forum.opennet.ru - "Атака на регистраторов доменов привела к перенаправлению нес..." (69)

"Атака на регистраторов доменов привела к перенаправлению нес..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Атака на регистраторов доменов привела к перенаправлению нес..."	+/–
Сообщение от opennews (?), 05-Сен-11, 10:03
В воскресенье ночью несколько крупнейших сетевых ресурсов, среди которых (http://www.zone-h.org/archive/notifier=turkguvenligi.info/pa...) Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register, оказались (http://www.guardian.co.uk/technology/2011/sep/05/turkish-hac...) подменены злоумышленниками, которым благодаря атаке на регистраторов доменов Netnames.co.uk (http://Netnames.co.uk) и Ascio (http://www.ascio.com/) удалось подменить записи в DNS. После атаки, домены жертв были перенаправлены на новый IP, на котором выводилась заставка с уведомлением о взломе, который был совершен турецкой группой Turk Guvenligi (http://twitter.com/#!/Turkguvenligi). <center><img src="http://www.opennet.dev/opennews/pics_base/31671_1315202097.jp... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center> Это первый в истории крупный взлом регистраторов, который повлек за собой публично заметное изменение DNS. Наст... URL: http://www.guardian.co.uk/technology/2011/sep/05/turkish-hac... Новость: http://www.opennet.dev/opennews/art.shtml?num=31671
Ответить \| Правка \| Cообщить модератору

Оглавление

А почему копирайт на 2005 год , Адольф (?), 10:03 , 05-Сен-11, (1) +3

Салам алейкум, Гитлер-ага А почему вопрос не по существу - Как получилось, что, Аноним (-), 10:15 , 05-Сен-11, (2) –2
они с 2005 ломают Вот список их работ http www zone-h org archive notifier t, Аноним (-), 10:15 , 05-Сен-11, (3) +3

Самое старая запись там 2008 года, Адольф (?), 10:57 , 05-Сен-11, (8) –1

Банки давно додумались отправлять SMS с кодом подтверждения операции А у регист, Аноним (-), 10:17 , 05-Сен-11, (4)

Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS И, , Аноним (-), 10:19 , 05-Сен-11, (5) +7

Welcome to the Real_Web_2 0 , Аноним (-), 10:20 , 05-Сен-11, (6)
защищают, но не от спецслужб, Pahanivo (ok), 11:25 , 05-Сен-11, (12) –2

Не только спецслужбы располагают вычислительными кластерами и соответствующими м, Аноним (-), 13:05 , 05-Сен-11, (18)

вот пришел ананиим и тупо умыл всех шифровальшиков , Pahanivo (ok), 14:15 , 05-Сен-11, (25) +1

Их умыла та пресловутая рашкина компашка, которая взломала iPhone 4 Которая pas, Аноним (-), 15:11 , 05-Сен-11, (35) –1

Если не защищает хоть от кого-то, то будем считать что не защищает ни от кого С, Аноним (-), 15:27 , 05-Сен-11, (37)
Поясните этот бред, пожалуйста , Аноним (-), 17:09 , 05-Сен-11, (41)

Это не поможет Скрипту на perl никакие sms не помешают поправить файлы зон , Heckfy (ok), 10:55 , 05-Сен-11, (7)

В подавляющем большинстве случаев ломают web-интерфейс через методы социальной и, Аноним (-), 11:09 , 05-Сен-11, (10)

Как я понял поломали не учётки владельцев доменов, а самих регистраторов Или ты, MrClon (?), 13:15 , 05-Сен-11, (20)

Судя по скриншотам на которых web-интерфейс, использовался аккаунт одного из адм, Аноним (-), 14:43 , 05-Сен-11, (26) +1

Если инфраструктура взломана то что помешает просто прописать нужные данные втих, Аноним (-), 15:30 , 05-Сен-11, (38)

Инфраструктуру пока достоверно не ломали ни разу Если сломают, то уже ничего не, Аноним (-), 17:30 , 05-Сен-11, (43)

ИМХО если админ не может сохранить свои пароли - гнать надо такого админа, котор, Аноним (-), 21:59 , 05-Сен-11, (50)

Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта, Аноним (-), 09:12 , 06-Сен-11, (52)

как это оправдывает админов 8212 я не понимаю раз известно, что персонал низ, anonymous (??), 09:39 , 06-Сен-11, (53)
В тупорылости своего стаффа виноват наниматель Ему по этому поводу скидок н, Аноним (-), 15:56 , 10-Сен-11, (66)

почти one time пароли с token в кармане еще никто не отменял как и карточки с о, Аноним (-), 15:19 , 05-Сен-11, (36)

Можно подумать, в SMS обратные номера нельзя спуфить Вот когда появится SMSs , umbr (ok), 14:54 , 05-Сен-11, (29)

Можно Адрес отправителя может быть даже текстом Вы на него отвтить вообще не с, Аноним (-), 21:39 , 06-Сен-11, (59)

Ах если бы только кто-нибудь изобрёл такой способ, его можно было бы назвать нап, rm1 (?), 11:06 , 05-Сен-11, (9) +1

