Сказки о безопасности

02/03/2017

Том 1 https://ridero.ru/books/skazki_o_bezopasnosti/
Том 2 https://ridero.ru/books/skazki_o_bezopasnosti_1/
Том 3 https://ridero.ru/books/skazki_o_bezopasnosti_2/
Том 4 https://ridero.ru/books/skazki_o_bezopasnosti_3/
Том 5 
https://ridero.ru/books/skazki_o_bezopasnosti_4/
Цифровая гигиена
https://ridero.ru/books/cifrovaya_gigiena/

 

 

reclama

Реклама

Сказки о безопасности: Острый глаз

17/04/2018

https://www.itweek.ru/security/article/detail.php?ID=200445

— Доброе утро, Иоганн!

— Доброе утро! Что у вас произошло?

— Почему вы так считаете?

— Да потому что я привык, что если мне звонят из управления полиции, опять что-то нужно. Что на этот раз?

— Как ни странно, я звоню, чтобы сказать вам спасибо и пригласить вас на заседание руководства нашего департамента. Речь пойдет о дальнейшем внедрении рекомендованной вами еще год назад системе распознавания лиц. Мы хотим распространить ее на всю страну. И есть еще ряд предложений. Интересно ваше мнение.

— Когда?

— Завтра вас устроит? Я думаю вам нужно время подготовиться.

— Безусловно.

На заседании речь пошла о системе распознавания лиц и результатах ее пробного внедрения. Имперская полиция не могла сдержать эмоций. Раскрываемость увеличилась в несколько раз. Более того, были задержаны ранее успешно скрывавшиеся преступники. Так, на пивном фестивале, ежегодно проводимом в одном из городов империи, среди 300 тыс. гостей буквально за пару минут были выявлены и задержаны десять преступников, скрывавшихся от полиции более года.

А на столичном железнодорожном вокзале количество успешных задержаний выросло в десятки раз, причем опознавание преступников в толпе происходило практически мгновенно.

Помимо полиции систему распознавания лиц успешно стали применять банки, финансовые компании и многие онлайн-сервисы, а так как умные камеры все чаще устанавливали в жилых домах, кафе и ресторанах, то резко уменьшилось число квартирных краж. Полицейские получили возможность использовать данные с частных камер наблюдения, сопоставляя их с национальным банком фотографий для выявления преступника.

— Иоганн, что еще вы сможете порекомендовать?

— Боюсь, дальнейшие мои рекомендации могут вступить в конфликт с приватными интересами граждан. Но я бы рекомендовал анализировать камеры в неблагополучных районах. Например, съемки и анализ на улицах, примыкающих к развлекательным (игровым) кварталам позволят выявлять игроманов на ранних стадиях. Сравнивая их фото с состоянием их банковских счетов вы сможете находить тех, чьи доходы не соответствуют заявленным.

А если учесть, что сегодня есть бесплатная программа «Медосмотры для всех», то следующим шагом может стать сбор данных ДНК всех граждан империи, что существенно облегчит работу полиции.

— Но ведь то, что вы предлагаете, вызовет возмущение граждан?

— Безусловно, поэтому им это знать вовсе не обязательно. Смотрите, ведь сбор отпечатков пальцев взрослого населения при создании системы биометрических паспортов они пережили, верно? Значит и это переживут!

Системы «Острый глаз» и «Медосмотры для всех» уже внедрены в Китае. Это может стать началом всеобщего наблюдения за гражданами. Что дальше? Я не знаю, а вы?


Количество скомпрометированных данных по состоянию на март 2018 года (в миллионах)

16/04/2018

Stat+data+Leaks+2018

Эта статистика представляет собой выбор крупнейших утечек данных по всему миру по состоянию на март 2018 года, по числу украденных записей.

В августе 2016 года был обнаружен взлом онлайн-платформы Yahoo в 2014 году, что затронуло не менее 500 миллионов учетных записей пользователей.

В декабре 2016 года компания обнаружила еще один взлом, относящийся к 2013 году, который затронул 1 миллиард записей пользователей. Влияние второго сообщенного взлома Yahoo было обновлено в октябре 2017 года, когда компания обнаружила, что на самом деле было затронуто 3 миллиарда учетных записей, что делает его самым большим нарушением данных в истории.

В 2011 году музыкальная служба Sony PlayStation Network и музыкальная служба Qriocity были атакованы злоумышленниками группировки Lulzsec. PSN был отключен более 43 дней и 77 миллионов записей данных были украдены.

С увеличением использования цифровых файлов и использованием цифровых данных многими корпорациями утечки данных стали довольно распространенными в последнее десятилетие. Например, число утечек данных в США увеличилось с 157 миллионов в 2005 году до 781 миллиона в 2015 году, в то время как количество открытых записей выросло с 67 миллионов до 169 миллионов в течение того же периода времени. Самое большое нарушение данных за все время, по состоянию на сентябрь 2016 года, было якобы взломом Yahoo, которое датируется концом 2014 года, но было раскрыто только в 2016 году. Компания рекомендовала всем своим пользователям изменять свои пароли и принимать дальнейшие меры для обеспечения их счетов.

