Почему проект УЭК не входит в перечень КВИС? - Форум по вопросам информационной безопасности

А вот потому!
http://www.xakep.ru/post/60100/?print=true
Издание Guardian получило в своё распоряжение видеозапись презентации программного обеспечения под названием RIOT (Rapid Information Overlay Technology), которое разработал американский военный подрядчик Raytheon ещё в 2010 году. Это система, созданная для быстрого извлечения информации о подозреваемых гражданах из социальных сетей, в том числе Facebook, Twitter и Foursquare.

Буквально в несколько щелчков мыши следователь получает сведения об активности подозреваемого: о его социальных контактах, карте перемещений и др. Информация извлекается в том числе из EXIF-заголовков фотографий, опубликованных в личных фотоальбомах на разных сайтах.


http://www.itsec.ru/newstext.php?news_id=90401#sthash.OVkv7Sf1
Старший аналитик по вопросам политики организации American Civil Liberties Union (ACLU) Крис Согоян (Chris Soghoian) и пресс-секретарь ACLU Наоми Гиленс (Naomi Gilens), опубликовали список информации, полученной с телефона подозреваемого, который американская полиция представила суду касательно одного из дел о наркотиках. Этот список является ярким примером того, как власти получают доступ к конфиденциальной информации граждан и почему правоохранители обязаны сначала получать ордер для принятия подобных мер.

По словам экспертов, данные, представленные сотруднками Иммиграционной и таможенной полиции (Immigration and Customs Enforcement, ICE) суду, были получены с iPhone, находящегося в спальне подозреваемого. Власти получили доступ к данным лишь единожды, но этого оказалось достаточно, чтобы собрать такую конфиденциальную информацию, как входящие/исходящие звонки, списки адресов и телефонов, сохраненные голосовые сообщения и письма электронной почты, фотографии и видео, приложения, восемь разных паролей, а также 227 вышек сотовой связи и 403 сети Wi-Fi, с которыми контактировал смартон.

Эксперты отметили, что, хотя в деле о наркотиках полиция и получала ордера на проведения исследования содержимого смартфона подозреваемого, тем не менее, ни один законодательный акт не обязывает к этому, и во многих случаях правоохранители получают информацию с телефона без ордера.

Думаю ничего объяснять не надо.

1220 | 42346
В очередной раз доказывает неопровержимость утверждения, что для ОБИ нужно использовать подход, позволяющий учитывать в комплексе все оценки возможности реализации угроз.

Попробуй доказать Топ-менеджменту, что "мобильные игрушки" совсем не игрушки для решения "Топ-задач". Интерпретируя, "Пока гром не грянет - топ-менеджмент не перекрестится"

Завтра уже пятница...
Как правило форум на выходные затихает.
"На посошок", перед выходными.... Меня "улыбнуло" )))

Из блога Александра Бондаренко:
http://secinsight.blogspot.ru/search?updated-min=2012-01-01T00:00:00%2B04:00&updated-max=2013-01-01T00:00:00%2B04:00&max-results=50

"Хакер против директора столовой"

Вообще это довольно старая тема (лет 6 ей точно), но что-то вспомнилось и решил разместить:

День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc|<, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"

День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?"

День пятый
Хакер приходит в столовую, насыпает во все солонки сильное слабительное. Триста человек пострадало в битве за единственный на всю столовку общественный сортир, директора три месяца таскают по судам и в конце концов оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?".

День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.

День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно.

День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.

День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: "Я, meG@Duc|<, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!" До этого непьющий директор читает письмо, идет домой и выпивает водки.

День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.

День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc|< пишет позмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.

День 196-ый
Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.

День 200-ый
Посетители столовой с ужасом находят, что чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.

P.S. Про наших регуляторов, интересно, нет ничего подобного ? Может быть кто-то уже сочинил... :)

Угрозы от мобильных игрушек легко ликвидировать декретно - одним приказом руководителя или технически - банальным генератором шума.
ГШ давит сигналы белым шумом и все базовые станции GSM - курят в курилке ну и всякие там
BYOD также отдыхают без сигналов.
Еще при СССР мой БОСС приехал из Германии и привез от партнеров спутниковый телефон с навигацией и всем фаршем и ходил им хвастался.
Я ему втолковывал насчет происков злобных шпионов - ему было пофигу до момента пока к нему не приехали и не втолковали.
Он тогда сильно на меня обиделся - откуда ты об этом знал? и
Это ты на мена стукнул?
Я ему долго растолковывал что сигнал гуляет и туда и обратно и координаты...
А когда таким образом Дудадева убили - он мне так стал благодарен вдруг...

Вот такой круговорот
Пока по твоей голове чужая дубина не стукнет - вроде и опасности нет....

Это я про СОВБЕЗ и прочих кто обязан страну от супостата беречь и от всяких УЭК и электронных идентификаторов - паспортов ЛЕЧИТЬ

Как там у Булгакова было?
Вы атеисты?
...ДА, мы атеисты!!!

Вот она Информационная безопасность СМЭВ!
Это совсем не самое слабое звено - а самое информационно-насыщенное - в ФНС обьединены более 60 государственных ведомственных баз данных.

Особенности использования системы взаимодействия и подключения к ней информационных систем отдельных органов и организаций определяются в рамках соглашений между Министерством связи и массовых коммуникаций Российской Федерации и органами и организациями, являющимися операторами указанных информационных систем.