Да, и совершенно случайно, его рекомендовали бы внедрять _именно_ регистраторам , XVilka (ok), 11:15 , 05-Сен-11, (11)
Ну насколько я понимаю в данном случае взломе регистратора DNSSEC не поможет , aurved (?), 11:35 , 05-Сен-11, (14)
давно уже читал про DNSSEC, там вроде просто подпись зон и апдейтов что мешает у, Имя (?), 11:48 , 05-Сен-11, (15)

http www ascio com - крутится на винде http netnames co uk - на Linux Debi, Гы (?), 11:28 , 05-Сен-11, (13) –3

Одмины там точно гламурные , umbr (ok), 14:59 , 05-Сен-11, (30)
Скорее всего рабочие компы админов, с которых тырили пароли, крутятся либо на ви, Аноним (-), 09:47 , 06-Сен-11, (54)

Отлично Пусть это собьет спесь и гордыню с наивных финских мальчиков Лично я , Ptomaine (?), 11:59 , 05-Сен-11, (16) –6

Может все таки обойдемся без блатных самоуспокаивающих религиозных заклинаний , anonymous (??), 16:24 , 05-Сен-11, (39) +2

Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их оч, RicoX (?), 12:04 , 05-Сен-11, (17)

Это повсеместно происходит И очень часто связано с тем, что обновления _небезоп, Аноним (-), 13:08 , 05-Сен-11, (19) +1

У нас в Израиле банкоматы спокойно уходят на шабат По субботам я уже и не пытаюс, mvalery (ok), 13:22 , 05-Сен-11, (22)

Неделю Суровая у вас страна В Москве сбербанковская инфраструктура тоже с трудо, MrClon (?), 13:35 , 05-Сен-11, (24)

На многих из них стоит нелицензионный ХРендовс, поэтому иногда можно встретить п, Аноним (-), 17:20 , 05-Сен-11, (42)

на многих не верю Вы случаем с терминалом не перепутали банкомат - это такой гр, edo (ok), 13:38 , 06-Сен-11, (57)

Да хрена там В Банке Москвы - винда ХР Сегодня видел, как техник ее переставл, j3qq4 (??), 00:27 , 07-Сен-11, (60)

я не спорю, что винда только вот 99 , что лицензионная, edo (ok), 00:36 , 07-Сен-11, (62)
не так уж хорошо, кстати я бы сказал 171 защищен от дурака немножко 187 , anonymous (??), 14:45 , 07-Сен-11, (63)

Очень просто один из серверов кластера обслуживающего банкоматы 8230 Если прос, MrClon (?), 13:28 , 05-Сен-11, (23)
Банкоматы не critical-time даже если ребутиться 10 минут будут - не страшно Да, playnet (ok), 15:01 , 05-Сен-11, (31)

Поправка - мы говорим не о банкоматах, а о СЕРВЕРАХ БАНКОМАТОВ Смекаешь, анон Д, Аноним (-), 15:07 , 05-Сен-11, (33) –2

Венда, какие проблемы обновите ось на левом компе и образ раскидайте по сервера, cmp (ok), 17:46 , 05-Сен-11, (44)

а казался нормальным 8230 , anonymous (??), 19:28 , 05-Сен-11, (47) +1

да он - то как раз нормальный, а ты хто представитель зaлотоxо миллиaрtа , M (?), 21:47 , 05-Сен-11, (48) –1

а я просто хорошо в школе учился и от аббревиатуры 171 ГМО 187 не впадаю в п, anonymous (??), 21:53 , 05-Сен-11, (49) +1

Чем тебя ГМО не устраивают Еще один Если сможешь назвать хоть один не-ГМО рас, j3qq4 (??), 00:34 , 07-Сен-11, (61)

ты с ума сошёл люди, у которых трясучка от букв 171 ГМО 187 8212 патенто, anonymous (??), 14:47 , 07-Сен-11, (64)

Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не им, anonymous (??), 15:04 , 05-Сен-11, (32)

Кластер не является полноценным HA-решением Дисковая система ОДНА Общая Едина, Аноним (-), 15:09 , 05-Сен-11, (34) –1

Речь идет о серверах обслуживающих систему банкоматов Нелязя ли поподробнее, про, Square (ok), 19:15 , 05-Сен-11, (45)

Нельзя Кто работал с кластерами, СУБД и аппаратной репликацией - понимает Оста, Аноним (-), 16:20 , 11-Сен-11, (67) –1

Очень в духе местного менталитета , Square (ok), 20:41 , 11-Сен-11, (71)

А не надо делать HA, делайте SFT III Будет две дисковых системы и настанет вам , ram_scan (?), 13:16 , 14-Сен-11, (72)

А кто сказал, что в первую очередь защищать нужно именно сервера Их-то как раз , Аноним (-), 09:51 , 06-Сен-11, (55)

работал под виндой 5 лет, ни одного пароля не стырили ЧЯДНТ , anonymous (??), 09:56 , 06-Сен-11, (56)

ты никому не был нужен Некоторые и до сих пор на WinXP SP2 сидят и все нормальн, Аноним (-), 18:22 , 08-Сен-11, (65)

Анон, ты ничего не перепутал, не Ты хоть где-нибудь можешь обновить ось в мульт, Аноним (-), 16:21 , 11-Сен-11, (68)

unbound нужно использовать с форсированным dnssec, тогда если корневые dns не вз, bircoph (ok), 13:16 , 05-Сен-11, (21)

