Утечки информации в «Яндексе» инициированы ФСБ?

NestorLetov

27-07-2011 08:58:35

http://nr2.ru/technology/341137.html

Москва, Июль 27 (Новый Регион, Алексей Усов) – Утечка в поисковые системы личных SMS и паспортных данных покупателей ж/д билетов и секс-товаров сыграла в пользу спецслужб и технических контролеров. На другой день после ЧП с данными президент РФ подписал закон «О персональных данных», в 19 статье которого прописаны «Меры по обеспечению безопасности персональных данных при их обработке». Новая редакция закона обязывает все организации в стране, которые имеют дело с личной информацией, закупить и установить большое количество софта, лицензированного и одобренного ФСБ и ФСТЭК (Федеральной службой технического и экспортного контроля). Как отмечают специалисты, это, во-первых, даст дополнительный доход ФСБ и ФСТЭК от сертификации программного обеспечения. Во-вторых, «одобренные» силовиками производители антивирусов, фаерволов и систем обработки и хранения баз данных, фактически, станут монополистами на внутреннем рынке. И, наконец, спецслужбы, которые не раз жаловались на недоступность для них систем шифрования в зарубежном софте, получат возможность доступа к внутренней информации многих российских компаний и приватным данным граждан.

Напомним, в последние дни российские и поисковые системы, в частности, «Яндекс», трижды «отличились», открыв доступ всем желающим к конфиденциальной информации. Сначала таковой оказались SMS, отправленные абонентам «Мегафона» через сайт оператора. По определенному поисковому запросу можно было прочесть содержимое более чем восьми тысяч последних сообщений и получить номера телефонов, на которые отправлялись эти послания. Накануне случилось сразу два «эпических прокола» в информационной безопасности. В «Яндекс», Google, Mail.ru и Bing попала база данных клиентов российских и украинских онлайн-магазинов, в том числе секс-шопов. В открытом доступе оказались данные покупателей более 80 интернет-магазинов: их фамилии, контактные данные, IP-адреса и списки покупок.

Следом данные пользователей раскрыли онлайн-сервисы TuTu.ru и Railwayticket.ru, продающие удаленно ж/д билеты. В поисковиках можно было увидеть ФИО пассажира, купившего билет, и лиц, следующих с ним, пункт отправления и пункт назначения, номер поезда и номер места, дату поездки и последние цифры номера паспорта пассажира (в покупках через один из сервисов был виден полный номер паспорта).

В минувший четверг иск в Замоскворецкий суд Москвы к «МегаФону» подал Союз потребителей России. В пятницу Роскомнадзор направил в арбитражный суд Москвы протокол об административном правонарушении «МегаФона». Относительно вчерашних утечек, глава Союза потребителей России Петр Шелищ сообщил, что его организация готовит общий иск ко всем интернет-сервисам, данные с которых попали в открытый доступ. Иск будет касаться неопределенного круга потребителей, которые потом смогут предъявить иски по компенсации морального вреда. Затем Роскомнадзор направил в «Яндекс» письмо с просьбой рассмотреть техническую возможность запрета обработки поисковых запросов, позволяющих получить доступ к персональным данным граждан.

Интереснее всего на скандал с данными отреагировали президент и законодатели. В день, когда случились последние нашумевшие скандалы, президент Медведев подписал, а «Российская газета» опубликовала новую редакцию закона «О персональных данных». Закон, как отмечалось ранее, дает ФСБ и ФСТЭК весьма широкие возможности заработка и контроля личной информации граждан. Фактически, новый закон лишает значительное число коммерческих организаций (сотовых операторов, интернет-провайдеров, интернет-магазинов, банков, страховых компаний, медицинских учреждений, гостиниц и проч.), права выбирать самим меры по защите информационных систем.

Эти правовые нормы были приняты еще в 2006 году, но тогда была введена отсрочка статьи о защите информации до 1 января 2010 года. Впоследствии Госдума продлевала этот срок дважды, в последний раз до июля 2011 года. Этим летом, ко второму чтению, депутаты Госдумы одобрили поправку главы комитета по конституционному законодательству и государственному строительству Владимира Плигина, предложившего такую редакцию статьи о мерах по защите информации, которая дает максимально широкие полномочия и возможности ФСБ и ФСТЭК. Эта поправка была утверждена Госдумой и президентом и сегодня обнародована в правительственной газете.

