Вы же понимаете, что кроме получения информации необходим её анализ.
И вот тут собака и зарыта.
Обработка происходит с участием человека (человеков) в реальном времени. Требуются специалисты высокого класса т.к. именно они будут принимать решение, что важно, а что нет, что вообще происходит и что конкретное слово значит в контексте происходящего. Таких специалистов тупо нет следить за всеми подряд даже уровня правительства. Кроме того, есть нерешаемая в принципе проблема обмена данными между условным "слухарем" и "следователем" - то есть людьми анализирующими одну и ту же информацию на разных уровнях. Информация не делится на "важную" и "неважную" без точного определения цели и контекста. А делить придется по техническим причинам. И будут потери соизмеримые с полной бессмысленностью всей операции.
Поэтому открою великую тайну: хоть "подслушка" и распространена непосредственно как техническое средство в кино - польза от неё близка к нулю. В абсолютном большинстве случаев средства потраченные на "подслушку" превышают прямой подкуп. Как, например, тупо заплатить тому же депутату за слив нужной инфы. Всякие депутаты генералы - не единственные владеющие информацией. Всегда есть помощники/операторы/уборщики имеющие такой же уровень доступа по рабочей необходимости, но куда более сговорчивые в моральном плане.
Это уж не говоря о "прослушке" рядовых граждан возможность которой технически существует, но практически - никогда не было, нет и не будет по перечисленным выше причинам нерентабельности.
А вот то, что надо поменьше говорить в целом - это факт, подтвержденный кроме известных пословиц и поговорок множеством скандалов и интриг в политике из за того, что кто-то кого-то неудачно услышал или пустил слух, множеством "посадок" когда удачливые и умные преступники спалились тупо на том, что кому-то неудачно "ляпнули".
Прикол в том, что опытные шпионы ставят "подслушки" не в телефон жертве. Они ставят её на улице в "удобном открытом месте встретиться поговорить" где разговор происходит раз в месяц, зато сразу в "десятку"..
Нет, неверно. В информационной безопасности в отличии от какой-либо другой важен сам фактор информированности и его вектор. Это сложно объяснить не имеющим профильного образования вроде Вас, - приведу пример: это как если бы безопасность автомобиля оценивалась бы с точки зрения его вероятного полёта и плаванья и волочения на крыше, кувырканья кубарем и т.п. Несложно понять, что в итоге дело упрется в некоторое соотношение угроз и возможных способов противостояния и "небезопасные" части будут повсюду так как решается задача именно держать сумму угроз примерно равной сумме защиты.
В моем примере с дверью очевидно, что при передаче сырых данных возможна установка сниффера на этот канал или брут данными анализатора. И нужно учитывать состояние всех смежных систем где так же есть "небезопасные части" по вашей примитивной логике.
Именно через смежные зависимости чаще всего и происходят атаки. Там, где разработчики рассуждали как Вы или вообще не имели доступа и информации: я такое постоянно наблюдаю, например, в военной сфере где права выдаются "линейно" без учета зависимостей системы и проблемы решаются как раз по "слабому месту": а, зачем дополнительные модули для кодирования декодирования, давайте тут просто часового поставим и всего делов-то.
Ой-ой.
Во-первых, шифрование, внезапно, мало имеет отношения к безопасности. Безопасность это интегральная характеристика всей системы целиком да ещё, нередко, в контексте смежных систем.
Например снаружи двери супер-пупер крутой биометрический ультразвуковой сканер со всеми шифрованиями и самоуничтожением при вскрытии. А от него идут два провода внутрь двери сразу на реле :)
Это, кстати, из вопросов которыми я проверяю разработчиков на логику и понимание безопасности. И правильный ответ как раз не шифровать управляющий сигнал от сканера, нет. Правильный ответ - передавать только сырые данные и проводить анализ в достаточно защищенном месте - которое, собственно, охраняется этой дверью, - внутри.
Во-вторых, программисты без конкретного указания использовали ресурсоемкие способы шифрования и Вы это считаете достоинством? Серьезно? Я бы назвал это недостатком и недостатком серьезным: нет ничего хуже чем излишняя инициативность особенно в наше время высокоуровнев0й разработки. Кто-то добавил шифрование от себя, а пол города без света осталось 🤣
И на счет паролей. Если ознакомиться с рынком "логов" то по группировке данных сразу видно, что жертвами, в основном, являются как раз "контейнерщики" - кто хранит в специальных программах для хранения. После открытия контейнера данные становятся доступными для интерфейсного сниффера - который имитируя действия пользователя пробегает по всем спискам копируя оттуда данные.