если регистратор взломан, то изменения от него будут подписаны честь по чести и , aurved (?), 14:45 , 05-Сен-11, (27)
DNSSEC и использование TCP приводят только к понижению безопасности В былые вре, Аноним (-), 14:50 , 05-Сен-11, (28)

это потому что старый код успешно был изучен за десятки лет спецслужбами, демок, anonymous (??), 16:35 , 05-Сен-11, (40) –1

http www veteranstoday com 2011 06 07 going-rogue-natos-war-crimes-in-libya , rrhrh (?), 14:02 , 06-Сен-11, (58)

получить бесплатный сертификат let s encrypt займет минуту 1 или любой другой, Аноним (73), 22:05 , 04-Мрт-20, (73)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Адольф (?), 05-Сен-11, 10:03 +3 +/–

А почему копирайт на 2005 год?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3

2. Сообщение от Аноним (-), 05-Сен-11, 10:15 –2 +/–

Салам алейкум, Гитлер-ага. А почему вопрос не по существу - "Как получилось, что у крупнейших регистраров админы - лохи?". А ты о каком-то копирайте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (-), 05-Сен-11, 10:15 +3 +/–

> А почему копирайт на 2005 год?
они с 2005 ломают. Вот список их работ: http://www.zone-h.org/archive/notifier=turkguvenligi.info/pa...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8

4. Сообщение от Аноним (-), 05-Сен-11, 10:17 +/–

Банки давно додумались отправлять SMS с кодом подтверждения операции. А у регистраторов до сих пор можно поменять через web-интерфейс параметры без каких-либо подтверждений. Про то, что некоторые регистраторы дают входить в личный кабинет без HTTPS я вообще молчу.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #7, #20, #29

5. Сообщение от Аноним (-), 05-Сен-11, 10:19 +7 +/–

Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как показала практика последних дней, HTTPS как волосы на лобке - прикрывает, но ни черта не защищает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6, #12

6. Сообщение от Аноним (-), 05-Сен-11, 10:20 +/–

> Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как
> показала практика последних дней, HTTPS как волосы на лобке - прикрывает,
> но ни черта не защищает.
Welcome to the Real_Web_2.0!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Heckfy (ok), 05-Сен-11, 10:55 +/–

Это не поможет.
Скрипту на perl никакие sms не помешают поправить файлы зон.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

8. Сообщение от Адольф (?), 05-Сен-11, 10:57 –1 +/–

Самое старая запись там 2008 года

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от rm1 (?), 05-Сен-11, 11:06 +1 +/–

> нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками
Ах если бы только кто-нибудь изобрёл такой способ, его можно было бы назвать например как-нибудь типа "DNSSEC".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #14, #15

10. Сообщение от Аноним (-), 05-Сен-11, 11:09 +/–

> Это не поможет.
> Скрипту на perl никакие sms не помешают поправить файлы зон.
В подавляющем большинстве случаев ломают web-интерфейс через методы социальной инжинерии. Проще говоря снифят пароли и внедряют трояны на машины персонала.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от XVilka (ok), 05-Сен-11, 11:15 +/–

Да, и совершенно случайно, его рекомендовали бы внедрять _именно_ регистраторам доменов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

12. Сообщение от Pahanivo (ok), 05-Сен-11, 11:25 –2 +/–

> Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как
> показала практика последних дней, HTTPS как волосы на лобке - прикрывает,
> но ни черта не защищает.
защищают, но не от спецслужб

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #18, #37, #41

13. Сообщение от Гы (?), 05-Сен-11, 11:28 –3 +/–

http://www.ascio.com/ - крутится на винде.
http://netnames.co.uk/ - на Linux Debian.
Выходит ломали гламурные маководы.
Шутка. :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #54

14. Сообщение от aurved (?), 05-Сен-11, 11:35 +/–

Ну насколько я понимаю в данном случае (взломе регистратора) DNSSEC не поможет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от Имя (?), 05-Сен-11, 11:48 +/–

давно уже читал про DNSSEC, там вроде просто подпись зон и апдейтов.
что мешает украсть ключ?
сложнее конечно, но тоже реализовать можно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

16. Сообщение от Ptomaine (?), 05-Сен-11, 11:59 –6 +/–

Отлично! Пусть это собьет спесь и гордыню с наивных "финских мальчиков".
Лично я - рад )
"Виноват не вор, а тот, кто позволяет украсть" (C)(s)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

17. Сообщение от RicoX (?), 05-Сен-11, 12:04 +/–

Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный ход. Чем больше таких акций, тем лучше будет защита и быстрее будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает - не трогай".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

18. Сообщение от Аноним (-), 05-Сен-11, 13:05 +/–

Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #25

19. Сообщение от Аноним (-), 05-Сен-11, 13:08 +1 +/–

> Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный
> ход. Чем больше таких акций, тем лучше будет защита и быстрее
> будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не
> обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает
> - не трогай".
Это повсеместно происходит. И очень часто связано с тем, что обновления _небезопасны_ сами по себе или могут привести к феерическому простою. Не каждая ось имеет технологию LiveUpgrade (более того - мне известна только ОДНА такая ось).
Как вы себе представляете, коллега, регулярное обновление сервера, ну скажем, банкоматов работающего в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии LiveUpgrade? Вы - лично вы - свою задницу подставите под персональную ответственность при апгрейде такого сервера? Я так не думаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #22, #23, #31, #32, #55