Теперь правительство будет классифицировать уровни защиты информации, а требования к защите установят ФСБ и ФСТЭК. То есть, компании будут обязаны устанавливать подсистемы разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования, которые получили одобрение в виде сертификата от ФСБ и ФСТЭК. Эти ведомства будут еще и контролировать исполнение всех мер сотнями тысяч компаний.

Кроме того, всем операторам необходимо пройти сертификацию уже имеющихся средств защиты информации и изменить архитектуру корпоративной информационной системы для реализации функций защиты.

В результате, расходы на установку системы обработки персональных данных для разных компаний могут составлять от 10 до 200% годового оборота плюс операционные затраты на техническую поддержку системы защиты составят 10-15% от стоимости самих систем, сообщает SecurityLab.ru.

Источник в крупной телекоммуникационной компании объясняет произошедшее лоббистскими усилиями ФСБ и ФСТЭК, поскольку аккредитованные при них структуры будут получать доход от сертификации систем обработки персональных данных. После вступления закона в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты.

Экспертное сообщество ИБ-специалистов в начале лета выражало свое недовольство принятым вариантом поправок в открытом письме президенту Дмитрию Медведеву. «Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных», – говорилось в письме.

Участники телекоммуникационного рынка также отметили, что законопроект не проходил антикоррупционную экспертизу.

Как оказалось, пройти целиком все формальности, включая оценку коррупционных возможностей новых норм, закону помешала экстренная ситуация с так вовремя случившимися утечками данных. В результате можно будет наблюдать уже привычные в других отраслях процессы: как контролеры от ФСБ и ФСТЭК, опираясь на ими же разработанные критерии, выбирают производителей программного обеспечения, которым предназначено стать, фактически, монополистами на российском рынке. Тут, как говорится, озолотятся все – кроме потребителей, на которых операторы переложат новые расходы.

Особо счастливыми должны оказаться силовики. ФСБ ранее неоднократно жаловалась на недоступность для нее многочисленных сервисов и программ, разработанных за рубежом, автоматически подтверждая свое незримое присутствие в российских сервисах. Получив возможность выбирать системы защиты для частных фирм, логично, что ФСБ будет отбирать устанавливаемое ПО, в том числе, по критерию возможности доступа к этим системам самих контролеров. При этом не факт, что избранные спецслужбами системы смогут в достаточной степени осуществлять защиту информации. Например, как сообщили «Новому Региону» представители одного из операторов «Большой тройки», базы данных проштрафившегося на днях «Мегафона» обрабатывабются как раз с помощью российского ПО. В то время как у компаний, в подобных проколах не замеченных, используется израильское и американское программное обеспечение.

Характерно, как отреагировали некоторые эксперты IT-бизнеса на скандал с утечкой информации. Практически все утверждают, что вины поисковых систем в произошедшем нет ни в техническом, ни в правовом смысле. «Это очень громкий сигнал к тому, чтобы повышать безопасность в интернете», – заявил «Газете.Ru» председатель Регионального общественного центра интернет-технологий Марк Твердынин. «Виноват тот, кто допустил распространение этой информации в открытый доступ, после чего она была доступна для поиска», – отметил представитель Роскомнадзора Михаил Воробьев. «Интернет-магазины для обработки персональных данных использовали дефектное программное обеспечение, которое не было сертифицировано ФСТЭК. Так, сайт railwayticket.ru обрабатывает персональные данные без сертификата ФСТЭК», – еще более откровенно заявил журналистам эксперт в области телекоммуникационного права Антон Богатов.

«Сконструированность» скандала с утечками информации подтверждается данными пресс-службы Google. Как отметили представители компании, у них в открытом доступе находится еще большая «крамола»: документы Федеральной антимонопольной службы, Счетной палаты, Федеральной миграционной службы, Минэкономразвития, Главного управления спецпрограмм президента, и другие материалы с 2002 по 2011 годы. Однако к ним никаких претензий не поступало ни от пользователей, ни от спецслужб или следственных органов.

То, что недавний «слив» приватной информации произошел совсем не случайно, не сомневаются даже в Следственном комитете, озадачившимся найти персонажей, на которых можно будет завести дело по статье 138 УК РФ (нарушение тайны переписки). Рассматриваются и другие статьи, сообщил «Коммерсант». Виновников будут также искать среди администраторов провинившихся интернет-сервисов и «Яндекса». «Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из «Яндекса», – предположили следователи. Возможно, объектами интереса следователей станут те, кто предоставил журналистам определенные формы поисковых запросов, позволяющие увидеть приватные данные в кэше «Яндекса» и других поисковиков. Потому как вряд ли расследование дойдет до инициаторов пиар-кампании для внезапно и так вовремя принятого Госдумой и подписанного президентом РФ закона.

