четверг, 26 сентября 2013 г.

InfoSecurityRussia 2013

Сходил сегодня на InfoSecurityRussia 2013. Еще пару таких мероприятий и никто к ним ходить не будет. Во-первых, туда устанешь добираться и на машине тоже, а во-вторых, сплошная реклама невостребованных продуктов и услуг. И рекламировали они своё мероприятие столь "ненавязчиво", и наверное с весны, что мне даже пришлось попросить их отписать меня от этой спам-рассылки. По-вчерашнему дню «хороший» отзыв про организацию и еду оставил Алексей Лукацкий. Народу, относящегося, как мне кажется, к заказчикам болтается крайне мало. Вся толпа формируется из выступающей братии и их окружения. Если же отбросить всю эту рекламную интригаторскую мишуру, вот тогда от выставки был бы прок. Ну и 15 минут на выступление это издевательство над самой идеей выступления. Я специально внимательно просмотрел программу мероприятия и вот кого бы я выделил особо из российской действительности, каковых заявлено не так уж и мало:
  • Налоговая служба России
  • Банк Первый Экспресс
  • МИД России
  • Минсвязи РФ
  • ВТБ24
  • Эльдорадо
  • СМП Банк
  • KPMG
  • QIWI
  • РАНХиГС при Президенте РФ
  • Банк Москвы
  • Комиссия по развитию информационного общества
  • Российский микрофинансовый центр
  • Мегафон
  • Минэнерго
  • Антитеррористический Центр
  • РосЕвроБанк
  • Банк Санкт-Петербург
  • Департамент специальных проектов
  • МГТУ им. Н.Э. Баумана
  • Научно-исследовательский институт транспорта нефти и нефтепродуктов
  • УЦБИ Сюртель
  • Академия информационных систем
  • РГГУ, Москва
  • СПИИ РАН
  • СГУ им. Н.Г. Чернышевского, Россия
  • Национальный институт исследований глобальной безопасности
  • Ассоциация Электронных Торговых Площадок в сфере IT-безопасности
  • Центр военно-промышленной политики Института США и Канады РАН
  • Северсталь
  • Московское отделение ISACA
  • Газпром центрремонт

А еще из хорошего, вот такой мне достался отрывной календарь от Элвиса. Ценный сувенир, а не какой-нибудь бесполезный журнал или листовка или конфетка, как у всех остальных.





среда, 18 сентября 2013 г.

Оплата за квартиру и ПДн


Я всегда оплачивал квитанции за квартиру через интернет-банки различных банков можно сказать не глядя. Сейчас же решил, что этот процесс можно контролировать, благо благодаря нашему третьему Президенту автоматизация идет немереными темпами потихоньку развивается. Вот, что имеем на сегодня в МСК.

1.       Мосэнерносбыт

Личный кабинет здесь. Зарегистрироваться очень просто, достаточно ввести лицевой счет, номер счетчика и e-mail. По почте приходит пароль. Платежный сервис осуществляет этот банк. И никаких проблем. Присутствуют также следующие ПДн: ФИО, адрес, домашний и мобильный телефоны.

2.       МГТС

Личный кабинет здесь. Зарегистрироваться несложно. В качестве логина используем номер телефона. Для получения пароля звоним в их контактный центр и называем телефон, адрес и ФИО. Для входа даже есть виртуальная клавиатура. Платежный сервис осуществляет как бы этот банк, так как интерфейс интернет-банка к интерфейсу МГТС не прикручен. Но никаких проблем. Из ПДн присутствует только ФИО и телефон.

3.       ЖКУ

Личный кабинет здесь. Однако, зарегистрироваться на сайте и получить пароль в данном случае нельзя, и вот их объяснение почему:

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ  "О персональных данных" необходимо согласие пользователя (гражданина) на обработку его персональных данных, поэтому при получении доступа к Личному кабинету на данном ресурсе необходимо лично обратиться в ГКУ ИС района с документом, удостоверяющим личность и подписать согласие на обработку персональных данных.

Звоним, уточняем, после чего идем ногами к ним и получаем заветный логин/пароль. Подписывать никакого согласия не потребовалось. Я даже спросил, нужно ли что-то подписывать и получил отрицательный ответ.

