Сказки о безопасности

02/03/2017

Том 1 https://ridero.ru/books/skazki_o_bezopasnosti/
Том 2 https://ridero.ru/books/skazki_o_bezopasnosti_1/
Том 3 https://ridero.ru/books/skazki_o_bezopasnosti_2/
Том 4 https://ridero.ru/books/skazki_o_bezopasnosti_3/
Том 5 
https://ridero.ru/books/skazki_o_bezopasnosti_4/
Цифровая гигиена
https://ridero.ru/books/cifrovaya_gigiena/

 

 

reclama

Реклама

Финская фирма кибербезопасности обнаруживает новую уязвимость безопасности процессоров Intel

12/01/2018

Как сообщает финский специалист по кибербезопасности из компании F-Secure, в аппаратных чипах Intel обнаружена новая уязвимость, позволяющая злоумышленникам удаленно получать доступ к корпоративным ноутбукам.

В заявлении F-Secure сказано, что этот недостаток не имеет ничего общего с уязвимостями Spectre» и «Meltdown», недавно обнаруженными в микрочипах, которые сегодня используются почти во всех компьютерах, планшетах и смартфонах.

Скорее всего данная проблема связана с технологией Intel Active Management Technology (AMT), которая обычно используется в большинстве корпоративных ноутбуков (и) позволяет злоумышленнику получить полный контроль над устройством пользователя за считанные секунды.

Стоит признать, что проблема потенциально затрагивает миллионы ноутбуков во всем мире.

По словам консультанта F-Secure Harry Sintonen, недостаток шокирующе прост, однако его разрушительный потенциал огромен.

Вместе с тем стоит отметить, что на самом деле не все так плохо, ведь первоначально злоумышленнику нужно получить физический доступ к работающему устройству для повторной настройки АМТ, а уж после этого злоумышленники смогут получать удаленный доступ к устройству, подключаясь к той же беспроводной или проводной сети что и пользователь.

В некоторых случаях нападающий мог бы запрограммировать AMT для подключения к своему собственному серверу, что исключало бы необходимость находиться в том же сегменте сети, что и жертва.

После того как злоумышленник получил бы доступ через АМТ, никакие другие меры безопасности — полное шифрование диска, локальный брандмауэр, антивирусное ПО или VPN — не могут предотвратить использование этой уязвимости.

По словам F-Secure, успешная атака приведет к полной потере конфиденциальности, целостности и доступности.

Нападавший сможет читать и изменять все данные и приложения, к которым пользователь может иметь доступ на своем компьютере, а также устанавливать вредоносное ПО на устройство, даже на уровне прошивки.

Эксперт F-Secure Синтонен сказал, что организациям необходимо установить сильный пароль AMT или, возможно, отключить AMT.

Ну а теперь задумаемся, на самом деле так ли все страшно? На первом этапе злоумышленник должен получить физический доступ к вашему работающему ноутбуку. Но ведь уже лет 10 или более тому назад Microsoft заявлял, что «компьютер, к которому у злоумышленника есть физический доступ, больше не ваш компьютер». Неужели пользователи и ИТ-специалисты за это время стали столь беспечны, что им нужно об этом напоминать?


Городской совет Ньюкасла избежал штрафов за утечку персональных данных

11/01/2018

dataleak

В июле электронная таблица, содержащая персональную информацию о более чем 2700 усыновителях, была прикреплена к электронным письмам-приглашениям на ежегодную летнюю вечеринку городского совета Ньюкасла (Англия).

Правительственная комиссия Information Commissioner’s Office (ICO), пришла к выводу, что, хотя это и было результатом ошибки сотрудника, однако городской совет не будет оштрафован.

Ключевым в данном случае было то, что это нарушение связано с персональными данными, однако раскрытие информации в данном случае было результатом работы конкретного человека, а не ошибкой в общей практике защиты информации в городском совете.

 

Безусловно, уволить виновного проще всего. И более того, это, наверное, даже правильно. Но у меня остается вопрос. А что? DLP уже не в моде? Неужели сложно было посмотреть, что именно отправляется? Ведь данные более 2700 человек, да еще и в формате Excel таблицы…, наверное, я чего-то не понимаю.

Получается, что муниципалитет просто нашел стрелочника и рад!