Видист

27-07-2011 09:13:12

А кто бы сомневался? Эта сволочь, технологии обкатывает! Я вообще не верю, в "независимых хаккеров", собственно, как и террористов!

NestorLetov

27-07-2011 10:02:21

Продолжая тему: http://supreme2.ru/google-dokumenty-organov/

Leeroy

27-07-2011 10:05:59

Видист писал(а):Я вообще не верю, в "независимых хаккеров"

Как насчет больного аутизмом британца,который просто из любопытства ломанул Пентагон? Как с ним договрилось МИ6?

Видист

28-07-2011 11:07:59

Leeroy
Ну, исключения возможны! Я предлагаю создавать свои анархические отряды хаккеров, куда мог бы войти и этот гений!

Я нихрена не понял из прочитанного, но может кому пригодится!

Скрытый текст: :
Как избежать слежки в Интернете
18.07.2011Федор Достоевский3216113
Власти систематически выслеживают недовольных режимом в интернете. Нередко для этого достаточно узнать IP-адрес компьютера, с которого в Сеть поступает «неугодный» контент. Что делать?
Интернет и, в особенности, социальные сети, пусть и не были первоисточником массовых волнений в Иране и странах Северной Африки, однако сыграли важную роль при мобилизации протестующих. То же самое можно наблюдать сегодня и в Беларуси: в Twitter, Vkontakte, Facebook можно без труда найти информацию о планируемых акциях протеста. Однако общедоступность информации в Сети таит в себе и риски. Выяснив IP-адрес компьютера, с которого публикуется «неугодный» контент, власти могут установить местонахождение его владельца. Тем, кто хочет избежать подобных неприятностей, предлагаем несколько практических советов.
Существует множество способов скрыть, или анонимизировать, IP-адрес своего компьютера. Выбор наиболее подходящего варианта зависит от трех факторов: технической подкованности пользователя, возможности устанавливать на компьютере софт и скорости соединения. Кроме того, важно отдавать себе отчет, на какие риски вы готовы ради этого пойти. Например, в некоторых странах использование веб-анонимайзеров запрещено законом.
Новый электронный адрес
Не используйте свой стандратный адрес электронной почты для регистрации в социальных сетях или на блог-платформах. Во-первых, скорее всего вы уже «наследили» им в Сети. Например, совершив покупку в онлайн-магазине, вы наверняка указали не только свой электронный адрес, но и настоящее имя и домашний или рабочий адрес. Во-вторых, если вы пользуетесь услугами местного мейл-хостинга, то правоохранительным органам не составит труда выяснить у провайдера ваш IP-адрес.
Зато им крайне трудно будет заполучить такую информацию у зарубежного хостинг-провайдера, например hotmail.com или yahoo.com. Международная организация «Репортеры без границ» в своей памятке «Как вести блог анонимно» особо рекомендует hushmail.com и gmail.com. Оба мейл-сервиса по умолчанию шифруют траффик, а значит отследить, что и кому посылает пользователь, практически невозможно.
Многие мейл-хостинги предлагают платную премиум-версию. Однако если вы хотите сохранить анонимность, то ограничьтесь бесплатным электронным ящиком, ведь при оплате вам придется указать имя и номер кредитки. Кроме того, новый мейл-аккаунт лучше заводить не у себя дома, а, например, из интернет-кафе.
Анонимный прокси-сервер
Если вы выходите в Сеть со своего домашнего компьютера, то лучше делать это через анонимный прокси-сервер. Список бесплатных прокси-серверов можно найти, например, по адресу: publicproxyservers.com. Другой способ - вбить в поисковой строке Google фразу «proxy server high anonymity».
Большинство предлагаемых сайтов - англоязычные, однако сориентироваться на них несложно. Достаточно ввести в поисковой строке (как правило, внизу экрана) URL-адрес нужного вам ресурса. Результат: вы получаете доступ к ресурсу, однако ваш интернет-провайдер этого «не видит».
Правда, он видит, что вы открыли сайт, предлагающий услуги анонимизации. Другой минус - замедление соединения, ведь ваш запрос идет сначала на сервер, расположенный за рубежом, а потом - возвращается к вам. Именно поэтому нередко с перебоями грузятся ресурсы, требующие регистрации пользователей.
Анонимное сетевое соединение
Если у вас есть возможность и технические знания, чтобы установить на компьютере софт, то рекомендуем скачать так называемый многослойный, или луковый маршрутизатор - TOR (The Onion Router). Во-первых, вы больше не будете зависеть от доступности веб-ресурсов, предлагающих услуги по анонимизации. Во-вторых, TOR обеспечивает наибольшую степень конфиденциальности.
Когда пользователь отправляет со своего компьютера запрос, он проходит через цепочку из трех случайно выбранных прокси-серверов, причем перед отправлением пакет данных зашифровывается тремя ключами. На каждом из трех сетевых узлов расшифровывается верхняя оболочка и передается дальше. Таким образом, даже если два из трех прокси-серверов оказались ненадежными, пользователь сохраняет анонимность.
Программу TOR можно скачать по одному из следующих адресов:
- torproject.org;
- tor.cybermirror.org;
- tor.zdg-gmbh.eu;
- tor.anonymity.cn.
Это далеко не полный список: поскольку правительства разных стран периодически блокируют сайты, на которых доступен TOR, в Сети появляются все новые и новые копии.
TOR также предлагает «мобильную» версию - XeroBank Browser, которую можно установить на USB-накопитель и использовать, к примеру, в интернет-кафе. Для этого достаточно запустить файл xB-Browser.exe.
TOR автоматически обновляет цепочку прокси-серверов каждые десять минут, поэтому печатать длинные сообщения или блог-посты лучше в текстовом редакторе, а не в окне браузера. Опубликовав текст, не забудьте замести следы: уничтожить текстовый файл как с жесткого диска, так и из «Корзины».
Источник: dymovskiy.name

