В нашумевшей "Анатомии протеста - 2", прошедшей по НТВ, на 43-й минуте был в очередной раз продемонстрирован фрагмент записи разговоров Удальцова и Таргамадзе (политическую оценку ни участникам переговоров, если они были, ни каналу НТВ давать не буду). Самое интересное, что голос за кадром утверждал, что это был разговор по Skype. Если не рассматривать это как ошибки 1-го или 2-го рода и проанализировать сей факт по существу, то можно выделить 5 основных версий получения записи разговора по Skype:
ЗЫ. Вопрос законности демонстрации видео- и аудио-записей в "Анатомии протеста - 2" оставляю за рамками поста. Я считаю, что прямое нарушение телеканалом НТВ ст.137 и ст.138 УК РФ.
- На компьютере одного из участников переговоров стоял троян, который писал все звуковые переговоры и пересылал их на некий сервер управления или просто кидал на FTP, откуда его потом забирали авторы трояна. Версия вполне допустимая, ибо по такому же принципу работают некоторые DLP-решения, заявляющие о контроле Skype. Реального контроля там конечно нет - просто идет захват голосового трафика и передача его на станцию контроля, где сидит слухач и слушает разговор в поисках ключевых слов. Тут могла быть использована похожая техника.
- Направленный микрофон или скрытый жучок, установленный у одного из участников. Тоже вполне реальная версия. Причем судя по качеству речи, которую дали в эфир, голос Удальцова слышится гораздо лучше, чем голос Таргамадзе. Хотя если судить по другим записям в "Анатомии протеста - 2" (включая и видео), с дикцией у Таргамадзе не все хорошо (или он по русски так просто говорит).
- Обычный запрос в Microsoft в рамках СОРМ. Но не тот СОРМ, который для операторов связи, а тот, который просто "по запросу". Тут, как говорится без комментариев. Если вспоминать заявления MS с полгода назад о том, что они будут сотрудничать с правоохранительными органами, ничего странного в этом нет. В России так вообще это не проблема.
- Запись вел один из участников, которая затем попала силовикам, передавшим ее затем журналистам. Сам передал или его заставили или украли - вопрос десятый. Интересен сам факт записи всех переговоров участниками оппозиции. Для чего? С целью сбора компромата?...
- Дешифрование Skype. С точки зрения информационной безопасности - это наиболее интересная версия, но и наименее реальная на мой взгляд. Это как раз тот случай, который демонстрирует, что оперативные методы получения доступа к конфиденциальной информации зачастую гораздо эффективнее термо-ректального криптоанализа или прямого дешифрования.
- У меня в Twitter высказали идею, что в Microsoft сидели агенты ФСБ ;-) но я в это верю слабо. По крайней мере в то, что их использовали для такой задачи. Как и в то, что в MS работают идеологически выдержанные последователи российских властей, которые проявили сознательность и сдали запись (при условии, что запись вообще ведется).
ЗЫ. Вопрос законности демонстрации видео- и аудио-записей в "Анатомии протеста - 2" оставляю за рамками поста. Я считаю, что прямое нарушение телеканалом НТВ ст.137 и ст.138 УК РФ.
Надо признать, что со стороны оппозиции виновата исключительно их низкая подготовка в области защиты информации.
ОтветитьУдалитьпункт 4, наиболее вероятен
ОтветитьУдалитьна сей счет уже где-то в сети разбор был
ещё есть вариант 6, на котором вроде как настаивает сама оппозиция - это фейк. Монтаж.
ОтветитьУдалитьНу я бы и 2-й пункт не исключал. Хотя уровень подготовки оппозиции в области ИБ очень низкий, согласен. Я как-то вел в Twitter дискуссию с кем-то, кто готовил выборы в КС. Они не знакомы с ФЗ-152 ;-)
ОтветитьУдалитьА я написал, что ошибки 1-го и 2-го рода не рассматриваю ;-)
ОтветитьУдалитьЯ как-то вел в Twitter дискуссию с кем-то, кто готовил выборы в КС. Они не знакомы с ФЗ-152 ;-)
ОтветитьУдалитьАлексей, этот "кто-то" - господин Волков глава оппоЦИК-а, по совместительству держатель и разработчик системы голосования
а с фз152 он не то чтобы не знаком, он его презирает - что в общем то есть стандартная реакция убежденного ИТшника
ИМХО твердая 4-ка!
ОтветитьУдалитьМожет голосовалку замутить?
