vit_r

В Германии есть счёт, чтобы копейки туда-сюда гонять. Открываю на днях посмотреть. Опа! Проверяю в настройках. На самом деле "Хотите ли вы отписаться от Google Analytics".

Это банк. Немецкий. Помните, немецкую марку? Когда-то была надёжной валютой. Потом на евро заменили. Надо было бы и банкам названия поменять.

Смотрю что за скрипты на странице, поискал Большого Брата. А там...
( Read more... )

В принципе, это должно было идти во вчерашнем посте про роботов, но пусть будет отдельно.

matholimp о Чернобыле

Главная причина состояла в том, что программы мониторинга работали адекватно только в штатном режиме. Но когда запустили опасный эксперимент, показатели вышли за допустимые рамки. На мониторах операторов отображалась вполне благостная картинка, тогда как реактор уже начал гореть. Если бы сигнал тревоги сработал сразу же, то шансы избежать взрыва ещё оставались.
...
Этот факт сразу же стал известен узкому кругу специалистов. Легко понять, что он играл роль необходимого и достаточного условий катастрофы. Однако, политикам важно было использовать случившееся в своих интересах, поэтому подлинную причину быстро заболтали.

В своё время ни из телевизора, ни по неофициальным путям эта информация до меня не доходила, но, судя по темам в нескольких интервью с ответственными за ликвидацию, именно неспособность техники сообщить о проблеме и имелась ввиду в той части, которая не попала в эфир.

Что печально, постоянно встречаю софт, в том числе и mission critical, в котором не предусмотрены действия для нестандартных режимов. Причём, это то, что создавалось по сертифицированным процессам, не затронутым бесшабашно-безбашенной культурой agile.

Послушал вебинар про популярной ныне теме. Сначала вполуха, занимаясь другими делами, но на вопросах переключился полностью.

Итак, ещё одно "частное практическое мнение о новых законах ЕС о приватных данных, а о подробностях спрашивайте адвокатов".

- Должны ли госорганизации выполнять эти требования?
- Естественно. Движение изначально было за то, чтобы ограничить чиновников в возможностях слишком много знать о гражданах. Мы-то знаем, во что это выливается. Коммерческие фирмы были включены в законы для полноценности защиты приватной сферы.

- Для большинства мелких фирм вне ЕС проще отключить пользователей из ЕС и записать это в пользовательское соглашение. Что будет, если пользователи всё-таки будут использовать сервис вопреки договору и техническим средствам?
- Тут уже проблема пользователей. Они нарушают, на них и ответственность.
[Но горе тому, кто вынуждает пользователей идти на такие меры. Съедят и засудят, или засудят, а потом съедят. - vit_r]

- Если пользователь требует удалить данные, нужно ли затрагивать бекапы?
- Да. У одного телкомовского провайдера добавление удаления старых данных привело к проекту с бюджетом в трёхзначных миллионных числах.

- Законно ли сохранение данных для превентивных мер. Например, вычисление угроз от хакеров по базе IP.
- После того, как хакеры что-то сломали, их данные сохранять можно. До этого - сомнительно.

- Если в программе ошибка, которая приводит к нарушению новых законов, кто виноват: программист, архитектор, менеджер, ответственный за приватность? Что, если это специально заложенная закладка? На вкус и цвет ситуации неразличимы.
- Во-первых, ответственный не виноват. Это не его задача. [sic!]
В случае закладки виноваты все кроме него. И тут главное, чтобы всё было записано. И менеджер должен доказать, что он принял необходимые профилактические меры. И архитектор, что он сделал дизайн, исключающий ошибки. И программист, что он не сам.
Если же просто ошибка, то виноваты те же, но не очень.
И надо сразу сообщать начальству, и пользователям, и в органы контроля. Потому так важно всё документировать.

Вопросы без ответа.

- Достаточно ли согласия несовершеннолетних или всё должно быть подтверждено родителями?

- Могут родители инициировать удаление данных детей?

- Как, чёрт возьми, выяснить, что это родители, не нарушая законы?

- Если пользователь кого-то оскорбил и сразу требует удалить данные о себе, кого должен защищать владелец сайта? Оскорблённый не сможет подать в суд, потому что все улики будут уничтожены.

- Если кто-то влез в систему и попался на несанкционированных действиях, а теперь грозит судом за нарушение приватности, что выгоднее: удалить и забыть или пытаться с ним бороться?

Скоро, скоро пролетят по немецким фирмам письма счастья от адвокатов, обнаруживших признаки невыполнения законов. Уже в прошлом году каждый третий получил от них весточку и требования заплатить . Общество немецких фрилянсеров просило подписать петицию в Бундестаг по отмене этой практики выколачивания денег, но из требуемых пятидесяти тысяч подписей набрали меньше тридцати.

А там и суды подоспеют. Со штрафами до двадцати миллионов...

Посмотрим, переживёт ли эту катастрофу европейская интернет-индустрия.

Опять решил сбросить заготовки из черновиков без обработки. (Заготовки и цитаты про политику просто удалил, фиг с ними.)