20. Сообщение от MrClon (?), 05-Сен-11, 13:15 +/–

> Банки давно додумались отправлять SMS с кодом подтверждения операции. А у регистраторов
> до сих пор можно поменять через web-интерфейс параметры без каких-либо подтверждений.
> Про то, что некоторые регистраторы дают входить в личный кабинет без
> HTTPS я вообще молчу.
Как я понял поломали не учётки владельцев доменов, а самих регистраторов. Или ты предлагаешь админам при логине вводить код из SMS?
Вообще все эти заморочки с привязкой к мобильному телефону и прочей паранойей нужны далеко не всегда и должны быть опциональными.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #26, #36

21. Сообщение от bircoph (ok), 05-Сен-11, 13:16 +/–

unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают, то всё будет ок

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #28

22. Сообщение от mvalery (ok), 05-Сен-11, 13:22 +/–

> Как вы себе представляете, коллега, регулярное обновление сервера, ну скажем, банкоматов
У нас в Израиле банкоматы спокойно уходят на шабат.
По субботам я уже и не пытаюсь получить наличные.
Нон-стоп 24x7x365 может быть имеет значение в высокотехнологичных странах. А в обычных, с жителями, проживающими на пальмах или ёлках сервак может хоть неделю обновляться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #24

23. Сообщение от MrClon (?), 05-Сен-11, 13:28 +/–

Очень просто: один из серверов кластера обслуживающего банкоматы…
Если простой сервера недопустим то у этого сервера должен быть дублёр который прозрачно возьмёт на себя его обязанности в случае чего (как минимум железо может сбойнуть в любой момент).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от MrClon (?), 05-Сен-11, 13:35 +/–

Неделю? Суровая у вас страна.
В Москве сбербанковская инфраструктура тоже с трудом справляется с внезапно возросшим количеством владельцев карточек (несколько лет назад, кажется, всех работодателей обязали платить ЗП сотрудникам на банковские карточки). Банкоматы частенько не работают, помнится один раз во всей Москве (или во всяком случае во всём районе) банкоматы взяли отгул на денб. Но не регулярно-же и не на неделю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #42

25. Сообщение от Pahanivo (ok), 05-Сен-11, 14:15 +1 +/–

> Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
вот пришел ананиим и тупо умыл всех шифровальшиков )))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #35

26. Сообщение от Аноним (-), 05-Сен-11, 14:43 +1 +/–

> Как я понял поломали не учётки владельцев доменов, а самих регистраторов.
Судя по скриншотам на которых web-интерфейс, использовался аккаунт одного из администраторов. Скорее всего сломали рабочую машину, поставили троян и отследили параметры входа.
> Или ты предлагаешь админам при логине вводить код из SMS?
Я предлагаю перед любым изменением параметров домена требовать по независимому каналу подтверждения от владельца.
> Вообще все эти заморочки с привязкой к мобильному телефону и прочей паранойей
> нужны далеко не всегда и должны быть опциональными.
Про опциональность согласен, еще до появление SMS мы клиентам давали возможность запретить некоторые операции через web и проводить изменения только при личном присутствии в офисе с официальным запросом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #38

27. Сообщение от aurved (?), 05-Сен-11, 14:45 +/–

если регистратор взломан, то изменения от него будут подписаны честь по чести и DNSSEC не спасёт. лично мне вот так видится...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (-), 05-Сен-11, 14:50 +/–

> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
> то всё будет ок
DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена основанный на UDP протокол был верх простоты и надежности, пока Камински не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC. Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги в DNSSEC затмевают все остальное.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #40

29. Сообщение от umbr (ok), 05-Сен-11, 14:54 +/–

Можно подумать, в SMS обратные номера нельзя спуфить.
Вот когда появится SMSs... :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #59

30. Сообщение от umbr (ok), 05-Сен-11, 14:59 +/–

> крутится на винде.
> на Linux Debian.
Одмины там точно гламурные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

31. Сообщение от playnet (ok), 05-Сен-11, 15:01 +/–

Банкоматы не critical-time. даже если ребутиться 10 минут будут - не страшно. Дать только юзерам завершить операции и подождать например 2 минуты - убедиться, что прямо сейчас он не нужен. Ну и не ребутить все разом, чтобы не перегрузить основные сервера.
А так - я постоянно вижу зависшие банкоматы, того же альфа-банка.. Как висли, так и виснут. Пока там инкассаторы доедут, пока ребутнут.. Даже работники банка не могут. Маразм.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #33

32. Сообщение от anonymous (??), 05-Сен-11, 15:04 +/–

Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии LiveUpgrade, не одинок в своем кластере.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #34

33. Сообщение от Аноним (-), 05-Сен-11, 15:07 –2 +/–

Поправка - мы говорим не о банкоматах, а о СЕРВЕРАХ БАНКОМАТОВ. Смекаешь, анон?
Далее. Ты знаешь способ обновить ВЕНДУ полностью - скажем, версию сменить - без полного увода машин в оффлайн на час-два?
И далее. В банановых странах может, и пофигу, что банкомат или POS-терминал в крупном супермаркете сутки не работает, но в _нормальных_ странах владелец супермаркета и банк поимеют крупный баттхерт и потеряют клиентов. Совсем потеряют. Смекаешь? Это не СПО - когда "Хочу - работаю, хочу не работаю". Невидимая рука рынка сжимается на горлышке - и привет!
И совсем далее. Обновление может и УБИТЬ сервер. И что тогда? Сутки простоя? Двое? А если нет имиджей? А если там БД реляционная? Опаньки? Ты попадал в такую ситацию, анон, в качестве админа mission critical сервера?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #44