 

Автор: Владимир Безмалый

Подписаться на статьи в Telegram — Утечки информации

Блог об информационной безопасности


Сотрудник колл-центра виноват в утечке данных пациентов

11/01/2018

dataleak

С 13 февраля по 20 октября 2017 года временный сотрудник службы поддержки клиентов выполнял неуказанные незаконные действия с записями пациентов из района Сент-Луиса. Сотруднику были доступны записи примерно 29 000 пациентов. При этом нарушена конфиденциальность только небольшой их части. Пострадала информация о здоровье, включая демографические и клинические записи. Финансовые данные пациентов не пострадали.

Медицинская компания SSM Health сообщила об этом инциденте в Управление по гражданским правам и в местные правоохранительные органы.

 

Медицинские учреждения постоянно становятся жертвами атак, потери и хищения данных:

 

Автор: Владимир Безмалый

Подписаться на статьи в Telegram — Утечки информации

Блог об информационной безопасности

 


Сотни служб геолокации содержат уязвимости, позволяющие раскрыть данные пользователей

11/01/2018

dataleak

Улыбайтесь! Вас разыскали! Стоит отметить, что с увеличением количества различного программного обеспечения резко растет количество ошибок в нем. Данные пользователей фактически полностью доступны кому угодно, чем широко пользуются злоумышленники. Разработчики программ все чаще просто не думают о безопасности, ведь это резко удорожает продукт и увеличивает время его разработки. Да и кроме того, необходимо подчеркнуть, что сами пользователи не требуют от разработчиков безопасности. Ведь за это нужно ПЛАТИТЬ! Мало того, при этом резко ухудшится usability. Ведь всем мы понимаем, что «удобство пользователей» и «безопасность» всегда ходят по разные стороны улицы. К чему это приводит? Правильно, к взлому и утечке информации. Но каждый пользователь надеется, что это произойдет с кем-то другим!

На этот раз исследователи безопасности обнаружили множество уязвимостей в сотнях сервисах геолокации, которые могут позволить злоумышленникам получить целый ряд конфиденциальных данных миллионов устройств отслеживания местоположения.

Массовые уязвимости обнаружены исследователями Vangelis Stykas и Michael Gruhn и названы «Trackmageddon».

Trackmageddon затрагивает несколько сервисов, собирающих геолокационные данные пользователей с ряда устройств с поддержкой GPS, включая трекеры для детей, трекеры для животных, автомобильные трекеры, и т.д.

Как отмечают исследователи, уязвимости включают в себя легко угадываемые пароли (про анализ паролей мы писали), открытые папки, небезопасные API и проблемы Insecure Direct Object References (IDOR)

Используя данные уязвимости, злоумышленник может получить доступ к личной информации, собираемой всеми устройствами отслеживания местоположения, включая GPS-координаты, номера телефонов, модели устройств и логины пользователей. В некоторых онлайн-сервисах можно получить доступ к фотографиям и аудиозаписям, загружаемым устройствами отслеживания местоположения.

По мнению исследователей, один из крупнейших мировых поставщиков устройств GPS-слежения, ThinkRace, возможно изначально был разработчиком и продавцом лицензий программного обеспечения, содержащего уязвимость.

На сегодня около 79 серверов все еще уязвимы:

Какой же вывод можем сделать мы? Большинство поставщиков продолжает работать с уязвимыми сервисами и даже не думает о возможном исправлении. Ведь это дополнительные расходы, да и время. Ну что, как я и говорил в самом начале – проблемы безопасности — это проблемы пользователей, а никак не проблемы разработчиков ПО и устройств. Увы, стоит признать, что пользователей заботит удобство, а разработчиков – получение прибыли. А безопасность? Безопасность не волнует никого!

 

Автор: Владимир Безмалый

Подписаться на статьи в Telegram — Утечки информации

Блог об информационной безопасности


Доступ к индийской национальной базе данных с персональной информацией 1,2 миллиардов человек был продан за $8

11/01/2018

dataleak

В 2010 году Индия начала создание централизованной правительственной базы данных Aadhaar. В базе содержатся такие персональные данные, как имена, адреса, даты рождения, мобильные телефоны и т.д. Кроме того, в базу вносились биометрические данные (проводилось сканирование 10 отпечатков пальцев и радужки глаз) всех 1,3 миллиарда граждан.