На этот ужас ещё наложилась, в виде матрицы, Великая Русская Литература, описывающая сплошь неудачников, прославляющая провал всех начинаний, как судьбу всякой неординарной личности (Онегин, Печорин, Базаров, Раскольников и все-все-все). Поэтому любой успех был для советского человека подозрителен: хороший человек должен быть обязательно лузером.

alexander_pavl тут

Aus Gründen der besseren Lesbarkeit wird auf dei gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet.
Sämtliche Personenbezeichnungen gelten gleichwohl für beiderlei Geschlecht.

Из соображений читабельности мы воздержимся от одновременного употребления мужских и женских форм. [В смысле «der Programmierer / die Programmiererin» также сокращаемое до «der(die) ProgrammitrerIn» - vit-r] Все обозначения ролей равноправно действуют для обоих полов.

Это было из методички для менеджеров по применению работников с аутизмом.

Almost a third (31 percent) of the IT experts surveyed are convinced that the connected car will result in lower safety on German roads in the future. Only 14 percent predict an increase in safety. ...
Recently, the German automobile association ADAC reported that up to 2.2 million vehicles from BMW, Mini and Rolls-Royce had massive security deficiencies and a grave vulnerability in the online connection “connected drive”. All areas that can be controlled wirelessly (door locks, immobilizers) offer an attack surface, according to Dehning, which can also be used by a thief.

eco Report: In part Massive Security Deficiencies in Connected Cars


Ссылки про психологию безопасности, оставшиеся от одного старого проекта:

• The Bad Boys of Cyberspace
• A Hacker Taxonomy
• Social Engineering Fundamentals, Part I: Hacker Tactics
• Social Engineering Fundamentals, Part II: Combat Strategies
• The Usability of Passwords

Форум Славянска начал барахлить. traceroute говорит: Warning: http://torum.org has multiple addresses; using 62.157.140.133 (что не правильно и ведёт куда-то в недра Телекома)
Настоящий адрес http://176.101.222.176 (tnx nlothik)

cache poisoning attack? Впрочем whois говорит, про домен torum.com:
Registrar: DomReg Ltd. d/b/a LIBRIS.COM
Registrant City: Saint-Petersburg
Registrant Country: RU

Так что могли и учётные записи подправить.

Насколько понимаю, на английском будет «IT is the industry of good intentions», а на немецком «IT ist eine Industrie den guten Vorsätzen». Впрочем, может быть фраза должна звучать иначе, и именно поэтому поисковики её нигде больше не находят.

В остальном, всем удачного начала предпоследней рабочей недели в этом году.

Коротенький пост про защиту информации по поводу одной подзамочной попытки блогакири.

Техническая часть, которую можно и не читать..."

Спрятать и закопать - этот способ использовали ещё пираты и строители пирамид. А по их следам шли толпы искателей сокровищ. Что-то находили, что-то нет. Сейчас прятать или бессмысленно, или слишком дорого. На поиск могут бросить автоматизированные средства. Простейшие искалки - гугл и яндекс доступны любой секретарше. Есть и более мощные, позволяющие найти затерянные следы и глубоко упрятанные ценности.


Сейф тоже хорош до определённых пределов. Первым делом, это не удобно. И прогресс не стоит на месте. Хоть область всё более и более становится вотчиной организованного высокопрофессионального криминала, у какого-нибудь тупого студента могут быть ломалки, противостоять которым удастся не всякому профессионалу. К тому же сложно заметить, что информацию унесли. Так что от неожиданных последствий никто не застрахован.

В этих условиях самое удобное - защита типа тумана. Вроде и искать не надо, вроде и ломать не надо, но не ухватишь. Отличить правду от выдумки - задача высочайшей сложности. А защита, она определяется формулой: ценность информации минус стоимость её получения. Или можно разделить, если так больше нравится.

Банки и серьёзные конторы используют Honeypot стоимостью несколько миллионов. Частное лицо может только смотреть, какую информацию давать, какую прикрывать, а какую выдумывать.

Например, достаточно просто узнать обо мне то, что скрывать смысла не имеет. (Хотя всё, что может неблагоприятно отразиться в поисковиках, здесь стирается, а любители выдавать лишнее банятся)

А теперь байка.

Есть одна виртуально-реальная знакомая. В принципе, отношения нейтрально-иронично-доброжелательные, хотя дама странная. Недавно жене усиленно советовала со мной разводиться. Да и виртуал с реалом иногда интерферируют нестандартно.

В данный момент работаем на одного клиента, только в разных офисах. И тут в пылу виртуального спора мадам заявляет, что всё про меня знает. На что я, естественно, выражаю некоторые сомнения. (Так уж сложилось, что делаю я уже много лет не то, что в бумажках заявлено. Иногда немного не то, чаще совсем связи нет.)

