Защита конфиденциальных данных и анонимность в инт

[Vinni]

ссылка почти в тему - _ttp://habrahabr.ru/tag/SIPtap/

 

Британский эксперт по безопасности Питер Кокс (Peter Cox) опубликовал пример программы-перехватчика SIPtap для стандартного протокола SIP. Программа демонстрирует, насколько слабо защищены VoIP-звонки от прослушки. Этот специалист в принципе не соглашается со своими коллегами, которые считают, что VoIP сложнее прослушать, чем обычные телефонные разговоры. По его мнению, наоборот, здесь гораздо проще, особенно если трафик не зашифрован.

 

Питер Кокс объясняет, что для перехвата VoIP-трафика достаточно иметь доступ к интернет-каналу в любом месте, где идёт VoIP-трафик от объекта слежки. Это может быть ISP-провайдер объекта, WiFi-хотспот, корпоративная сеть объекта или персональный компьютер объекта, заражённый шпионским ПО.

 

В простенькой программке Кокса каждый звонок записывается в виде wav-файла и отправляется наблюдателю. Модуль мониторинга программы SIPtap сгенерировал страничку-календарь со ссылками на все разговоры. Указаны дата и время разговора, координаты получателя, Call ID, продолжительность в секундах. Выложены также все wav-файлы.

 

Питер говорит, что написал эту программу после разговора с Филом Циммерманом, автором PGP, который сейчас занимается разработкой софта Zfone для стойкой криптозащиты VoIP-трафика.

 

Кстати, сам Питер Кокс зарабатывает мастер-классами по защите VoIP и корпоративных сетей, его программу называют примитивной и написанной в рекламных целях.

 

 

[Vinni]

_ttp://www.securitylab.ru/news/309445.php

 

На прошлой неделе за анонимный комментарий в блоге был арестован Джеймс Басс, учитель химии средней школы в пригороде Милуоки. В политическом блоге Boots And Sabers обсуждался размер учительских зарплат. Джеймс Басс решил принять участие в обсуждении и 16 ноября оставил комментарий под ником Observer.

 

В своем комментарии Басс написал, что ему становится плохо, когда он смотрит на данные о зарплатах преподавателей в Уэст-Бенде. По его словам, эти ленивые учителя получают 60000 долларов США в год, работая всего по пять часов в день, а все остальное рабочее время они проводят, отдыхая в учительской. По мнению Басса, члены организации "Молодые республиканцы" Эрик Харрис и Дилан Клеболд, устроившие в 1999 году бойню в Коломбинской школе, знали, как побороть лень учителей. Их способ решения проблемы - "всего один выстрел". Далее в своем комментарии Басс называет Харриса и Клеболда героями.

 

Комментарий Басса не понравился одному из читателей блога, и он обратился в правоохранительные органы. Полиция запросила IP-адрес учителя-химика у администратора онлайнового дневника и вычислила местонахождение комментатора. На прошлой неделе в дом Басса на юге Милуоки выехал полицейский наряд и арестовал учителя. Джеймс Басс провел за решеткой всего час, после чего был выпущен под залог в размере 350 долларов США.

 

Учителю может быть предъявлено обвинение в нарушении общественного порядка и незаконном использовании компьютеризированной коммуникационной системы. Однако произойдет это только в том случае, если правоохранительные органы будут рассматривать как угрозу восхищение "коломбинскими стрелками" и фразу про один выстрел. Представители Американского союза защиты гражданских свобод и другие правозащитники считают, что комментарий Басса хоть и вульгарен, но не является угрозой, и потому защищен Первой поправкой к Конституции США, гарантирующей свободу слова и самовыражения.

[flatch]

Уважаемые коллеги!

Никак не могу врубиться - полезная эта штука или фуфляндия?

как часть решения проблемы может быть применена. если трафик мониторится, то врядли.

[flatch]

ссылка в тему (или ее в тему "Книжечки" надо?)

 

_ttp://niits.ru/public/books/?sorm

 

 

_ttp://www.libertarium.ru/libertarium/sorm

_ttp://www.libertarium.ru/libertarium/l_sormlaw_226

 

Во исполнение постановления Верховного Совета Российской Федерации от 13 марта 1992 года N 2507-1 "О порядке введения в действие Закона Российской Федерации "Об оперативно-розыскной деятельности в Российской Федерации"

 

приказываю:

 

1. В соответствии с Законом Российской Федерации "Об оперативно-розыскной деятельности в Российской Федерации" организациям и предприятиям Министерства связи Российской Федерации обеспечить предоставление оперативно-техническим подразделениям Министерства безопасности Российской Федерации возможности осуществления оперативно-розыскных мероприятий по контролю почтовых отправлений, прослушиванию телефонных и иных переговоров, снятию информации с технических каналов связи и оказывать им необходимое содействие.

