abbra: (Speaker Rabbit)
Дважды мои знакомые рассказывали мне историю о том, как в рижском аэропорту при трансфере с рейса из Минска у пассажиров отнимали купленные в дьюти-фри минского аэропорта жидкости. Поскольку обычно это алкоголь, рассказы сопровождались определенными страданиями.


Захотелось понять, каким образом все это регулируется и вот что обнаружилось.


Деятельность служб безопасности в аэропортах Евросоюза регулируется несколькими документами. Наиболее интересным для нас будет распоряжение Еврокомиссии 185/2010 (со свежими правками). В четвертой главе Приложения к распоряжению определены правила досмотра пассажиров и их багажа, страны, в которых используются сопоставимые стандарты досмотра (на сегодня это только США), а также определены ключевые понятия -- LAG, "жидкости, аэрозоли и гели", и STEB, "security tamper-evident bag". Последние два важны для нас именно в контексте провоза алкоголя. В дьюти-фри магазине аэропорта, находящемся в зоне после контроля безопасности, проданный товар из категории LAG должны упаковать в STEB. STEB представляет из себя специальный прозрачный пакет, одобренный ИКАО, с одноразовыми клеящимися застежками, раскрытие которых заметно невооруженным глазом. Внутрь STEB помещается товар и чек -- так, чтобы можно было видеть дату и список проданных товаров.


В разделе 4.1.3 подробно описывается проверка продуктов из категории LAG. В частности, существует семь случаев, когда LAG не досматривается -- не проводится через разнообразные устроства обнаружения взрывчатых веществ, реакцию химических веществ и т.д. 4.1.3(c) позволяет не досматривать товары, купленные в магазинах в зоне после контроля безопасности, если они упакованы в STEB в предыдущие 24 часа, а аэропорт исполняет все требования по уровню контроля безопасности. Пункт 4.1.3(e) позволяет не досматривать товары, купленные в другом аэропорту ЕС и упакованные в STEB в предыдущие 24 часа. Пункт 4.1.3(f) позволяет не досматривать товары, купленные на борту европейского перевозчика и упакованные в STEB в предыдущие 24 часа. Наконец, пункт 4.1.3(g) позволяет не досматривать товары, купленные в аэропортах стран, упомянутых в приложении 4-D, если они упакованы в те же самые STEB в предыдущие 36 часов. Правда, 4.1.3(g) больше не действует после 29 апреля 2013 года.


Все это довольно абстрактно, но два важных вывода. Во-первых, товары должны быть правильно проданы и упакованы, а также предъявлены в указанный срок. Во-вторых, все эти покупки должны быть сделаны в аэропортах ЕС или специально перечисленных стран, среди которых нет ни одной страны пост-советского пространства. В результате, транзитным пассажирам в аэропортах ЕС приходится надеяться на послабления конкретной службы безопасности. Похоже, что в рижском аэропорту служба безопасности старается строго следовать требованиям распоряжения 185/2010 и, по крайней мере, для пассажиров из Минска пользуется жесткой версией правил. В последнем из известных мне случаев пассажиры решили подарить покупки тем, кто выходил в Риге вместо того, чтобы отдать товары на растерзание службой безопасности.


Так что будьте внимательны и осторожны.
abbra: (Default)
Прочитал статью [livejournal.com profile] dtarasov о разработке троянского ПО для Symbian.Суть статьи сводится к тому, что организация, которая регистрирует юридические лица в программе ускоренной выдачи сертификатов для подписывания ПО, практически не может отследить корректность регистрируемой информации. Это позволяет использовать распространенные на пост-советской территории в 90-х и 00-х годах методы регистрации компаний на подставных лиц для создания такого "сертифицированного" юридического лица, от учетной записи которого и будет выдан запрос на подпись троянского ПО.

