Издание "Фонтанка" опубликовало инструкцию, в соответствии с которой любой враг страны захвативший в плен российского военного может получить массу чувствительной информации: доходы, семейное положение, обеспечение военного жильём, выполнение специальных задач. Сделала это "Фонтанка" на примере погибшего российского лётчика Романа Филиппова, чей личный номер находился на фотографиях опубликованных его документов, а дату рождения можно было установить по его профилю во "ВКонтакте".
Минобороны выпустило пресс-релиз, где упрекнуло журналистов издания в неэтичности публикации персональных данных погибшего военнослужащего и выразило надежду, что их действиям будет дана правовая оценка (напрашивающееся обвинение: неправомерный доступ к компьютерной информации, ст. 272 УК РФ). "Фонтанка" ответила, что персональные данные Романа Филиппова она не публиковала, а доступ к личному кабинету может получить любой и после первичной регистрации — для этого достаточно, "всего лишь", взломать и почту военнослужащего, привязанную к личному кабинету.
С точки зрения Roem.ru, "Минобороны" действительно стоит усилить защиту при создании личного кабинета военнослужащего: ввести обязательный код подтверждения через оффлайновые способы связи, например. Код можно направлять по месту службы военнослужащего или на его домашний адрес или в ближайший Многофункциональный центр госуслуг.
Дальнейшая защита доступа в аккаунт зависит от того, насколько тяжело взломать почту военнослужащего: на этот случай тоже можно провести отдельный инструктаж, где можно, в частности, советовать использовать двухфакторную авторизацию и сложные пароли. "Фонтанке" же стоит, в случае интереса правоохранительных органов не к персональным данным, а к несанкционированному доступу к данным Романа Филиппова, насушить сухарей своему коллеге, если будет установлено, кто именно залезал в личный кабинет Филиппова. Кроме того, редакции "Фонтанки" в целом следует усвоить каким образом информацию об уязвимостях раскрывают White Hat хакеры, чтобы избежать возможных проблем в будущем.
Добавить 11 комментариев
Иногда бывает так, что и личный кабинет плохо защищён, и что журналисты действуют не очень этично когда об этом пишут
Это тот случай.
В основе не «тот случай», а случай характерного воинствующего идиотизма. Этот воинствующий идиотизм характерен вообще при создании подобных «глобальных инф. систем» и в военке и на гражданке. Есть, конечно, оч слабая надежда, что это «хпп». И на эту наживку сейчас таскают разную экзотическую рыбешку профессионалы аквариумных дел. В этом случае — всё простительно, если реально «за пацанов». Ловись рыбка большая и разная.
Это вполне себе нормальная информационная система.
Полезная
С недостатками в безопасности
Которые Фонтанка, с целью сбора трафика на горячем, выложила в паблик не проинформировав разрабов о недостатках заранее, чтобы дать им время на исправление. Как это сделал бы любой White Hat Man
>>Это вполне себе нормальная информационная система.
Полезная
С недостатками в безопасности
Система для военнослужащих «с недостатками в безопасности» может быть полезна только врагам.
Насколько я улавливаю смысл этой системы (чисто по тексту здесь и там), не вижу никакого смысла в том, что эта система доступна по паролю (и даже без, как там пишут — «Второй способ – вход без регистрации. Для этого достаточно ввести личный номер военнослужащего (или номер СНИЛС гражданского сотрудника) и дату рождения.») с любого устройства. На кой это нужно? Что за спешка этого требует? Ну, например, пошел в свою часть и со спец компа вошел и получил свою выписку. И т.д. А можно и через барышню секретную. Это же всё не каждый день нужно.
С большой степенью вероятности тут в самом корне этого явления сидит идиотизм (или похуже). Как и везде, если копнуть.
>> Система для военнослужащих «с недостатками в безопасности» может быть полезна только врагам.
враги не настолько глупы, чтобы заморачиваться на этот счет и както пытаться использовать, вместо куда более эффективных методов.
Это скорее важно для создания у себя внутри какьы такой сурьезности, дисциплины, оправдания кучи не особо нужных канцелярских служб.
Какой смысл знать кто именно и сдаже сколько там человек и в каких званиях ( казалось бы — сверхсекретные и сверхважные сведения?) гдето там в какойто стране есть? Если известно, что там всего народу 140 млн.
А конфликтовать вы собрались с конгломератами 300, 500 (европа), 1.5 млрд, 450 млн (арабский мир) и т.п.
Ну и какая разница, 1.78 или 2.43 у вас там народу под ружъями? Что это меняет, если не идет речь о других видах оружия, кроме середины 20 в?.
Если ядерная война — тогда и сто тыщ достаточно. Если обычная — сколько не дай все мало.
Приниципиально ни боезапас ни скорострельность ни точность не изменились ни для танков ни для автоматов всяких с пушкаме и ракетами.
Если вы воюете с помощью сверхдорогостоящих ЛА, многолетняя подготовка пилотов, техников и т.д., но весь вопрос противодействия — затащить трубку с кнопкой (пзрк) и все сразу меняется — то это лишь вопрос времени.
Десять караванов, сто караванов, в каждом по 5 пзрк — их невозможно перехватьить все. Это уже в ДРА было доказано арифметически. Один пройдет всего — и уже 5 (даже 2 мимо — все равно минус 2 самолета).
До тех пор, пока не будет выдумано столь же эффективного, но конвенциального вооружения ( не химия и не бактерии) как , говоря условно, пзрк, но для рассеяных групп пехоты — можно даже не заморачиваться.