34. Сообщение от Аноним (-), 05-Сен-11, 15:09 –1 +/–

> Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии
> LiveUpgrade, не одинок в своем кластере.
Кластер не является полноценным HA-решением. Дисковая система ОДНА. Общая. Единая точка отказа. Петь про аппаратную репликацию не стоит, ибо НЕ РАБОТАЕТ она под реляционными БД. Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #45, #72

35. Сообщение от Аноним (-), 05-Сен-11, 15:11 –1 +/–

>> Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
> вот пришел ананиим и тупо умыл всех шифровальшиков )))
Их умыла та пресловутая рашкина компашка, которая взломала iPhone 4. Которая passwords.ru держит :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

36. Сообщение от Аноним (-), 05-Сен-11, 15:19 +/–

почти. one time пароли с token в кармане еще никто не отменял.
как и карточки с одноразовыми паролями - у одного известного банка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

37. Сообщение от Аноним (-), 05-Сен-11, 15:27 +/–

>> но ни черта не защищает.
> защищают, но не от спецслужб
Если не защищает хоть от кого-то, то будем считать что не защищает ни от кого. Спецслужбы всего лишь группа людей. Не факт что самая многочисленная и технически хорошо оснащенная. Какие-нибудь кардеры подпольно ворочающие миллионами могут запросто набрать больше ресурсов. Во всяком случае, гарантий обратного никто не даст.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

38. Сообщение от Аноним (-), 05-Сен-11, 15:30 +/–

> Я предлагаю перед любым изменением параметров домена требовать по независимому каналу подтверждения
> от владельца.
Если инфраструктура взломана то что помешает просто прописать нужные данные втихаря в базы, в обход стандартной морды и нотификаций?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #43

39. Сообщение от anonymous (??), 05-Сен-11, 16:24 +2 +/–

Может все таки обойдемся без блатных самоуспокаивающих религиозных заклинаний?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

40. Сообщение от anonymous (??), 05-Сен-11, 16:35 –1 +/–

>> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
>> то всё будет ок
> DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена
> основанный на UDP протокол был верх простоты и надежности, пока Камински
> не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC.
> Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги
> в DNSSEC затмевают все остальное.
это потому что старый код успешно был изучен за десятки лет спецслужбами, "демократические антитеррористические" бэкдоры установлены и все жили спокойно. Новый бинд поиходится терзать, так как он сволочь хуже поддается взлому. Но работы ведутся, все под контролем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #58

41. Сообщение от Аноним (-), 05-Сен-11, 17:09 +/–

Поясните этот бред, пожалуйста.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

42. Сообщение от Аноним (-), 05-Сен-11, 17:20 +/–

> банкоматы взяли отгул на денб. Но не регулярно-же и не на неделю.
На многих из них стоит нелицензионный ХРендовс, поэтому иногда можно встретить прикольное сообщение на десктопе рассказываюшее о том что активации - хана.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #57

43. Сообщение от Аноним (-), 05-Сен-11, 17:30 +/–

> Если инфраструктура взломана то что помешает просто прописать нужные данные втихаря в
> базы, в обход стандартной морды и нотификаций?
Инфраструктуру пока достоверно не ломали ни разу. Если сломают, то уже ничего не поможет. Пока методами социальной инженерии воруют аккаунты, как работников регистраторов, так и клиентов. При этом воровство параметров клиентов уже вошло в привычку и не вызывает удивления. Вспомните случай, когда отсниффили пароль сотрудника eBay, сколько было шуму. Сейчас это уже обычное явление, рутинное разгребание инцидентов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #50

44. Сообщение от cmp (ok), 05-Сен-11, 17:46 +/–

Венда, какие проблемы? обновите ось на левом компе и образ раскидайте по серверам, а потом просто ребутните в желаемом порядке, разумеется используя НЕ стандартный загрузчик, а тот, что определит более новый образ венды и загрузит его, либо с сети как-то загрузится, короче логика какая угодно может быть, проблем сделать не вижу..
А невидимая рука рынка заставляет повышать эффективность бизнеса любой ценой, и за счет безопасности в том числе, не только информационной, но и биологической - когда вам ГМО пихают, и тд и тп, это проблема системы - "капитализма с человеческим лицом", подумайте когда на выборы пойдете.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #47, #61

45. Сообщение от Square (ok), 05-Сен-11, 19:15 +/–

>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
Речь идет о серверах обслуживающих систему банкоматов?
Нелязя ли поподробнее, про транзакции которые не откатываются?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #67

47. Сообщение от anonymous (??), 05-Сен-11, 19:28 +1 +/–

> когда вам ГМО пихают
а казался нормальным…

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #48

48. Сообщение от M (?), 05-Сен-11, 21:47 –1 +/–

да он - то как раз нормальный, а ты хто? представитель зaлотоxо миллиaрtа?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #49

49. Сообщение от anonymous (??), 05-Сен-11, 21:53 +1 +/–

> да он — то как раз нормальный, а ты хто? представитель зaлотоxо
> миллиaрtа?
а я просто хорошо в школе учился и от аббревиатуры «ГМО» не впадаю в панику.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

