C нами с: 11.03.2010
Сообщения: 177
Откуда: Москва
Отправлено:
09.07.10 11:30
| Поделиться
Установка спутниковых «закладок» в автомобили пока еще не имеет массового явления, рынок хоть уже и сформировался, но по определению находится в зачаточном состоянии если смотреть со стороны потребителей.
Я хотел бы поднять вопрос, который рано или поздно, через год или два, но коснется всех производителей и все «обслуживающие» организации в данном сегменте рынка.
Дело в том, что любые устройства слежения это первый шаг на пути к всеобщей системе слежения за жителями планета Земля, как со стороны правоохранительных органов, так и со стороны представителей криминала.
Каждый Пользователь, размещающий у себя в автомобиле «закладку» должен понимать, что данное устройство может принести не только пользу в виде помощи нахождения угнанного автомобиля, но может принести и вред в виде доступа отдельных лиц в конфиденциальной информации о личной жизни, о перемещении владельца «закладки».
Можно пустить все это на «авось».
Производители техники и установочные и обслуживающие центры могут , конечно же, заявить, что процент возможной утечки сотые доли процента, могут сказать, что это невозможно, что это банально никому не нужно.
Потребители данной продукции могут считать, что лично они никому не интересны, что бы использовать «закладку» для поиска информации о них, что они обычные «бухгалтеры» и что не интересны криминалу…….
Отговорок с обеих сторон может быть очень много. Я не ставлю перед собой задачу разубеждать кого либо. Я исключительно уведомляю (с высоты собственного опыта) что если не сегодня, то завтра ЭТО ВОЗМОЖНО ! И надо быть готовым к этому, а не пускать все на самотек!
Давайте попробуем систематизировать информацию!
Итак, мы знаем или предполагаем, что Иванов использует для охраны автомобиля спутниковую закладку.
Какую информацию можно получить из закладки, из центра мониторинга?
1. Первично нам необходимо узнать номер СИМки в «закладке», это можно сделать например:
1.1. Получив детализацию (расширенную) сотового номера Иванова мы определим с какого номера он чаще всего получает СМС или звонки.
1.2. Получив данные по ВСЕМ телефонным номерам зарегистрированным на Иванова (и членов его семьи) мы можем опознать на каком номере закладка.
1.3. Разместив специальное оборудование в непосредственной близости от автомобиля мы с течением времени может определить номер симки в закладке.
1.4. Есть много иных способов с использованием социальной инженерии для получения информации.
2. Если у нас стоит цель исключительно кражи авто то нам банально надо деактивировать закладку(до начала кражи):
2.1. Через сотового оператора заблокировать СИМку
2.2. Создать копию СИМки и посылать Владельцу поддельные СМС, если мониторинговый центр производит авторизацию по IMEI то это хорошая (но не идеальная) защита!
2.3. Зафлудить СИМку звонками или СМС - прибор банально сдохнет от одновременно пришедших 2000 смс или от входящих звонков каждые 10 секунд.
2.4. Определить тип устройства и послать команду на отключение или изменение отдельных параметров. «Закладки» не имеющие паролевой защиты……. Это нонсенс!!!
3. Если нет цели кражи автомобиля, но есть цель получения информации о личной жизни Иванова, то :
3.1. Можно получить тексты СМС и соответственно провести анализ о местах пребывания Иванова.
3.2. Можно в рамках ОРД отслеживать перемещения по базовым станциям (но это скучно)
3.3. Можно зная модель «закладки» посылать СМС с запросом местоположения. Паролевая защита из 4 знаков тут не помеха Небольшой скрипт за несколько часов методом подбора с отправкой СМС сможет подобрать 4-х значный пароль.
3.4. Можно………. Можно банально взломать мониторинговый центр и делать и смотреть ЧТО угодно! Да что его ломать, если «отдельные» системы располагают свои сайты на шаред хостингах за 4 бакса в месяц? Что ломать мониторинговые сервера если система доступа в Админку передает логины/пароли не в зашифрованном виде? Как вам ссылка? http://w*****r.com/?l=ЛОГИН&p=ПАРОЛЬ
3.5. Можно…………. Можно просто обратиться к владельцам мониторингово центра и получить у них приватную информацию…
Существует неимоверное число способов, КАК можно получить секретную информацию. Основные методы взлома основаны на человеческом факторе, на бездумности и разгильдяйстве, как самих Пользователей, так и Продавцов.
Считаю разумным и жизненно необходимым переходить к цивилизованному рынку!