Следующим аргументом идёт подтверждение знания телефонного номера, на что отсылается поздравление. На это получаю заявку, что территориальная разнесённость офисов только кажущаяся. Все друг друга знают, друг с другом общаются, и про меня информация до мадам в лучшем виде доходит. "Опа!"- думаю - "Интересно девки пляшут" и отвечаю, что это пофиг, ибо сидящие со мной не врубаются, чем именно я занимаюсь.

И тут происходит чудо.

Сосед получает мейл, как-то странно ёрзает и смотрит на меня. Хоть офис на западе, пациент с востока, то есть отличается некоторой непосредственностью. В частности, через пять минут после прихода рассылки о премиях за новых сотрудников, он заботливо спросил, не устал ли я от неустроенности, и не хочу ли я сменить статус. То, что рассылка пришла одновременно и ко мне, он или не догадался, или не посчитал нужным заметить.

Ну так вот, собирается этот гражданин домой, подходит ко мне радостно и спрашивает, как у меня дела идут, каковы успехи, и каких новых свершений я достиг.

Фрилянс учит в любом состоянии, из любого положения, при любых условиях бодро выдавать мощный поток слов.

- Садись, - говорю. - Сейчас примерчик раскрою и всё-всё тебе расскажу.

Короче, мучить его я не стал. Выдал только быстренько до состояния переполнения оперативки. Что он запомнил, и полностью правдиво, и ценности никакой не имеет, да и смысл при передаче тоже потеряется.

Помнится, достаточно продолжительное время масса народу считала, что я программирую для стиральных машин. Кто-то предположил глупость, мне понравилось. А доверчивость народа программистского просто поразительная.

UPD: Дыру в ЖЖ уже залатали, так что эта запись не актуальна. Кто подарил пароль хакерам, не забудьте поменять.

UPD 2: Так как сюда до сих пор продолжают заходить люди, а тут информация для минимально знающих CSS, добавлю следующее:

Речь об окне, похожем на окно логина ЖЖ, которое вылезало при заражении одного из пользователей в ленте.

Те, кто вводил логин и пароль (или вверху, или в форме внизу), отсылали данные на сайт хакеров. Которые сразу ставили пост с кодом для атаки (окно логина, вылезавшее поверх всех других окон). Скорость заражения была очень высокая, а СУП ловил ворон. Большинство смогли вовремя понять и сменить пароль. Кое-кто не успел.

В принципе, атака была плохо подготовлена и выполнена по-дилетантски. В частности, хакеры не меняли пароли пользователей сразу, не возвращали пользователей в ЖЖ, а выводили на левый сайт, и совершили кучу других недоработок. Только благодаря низкому качеству атаки её быстро локализовали сами же пользователи. Про реакцию СУПу можно прочитать в следующем посте.

Стоящий внизу код - быстрое решение, чтоб перекрыть окно хакеров и предупредить пользователей до того момента, пока СУП вымучает заплатку.

Дальше идёт оригинальный текст поста.

Это просто анекдот. При вводе CSS эти друзья не отделяют добра от зла.
Вот она расплата за порнографический дизайн ленты комментариев.

Содержание предыдущего теста:

<div style="top: 0px; left: 0px; width: 80%; height: 10%; background-color: rgb(255, 255, 255); text-align: center; z-index: 999999; opacity: 1; font-size:300%; color:red" class="b-fader">
ЖЖ Взломан! Не вводите пароль!
...

Как видим, гениальные программисты предоставили все возможности для атаки. Взломщики работают с z-index: 99999;
Хорошо, что он сверху не ограничен и можно взять число побольше, чтоб влезть поверх их окна.

Чтоб убрать вылезающее поверх ленты окно, надо у себя в журнале сделать следующее

http://www.livejournal.com/customize/options.bml?group=customcss
и прописать стиль:

.b-fader { display: none;}

отсюда

Ещё способ
Для пользователей Chrome+AdBlock Plus определить фильтр livejournal.com##DIV#b-fader
Для пользователей Firefox+AdBlock Plus определить фильтр livejournal.com#DIV(class=b-fader) (указал dimrub)


Если атака продолжается и вы хотите защитить дузей, скопируйте следующую строку в последний пост. (Copy-Paste как HTML)

<div style="top: 0px; left: 10%; width: 100%; height: 10%; background-color: rgb(255, 255, 255); text-align: center; z-index: 9999999; opacity: 90%; font-size:300%; color:red" class="b-fader" >ЖЖ взломан! Не вводи пароль!<br />Подробности: http://vit-r.livejournal.com/509249.html</div>

Проклятия идиотом из СУПа можете добавить по вкусу

TEST START


UPD: Если эта запись не вылезает поверх всех окон, значит СУП уже вырезает class="b-fader" из постов.
TEST END

Опять помощникпи нанопрезидента опростоволосились.

однако создатели страницы забыли про сервис подарков и комментариев к ним. В итоге за первый день своего пребывания Вконтакте Дмитрий Медведев получил около двух тысяч подарков с гневными сообщениями

Статья и примеры

Правда, выражения типа "Да вас на кол надо вешать" показывают, что проблемы не только в Кремле.