ОтветитьУдалитьАлексей есть такая возможность - организовать анонимное голосование по этому вопросу в формате блога?
Получим малорепрезентативную выборку по профи/любителям ИБ :)
Леня Волков, конечно, не специалист в области ИБ, но говорить, что он прям не знает 152 ФЗ - неправильно.
ОтветитьУдалитьВ целом, у них достаточно изящное решение, как уйти от создания монстроидальной ИСПДн и оставить только обезличенные данные.
Как-то легко и изящно обсуждение перешло на КС. Алексей, ждем пост с анализом выборов в КС с точки зрения ИБ и ПДн... ;-)
ОтветитьУдалить"а с фз152 он не то чтобы не знаком, он его презирает - что в общем то есть стандартная реакция убежденного ИТшника" +1
И решение по обезличиванию у них действительно изящное.
2 Алексей Т.
ОтветитьУдалитьМежду прочим, в конце вот этого поста http://leonwolf.livejournal.com/442561.html есть немного и по нашей тематике - так что вполне уже начинать анализ :)
Нет ничего у них изящного ;-( Он думает, что оно изящное. Я ему расписал, что он как минимум по почте получает ФОТОГРАФИИ, используемые для идентификации лиц, т.е. обрабатывает биометрию в чистом виде. И совсем не важно, что он делает с ней потом. Он ее СОБИРАЕТ. Т.е. должен получить письменное согласие, которого у него нет. А это грубое нарушение ФЗ-152. И Волков с этим в итоге согласился, но заявил, что тупой закон они выполнять не готовы - им идея важна. На что я ему ответил, что он таким образом подставляет всех, кто им доверился и прислал свои ПДн. Что РКН достаточно дождаться начала выборов, чтобы предъявить претензии по ст.13.11 или прокуратура придет. Или поправки в КоАП примут с штрафом до 700 тысяч рублей и нагнут КС по полной. На что Волков ответил, что они готовы к наездам и осознают нарушение ФЗ. После этого о чем с ними можно говорить? Люди, ратующие за выполнение закона, сами его нарушают и признают это.
ОтветитьУдалитьА, ну это про верификацию по фотографии - там-то да - нарушение.
ОтветитьУдалитьЯ про базовый вариант говорил - с хэшами.
А каким образом доказать факт обработки ПДн (тем более биометрии)? Фото пришло, обработано, верифицировано, удалено. Можно хранить на любом почтовом серваке, сложно будет доказать принадлежность конкретному лицу почтового ящика. То есть это как бы две независимые системы. Никто не запрещает 100 000 друзей пересылать друг другу фотографии с паспортами :-) Хотя конечно верификация по банковским карточкам или через Яндекс более легитимная (но банковские платежи заблокировали в первую очередь ;-)).
ОтветитьУдалить"Люди, ратующие за выполнение закона, сами его нарушают и признают это."
ОтветитьУдалить2 Алексей: а есть в нашей стране люди, не нарушающие законы?
Алексей, достаточно одному доброхоту направить фото в ЦИК КС и дождаться ответа о верификации, как можно сразу писать жалобу в РКН или прокуратуру. На каких серверах и в каких системах это все хранится - это уже неважно. Важно, кто определяет цели обработки. Это ЦИК. По закону он должен получить согласие. Его нет. Технические вопросы тут вторичны. Хотя вспоминая кейс в Уфе, там тоже есть где развернуться для прокуратуры ;-)
ОтветитьУдалитьНу а что касается закона... Вопрос неоднозначный ;-) Все нарушают. Но не все это признают так явно ;-) И уж тем более не все стремятся занять место лидера оппозиции, которая ратует за главенство закона ;-)
Алексей, для начала нужно запросить информацию у ЦИК по вопросам обработки - что, зачем, почему? А ЦИК вполне правдиво может сказать, что в момент запроса ПДн не обрабатываются (после верификации фото удаляются). Плюс какие основания полагать что ЦИК обрабатывает ПДн - отправка фото с сайта? (мне кажется неубедительный аргумент, а других подтверждений нет - даже ФИО они не хранят, везде используется номер телефона).
ОтветитьУдалитьИ только после получения ответа от ЦИКА гипотетически субъект может подать жалобу в РКН на "бездействие" оператора, но опять же какое-то подтверждение надо (на самом деле, неть ;-)). Подождем, увидим, хотя ИМХО по ПДн докопаться чисто никак не получится.
