Лидеры форума

Всем привет! Не знаю, известно это или нет, но в свете последних новостей о несекурности Мегафона стоит, ИМХО, написать. Ко мне пришёл сотрудник предприятия, где я работаю, с телефоном своего родственника (т.е. не со своим телефоном) и попросил сделать "распечатку" за июль и август. Сказал (вернее, сказала), что "через Интернет это можно сделать бесплатно, а через офис заказывать дорого". Я не поверил сначала, но потом выяснилось, что действительно можно. При этом не производится никакая идентификация человека, который совершает запрос. Требуется лишь завладеть телефоном абонента на 1 минуту, и он даже может никогда не узнать, что его конфиденциальная информация стала известна "третьим лицам". Возможно это посредством замечательного сервиса подназванием "Сервис-Гид". Подключиться к нему (получить доступ) можно, отправив "USSD-команду *105*00# вызов". Через 30 секунд приходит SMS-ка с логином (номер телефона) и паролем. Пароль состоит из 6 латинских символов в верхнем регистре. Его можно запомнить и удалить SMS. Ну, и потом отдать телефон абоненту. Дальше заходим на сайт Мегафона, в раздел "Сервис-Гид", вводим логин/пароль и имеем возможность получить детализацию входящих/исходящих вызовов за любой промежуток из последних шести месяцев (время, когда действия имели место, продолжительность звонков, номера телефонов, географические данные контактов, стоимость). Текстов СМС нет, правда (с ними, правда, с недавнего времени можно ознакомиться в Яндексе) Далее указываем e-mail, куда прислать данные и даже можно выбрать формат (HTML/PDF). Через минуту приходит требуемая информация. Вот и вся "вредоносная" (наличие кавычек по вкусу) схема. Вопрос в том, не прямое ли это нарушение законодательства в области защиты персональных данных, кто виноват и что делать. Также интересен вопрос, можно ли с помощью продуктов для мобильных устройств от уважаемых антивирусных вендоров запретить отправлять подобные USSD-запросы (или вообще USSD-запросы)?

Для безопасности пользователей операторами созданы специальные ресурсы посвящённые безопасности. Например: http://safe.beeline.ru/ Также регулярно проводятся бесплатные семинары для абонентов с участием СМИ посвященные безопасности в сфере сотовой связи. Например: «Мобильная грамотность» – это социальная инициатива "Билайн", которая была разработана в 2008 году с целью обезопасить пользователей сотовой связи и Интернет от действий мошенников, а также направлена на изучение проблемы мошенничества, общественное обсуждение мер противодействия этой проблеме и информирование пользователей сотовой связи о существующей угрозе. http://news.rufox.ru/texts/2011/06/07/203874.htm P.S. эти мероприятия проводятся во всех филиалах на регулярной основе Попробуйте использовать рекомендации: 1. Пароль на телефоне (для того чтобы нельзя было воспользоваться информацией на его телефоне) 2. Пароль на сим-карте (на случай если злоумышленник захочет использовать сим-карту в другом телефоне) 3. Универсальный пароль (на случай пользования информации через оператора службы поддержки)

x-sis, может быть на сегодня facepalm'ов хватит? Образец отсылал лично (было срабатывание trojan.avtest.a или подобное) с пометкой ложное срабатывание. И, о чудо, его (детект) убрали.

Главное, чтобы это не противоречило законодательству. Если будет судебное разбирательство по поводу конкретного инцидента/инцидентов, такие пункты договора могут быть признаны ничтожными.

??? Летели два крокодила: один синий, другой на север.

Коллега пишет Yesterday, I asked him why he chose Sophos. He claimed that it was because he had access to the software, and didn’t have access to Symc or McAf’s products. I challenged him on his description of their emulator syscalls, and it seemed that he didn’t understand the implementation. I also challenged him on his criticism of xor’ing the sig databases. He eventually backed down. skip I think he is an excellent reverser and some of it was very interesting, but he didn’t fully understand what he was working with. полный доклад тут http://lock.cmpxchg8b.com/Sophail.pdf

Зайти на Symantec Licensing Portal и сделать Upgrade лицензии.

Таки вопрос снят. Теперь все стало на свои места.