Занесение своих данных в Aadhaar не обязательно, однако правительство Индии принуждает граждан подписываться на эту программу, привязывая участие в ней к доступу к субсидиям, банковским сервисам, услугам сотовых операторов и медицинской страховке. Такие компании, как Uber, Airbnb, Microsoft и Amazon интегрируют Aadhaar со своими продуктами.

Местная индийская газета «Tribune», опубликовала отчет, в котором утверждается, что ее репортеры заплатили 500 рупий (приблизительно 8 долларов США) человеку, назвавшемуся Anil Kumar, с которым они связались через WhatsApp. Kumar предоставил им аккаунт (логин и пароль), под которым репортеры получили доступ к информации почти 1.2 миллиарда индийцев, участвующих в Aadhaar.

Региональные сотрудники, работающие в Unique Identification Authority of India (UIDAI), правительственным агентством, ответственным за Aadhaar, сообщили Tribune, что доступ был «незаконным» и «серьезным нарушением национальной безопасности».

Индийский новостной сайт Quint опубликовал в четверг другой отчет показывающий, что любой пользователь может создать учетную запись администратора, позволяющую ему получить доступ к базе данных Aadhaar.

Через несколько часов после публикации статьи агентство UIDAI заявило, что не признает отчет Tribune и «данные Aadhaar, включая биометрическую информацию, полностью безопасны». Агентство утверждает, что газета неправильно использовала механизм поиска базы данных, доступный только правительственным чиновникам.

Журналисты из издания BuzzFeed смогли обнаружить Anil Kumar, который заявил, что он предоставил доступ к базе данных Aadhaar для семи других людей, кроме репортера Tribune, на прошлой неделе за 500 рупий. Однако, по его словам, он не знал, что компрометирует персональные данные и нарушает закон. «Я заплатил 6 000 рупий (приблизительно $95) анонимному человеку в группе WhatsApp, чтобы он создал мне учетную запись администратора Aadhaar», — сказал Kumar. «Мне сказали, что я смогу создавать столько аккаунтов для доступа к базе данных, сколько захочу. Но я продавал аккаунты только, чтобы вернуть свои деньги».

 

На самом деле стоит понимать, что чем больше данных (и уж тем более биометрических данных) буду храниться в одном месте, тем более оно привлекательно для взломщиков. А значит, тем тщательно должны отрабатываться вопросы безопасности. Увы, стоит признать, что создать абсолютно непробиваемую защиту невозможно.

 

Автор: Владимир Безмалый


Бывший сотрудник загрузил данные пациентов в облако MS OneDrive нового работодателя

11/01/2018

http://telegra.ph/Byvshij-sotrudnik-zagruzil-dannye-pacientov-v-oblako-MS-OneDrive-novogo-rabotodatelya-01-07

dataleak January 07, 2018

Бывший врач Emory Healthcare (Атланта, Джорджия), перешедший на работу в Университет штата Аризона (UA), загрузил данные 24 000 пациентов в облако Microsoft Office 365 OneDrive, принадлежащее новому работодателю. Данное действие не было санкционировано Emory Healthcare.

Данные касались пациентов, проходивших радиологические процедуры с 2004 по 2014 год и включали имена пациентов, даты оказания услуг и информацию о лечении.

После обнаружения UA немедленно удалили информацию из своей учетной записи OneDrive.

 

Как бывший сотрудник мог загрузить данные Emory Healthcare под учетной записью университета? Для этого ему или нужно было зайти непосредственно из сети Emory Healthcare под учетной записью университета в облако или предварительно вынести эти данные.

Вывод однозначен – безопасности в Emory Healthcare практически нет. Из сети можно загрузить данные в чужое облако или вынести их на флешке.

 

Автор: Владимир Безмалый


Новая книга

10/01/2018

«Рад вам представить «белую ворону» информационной безопасности — Владимира Безмалого, человека, сочетающего в себе глубочайшие знания в предметной области и умение передать эти знания простым и понятным языком. Посмеявшись над героями притч Владимира, даже самый далёкий от техники человек поймёт, что можно, а что нельзя делать в киберпространстве. У вас в руках — новый том «Цифровой гигиены».

Рустем Хайретдинов (Rustem Khairetdinov) — вице-президент «Инфовотч», друг и поклонник автора

Владимир Безмалый
автор книги
ISBN 978-5-4490-2238-7
145×205 мм, 630 страниц
https://ridero.ru/books/cifrovaya_gigiena_1/