Платежный сервис предоставлен этой компанией, причем нерезидентом в России, однако имеющей комплаенс по PCI DSS. Насколько это само по себе безопасно для страны судить не берусь. А вот дальше начинается самое интересное. Привожу скриншот страницы с оплатой:

- нет никакого HTTPS

- присутствуют все поля для ввода критичных карточных  данных

- внизу приписка, что шифруется не всё подряд, а только, по-видимому, фрейм с карточными данными.

Может ли быть шифрование части страницы, я не знаю. Но с точки зрения потребителя услуг это полный ахтунг, так как гарантии, что при оплате включается шифрование ноль.

Пользоваться сервисом рекомендую только для контроля единых платежных документов, но ни в коем случае для оплаты.

пятница, 13 сентября 2013 г.

Первоапрельские RFC

Нашел в Википедии интересные первоапрельские стандарты. Как их использовать? Будете писать резюме, перечислите их где-нибудь в знаниях :-)

Дата RFC Название Автор Размер
22 июня 1973 RFC 527 ARPAWOCKY R. Merryman, Калифорнийский университет, Сан-Диего  
1 апреля 1978 RFC 748 Telnet randomly-lose option M.R. Crispin 2741 байт
1 декабря 1985 RFC 968 Twas the night before start-up Винт Серф  
1 апреля 1989 RFC 1097 Telnet subliminal-message option B. Miller 5490 байт
(Расширение протокола Telnet для передачи 25-го кадра)
1 апреля 1990 RFC 1149 Standard for the transmission of IP datagrams on Avian Carriers (Стандарт передачи IP-дейтаграмм посредством почтовых голубей) D. Waitzman 3329 байт
1 апреля 1991 RFC 1216 Gigabit Network Economics and Paradigm Shifts Poorer Richard, профессор Kynikos 8130 байт
1 апреля 1991 RFC 1217 Memo from the Consortium for Slow Commotion Research (CSCR) Винт Серф 11079 байт
1 апреля 1992 RFC 1313 Today’s Programming for KRFC AM 1313 Internet Talk Radio C. Partridge 5444 байт
1 апреля 1993 RFC 1437 The Extension of MIME Content-Types to a New Medium N. Borenstein, M. Linimon 13356 байт
1 апреля 1993 RFC 1438 Internet Engineering Task Force Statements Of Boredom (SOBs) A. Lyman Chapin, C. Huitema 3044 байт
1 апреля 1994 RFC 1605 SONET to Sonnet Translation Вильям Шекспир 4451 байт
1 апреля 1994 RFC 1606 A Historical Perspective On The Usage Of IP Version 9 (Использование протокола IPv9 с исторической точки зрения) J. Onions 8398 байт
1 апреля 1994 RFC 1607 A VIEW FROM THE 21ST CENTURY (ВЗГЛЯД ИЗ XXI ВЕКА) Винт Серф 28165 байт
1 апреля 1995 RFC 1776 The Address is the Message Steve Crocker 2051 байт
1 апреля 1996 RFC 1924 A Compact Representation of IPv6 Addresses R. Elz 10409 байт
1 апреля 1996 RFC 1925 The Twelve Networking Truths R. Callon 4294 байт
1 апреля 1996 RFC 1926 An Experimental Encapsulation of IP Datagrams on Top of ATM J. Eriksson 2969 байт
1 апреля 1996 RFC 1927 Suggested Additional MIME Types for Associating Documents (Рекомендуемые добавления к типам MIME для назначения документов) C. Rogers 5254 байт
1 апреля 1997 RFC 2100 The Naming of Hosts (Именование узлов) J. Ashworth 4077 байт
1 апреля 1998 RFC 2321 RITA — The Reliable Internetwork Troubleshooting Agent A. Bressen 12302 байт
1 апреля 1998 RFC 2322 Management of IP numbers by peg-dhcp K. van den Hout, A. Koopal, R. van Mook 12665 байт
1 апреля 1998 RFC 2323 IETF Identification and Security Guidelines A. Ramos 9257 байт
1 апреля 1998 RFC 2324 Hyper Text Coffee Pot Control Protocol (HTCPCP/1.0) (Гипертекстовой протокол управления кофеваркой) L. Masinter 19610 байт