Любые приборы слежения должны строго вписываться в законодательные рамки страны, а услуги мониторинга обязаны быть должным образом защищены от взлома. К информации о клиентах должен быть допущен ограниченный круг лиц, любые взаимодействия с правоохранительными и иными органами должны проходить не в рамках «вась-вась», а строго на законодательном уровне. То есть ЛЮБЫЕ данные о клиентах предоставляются исключительно по официальным запросам.
Между клиентами и операторами мониторингово центра должно быть бумажное соглашение о сборе, хранении персональных данных. Соответствующее лицензирование приветствуется!
Конечные потребители должны понимать последствия передачи персональной информации в не благонадежные руки, а Производители и Операторы мониторинговых устройств и услуг должны «завлекать» клиентов безопасностью.
ЗЫ Почему я поднял данную тему? Да по причине того, что УЖЕ столкнулся с непорядочностью отдельных лиц который полученную от меня персональную информацию (при работе закладки + ФИО +номера телефонов +мыл) используют для шантажа…
C нами с: 30.01.2007
Сообщения: 1218
Откуда: Санкт-Петербург
Отправлено:
09.07.10 11:45
| Поделиться
DM. - а Вас не пугает, что обычный мобильный телефон является средством обнаружения вашего местоположения и получения информации о ваших переговорах? Я что-то не припоминаю, чтобы при покупке симкарты я подписывал соглашение о неразглашении:-) А обновления Виндоус через интернет думаете не имеют возможности скачать с вашего компа всю хранящиеся на нем данные??? Да мало ли чего еще...
Конечно же вопрос затронутый Вами про безопасность нельзя совсем откидывать со счетов и относится к этому беcшабашно, но и ловить ведьм там где их нет, тоже не стоит, рамки здравого смысла здесь вполне уместны...
C нами с: 11.03.2010
Сообщения: 177
Откуда: Москва
Отправлено:
09.07.10 12:08
| Поделиться
Цитата:
Конечно же вопрос затронутый Вами про безопасность нельзя совсем откидывать со счетов и относится к этому беcшабашно, но и ловить ведьм там где их нет, тоже не стоит
Давайте в данном русле и продолжим беседу ?
Так к слову - имею "определенный" опыт работы с "сетевыми" мошенниками, картинг, взлом интернет банкингов, кража электронных денег. Опыт связанный с анализом данных преступлений и поиском злодеев.
И исключительно на основе собственного опыта я и поднял данную тему.
"Неуловимый Джо" - нафиг никому не нужен ......... пока его не начнут ловить!
Согласитесь, что нельзя ставить сигналку в левом гараже, и точно так же надо ДОВЕРЯТЬ организации которая мониторит транспортные средства.
Например 95 % пользователей электронных денег надеются "на авось". Точно так же 99 % пользователей закладок не знают или не думают о возможных последствиях. Так надо просвещать пользователей :)
Цитата:
а Вас не пугает, что обычный мобильный телефон является средством обнаружения вашего местоположения и получения информации о ваших переговорах? Я что-то не припоминаю, чтобы при покупке симкарты я подписывал соглашение о неразглашении
Нет, не пугает!!
Сотовый оператор имеет лицензии на обработку персональных данных.
Данные обо мне могут быть переданы исключительно в рамках СОРМ и по соответствующим письменным запросам.
ДАЖе если данные будут предоставлены «мошенникам в погонах» то следы, бумаги все равно останутся.
C нами с: 30.01.2007
Сообщения: 1218
Откуда: Санкт-Петербург
Отправлено:
09.07.10 12:46
| Поделиться
DM. - ага, все имеют лицензии, а потом в метро за 50 рублей можно купить любую базу данных,включая и сотового оператора.
Дело ведь не в том, что какая-то компания станет официально сливать данные налево, даже самая маленькая фирмочка имеет устав и зарегистрирована в налоговой и заниматься подобными вещами не станет, потому что "навиду".
Вопрос в другом, что в любой компании найдется "крот",который может иметь доступ к какой-то информации, и здесь вопрос лежит не в плоскости официальных лицензий или прочих бумаг, а в том как поставлено дело на местах, в тоже время шансы своровать информацию одинаковые, что у крупного мобильного оператора, что в Майкрософте(вирусы ведь не сами по себе плодятся), что в заштатной конторке...
C нами с: 11.03.2010
Сообщения: 177
Откуда: Москва
Отправлено:
09.07.10 18:11
| Поделиться
Цитата:
даже самая маленькая фирмочка имеет устав и зарегистрирована в налоговой и заниматься подобными вещами не станет, потому что "навиду".