50. Сообщение от Аноним (-), 05-Сен-11, 21:59 +/–

ИМХО если админ не может сохранить свои пароли - гнать надо такого админа, который логинится своими логинами где попало и/или не в состоянии администрировать даже свой рабочий компьютер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #52

52. Сообщение от Аноним (-), 06-Сен-11, 09:12 +/–

> ИМХО если админ не может сохранить свои пароли - гнать надо такого
> админа, который логинится своими логинами где попало и/или не в состоянии
> администрировать даже свой рабочий компьютер.
Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта имеют доступ? Все правки профилей по запросам клиентов и прочую рутину делают низкоквалифицированные операторы, которых обдурить раз плюнуть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #53, #66

53. Сообщение от anonymous (??), 06-Сен-11, 09:39 +/–

как это оправдывает админов — я не понимаю. раз известно, что персонал низкоквалифицированый, админы должны бдить втройне, за то им и деньги платят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

54. Сообщение от Аноним (-), 06-Сен-11, 09:47 +/–

Скорее всего рабочие компы админов, с которых тырили пароли, крутятся либо на винде, либо на маке (трояны поддерживаются только в этих двух осях, причем в макоси их еще надо купить).
И мы опять плавно подходим к вопросу о запрете винды в любых более-менее критичных по безопасности работах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

55. Сообщение от Аноним (-), 06-Сен-11, 09:51 +/–

А кто сказал, что в первую очередь защищать нужно именно сервера? Их-то как раз взломать сравнительно сложно, проще админский пароль с админского десктопа стырить.
Вот запрет винды на десктопах админов - это да, сильно ударит по хаксорам и значительно усложнит им жизнь.
Насчет LiveUpgrade - это не киллер-фича солярки, во всех остальных юниксах есть куда более простой, но не менее эффективный rm -rf /

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #56, #68

56. Сообщение от anonymous (??), 06-Сен-11, 09:56 +/–

> Вот запрет винды на десктопах админов - это да, сильно ударит по
> хаксорам и значительно усложнит им жизнь.
работал под виндой 5 лет, ни одного пароля не стырили. ЧЯДНТ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #65

57. Сообщение от edo (ok), 06-Сен-11, 13:38 +/–

на многих? не верю.
Вы случаем с терминалом не перепутали?
банкомат - это такой гробик, ценой зачастую в несколько миллионов. экономить там на лицензии смысла нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #60

58. Сообщение от rrhrh (?), 06-Сен-11, 14:02 +/–

http://www.veteranstoday.com/2011/06/07/going-rogue-natos-wa.../

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

59. Сообщение от Аноним (-), 06-Сен-11, 21:39 +/–

> Можно подумать, в SMS обратные номера нельзя спуфить.
Можно. Адрес отправителя может быть даже текстом. Вы на него отвтить вообще не сможете, но отображаться - будет :)))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

60. Сообщение от j3qq4 (??), 07-Сен-11, 00:27 +/–

Да хрена там. В Банке Москвы - винда. ХР. Сегодня видел, как техник ее переставлял на банкомате. Гробик, да. Только и толку, что физически защищен хорошо. От взлома денежного ящика, да...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #62, #63

61. Сообщение от j3qq4 (??), 07-Сен-11, 00:34 +/–

Чем тебя ГМО не устраивают? Еще один...
Если сможешь назвать хоть один не-ГМО растительный продукт (из тех, что выращивается в промышленных масштабах) - мы вернемся к этому разговору. Подсказка - гуглить все про полиплоиды, колхицин и сортовую работу, это если навскидку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #64

62. Сообщение от edo (ok), 07-Сен-11, 00:36 +/–

> Да хрена там. В Банке Москвы - винда. ХР.
я не спорю, что винда. только вот 99%, что лицензионная

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

63. Сообщение от anonymous (??), 07-Сен-11, 14:45 +/–

> Да хрена там. В Банке Москвы — винда. ХР. Сегодня видел, как
> техник ее переставлял на банкомате. Гробик, да. Только и толку, что
> физически защищен хорошо. От взлома денежного ящика, да…
не так уж хорошо, кстати. я бы сказал «защищен от дурака. немножко.»

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

64. Сообщение от anonymous (??), 07-Сен-11, 14:47 +/–

ты с ума сошёл? люди, у которых трясучка от букв «ГМО» — патентованые идиоты. а ты с ними пытаешься разговаривать как с разумными.
нет, я честно проверял. статистика за несколько сотен перевалила. идиоты. все.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

65. Сообщение от Аноним (-), 08-Сен-11, 18:22 +/–

ты никому не был нужен. Некоторые и до сих пор на WinXP SP2 сидят и все нормально, но это не значит, что на сегодняшний день она является безопасной системой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

66. Сообщение от Аноним (-), 10-Сен-11, 15:56 +/–

> Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта имеют
> доступ? Все правки профилей по запросам клиентов и прочую рутину делают
> низкоквалифицированные операторы, которых обдурить раз плюнуть.
В тупорылости своего стаффа виноват ... наниматель. Ему по этому поводу скидок не полагается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

67. Сообщение от Аноним (-), 11-Сен-11, 16:20 –1 +/–

>>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
> Речь идет о серверах обслуживающих систему банкоматов?
> Нелязя ли поподробнее, про транзакции которые не откатываются?
Нельзя. Кто работал с кластерами, СУБД и аппаратной репликацией - понимает. Остальным либкез никто устраивать не обязан.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #71