1 апреля 1998 RFC 2325 Definitions of Managed Objects for Drip-Type Heated Beverage Hardware Devices using SMIv2 M. Slavitch 12726 байт
1 апреля 1999 RFC 2549 IP over Avian Carriers with Quality of Service (IP посредством почтовых голубей с QoS) D. Waitzman 9519 байт
1 апреля 1999 RFC 2550 Y10K and Beyond (Проблема Y10k) S. Glassman, M. Manasse, J. Mogul 28011 байт
1 апреля 1999 RFC 2551 The Roman Standards Process — Revision III S. Bradner 28054 байт
1 апреля 2000 RFC 2795 The Infinite Monkey Protocol Suite (IMPS) S. Christey 42902 байт
1 апреля 2001 RFC 3091 Pi Digit Generation Protocol (Протокол генерации числа пи) H. Kennedy  
1 апреля 2001 RFC 3092 Etymology of «Foo» (Этимология слова «Foo») D. Eastlake 3rd, C. Manros, Эрик Рэймонд  
1 апреля 2001 RFC 3093 Firewall Enhancement Protocol (FEP) (Протокол расширения брандмауэра) M. Gaynor, S. Bradner  
1 апреля 2002 RFC 3251 Electricity over IP (Передача электроэнергии по протоколу IP) B. Rajagopalan 18941 байт
1 апреля 2002 RFC 3252 Binary Lexical Octet Ad-hoc Transport H. Kennedy  
1 апреля 2003 RFC 3514 The Security Flag in the IPv4 Header (Evil Bit) (Флаг безопасности в заголовке IPv4 (Бит Зла)) S. Bellovin  
1 апреля 2004 RFC 3751 Omniscience Protocol Requirements S. Bradner  
1 апреля 2005 RFC 4041 Requirements for Morality Sections in Routing Area Drafts A. Farrel  
1 апреля 2005 RFC 4042 UTF-9 and UTF-18 Efficient Transformation formats of Unicode (Форматы эффективного трансформирования Юникода UTF-9 и UTF-18) M. Crispin  
1 апреля 2007 RFC 4824 The Transmission of IP Datagrams over the Semaphore Flag Signaling System (SFSS) (Передача IP-пакетов с помощью семафорной азбуки) J. Hofmueller, A. Bachmann, IO. zmoelnig 25521 байт
1 апреля 2008 RFC 5241 Naming Rights in IETF Protocols A. Falk, S. Bradner 25304 байт
1 апреля 2008 RFC 5242 A Generalized Unified Character Code: Western European and CJK Sections J. Klensin, H. Alvestrand 31314 байт
1 апреля 2009 RFC 5513 IANA Considerations for Three Letter Acronyms (Соглашение о трёх-буквенных сокращениях) A. Farrel 13931 байт
1 апреля 2009 RFC 5514 IPv6 over Social Networks (IPv6 посредством социальных сетей) E. Vyncke 10127 байт
1 апреля 2010 RFC 5841 TCP Option to Denote Packet Mood (TCP опция для передачи настроения пакета) R. Hay,W. Turkal 15024 байт
1 апреля 2011 RFC 5984 Increasing Throughput in IP Networks with ESP-Based Forwarding: ESPBasedForwarding K-M. Moller 19011 байт
1 апреля 2012 RFC 6592 The Null Packet Carlos Pignataro 11036 байт

среда, 4 сентября 2013 г.

Ну кто протифф С?


Являясь законопослушным москвичом, проживающим по месту прописки и регистрации, попал вчера под целевую спам-атаку, наверное, Правительства Москвы. Думаю, что тут нарушены мои права человека и гражданина как обладателя собственных персональных данных, таких как ФИО и почтовый адрес. Я не давал никому никакого согласия на информирование меня от лица и.о. о том, что он станет Мэром Москвы, тем более учитывая его «заслуги»: расширил дороги, но не убрал пробки; расчистил дворы, но не убрал рабсилу. :-)
Вот на кого мне теперь писать жалобу? :-)
Поэтому специально приду, как сказано в его обращении 8 сентября, чтобы проголосовать за любого другого кандидата. :-)

PS. А вот и официальный ответ от команды Собянина.