкли окружать себя удобными вещами, что не понимают, что это их удобство иногда может оказаться просто несовместимо с безопасностью.
    Зачем в бане прикрываться тазиком, если без него мыться удобнее?
    Так многие думали пока за мылом не нагнулись.

    Разговор в реальном времени (не важно с каким шифрованием и через сколько туннелей) позволяет сопоставить двух абонентов друг с другом на основании только того, что они начинают и заканчивают разговор одновременно! Этой мелочи часто бывает достаточно, чтобы по логам (за много лет до того) выявить связь между двумя субъектами, которые находились в разных странах у разных операторов и пользовались разными технологиями связи (GSM/Skype/SIP). И это не решается применением никакого чудо-софта или никакими технологиями шифрования. Это фундаментальный неустранимый недостаток коммуникаций в реальном времени. Единственное решение - полностью отказаться от общения в реальном времени и вернуться к использованию старой доброй почты (электронной, конечно), с ней тоже связаны многие проблемы в плане безопасности, но они, по крайней мере, имеют техническое решение.
    Ответ написан
  • Почему на некоторых сайтах оплата мгновенная, а вывод нет?

    @nirvimel
    Это смотря на что выводить:
    • Для криптовалюты задержки транзакций определяются только техническими ораничениями (подтверждения включения транзакции с следующий блок от других пиров), поэтому что ввод, что вывод идут практически с одной скоростью.
    • Для электронных денег все зависит от законодательства страны, в чьей юрисдикции находится эмитент. Для брорьбы с отмыванием многие регуляторы специально усложняют вывод из электронных денег в реальные или перевод в чужую юрисдикцию.
    • Visa/Mastercard (также как и, завязанный на них, PayPal) - полнейшее дно! Само существование такого понятия как chargeback вносит неустранимый архитектурный изъян во всю систему, благодаря которому ни одна "завершенная" транзакция не может считаться окончательно завершенной на протяжении всего периода доступности chargeback (30 дней). Эта схема не помогает ни продавцам (для них это - настоящий ад), ни покупателям (вы сами как-нибудь попробуйте совершить chargeback, получите столько проблем, что пожалеете что просто не забыли о потерянной сумме), ни банкам (как взыскивать chargeback, когда средства уже сняты? морозить на весь период? В полном объеме никто не морозит, а значит все несут риски). Эту схему придумали, похоже, специально для торможения вывода (и всей электронной коммерции) доблестные борцы с отмыванием.
    Ответ написан
  • Возможен ли malware в ELF и вообще в linux?

    @nirvimel
    Ни формат ELF, ни ядро Linux сами по себе никак не препятствуют запуску любой малвари.
    А вот строгое разграничения доступа в многопользовательской системе (не только Linux) - препятствует.
    То есть, одна простая команда, запущенная из-под root, может полностью уничтожить установленную операционную систему вместе с содержимым всех дисков. Вот только ни один грамотный Linux-юзер (кроме камикадзе) никогда не запустит всякую малварь под рутом и ни когда не оставит root незапароленным.
    Ответ написан
  • Насколько безопасно использование AJAX-запросов?

    @nirvimel
    Насколько безопасно использование AJAX-запросов?

    Не более безопасно, чем голый HTML и отправка данных через формы (POST-запросы).

    Как защитится?

    Ничего нового: Авторизация. Сессии.
    Плюс: при задании нового пароля обязательна передача и проверка прежнего (даже под авторизованной сессией).
    Ответ написан
  • Как подготовиться к закону Яровой?