Создание ИИ ровно как и возможность какого-либо контакта с инопланетянами и многое другое подобное противоречит современной теории систем.
Таким образом, ИИ не может и не будет создан никогда.
Это доказанный факт, который не очень привлекателен для СМИ и совсем не способствует "техническому прогрессу", оттого не сильно афишируемый :)
danforth, на серверной стороне никто не делает
ну, кроме вас )
делают, обычно, на клиентской - джаваскриптом
почему 1/20 заказ - потому, что крадется лид заведомо хороший и заведомо не провакационный у которого хороший реф, хороший айпи, хорошее время захода и т.п.
ТС не найдет причину, для это надо быть тех спецом, а он сам себе одмин
через нескольких месяцев мучений просто поменяет целиком сайт
Около года.
Это вы так думаете. Потому, что не являетесь специалистом по безопасности как, например, я.
А просто обычный обыватель.
В этом и проблема децентрализованных систем.
Вместе со "свободой" вам придется самостоятельно разбираться во всех технических особенностях. И никто не поможет и нигде "инструкцию" не напишут.
И в примитивных представлениях о принципах хешировании вы можете не разобраться до конца в том, где именно проходит инжект данных.
Конкретно в нашем примере вы УЖЕ получаете от контрагента измененные данные. И уже от этих данных вы формируете хэш и он правильный. Потому, что и кошелек и все остальные составляющие верные.
Грубо говоря, заходите на сайт обменника, оформляете заявку и уже прямо там вам показывается неверный кошелек измененный надстройкой для браузера которую поставил и подтвердил для гугла или чьих там браузер через прокси мой вирус. И все системы защиты работают с неверными входными данными.
Здесь ничего не поможет.
И это самый простой способ через надстройку который любой школохацкер напишет. А есть и интереснее способы. Посмотрите, например, как инжектит свой скрипт касперский :) С новой политикой мелкософта антивирусы поставлены в одинаковые условия с хакерами - вынуждены так же обходить ограничения прав. Поэтому примеры проводить стало очень просто :) И работать стало проще: просто посмотри как делает каспер и сделай так же :)
Очень хочется задать вопрос как мелкософту так и производителям антивирусов: вы там, вообще, дружите с головой? :)
leoseo, "холодный кошелек" это хранение не в сети. Именно "хранение" т.к. "использование" невозможно. Вы распечатали приватный ключ от кошелька и положили на полку. Или отключили ноут с кошельком и тоже положили на полку. Вот это "холодное хранение".
Проблема в том, что "хранение" мало кого интересует, всем подавай "использование" :) А использование это всегда небезопасно независимо от архитектуры вашей финансовой системы. Если есть проблемы с получением доступа непосредственно к кошельку, то можно получить доступ к "входу" - например, буферу обмена зараженной машины - и там заменить скопированным вами кошелек адресата на кошелек хакера. О чем говорил как раз jaan777. И вы скрупулезно переписав адрес на бумажку, отнеся эту бумажку к "отдельному компу" на котором у вас "безопасный кошелек" таки отправите деньги мошеннику :)
Я не рекомендую в текущей ситуации устанавливать что-либо из неофициальных источников. Даже сраный winRAR лучше купить или юзать официальную демку. Сейчас даже торренты аки "общественная проверка" небезопасны. Хакеры просто собирают логи не используя их - что бы юзеры не жаловались на вирусы. А потом когда все "влипнут" обчищают сразу всех.
Как я выше писал, поменялась сама стратегия.
Раньше, например, я прикреплял вирус к свежекрякнутому FarCry основной целью которого был, к примеру, спам. Я не могу "холдить" этот залив т.к. пока я буду тупить его спалят, потрут, переустановят ос, вывалится из автозагрузки по какой-то причине, а юзер уже игрушку прошел и больше не запустит и т.п. Надо использовать сразу. Использование сразу = палево = юзер жалуется, файл удаляют с раздачи.
А сейчас основная цель залива - снифф - сбор логов с юзера. Я собираю логи, но не использую их а просто складываю и жду пока побольше юзеров скачает с раздачи мой файл с вирусом.
Палева никакого нет, никто не жалуется, все счастливы. И все будут обчищены через некоторое время.
Конечно, есть минусы, куки теряют свою актуальность и т.п. Но хотя бы немного - несколько дней - подождать можно, а там уже и сам юзер не сообразит через что именно было заражение.
Так что не скачивайте левых прог, не запускайте ничего "по умолчанию" (двойным кликом), не вешайте себе на "начальный экран" левых файлов.