Leeroy

28-07-2011 21:10:15

Видист писал(а):куда мог бы войти и этот гений!

Нууу.... Это будет сложно. Посадили парня.

CNT

28-07-2011 22:43:22

Видист писал(а): Я предлагаю создавать свои анархические отряды хаккеров
На форуме anonymouse видел не мало анархистов,
да и символика самих анонимусов порой совпадает с анархо-темой.

Видист

29-07-2011 02:35:48

Leeroy
Нууу.... Это будет сложно. Посадили парня.

Если был реально, аутистом, то не имели право, так как это у НИХ же, считается психическим заболеванием.
Скорее, взяли суки под контроль, и сейчас используют в своих хищных целях.
И вообще, данный пример доказывает, что одичночки, в целом, бессильны. Их надо выявлять и привлекать! А как это делать при условии взаимоборьбы анархически мыслящих?

Leeroy

29-07-2011 02:42:44

Видист писал(а): как это делать при условии взаимоборьбы анархически мыслящих?

А хули ты хочешь? На практике "пролетарии всех стран - соединяйтесь" не работает нихрена. Все рвутся за своими интересами,а на остальных в общем - то насрать. И не только анархисты,но и капитохренисты,и прочая нечисть.

Anti-system

29-07-2011 10:09:48

http://www.dp.ru/a/2011/07/21/V_utechke ... dozrevajut
Блогеры доказали, что утечка sms "Мегафона" была спланированной акцией

Арадан

29-07-2011 10:26:59

Anti-system, статье, где говорят о каких-то абстрактных безымянных блогерах, которые, дескать, во всем разобрались и до всего докопались, не очень-то верится.

как-бы то ни было, зато у пользователей рунета давно уже не было такого веселого и интересного дня - читать чужие смски нехорошо, но жутко доставляет %)

Anti-system

30-07-2011 01:55:23

а где нить они не выложены? Ну то есть нельзя ли скачать архивы и тп?
Я бы почитал
зы а вообще хуево это все
Сраная рашка катится в сраное говно
То что все это было спланировано с целью усилить контроль ФСБ я не сомневаюсь
и да, почитал я то что там якобы под грифом секретно выложено и находится гуглом. Хуйнч там сплошная, в духе приложение 19 совершенно секретно, а самого текста нет. Что лишний раз подтверждает тот факт, что "спалено" было то, что не представляет секрета, но то, чего для поднятия шумихи достаточно

noname

31-07-2011 06:15:41

Видист писал(а):Я вообще не верю, в "независимых хаккеров", собственно, как и террористов!
Почему же? Вот последних анонимусов взяли. То сеть структуры провокаторов работают исправно и находят кого сажать.