ИМХО лучше честно признать, чем лукавить и бить себя в грудь. ;-) И оппозиция ты или власть никакой разницы нет.
ОтветитьУдалить"ЗЫ. Вопрос законности демонстрации видео- и аудио-записей в "Анатомии протеста - 2" оставляю за рамками поста. Я считаю, что прямое нарушение телеканалом НТВ ст.137 и ст.138 УК РФ."
ОтветитьУдалитьДля целей посадки нарушивших ст.279 УК РФ средства вполне приемлемы.
Публично нам показали чтобы поменьше было воя что якобы оппозиционеров судят только за то что они оппозиционеры.
ЦИК даннае СОБИРАЕТ, а это уже обработка
ОтветитьУдалитьЦВК не собирает ПДн - почитайте ФАК, ПДн им не нужны в принципе. Доказать факт сбора ПДн ИМХО нереально. Если раскрутить Вашу теорию, то ЛЮБОЕ юрлицо в нашей стране можно наказать след образом: отправить по почте ПДн в каком-нибудь виде (свои, чужие, какие угодно), а затем написать в РКН жалобу на хранение моих ПДн. Что вы там говорили про наши законы, Алексей?
ОтветитьУдалитьА фото я кому шлю? Ты допускаешь классическую ошибку. Важно КТО определяет цели обработки. Если ты САМ куда-то что-то пошлешь, то это ТВОИ проблемы. А вот если кто-то у тебя ЗАПРАШИВАЕТ, то именно он и отвечает за это, т.к. именно он и устанавливает цели и содержание обработки.
ОтветитьУдалитьНасчет "не собирают"... У ЦИК КС есть официальная позиция РКН, что ФИО, дата рождения и номер мобильного не являются вместе ПДн?
А про фото с паспортом в руке я уже вообще не говорю ;-) Вы будете доказывать, что паспорт - это не ПДн?
> А вот если кто-то у тебя ЗАПРАШИВАЕТ, то именно он и отвечает за это, т.к. именно он и устанавливает цели и содержание обработки.
ОтветитьУдалитьНу, кстати, тут можно даже поспорить - как отличить добровольную отправку от запроса? Я бы сказал так - без предоставления этих ПДн, ты не получишь какой-то нужный тебе сервис, но в случае ЦВК - это не так (кроме верификации по фото, есть микроплатеж или оффлайн верификация)... Так что непонятно.
>Насчет "не собирают"... У ЦИК КС есть официальная позиция РКН, что ФИО, дата рождения и номер мобильного не являются вместе ПДн?
Это ПДн, очевидно, собственно тут я это отмечал: http://leonwolf.livejournal.com/419466.html?thread=24945546#t24945546
Но при подсчете хэша на клиенте, это уже не назвать обработкой ПДн.
Отличить просто - почитать сайт ЦВК ;-) Там как раз ЗАПРАШИВАЮТ.
ОтветитьУдалитьПро хэши я вообще молчал, скромно не уточняя, что по закону обезличивание - это тоже обработка ПДн ;-)
Посмотрел на сайте: http://www.cvk2012.org/electorial/verify/
ОтветитьУдалитьВНЕЗАПНО, очень аккуратно написано - ни намека на обязаловку :)
Слова запрашивают точно не видно.
>Про хэши я вообще молчал, скромно не уточняя, что по закону обезличивание - это тоже обработка ПДн ;-)
Обработка, только выполняется она не ИСПДн ЦВК и вообще не ЦВК - а самим субъектом ;)
Странное перевоплощение произошло с владельцем блога... А где же "ущерб субъекту", "адекватность требований", "оператор сам определяет" и другие принципы Евроконвенции, пропагандируемые ранее? :-)))))
ОтветитьУдалитьНе понял сарказма
ОтветитьУдалитьВзлом и подбор паролей на почтовых сервисах
ОтветитьУдалитьи социальных сетях.
Работаем со всеми бесплатными почтовыми сервисами,
а так же cо всеми соц. сетями, сайтами знакомств,
блогами, ICQ, твиттер, а так же
РАСПЕЧАТКА СМС,WHATSAPP,VIBER
ДЕТАЛИЗАЦИЯ ЗВОНКОВ (NEW).
Профессионально
Конфиденциально.
Оплата по факту выполнения заказа.
Оперативные сроки.
Индивидуальные цены от 500р.
mail_crack@rocketmail.com
Круглосуточно.