    @nirvimel
    1. Купите недорогой VPS (от $15/год, можно даже дешевле) и поднимите на нем личный VPN. В Сети есть куча подробных руководств как это делается. Только не надо говорить, что у вас нет на это денег, интернетом вы же не бесплатно пользуетесь. Просто примите это как небольшую дополнительную плату за интернет за ваш спокойный сон.
    2. Работая через VPN (обязательно), заведите себе новый почтовый ящик на зарубежном сервере у компании, у которой нет никакого бизнеса и любых коммерческих интересов в РФ. Пусть это будет не мажорный гигант индустрии, а скромная компания, малоизвестная в РФ. Главное - это наличие SSL в веб-интерфейсе и в IMAP, в остальном почта есть почта, она просто работает, и этого достаточно.
    3. Работая через VPN, заведите себе новый аккаунт в vk facebook и/или google (если вы неспособны полностью отказаться от использования социалок). При регистрации указывайте место проживания подальше от РФ. Учитывайте, что все гиганты индустрии, имеющие большой бизнес в РФ, полностью сотрудничает с ГБ, но аккаунты нерезидентов, зарегистрированные и посещаемые с зарубежных IP, они не станут сливать по умолчанию (но по первому запросу сольют мгновенно). Так что забудьте про любые приваты в социалках, ведите все общение так, как будто все это читает весь ваш квартал и все те, кому бы вам меньше всего хотелось это показывать. Для приватного общения пользуйтесь только безопасной почтой (пункт 2) и защищенными чатами, на telegram jabber на зарубежных серверах. Все это касается только тех, кто не может окончательно завязать с пагубной зависимостью от соц.сетей. Очевидно, наиболее безопасным (и полезным для здоровья) вариантом является полный отказ от социалок.
    4. Не вбрасывайте в старые ящики и соц.аккаунты адреса и ссылки на новые чистые, не указывайте новые адреса в любых исходящих и старайтесь, чтобы они не попали во входящие. Помните, что в любой социалке и любом веб-интерфейсе почты (сотрудничающей) кнопка "удалить" скрывает удаляемое только от вас самих и не более того.
    5. (Самый неприятный пункт) Забудьте про vk, mail.ru и российские gmail и facebook. - КАК? - Так! Я понимаю, что это не легко, что они давно стали частью вашей жизни. Но это придется сделать! Поговорите сами с собой, спросите себя что для вас важнее: ваша личная безопасность, спокойствие и крепкий сон или старые привычки, которыми вы опутаны, и которые не хотят отпускать вас? Учтите, что продолжая пользоваться местными социалками (и сотрудничающими иностранными), вы продолжаете каждый день генерировать на себя тонны компромата, который может обернуться против вас в самый неожиданный момент самым неприятным образом. Проявляя активность в своих старых аккаунтах, вы не даете им "протухнуть" и не даете даже формального повода добрым компаниям снести их через пол года, после истечения отведенного законом срока хранения (как известно, vk не ограничивается минимальным сроком хранения, а хранит все метаданные и текст практически вечно за исключением видео/аудио).
    Ответ написан
  • Как получать email чтобы не был раскрыт сам факт получения?

    @nirvimel
    «Не следует множить сущее без необходимости».

    Уильям Оккам о почтовых ящиках.

    Смысл в том, что достаточного одного своего собственного почтового сервера на самом дешевом VPS (никаких D.O.), чтобы забирать свою почту когда- и как-угодно без досмотра любопытных глаз (которые считают своим долгом совать свой нос в каждый почтовый ящик). Для дополнительной безопасности можно подключатся к своему серверу через другой VPN, чтобы избежать идентификации через сопоставления трафика на IP сервера. Но даже без этих наворотов в базовом варианте эта схема дает гораздо более высокий уровень безопасности, чем любые цепочки ящиков на ЧУЖИХ серверах.
    Ответ написан
  • Как защититься от инсайдеров?

    @nirvimel
    Бюджет: 0 рублей

    Как защититься от инсайдеров?

    Во имя справедливости я бы вынес из этой конторы все до последнего *.doc и предложил бы любому конкуренту, кто готов вложить в защиту от инсайдеров чуть больше чем ноль рублей.
    Ответ написан
  • Шифровка данных для отправки, как проще?

    @nirvimel
    Не знаю на каком варианте вы в итоге остановитесь, но напомню, про легковесные реализации SSL, специально предназначенные для использования в МК с очень ограниченными ресурсами:
    1. mbed TLS
    2. wolfSSL
    3. MatrixSSL

    Возможно, что-то из этого удастся скомпилировать под ESP8266.
    Ответ написан
  • Возможно ли сейчас жить за счет багхантинга?

    @nirvimel
    Даже крупные специалисты в этой области не живут на вознаграждения за найденные уязвимости, а имеют некоторую основную работу (в той же сфере, но на окладе). Какими большими не были бы вознаграждения, нахождение бага по сути - просто удача, на которую нельзя полагаться.

    P.S.: На Тостере вряд ли сидят опытные багхантеры, получавшие вознаграждение неоднократно.
    Ответ написан
  • Этично ли заказывать хак своего собственного сервиса?

    @nirvimel
    они же получат доступ ко всем данным

    Пусть этим человеком лучше окажется нанятый вами подрядчик, который уже получил за свою работу деньги, личность которого известна вам и которому нет никакого смысла рисковать своей репутацией и безопасностью ради того чтобы удовлетворить свое любопытство. Чем этим человеком станет кто-то совершено посторонний, неизвестный вам, ничего вам не должный, с неизвестными мотивами, возможно нанятый конкурентами или одиночка, озлобленный на весь мир, которому доставит удовольствие подгатить кому-угодно ради чувства собственного величия.
    Ответ написан