 

2. Руководителям предприятий и организаций связи Российской Федерации:

 

2.1. Предоставлять оперативно-техническим подразделениям Министерства безопасности Российской Федерации по договорам или уставному соглашению:

 

- служебные помещения с необходимыми коммуникациями и гарантированным энергообеспечением;

 

- линии, каналы, линейно-кабельные сооружения и оборудование связи и другую необходимую аппаратуру, обеспечивая их бесперебойное функционирование;

 

- необходимые данные из информационно-справочных систем и расчетных центров Министерства связи Российской Федерации;

 

2.2. Выполнять в интересах Министерства безопасности Российской Федерации проектные работы по прокладке кабельных коммуникаций; в типовых проектах зданий предусмотреть необходимые помещения;

 

2.3. Предоставлять возможность прокладки кабелей подразделений Министерства безопасности Российской Федерации в городской кабельной канализации и кабельных шахтах объектов электросвязи и устанавливать кроссирующие элементы.

 

2.4. Принимать меры к недопущению раскрытия организационных и тактических приемов проведения оперативно-розыскных мероприятий, составляющих государственную тайну, оказывать помощь в зашифровке фактов проведения мероприятий и сотрудников, их осуществляющих.

 

3. Учесть, что ответственность за законность организации и проведения оперативно-розыскных мероприятий на почтовых, телефонных, телеграфных и других технических каналах связи несут руководители органов, осуществляющих оперативно-розыскную деятельность.

 

4. НТО (Мишенков), ОММТС (Мардер), ОСГТС (Крупнов) ОСПД (Прилипко):

 

4.1. Пункт утратил силу - приказ Министерства связи Российской Федерации от 13 сентября 1995 года N 112.

 

4.2. При постановке научно-исследовательских и опытно-конструкторских работ по созданию новых систем коммутации включать разработанные в соответствии с пунктом 4.1 требования в технические задания.

 

4.3. При выдаче сертификатов на оборудование (устройств) при закупке импортных систем коммутаций и при организации их выпуска отечественной промышленностью по лицензиям в контракты включать поставки аппаратных и программных средств, реализующие эксплуатационно-технические требования.

 

5. НТО (Мишенков), руководителям научно-исследовательских и проектных институтов проводить по заявкам и при финансовом обеспечении Министерства безопасности Российской Федерации научно-исследовательские и опытно-конструкторские работы по организационно-техническому обеспечению решения задач оперативно-розыскной деятельности на каналах связи.

 

6. Пункт утратил силу - приказ Министерства связи Российской Федерации от 13 сентября 1995 года N 112.

 

7. Пункт утратил силу - приказ Министерства связи Российской Федерации от 13 сентября 1995 года N 112.

 

 

Министр В.Б.Булгак

СОГЛАСОВАНО

Заместитель министра

безопасности

Российской Федерации

23.06.92

Текст документа сверен по:

официальная рассылка

 

[Vinni]

а вот как социальные сети могут быть использованы для сбора информации о пользователях :smile1:

 

SANS NewsBytes Vol. 9Num.99

--Facebook Sues Canadian Firm for Attempted Data Mining

(December 18, 2007)

Facebook has filed a lawsuit alleging that a Canadian pornography

company used scripts to gather personal details from its social

networking site. The company allegedly made more than 200,000 requests

from information on Facebook over a two-week period. The lawsuit was

originally filed in June and recently amended to include the identities

of three people associated with the servers that tried to access

Facebook's site after their identities were obtained through a court

order; 14 other defendants remain unnamed. Facebook did not say if the

data mining attack was successful.

http://computerworld.co.nz/news.nsf/scrt/0...C2573B400689A2F

http://www.theregister.co.uk/2007/12/17/fa...suit/print.html

http://www.cbc.ca/canada/montreal/story/20...h-facebook.html

[Editor's Note (Skoudis): Although the technical details revealed

publicly are very sketchy, this sounds like good, old-fashioned account

harvesting, guessing usernames and determining if they are valid based

on different error messages that come back. Enterprises need to make

sure their authentication error messages for the condition of "bad

userID / bad password" are identical with the messages for the "good

userID / bad password" condition. Also, I hope the courts tread very

carefully here. While the company that tried to do account harvesting

in this case sounds quite unseemly, the precedent established here could

inhibit development of new, helpful web applications if interpreted too

broadly.

(Ullrich): Facebook uses a "robots.txt" file, which should tell well

behaved spiders what pages are open to be indexed. Search engines

typically obey the robots.txt file. However, the use of robots.txt files

does not prevent data mining, and a web application should put

limitations in place as to how many pages can be accessed in a given

time interval.

(Cole): This is an indicator that we all need to do a better job of

protecting our families online. We have all been trained not to talk

to strangers and understand the dangers of social engineering. However

we need to talk to our families and loved ones over the holidays about

the dangers of posting information online.]