Грубо говря — в кассете прилетела пачка микродронов (умная медленная шрапнель) которая потом определила живые цели и сразу кучу их поразила поштучно ( датчик движения, ик, блаблабла). Тогда да.
Поэтому вопрос только в том, сколько есть люде й в той ли ииной стране, которые способны это понять, сформулировать, выдумать, испытать, поставить на вооружение, обучить личныйсостав…. А их нет. Поэтому можно расслабица.
>Система для военнослужащих «с недостатками в безопасности» может быть полезна только врагам.
Вот это точно сказано!
>С большой степенью вероятности тут в самом корне этого явления сидит идиотизм (или похуже).
Абсолютно так! Кстати, если это не идиотизм, а «похуже», то…. это тоже идиотизм. В кубе.
>но весь вопрос противодействия — затащить трубку с кнопкой (пзрк) и все сразу меняется — то это лишь вопрос времени.
Нет. ПЗРК меняет что-то только при работе с малых высот. Как в случае с российскими звездными пехотинцами, которые в своем распоряжении имеют исчезающе малое количество управляемых авиабомб. Против суперхорнета, спрасыващего УАБ с расстояния в сорок километров и высоты километров 7-10 ПЗРК бесполезен.
Война, это не оружие с суперпупер-характеристиками. Война, как вы это верно подметили, это прежде всего экономика. И с экономикой в 1,7 мирового ВВП воевать можно только с хомяками в интернете, ну или разбомбить Воронеж. Опять вот пилот погиб. Сколько раз уже говорилось совершенно официально, что всех победили, все задачи выполнены, контингент выводится? Кажися уже два.
>До тех пор, пока не будет выдумано столь же эффективного, но конвенциального вооружения
Все уже давно выдумано и применяется. Прилетела авиагруппа, накидала в район караванов кассет с фугасными и фосфорными элементами и привет — все подохли.
>Грубо говря — в кассете прилетела пачка микродронов
Это будет конечно эффективнее, да. Но пока этого нет, да и в любом случае все это будет сильно дороже, поэтому по-зубам будет только экономически мощным странам. Здесь же даже беспилотник более менее удобоваримый сделать не могут, не говоря уже об ударных беспилотных системах типа Рипера или системах глобальной разведки типа Глобал Хук.
ПЗРК — не панацея. Химия и бактерии — неэффективны, т.к. могущество по цели не сопоставимо с ядерным оружием, а расходы сопоставимы. Дронов нет и они дороги. УАБ в товарных количествах, систем их наведения, подготовленных пилотов и наводчиков — нет. Поэтому, что есть, то и пользуют: НУРСы, свободнопадающий чугуний, который пытаются сделать более точным с помощью систем прицеливания типа Гефест, что улучшает точность чугуния несколько в иделаьных погодных условиях с оптимальной высоты, но оставляет все равно несравнимой с лазерным наведением. Да и Джейдамом тоже.
Самое эффективное оружие — сильная экономика, которой нет. И не будет.
«It’s economy stupid!» (c)
White Hat в России не работает, как уже неоднократно было установлено на примерах.
Поскольку правонарушением является не публикация, а доступ, то сразу после уведомления об уязвимости, вас сдадут в полицию (а если вы попытаетесь сохранить при этом анонимность, то еще и шантаж пришьют).
>>До тех пор, пока не будет выдумано столь же эффективного, но конвенциального вооружения
Да выдумано уже всё, причём неоднократно. Просто, сами понимаете — не дошло это почему-та до мест применения(?!) и до массового производства (?!). Выдумано уже столько, что и самой такой войны с технологически несостоятельным противником, по идее, и быть не может. Не возможна ведь такая война. Но она есть, ведётся усиленно «всем цивилизованным миром» и идёт уже много лет — парадокс? Если бы только это. Вся наша жизнь — парадокс. И «штурмов» спецназом домов с засевшими там и не сдающимися боевиками, по идее, быть не может в принципе. А штурмы эти регулярны. Чего б, казалось бы, не послать туда дроны (летающие, ползающие и прочие) со снотворным? Или чего б не обложить такой дом чем-то таким (высокотехнологичным и вполне понятным), что выкурит всех оттуда в считанные минуты? Ан нет. Бабах — и одни головешки.
И вот наличие таких инф систем, да ещё и с возможностью доступа без пароля — это для меня тоже парадокс. Как и все эти местные «сети» ВКа и ОКа с аккаунтами военных и спецов. Эти аккаунты должны были запретить ДО появления таких сетей. Особенно, с учетом специфики противника в имеющих тенденцию к нескончаемости «локальных конфликтах». А до глобального противника — с этими всем «парадоксами» можно ведь и не дожить.
>White Hat в России не работает, как уже неоднократно было установлено на примерах.
А можно эти примеры посмотреть?
Если все так то это конечно большое упущение….
о дыре известно с 2014 года. Роем — вы чего? Ну дыра и дыра. тысячи их. там же история не о дыре, возникшей на этапе проектирования, а о летчике. все эти тайны — они только от простого народа тайны. от местного населения.
Российским военным запретят пользоваться соцсетями — https://ria.ru/defense_safety/20180213/1514509737.html
Но тут тоже проблема. «У всех» есть аккаунт а у него нет — значит он особая особа. То есть, если взять всех граждан (такую БД, которая ж не дорого наверное продается) и вычесть тех, у кого будет аккаунт в соц сети, то как раз остаток будет интересен ворогам.
Может нужно сделать ИИ, который(которые) генерят и поддерживают своим базаром (как роемные боты) кучу фейковых аккаунтов (в том числе — тезок особых особ) — типа менеджеры, трактористы и прочие. А шо делать? Дурдом же.