Очевидно Вы мало сталкивались с понятием "юридическое лицо" в Росиии. Наличии ООО ничего не гарантирует и ни к чему не обязывает!
Не хотел бы это обсуждать в данной теме - живой пример Вам в соседнем топике.
Цитата:
все имеют лицензии, а потом в метро за 50 рублей можно купить любую базу данных,включая и сотового оператора.
Мухи отдельно//Котлеты отдельно.
Последний реальный «уход» сотовых баз в Москве был в 2002 году. Все остальное фейки.
Опять же борьба со всем этим ведется. Если даже вспомнить знаменитый ресурс Radarix_com то и его успешно закрыли, а с основателями провели «профилактическую работу» - находился «недалеко» когда ФСБ проводило разработку их.
Но мы то ведем разговор не об этом!
Одно дело информация о машинах, месте работы, жительства, а совсем другое дело это информация о реальных перемещениях Здесь и Сейчас!!
Вы и сами понимаете, что подобная реальная информация очень может быть востребована как у криминала, так и у милицейского криминала.
Цитата:
Вопрос в другом, что в любой компании найдется "крот",который может иметь доступ к какой-то информации, и здесь вопрос лежит не в плоскости официальных лицензий или прочих бумаг, а в том как поставлено дело на местах, в тоже время шансы своровать информацию одинаковые, что у крупного мобильного оператора, что в Майкрософте(вирусы ведь не сами по себе плодятся), что в заштатной конторке...
Вы в корне не правы!!
1. Украсть информацию у мобильного оператора в Москве…анриал. Системы безопасности построены достаточно сильно. ВСЕ уходы сотовых баз были спровоцированы тем, что Сотовики открывали прямой доступ Правоохранителям. В том же 2002 году и был уход именно от правоохранителей после Дубровки.
2. Украсть информацию с помощью вирусов…….. Это же насколько надо быть ламерами? Все же банально – машины на которых секретные данные просто грамотно защищаются, данные шифруются. Зачем с офисного компа лазить по порнухе ? :) Тем более мы с Вами говорим не про Персональный Комп, а про Сервер. Что мешает арендовать надежно защищенный сервер в надежном дата центре с надежным Админом? Цена вопроса то… 5-7 тысяч р. в месяц. Я одним «товарищам» предлагал, но их больше устроил по 4 бакса в месяц :)
Просто поверьте – защитить сервер от взлома очень просто. Провести аудит безопасности веб приложений МОЖНО и нужно. Все!!
3. «Крот» ? Что может сделать случайный сотрудник если админские полномочия имеются у 2-3 человек, а данные на веб сервере надежно защищены? Вот если ВСЕ 22 сотрудника имеют админские полномочия, если данные о клиентах вообще не защищены……. Тогда «гуляй рванина»… Исключить данную угрозу просто , очень просто.
Другое дело, что и «админы» могут быть не всегда адекватными…
Но что бы появилась «адекватность» и надо строить весь мониторинговый бизнес так, что бы КЛИЕНТЫ понимали все опасности и шли исключительно «в места» где надежно и безопасно.
C нами с: 19.02.2009
Сообщения: 4588
Откуда: г. Истра
Отправлено:
12.07.10 10:34
| Поделиться
Цитата:
ДАЖе если данные будут предоставлены «мошенникам в погонах» то следы, бумаги все равно останутся.
Не факт.
В Краснодарском крае накрыли банду в состав которой входил сотрудник из "сотовой" - начальнеГ отдела, который ведает всей информацией об абоненте + менты + всякая шушара.
Ловили долго...
C нами с: 19.02.2009
Сообщения: 4588
Откуда: г. Истра
Отправлено:
12.07.10 11:57
| Поделиться
Цитата:
1. СБ сотовых операторов работает в десятки раз лучше чем любое УВД
конкретный пример показал что не всегда так.
В частности по этому случаю когда опера поняли что их водят за нос, тогда и "неламеры в погонах" были подключены к делу.
Добавлено через 1 мин.:
Хто ж начальника перепроверять будет? Вот на что ставка была у тех сволочей...
Добавлено через 1 мин.:
однажды слышал от одного военного, имевшего опыт общения с "федеральными структурами" - НИКОГДА НЕ ЗНАЕШЬ КТО РЯДОМ.
Вы можете начинать темы Вы можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
Небольшой скрипт за несколько часов методом подбора с отправкой СМС сможет подобрать 4-х значный пароль.
Да мало ли чего еще...
