Ответы пользователя по тегу Информационная безопасность
  • Защита платежей через API Приват24

    Mendel
    @Mendel
    PHP-developer
    В похожей ситуации мы ни до чего лучше не додумались как вынести взаимодействие с таким АПИ на отдельный домен, на отдельном ВДС, запросы на который с сайта шли через почти такое же АПИ, лишь чуть подправленное.
    Удаленный безопасный сервер сломать сложнее ибо там меньше точек соприкосновения, принимает запросы он только от нашего сайта и т.п. Конечно имея реквизиты полученные на сайте и внеся изменения в сам сайт можно отправлять свои запросы, но не все взломы позволяют изменять код, плюс на защищенной стороне были добавлены несколько эвристик на подозрительные запросы, на количество запросов за период, объемы и т.п. Что-то получало задержку, что-то выполнялось но с отправкой смс администратору…
    Ответ написан
  • В ресторане копируют карты и переписывают их данные — куда обращаться?

    Mendel
    @Mendel
    PHP-developer
    Если менты морозятся, то надо писать в прокуратуру.
    Заяву с двумя получателями — Полиция и Прокуратура. отправляем заказным, в заяве указываем что дяди милиционеры в устной форме принимать заявление отказались, и что имен и лиц отказавшихся вы не запомнили.
    Поскольку как Вам известно существует статья 30 УК РФ, и подобные кражи невозможно произвести самостоятельно, то с учетом части 4 статьи 158 УК РФ это таки тяжкое преступление и подпадает под действие статьи 30.
    Также по Вашим сведениям платежные системы обязуют банки брать с кассиров подписку о том, что «не влезай убью» именно по причине признака преступления, и доступа к конфиденциальной информации.

    Если оно будет не совсем юридически корректно то это не есть важно — вы не юрист, я не из РФ… главное описать суть, описать письменно, и добавить мотиватор в виде Прокуратуры.
    Ответ написан
  • Анонимность в сети или как построить цепочку из проксей?

    Mendel
    @Mendel
    PHP-developer
    Качать торренты через прокси это паранойя.
    Для нормального серфа, даже для просмотра небольших роликов — вполне реально делать каскады.

    Если вы и.о. Бена Ладена, то купите себе немного зомби у ддосеров. Буквально по тысяче у десятка зомбоводов, и ВДС в китае, на который все будет стекаться. Вы будете стоять за китайцем, а на фронте возьмите ВДС в москве или киеве для того, чтобы иметь статический айпи. Примерно две трети зомби должны будут гонять левый траффик, строиться в цепочки и распадаться, для конспирации. Основной пулл соберите в несколько десятков цепочек по десять узлов в каждом. Трафик по ним гоняйте параллельно. Обязательно отдавайте симметрично левого траффика чтобы невозможно было без расшифровки понять — вы конечная точка этой сети или такой же зомби как и все. Ну это так, если вдруг найдут китайца. Цепочки естественно сортируем по провайдерам, чтобы усложнить задачу отслеживания. В принципе этого будет достаточно ;)

    Ну а если серьезно, то SSH есть почти на любом хостинге. Если это хостинг с большим колвом сайтов и пользователей, то логи айпишников ничего не дадут. Ну а куда ты ходил и что туннелировал никто не логирует. Для параноиков можно сделать каскад из двух-трех туннелей.

    Вообще один туннель довольно неплохо себя ведет. Пинг выростает в среднем процентов на 30%, если сервер правильно расположен (если в основном траффик российский и сервер в М9, то пинг сильно не пострадает). Скорость у меня была 600-800 килобит, что вполне неплохо для серфинга. Двойные и тройные каскады не делал.
    Ответ написан