PCI compliance is clearly not enough to protect credit card numbers or account information. It’s about time everyone who uses an account for online payment simply accept the facts: your credit card numbers have been stolen. Check your statements monthly. Why? This isn’t about Heartland or the breach-of-the-week; this is about a constant effort well funded by a criminal underground. The primary tool in the cyber criminal hand, the malware program, keeps getting better. Malware authors are intelligent and focused developers who are well paid for their work. They have developed toolkits so they can generate new malware with little development overhead. They can generate new attack bits in a matter of hours that, to a virus scanner, may as well be a zero day – no signature means no detection, and no protection. Most of this malware decrypts live to memory and never touches the disk. The computing infrastructure is easy prey. It has never been secure, and won’t be secure anytime in the next ten years. Computer security is a constant effort that will never fully work. It’s partial risk reduction, not resolution. The billions of dollars spent since the turn of this century on IDS, firewalls, and virus scanning hasn’t made a more secure Internet. The growth of online technology has far outpaced our ability to secure it. Millions of credit card numbers are being stolen THIS MORNING. They were being stolen yesterday. They are going to continue to be stolen tomorrow.
Да, немного отдает параноей (про миллионы кредитных карт), однако, правда в этом есть. Ни для кого не секрет, что трояны пишутся ради денег. В дело идет server-side-полиморфизм, 24/7/365 поддержка, сервисы проверки вроде virustotal и многие другие вкусные вещи. Что ж, проверяйте отчеты от банка ежемесячно, ведь у вас уже украли всю нужную информацию.
Читайте также:
Loading ...
Думаю про «Millions of credit card numbers» — это не паранойя, номера карт вероятно воруют такими партиями, другое дело что «реализуют» из этих партий потом лишь процент. Вот b думай — попал ты в него или нет.
Меня больше волнует, что многие банки России и не шелохнуться, если «ты» вдруг начнешь снимать деньги ночью где-нибудь в Южной Африке — ни лимитов, ни предупреждений. А потом будешь доказывать, что у тебя нет личного самолета, чтобы ночью быть там, а в 11 a.m. стоять в отделении. И боюсь уж точно тебе не компенсируют твои «потерянные» (спи*иные) деньги =(((
P.S.
server-side-полиморфизм — это замена «устаревшему» off-line-полиморфизм? =)))
Не, миллионы в день — это паранойя, самая что ни на есть натуральная. Реализуют достаточно много, причем в разных сферах и это не один процент, ибо нет никакого смысла тогда. Насчет компенсаций: за рубежом с этим тоже не просто, ведь нужно собрать дикое количество бумажек, но если все получится, то тебе все убытки компенсирует банк.
P.S. offline — ты можешь у себя дома на коленке сделать пачку новую, а server-side само, на серваке делается. И вообще, хрен с ними, с этими понятиями, а то сейчас начнется: найдите десять отличий полиморфизма от метаморфизма, а его от атеизма и т.д :)
не юзать банковские онлайн-сервисы и заменить работу с WM-клиентом на паймеровские чеки и будет вам счастье ;)
Ну или еще решение — проводить все банковсеи опреации под никсовой машиной, благо сейчас обилие неплохих виртаульных машин существует.
Ну вот сам подумай, насколько твоя схема вписывается в живописный мир домохозяйки? :) Технологии идут по пути упрощения. Это все-равно, что поставить на домашний комп убунту и радоваться тому, что тебя никто не ломает и не заражает.
а зачем домохозяйке online-banking?
особенно б.СССР домохозякам.
Ну а убунту даже ребенок может поставить, не то что домохозяка.
Помнится даже детские ноуты выпускались с предустановленными никсами.
Ты думаешь, что «домохозяйки» (как собирательное выражение) не покупают в интернет? Им это удобно. Про русских я вообще не говорю, какая уж тут покупательская способность в онлайн… Домохозяйки — обычные пользователи компьютеров, которые покупают, играют, смотрят фильмы, слушают музыку, пользуются вордом и екселем. Те, кто не знают, что такое операционная система и какой процессор стоит у них в «ящике». Просто не по себе судить надо :)
Дык пусть хоть десять раз серверсайд полиморфизм, давно же понятно, что сигнатурно-эвристические методы детектирования покрывают сравнительно небольшой case.