Ой-ой, нет.
Крипту снимают "с логов" как уже сказал jaan777.
И это большая проблема.
Данные троянами крали и раньше и всегда, но хакерам, обычно, лень возиться со всякими палками и вбв и троян раньше был своего рода "сопутствующим" функционалом вируса основной целью которого - работа в ботнете: спам, ддос. Логи же с трояна продавали оптом гигами разным новичкам которым не лень вручную копаться и пытаться по кукам авторизоваться и чего-то там слить.
С появлением крипты ситуация резко изменилась - можно сливать напрямую и даже автоматически и не парясь сильно за "отмыв". Поэтому трояны существенно подросли по важности у хакеров: теперь это не только основной функционал некоторого вируса, но он кроме как сниффать ещё роется во всех файлах в надежде найти ключи или какую-то инфу для авторизации. Или просто хотя бы установить факт работы с криптой, что бы хакер мог заняться этой целью более плотно.
Это всё вкупе с тем, что мелкософт спохватился, наконец, на счет разделения прав и безопасности своей ОС привело к тому, что в сети практически не осталось ПО без троянов т.к. это чуть ли не единственный способ сделать залив юзеру :)
Кроме того, в погоне за криптой было написано множество мощных анализаторов логов, составлены базы "урлов" разных сервисов где можно профит получить и в целом проведена серьезная фундаментальная работа в этой области где раньше паслись только отчаявшиеся одиночки. Благодаря этой работе уже каждый хакер знает что такое "russian sber" и "vkontakt" и как оттуда слить. То есть крипта, фактически, профинансировала переход всей отрасли сниффа на более высокий уровень.
Если совсем просто, то большинству хакеров раньше ваши копейки нахрен не были нужны ибо отношение затраты/профит было крайне высокое.
Осуществляемые ранее кражи это результат работы "за еду" целой цепочки посредников, в основном, низкой квалификации.
А теперь держитесь :)
По некоторому моему небольшому опыту работы в медиа если вы боитесь, что украдут или просто очень хотите денег за свою идею - вам не следует этим заниматься вообще.
Главная ценность не в идее - ценность в авторе. Это знают все продюсеры, это понимают адекватные авторы. Идея, конечно, хорошо, но когда она будет реализована понадобится новая. И тут уже есть готовый автор. Ему заплатят, его не кинут - он нужен.
И автор должен прежде всего ценить саму свою идею в контексте потребителя (зрителя). Любить своих персонажей и т.п. Не некоторая последовательность действий имеет ценность, а внутренний мир персонажей являющиеся отчасти продолжением автора. И это невозможно скопировать и украсть.
Главная проблема для соискателей - что бы его произведение прочли. Вы не поверите, но просто прочесть заставить очень сложно издателя. Именно поэтому да, желательно переводить на английский. Во-первых, больше потенциальных издателей, во-вторых, в том же Голливуде есть целая сеть "подрядчиков" которых заставляют читать и кастить все подряд что бы найди золото в море говна. Это для них самый дешевый способ заработать в условиях высокой конкуренции: тупо найти талант на улице.
Тут кто-то писал про раскадровку и 10 страниц сценария. Не соглашусь. Сделать уникальную идею в наше время нереально. Ценность автора - в его фантазии и способностях которые за 10 страниц раскрыть сложно. Очень часто автора берут в работу не за конкретную мазню, что он принес, а за ход его мыслей, который показался интересным и полезным продюсерам для работы над другими проектами.
И последнее: сочетание неуемной фантазии и способности реалистично изложить, обычно, замечают. Это редкая способность. Фантазия портит реальность. Для компенсации нужен или огромный жизненный опыт (вот почему многие даже совсем не пейсатели пишут сравнительно неплохие книги под старость) или очень редкая форма фантазии близкая к психическому заболеванию - когда сознание реально накладывает фантазию на настоящее. Вот почему хорошо "помогают" наркотики, вот почему многие хорошие писатели реальные психи. Всё это замечают родственники и друзья и что бы человек жил да был обычным человеком и вдруг открыл у себя талант писателя - так не бывает. Если посмотреть в прошлое известных авторов, то в 100% случаев с самого детства они собирали толпы слушателей, каждый день им говорили "вам бы писателем стать", они легко впаривали "истории" родителям, учителям, полиции и т.д., они печатались в каких-то местных газетах - ради денег, да, потому что в перерыве между учебными "парами" могли накатать реалистичную статейку, над которой журналисты с редакторами неделю бы работали - легкие пара сотен баксов - почему бы нет. И так далее. И если у вас не так - то лучше забудьте.