Два ключевых момента: учетная запись юрлица в системе сертификации Symbian не участвует нигде в самом сертификате и его проверке. То есть, получив подписанную версию троянского ПО, злоумышленник может забыть об этой учетной записи -- ее существование (или обнаружение "липовости") никак не влияет на проверку целостности и правильности сертификата при установке троянского ПО. Главное -- получить подписанную версию ПО до того, как "липовость" будет обнаружена организацией, выдающей сертификат.

Фактически, метод "взлома" сводится к социальному инжинирингу по отношению к лицам, ответственным за выдачу PublisherID при регистрации юрлиц. Такой throw-away account обойдется злоумышленнику в 200 долларов в год плюс 20 долларов на каждый сертификат.

Можно ли обеспечить надежное прикрытие таких социальных дыр в рамках мирового рынка? Практика того же Paypal показывает, что реалистично надеяться на это нельзя. Единственный внятный способ -- это сделать легкой возможность пожаловаться со стороны пользователей на поставщиков. Причем легкость здесь является ключевым понятием. Если для сообщения о неблагонадежности потребуется более одного-двух телодвижений или продолжительное время, система работать не будет.

Пример из параллельной области. Alec Muffett не смог оплатить свои домены, зарегистрированные через GoDaddy, с помощью MasterCard. При обращении в поддержку MasterCard, обнаружил, что уровень фрода со стороны GoDaddy настолько велик, что MasterCard собирается наложить вечную блокировку на все транзакции с GoDaddy. Оказалось, что уровень поддельных транзакций среди регистраторов доменов особенно велик именно со стороны GoDaddy и Trenitalia. О мошенничествах GoDaddy говорят давно, в данном случае потребовались годы, прежде чем система решилась на конкретные действия, учитывая отложенный характер жалоб по кредитным платежам и разорванность операций списывания и блокирования денег.

Update: По просмотру содержимого trustcenter.de, подозреваю совершенно аналогичные действия выполнимы и в отношении JavaME и Air.
abbra: (Default)
Прочитал статью [livejournal.com profile] dtarasov о разработке троянского ПО для Symbian.Суть статьи сводится к тому, что организация, которая регистрирует юридические лица в программе ускоренной выдачи сертификатов для подписывания ПО, практически не может отследить корректность регистрируемой информации. Это позволяет использовать распространенные на пост-советской территории в 90-х и 00-х годах методы регистрации компаний на подставных лиц для создания такого "сертифицированного" юридического лица, от учетной записи которого и будет выдан запрос на подпись троянского ПО.

Два ключевых момента: учетная запись юрлица в системе сертификации Symbian не участвует нигде в самом сертификате и его проверке. То есть, получив подписанную версию троянского ПО, злоумышленник может забыть об этой учетной записи -- ее существование (или обнаружение "липовости") никак не влияет на проверку целостности и правильности сертификата при установке троянского ПО. Главное -- получить подписанную версию ПО до того, как "липовость" будет обнаружена организацией, выдающей сертификат.

Фактически, метод "взлома" сводится к социальному инжинирингу по отношению к лицам, ответственным за выдачу PublisherID при регистрации юрлиц. Такой throw-away account обойдется злоумышленнику в 200 долларов в год плюс 20 долларов на каждый сертификат.

Можно ли обеспечить надежное прикрытие таких социальных дыр в рамках мирового рынка? Практика того же Paypal показывает, что реалистично надеяться на это нельзя. Единственный внятный способ -- это сделать легкой возможность пожаловаться со стороны пользователей на поставщиков. Причем легкость здесь является ключевым понятием. Если для сообщения о неблагонадежности потребуется более одного-двух телодвижений или продолжительное время, система работать не будет.

Пример из параллельной области. Alec Muffett не смог оплатить свои домены, зарегистрированные через GoDaddy, с помощью MasterCard. При обращении в поддержку MasterCard, обнаружил, что уровень фрода со стороны GoDaddy настолько велик, что MasterCard собирается наложить вечную блокировку на все транзакции с GoDaddy. Оказалось, что уровень поддельных транзакций среди регистраторов доменов особенно велик именно со стороны GoDaddy и Trenitalia. О мошенничествах GoDaddy говорят давно, в данном случае потребовались годы, прежде чем система решилась на конкретные действия, учитывая отложенный характер жалоб по кредитным платежам и разорванность операций списывания и блокирования денег.