Сигнатура умерла, да здраствует сигнатура :) Это давно понятно, однако, рано ставить крест на эвристике. Та эвристика, которую мы видели — мертвая, но есть и другие подходы.
Отвёртки умерли, даздравствуют электрошуруповёрты =)
Любые технологии нужно использовать только там, где это действительно целесообразно, а в случае с сигнатурным сканом — таких мест всё равно чуть менее чем дофига. Просто что-то лучше ловить по сигнам, что-то — поведенческим детектом.
… а серверсайд-полиморфизм в этом плане вообще кайф: надёргать пару k самплов, прогнать их через эмуль и дать «алгоритмические сигны» на вход какой-то нейросетки. Жалкто, что практически никто в этом направлении не идёт.
Идут, многие это начинают понимать. Вот http://sww-it.ru/2009-02-25/35/comment-page-1#comment-17
Правда использовать нужно не нейросеть, ибо нейросеть в случае чего необходимо переобучать в общем случае.
Да, читал…
В любые времена и в любых (со)обществах были и есть свои модные тенденции, которым не просто следуют, но и считают за тупую деревенщину всех персонажей, которым на данную моду как-то пофигу =) Дело здесь даже не в реальной практической пользе от внедрения «модной» технологии, а в том, что что на сферическое *уй знает что в вакууме её использующее будет куда проще выбить бабло у инвесторов/начальства, да и мененджерам примерно по тем же причинам будет проще впарить это самое сферическое *уй знает что в вакууме конечному потребителю. Вобщем, клауд-компьютинг в ав это как раз и есть та самая эпическая попытка присбособить нечто находящееся на слуху под «таблетку от любой болячки» не имея ни нормального представления об особенностях практической реализации, ни опыта внедрения этих самых облачных технологий.
Впрочем, чего ожидать от людей, оперирующих информационными паттернами вроде MalWare 2.0 =)
Не, вопросы менеджмента меня вообще мало волнуют, пиарят — хорошо, предлагают как панацею от всех будущих вирусов — херня и все это понимают, это не панацея — это всего-лишь еще один подход к детектированию. Лично я так и отношусь к In Da Cloud и вижу лишь практическую пользу от использования этой технологии, ведь никто не предлагает отказываться от существующих технологий, от их улучшения.
Ну и так как подобного опыта не было, то как говорится: «все бывает в первый раз» — научимся, приспособим, не вижу там ничего «заcloud» сложного, все реализуемо, а главное, что схема то рабочая, как ни крути.
В применении cloud computing-а будут свои плюсы в любом случае, но только он один вряд-ли поможет существенно поднять качество детекта, т.к. это, скорее, просто некая оптимизация уже существующих технологий.
Дело даже не в домохозяйках под убунту или спецах под винду… Вы сходили в паб (как я сегодня — Ливерпуль:Реал 1:0 =) ) или же купили мясорубку для мамы….какая бы ОС у вас не стояла и какими бы мего хацкерами вы не были — ваши данные уже украдены — уже без вашего участия — через магазин, через партнеров, через фишинговый сайт — точек соприкосновения настолько много, что вас не спрашивают — смиритесь и опасайтесь — вы под прицелом!
Вот вам пример: http://www.andyitguy.com/blog/?p=724
Есть вопросы? ;)
Насчет сигнатурно-эвристических методов детектирования читать здесь:
http://secureblog.info/articles/426.html
или здесь
http://research.pandasecurity.com/archive/Technology-Paper_3A00_-From-AV-to-Collective-Intelligence.aspx
AV индустрия и люди которые там работают далеко не «тупы». Есть и методы, и средства, и новые разработки.
P.P.S.
Что такое «атеизм» не знаю, но вот
«Religion is a symptom of irrational belief and groundless hope.» (c) H