В ФНС хранятся и используются наши персональные данные.
К работе с ними достаточно жесткие требования в соответствии с Законом.
Значит системы, их обрабатывающие, должны отвечать соответствующим требованиям и быть дублированы, защищены и т.п..
Но спустя неделю чиновник сей уважаемой структуры утверждал, что ничего подобного не было. Он не знал? Надеялся что “пронесет” или “авось само рассосется”?
А особенно порадовал ответ “Ведомостям” (это похоже на попытку спрятать голову в песок): ”Представитель ФМС заявил «Ведомостям», что не может комментировать сбой, случившийся в другом ведомстве — ФНС.”
Если надеялся на “авось” – то хороши у нас чиновники, до сих пор думают что граждане не знакомы с инетом. А вот если не знал, то что же это за система стоит в ФНС?
Во сколько эта система обошлась налогоплательщикам?
Случайно не в Excele они ведут учет? И не пора ли ФНС потратить еще с пару десятков миллионов бюджетных денег (наших денег) на модернизацию системы? Естественно модернизацию будет делать тот же кто ее создавал изначально. Ну чтоб быть последовательными.
http://r-techno.livejournal.com/89681.html

Кстати криптография на госуслугах - НЕ КОШЕРНАЯ и совсем не отечественная
Не помню я ГОСТ на .....хтппс

О вопросах применения закона США Foreign Account Tax Compliance Act

На сайте НП "НПС" размещены письма в адрес первого заместителя Председателя Центрального банка Российской Федерации Симановского А.Ю.,заместителя Председателя
Центрального банка Российской Федерации Швецова С.А., министра иностранных дел Российской Федерации Лаврова С.В., касающиеся вопросов подготовки межгосударственного соглашения Российской Федерации и США о реализации FATCA в Российской Федерации.
Источник: НП "Национальный платежный совет"

Основная официально заявляемая цель FATCA – предотвращение уклонения физических и юридических лиц США от уплаты налогов.

Какие же средства предлагаются в законе для борьбы с «налоговыми уклонистами», уходящими за рубеж от всевидящего ока IRS (короткая английская аббревиатура названия налоговой службы США)? Американские власти требуют получения исчерпывающей информации о своих гражданах, фирмах и их счетах в зарубежных банках. Фактически банкам (и другим финансовым компаниям) всех стран мира предлагается стать налоговыми агентами американской IRS.

Первый вариант предусматривает прямое общение банка (финансовой компании) любой страны с налоговым ведомством США, обязывает его сигнализировать этому ведомству о любых случаях уклонения американцами от выполнения своих налоговых обязательств перед казной США. Фактически иностранные банки оказываются под прямым административным контролем со стороны американской IRS. Второй вариант предполагает заключение межгосударственного соглашения США с соответствующим государством; последнее берет на себя обязанность контролировать ситуацию в своих банках (финансовых компаниях), не допускать уклонения от уплаты американскими юридическими и физическими лицами налогов в казну США, передавать в централизованном порядке необходимую информацию все той же IRS.

http://voprosik.net/zakon-fatca-protiv-suvereniteta-rossii/

Вот и получается что вопрос о КСИИ_КВИС_ИСПДН-РФ совсем не праздный!
А Пу...не с коррупцией в РФ борется а выборочно сливает информацию о резидентах

Сливают РФ вместе с гражданами?

Новость могла бы открыть новую тему, но всё-таки, учитывая, что УЭК фактически разрабатывается в интересах банковского сообщества, кое-что про "банковские мобильные приложения" и гипотетические угрозы при использовании УЭК:

http://www.xakep.ru/post/60254/
Компания Digital Security опубликовала результаты тестирования мобильных платёжных приложений от более 30 российских банков...

Как выяснилось, разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате, все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения. Вот некоторые результаты:

35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL.
22% приложений для iOS потенциально уязвимы к SQL-инъекции.
70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS.
45% приложений для iOS потенциально уязвимы к XXE-атакам.
Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия.

По адресу: http://dsecrg.ru/files/pub/pdf/Mobile_Banking_Security_2012.pdf приведена полная версия результатов тестирования.

2 Нефедьев С.Г. 42640
Связь слабая - скорее это в тему
Обсуждение новости: Банки отказываются от самописного ДБО в пользу профессионалов
http://www.itsec.ru/forum.php?sub=7216&from=0

Вот интересно - этот топик скорее читают чем в него пишут...страшно...аж-жуть!
Сервильность - главная черта нашего забитого популюса

Эксперт по компьютерной безопасности Адам Лори за 12 минут сумел скопировать с введенной недавно в Великобритании идентификационной карты для иностранцев все данные, создать ее клон и изменить информацию на клоне.

ID-карты, которые будут выдаваться всем желающим гражданам страны начиная с 2010 года, будут основаны на той же технологии, что и взломанная карта для иностранных подданных, сообщает ХАКЕР.ру со ссылкой на газету The Daily Mail.

С помощью ноутбука и мобильного телефона Nokia Лори смог легко изменить содержащиеся на карте сведения, включая имя, физические данные, отпечатки пальцев и другую информацию. Помимо этого, эксперт сменил пенсионный статус с "не имеющий права на пенсионные выплаты" на "имеющий право на пенсионные выплаты", а в разделе для сотрудников полиции написал "Я террорист, стрелять без предупреждения".
http://hitech.newsru.com/article/10Aug2009/ukidcard