68. Сообщение от Аноним (-), 11-Сен-11, 16:21 +/–

> А кто сказал, что в первую очередь защищать нужно именно сервера? Их-то
> как раз взломать сравнительно сложно, проще админский пароль с админского десктопа
> стырить.
> Вот запрет винды на десктопах админов - это да, сильно ударит по
> хаксорам и значительно усложнит им жизнь.
> Насчет LiveUpgrade - это не киллер-фича солярки, во всех остальных юниксах есть
> куда более простой, но не менее эффективный rm -rf /
Анон, ты ничего не перепутал, не? Ты хоть где-нибудь можешь обновить ось в мультиюзере, с одним рестартом? При чем тут патч Бармина? (крутит пальцем у виска) Отсыпь травы?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

71. Сообщение от Square (ok), 11-Сен-11, 20:41 +/–

>>>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
>> Речь идет о серверах обслуживающих систему банкоматов?
>> Нелязя ли поподробнее, про транзакции которые не откатываются?
> Нельзя. Кто работал с кластерами, СУБД и аппаратной репликацией - понимает. Остальным
> либкез никто устраивать не обязан.
Очень в духе местного менталитета.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

72. Сообщение от ram_scan (?), 14-Сен-11, 13:16 +/–

> Кластер не является полноценным HA-решением. Дисковая система ОДНА
А не надо делать HA, делайте SFT III. Будет две дисковых системы и настанет вам щасте.
В пингвине кстати реализовано уже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

73. Сообщение от Аноним (73), 04-Мрт-20, 22:05 +/–

>остается HTTPS, при котором при обращении к подставному домену будет выведено предупреждение для скрытия которого атакующим требуется заполучить серверные SSL-сертификаты.
получить бесплатный сертификат let's encrypt займет минуту 1... или любой другой бесплатный сертификат

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Адольф (?), 05-Сен-11, 10:03	+3 +/–
А почему копирайт на 2005 год?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #3

2. Сообщение от Аноним (-), 05-Сен-11, 10:15	–2 +/–
Салам алейкум, Гитлер-ага. А почему вопрос не по существу - "Как получилось, что у крупнейших регистраров админы - лохи?". А ты о каком-то копирайте.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (-), 05-Сен-11, 10:15	+3 +/–
> А почему копирайт на 2005 год? они с 2005 ломают. Вот список их работ: http://www.zone-h.org/archive/notifier=turkguvenligi.info/pa...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #8

4. Сообщение от Аноним (-), 05-Сен-11, 10:17	+/–
Банки давно додумались отправлять SMS с кодом подтверждения операции. А у регистраторов до сих пор можно поменять через web-интерфейс параметры без каких-либо подтверждений. Про то, что некоторые регистраторы дают входить в личный кабинет без HTTPS я вообще молчу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #7, #20, #29

5. Сообщение от Аноним (-), 05-Сен-11, 10:19	+7 +/–
Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как показала практика последних дней, HTTPS как волосы на лобке - прикрывает, но ни черта не защищает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #6, #12

6. Сообщение от Аноним (-), 05-Сен-11, 10:20	+/–
> Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как > показала практика последних дней, HTTPS как волосы на лобке - прикрывает, > но ни черта не защищает. Welcome to the Real_Web_2.0!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

7. Сообщение от Heckfy (ok), 05-Сен-11, 10:55	+/–
Это не поможет. Скрипту на perl никакие sms не помешают поправить файлы зон.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #10

8. Сообщение от Адольф (?), 05-Сен-11, 10:57	–1 +/–
Самое старая запись там 2008 года
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

9. Сообщение от rm1 (?), 05-Сен-11, 11:06	+1 +/–
> нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками Ах если бы только кто-нибудь изобрёл такой способ, его можно было бы назвать например как-нибудь типа "DNSSEC".
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #14, #15

10. Сообщение от Аноним (-), 05-Сен-11, 11:09	+/–
> Это не поможет. > Скрипту на perl никакие sms не помешают поправить файлы зон. В подавляющем большинстве случаев ломают web-интерфейс через методы социальной инжинерии. Проще говоря снифят пароли и внедряют трояны на машины персонала.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

11. Сообщение от XVilka (ok), 05-Сен-11, 11:15	+/–
Да, и совершенно случайно, его рекомендовали бы внедрять _именно_ регистраторам доменов
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

12. Сообщение от Pahanivo (ok), 05-Сен-11, 11:25	–2 +/–
> Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как > показала практика последних дней, HTTPS как волосы на лобке - прикрывает, > но ни черта не защищает. защищают, но не от спецслужб
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #18, #37, #41

13. Сообщение от Гы (?), 05-Сен-11, 11:28	–3 +/–
http://www.ascio.com/ - крутится на винде. http://netnames.co.uk/ - на Linux Debian. Выходит ломали гламурные маководы. Шутка. :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #30, #54

14. Сообщение от aurved (?), 05-Сен-11, 11:35	+/–
Ну насколько я понимаю в данном случае (взломе регистратора) DNSSEC не поможет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

15. Сообщение от Имя (?), 05-Сен-11, 11:48	+/–
давно уже читал про DNSSEC, там вроде просто подпись зон и апдейтов. что мешает украсть ключ? сложнее конечно, но тоже реализовать можно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