Update: По просмотру содержимого trustcenter.de, подозреваю совершенно аналогичные действия выполнимы и в отношении JavaME и Air.
abbra: (Default)
4 апреля центр CERT, занимающийся координацией обменом информацией о компьютерных уязвимостях между экспертами по безопасности опубликовал заметку о уязвимости в новых версиях (4.2+) GNU C Compiler, из-за которой определенные проверки на переполнение буферов памяти оптимизируются при компиляции приложения как ненужные. Связано это с тем, что в стандарте языка C определено, что при увеличении указателя на константу получающийся указатель должен указывать либо на первоначальный объект, либо на объект следом за первоначальным. То есть, фактически, предполагается, что операция сложения указателя и константы неубывающая. В таком случае... )
abbra: (Default)
4 апреля центр CERT, занимающийся координацией обменом информацией о компьютерных уязвимостях между экспертами по безопасности опубликовал заметку о уязвимости в новых версиях (4.2+) GNU C Compiler, из-за которой определенные проверки на переполнение буферов памяти оптимизируются при компиляции приложения как ненужные. Связано это с тем, что в стандарте языка C определено, что при увеличении указателя на константу получающийся указатель должен указывать либо на первоначальный объект, либо на объект следом за первоначальным. То есть, фактически, предполагается, что операция сложения указателя и константы неубывающая. В таком случае... )
abbra: (Default)
Уважаемый и неподражаемый Alec Muffett в роли докладчика: "Безопасность и UltraSparc T2". Вне зависимости от используемой платформы, рекомендую посмотреть (и прежде всего послушать) Алека, с которым мне выпала честь поработать вместе четыре года назад. Алек -- ведуший инженер Sun UK, специализирующийся на безопасности. Помимо прочего, он астроном-любитель и просто интересный человек, что очевидно из его выступления. Алек -- автор cracklib, поставившей маркетологов Sun на почти десятилетие в странную позу: с одной стороны, они хотели бы говорить, что безопасность -- важное свойство Solaris и вообще "платформы Sun", а с другой не могли признать, что Sun является создателем и разработчиком средств для взлома.

Хватит предисловий, вот его доклад на Blip.tv: http://blip.tv/file/699375

При чем тут Canon IXUS? Доклад снят на видео при помощи Canon IXUS 900, что будет заметно по началу выступления. Неплохо для мыльницы, правда?
abbra: (Default)
Уважаемый и неподражаемый Alec Muffett в роли докладчика: "Безопасность и UltraSparc T2". Вне зависимости от используемой платформы, рекомендую посмотреть (и прежде всего послушать) Алека, с которым мне выпала честь поработать вместе четыре года назад. Алек -- ведуший инженер Sun UK, специализирующийся на безопасности. Помимо прочего, он астроном-любитель и просто интересный человек, что очевидно из его выступления. Алек -- автор cracklib, поставившей маркетологов Sun на почти десятилетие в странную позу: с одной стороны, они хотели бы говорить, что безопасность -- важное свойство Solaris и вообще "платформы Sun", а с другой не могли признать, что Sun является создателем и разработчиком средств для взлома.

Хватит предисловий, вот его доклад на Blip.tv: http://blip.tv/file/699375

При чем тут Canon IXUS? Доклад снят на видео при помощи Canon IXUS 900, что будет заметно по началу выступления. Неплохо для мыльницы, правда?

Profile

abbra: (Default)
abbra

April 2016

S M T W T F S
     12
3456789
1011121314 1516
17181920212223
24252627282930

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 26th, 2017 12:08 am
Powered by Dreamwidth Studios