?

Log in

No account? Create an account
Speaker Rabbit

abbra


CIFS: curious information funneled sometimes


Ответ из МИДа РБ
Speaker Rabbit
abbra
Получил ответ из Консульского управления МИДа РБ по вопросу обмена паспортов граждан РБ, временно пребывающих за пределами Республики Беларусь:
В связи с Вашим вопросом информируем, что даже в тех странах, где
присутствуют загранучреждения Республики Беларусь паспорта гражданам Республики Беларусь, временно находящимся за границей, не обмениваются. Загранучреждения производят обмен только паспортов серии РР, которыми
документируются граждане Беларуси, выезжающие за границу на постоянное жительство. Обмен паспортов остальных серий (АВ, КН, НВ, МР, МС, ВМ и КВ) находится в исключительной компетенции подразделений по гражданству и
миграции Министерства внутренних дел Республики Беларусь.


Так что для тех, кому совсем приспичило, есть только "продление срока действия паспорта гражданина РБ", а за всем остальным необходимо обращаться в подразделения по гражданству и миграции МВД РБ по месту постоянной регистрации.

Ответили оперативно, так что теоретически если у вас есть вопросы, то их можно задавать по адресам, указанным здесь -- http://www.mfa.gov.by/ru/contacts/answers/
Tags: ,

PlatSec и социальный инжиниринг
Speaker Rabbit
abbra
Прочитал статью dtarasov о разработке троянского ПО для Symbian.Суть статьи сводится к тому, что организация, которая регистрирует юридические лица в программе ускоренной выдачи сертификатов для подписывания ПО, практически не может отследить корректность регистрируемой информации. Это позволяет использовать распространенные на пост-советской территории в 90-х и 00-х годах методы регистрации компаний на подставных лиц для создания такого "сертифицированного" юридического лица, от учетной записи которого и будет выдан запрос на подпись троянского ПО.

Два ключевых момента: учетная запись юрлица в системе сертификации Symbian не участвует нигде в самом сертификате и его проверке. То есть, получив подписанную версию троянского ПО, злоумышленник может забыть об этой учетной записи -- ее существование (или обнаружение "липовости") никак не влияет на проверку целостности и правильности сертификата при установке троянского ПО. Главное -- получить подписанную версию ПО до того, как "липовость" будет обнаружена организацией, выдающей сертификат.

Фактически, метод "взлома" сводится к социальному инжинирингу по отношению к лицам, ответственным за выдачу PublisherID при регистрации юрлиц. Такой throw-away account обойдется злоумышленнику в 200 долларов в год плюс 20 долларов на каждый сертификат.

Можно ли обеспечить надежное прикрытие таких социальных дыр в рамках мирового рынка? Практика того же Paypal показывает, что реалистично надеяться на это нельзя. Единственный внятный способ -- это сделать легкой возможность пожаловаться со стороны пользователей на поставщиков. Причем легкость здесь является ключевым понятием. Если для сообщения о неблагонадежности потребуется более одного-двух телодвижений или продолжительное время, система работать не будет.

Пример из параллельной области. Alec Muffett не смог оплатить свои домены, зарегистрированные через GoDaddy, с помощью MasterCard. При обращении в поддержку MasterCard, обнаружил, что уровень фрода со стороны GoDaddy настолько велик, что MasterCard собирается наложить вечную блокировку на все транзакции с GoDaddy. Оказалось, что уровень поддельных транзакций среди регистраторов доменов особенно велик именно со стороны GoDaddy и Trenitalia. О мошенничествах GoDaddy говорят давно, в данном случае потребовались годы, прежде чем система решилась на конкретные действия, учитывая отложенный характер жалоб по кредитным платежам и разорванность операций списывания и блокирования денег.

Update: По просмотру содержимого trustcenter.de, подозреваю совершенно аналогичные действия выполнимы и в отношении JavaME и Air.