16. Сообщение от Ptomaine (?), 05-Сен-11, 11:59	–6 +/–
Отлично! Пусть это собьет спесь и гордыню с наивных "финских мальчиков". Лично я - рад ) "Виноват не вор, а тот, кто позволяет украсть" (C)(s)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #39

17. Сообщение от RicoX (?), 05-Сен-11, 12:04	+/–
Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный ход. Чем больше таких акций, тем лучше будет защита и быстрее будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает - не трогай".
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #19

18. Сообщение от Аноним (-), 05-Сен-11, 13:05	+/–
Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #25

19. Сообщение от Аноним (-), 05-Сен-11, 13:08	+1 +/–
> Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный > ход. Чем больше таких акций, тем лучше будет защита и быстрее > будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не > обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает > - не трогай". Это повсеместно происходит. И очень часто связано с тем, что обновления _небезопасны_ сами по себе или могут привести к феерическому простою. Не каждая ось имеет технологию LiveUpgrade (более того - мне известна только ОДНА такая ось). Как вы себе представляете, коллега, регулярное обновление сервера, ну скажем, банкоматов работающего в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии LiveUpgrade? Вы - лично вы - свою задницу подставите под персональную ответственность при апгрейде такого сервера? Я так не думаю.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #22, #23, #31, #32, #55

20. Сообщение от MrClon (?), 05-Сен-11, 13:15	+/–
> Банки давно додумались отправлять SMS с кодом подтверждения операции. А у регистраторов > до сих пор можно поменять через web-интерфейс параметры без каких-либо подтверждений. > Про то, что некоторые регистраторы дают входить в личный кабинет без > HTTPS я вообще молчу. Как я понял поломали не учётки владельцев доменов, а самих регистраторов. Или ты предлагаешь админам при логине вводить код из SMS? Вообще все эти заморочки с привязкой к мобильному телефону и прочей паранойей нужны далеко не всегда и должны быть опциональными.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #26, #36

21. Сообщение от bircoph (ok), 05-Сен-11, 13:16	+/–
unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают, то всё будет ок
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27, #28

22. Сообщение от mvalery (ok), 05-Сен-11, 13:22	+/–
> Как вы себе представляете, коллега, регулярное обновление сервера, ну скажем, банкоматов У нас в Израиле банкоматы спокойно уходят на шабат. По субботам я уже и не пытаюсь получить наличные. Нон-стоп 24x7x365 может быть имеет значение в высокотехнологичных странах. А в обычных, с жителями, проживающими на пальмах или ёлках сервак может хоть неделю обновляться.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #24

23. Сообщение от MrClon (?), 05-Сен-11, 13:28	+/–
Очень просто: один из серверов кластера обслуживающего банкоматы… Если простой сервера недопустим то у этого сервера должен быть дублёр который прозрачно возьмёт на себя его обязанности в случае чего (как минимум железо может сбойнуть в любой момент).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

24. Сообщение от MrClon (?), 05-Сен-11, 13:35	+/–
Неделю? Суровая у вас страна. В Москве сбербанковская инфраструктура тоже с трудом справляется с внезапно возросшим количеством владельцев карточек (несколько лет назад, кажется, всех работодателей обязали платить ЗП сотрудникам на банковские карточки). Банкоматы частенько не работают, помнится один раз во всей Москве (или во всяком случае во всём районе) банкоматы взяли отгул на денб. Но не регулярно-же и не на неделю.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #42

25. Сообщение от Pahanivo (ok), 05-Сен-11, 14:15	+1 +/–
> Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками. вот пришел ананиим и тупо умыл всех шифровальшиков )))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #35

26. Сообщение от Аноним (-), 05-Сен-11, 14:43	+1 +/–
> Как я понял поломали не учётки владельцев доменов, а самих регистраторов. Судя по скриншотам на которых web-интерфейс, использовался аккаунт одного из администраторов. Скорее всего сломали рабочую машину, поставили троян и отследили параметры входа. > Или ты предлагаешь админам при логине вводить код из SMS? Я предлагаю перед любым изменением параметров домена требовать по независимому каналу подтверждения от владельца. > Вообще все эти заморочки с привязкой к мобильному телефону и прочей паранойей > нужны далеко не всегда и должны быть опциональными. Про опциональность согласен, еще до появление SMS мы клиентам давали возможность запретить некоторые операции через web и проводить изменения только при личном присутствии в офисе с официальным запросом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #38

27. Сообщение от aurved (?), 05-Сен-11, 14:45	+/–
если регистратор взломан, то изменения от него будут подписаны честь по чести и DNSSEC не спасёт. лично мне вот так видится...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (-), 05-Сен-11, 14:50	+/–
> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают, > то всё будет ок DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена основанный на UDP протокол был верх простоты и надежности, пока Камински не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC. Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги в DNSSEC затмевают все остальное.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21 Ответы: #40

29. Сообщение от umbr (ok), 05-Сен-11, 14:54	+/–
Можно подумать, в SMS обратные номера нельзя спуфить. Вот когда появится SMSs... :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #59

30. Сообщение от umbr (ok), 05-Сен-11, 14:59	+/–
> крутится на винде. > на Linux Debian. Одмины там точно гламурные.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13