Кража персональных данных является наиболее распространенным типом инцидента с нарушением данных в мире. В 2015 году кража персональных данных составляла более 50 процентов всех глобальных утечек данных и около 40 процентов всех скомпрометированных записей. В секторе услуг было наибольшее количество документов, выставленных в этом году — почти 260 миллионов. На этот показатель приходилось чуть более 60 процентов всех документов, которые были выявлены в результате нарушений данных в 2015 году. Большое влияние оказывают киберпреступления на финансовый сектор. Кража данных о доступе к данным является вторым наиболее распространенным типом утечек данных, на который приходится 22 процента всех нарушений. В 2015 году в этом секторе было выявлено 120 миллионов утечек персональных данных.

Расходы на кибер-преступления достаточно высоки для сектора финансовых услуг. Глобальные киберпреступления в среднем привели к ежегодному убытку в размере 13,5 млн. долл. США для отрасли финансовых услуг, что является самым высоким средним показателем среди всех отраслей.

Дополнительные примечания

  • Хотя нападение произошло в 2014 году, Yahoo обнаружил вторжение после сообщений в августе 2016 года о отдельном нарушении.
  • Более 360 миллионов учетных записей. Каждая запись, содержала адрес электронной почты, пароль и, в некоторых случаях, второй пароль. Поскольку некоторые учетные записи имеют несколько паролей, было скомпрометировано более 427 миллионов паролей.
  • Facebook говорит, что данные фирмы Cambridge Analyticaполучили несанкционированный доступ к 87 миллионам данных пользователей, главным образом в Соединенных Штатах.

И снова о 2FA

15/04/2018

Одной из основных проблем, на которые ссылаются противники 2FA (двухфакторной аутентификации) является то, что далеко не всегда быстро доставляется SMS, более того, возможны случаи, когда SMS не доставляется вообще. В моей практике был случай, когда SMS было доставлено через 25 часов после запроса.

Второй проблемой является боязнь клонирования SMS, что также имеет место. Более того, некоторые западные исследователи не рекомендуют использовать из-за этого SMS вообще. Что можно этому противопоставить?

Вариант1. Генератор кодов.

Если вы используете смартфон – вы можете установить на него программу «Генератор кодов». В этом случае вам вообще не нужно использовать SMS в принципе. Достаточно вместо SMS будет использовать код, генерируемый вашим приложением. Код меняется каждые 30 секунд.

Вариант 2. Ключ

В случае если вы используете браузерs Chrome или Opera (последней версии) – вы можете использовать ключ Yubico (https://yubico.com ) в качестве второго фактора аутентификации. То есть вы вводите пароль, а затем включаете в USB-порт ваш ключ.

Как видите, все просто. При этом существенно уменьшается риск хищения ваших паролей с помощью фишинговой атаки.


Статистика утечек данных

11/04/2018

В 2017 году более 50% американских предприятий подверглись кибератакам. Увы, кибератакам будут подвержены компании всех размеров и в 2018 году.

Только за первую половину 2017 года в результате атак было потеряно или украдено почти 2 миллиарда записей.

Для того чтобы понять перспективу, за последние шесть месяцев 2016 года было потеряно или украдено всего лишь 721 миллион записей, то есть зафиксирован 164% -ное увеличение числа украденных записей. На самом деле эти цифры могут быть еще выше, ведь почти 60% общего числа нарушений включают неизвестное число скомпрометированных записей (аналогично утечке Yahoo, которая вначале была заявлена как просто серьезное нарушение, а со временем стало известно об утечке более 3 миллиардов записей).

Читать далее…


Сказки о безопасности: Очки-детективы

10/04/2018

https://www.itweek.ru/security/article/detail.php?ID=200367

Утро понедельника выдалось солнечным, да и по всему было видно, что скоро весна. Иоганн медленно шел по парку, любуясь снегом. Было понятно, что скоро все это растает и начнутся весенние дождики. Все вокруг дышало весной.

Вдруг, как всегда некстати, зазвонил мобильный телефон.

— Иоганн, вы как обычно идете через парк? Машина ждет вас у выхода из парка.

— Что случилось?

— Приедете, расскажу.

Вот и кончилось доброе утро. Началась работа.

Через полчаса Иоганн уже заходил в здание департамента по борьбе с наркотиками.

— Доброе утро, Иоганн!

— Знаете, если утро начинается с того, что вы звоните мне еще до работы, то, наверное, оно не сильно доброе. Или в крайнем случае, ближайшая неделя будет сильно хлопотной. Так что случилось?

— К нам едет наркокурьер. Вернее, двое. Приедут поездом. Фотографии их у нас есть, а имен нет. Знаем только, что приедут на центральный железнодорожный вокзал. Несмотря на то, что на вокзале полно видеокамер, но средствами распознавания лиц оборудованы далеко не все. Очень боимся упустить. Может поможете?

— Сколько у нас времени на подготовку?

— Пара недель.

— Хорошо. Попробуем.

Прошло два часа.

— Макс, что-то посоветуешь?

— Конечно. Компания G выпустила «умные» очки. Для быстрой проверки личностей ими можно вооружить полицейских. Данные будут передаваться на их смартфоны, где они будут обрабатываться и сопоставляться с правительственными записями для проверки. Кроме того, камера очков может записывать видео в разрешении 1080p.

— Кажется, это именно то что нужно. Теперь нам нужно получить такие очки, но под это еще нужно выбить бюджет.

— Шеф, все просто до безобразия. Составляем договор о тестовом применении и говорим, что по результатам испытаний будем принимать решение о закупке таких очков для всех транспортных подразделений империи.

— Так и сделаем.

Прошла неделя.

— Господин канцлер, тестовое применение очков показало изумительные результаты. Только за первые два дня нами были задержаны семеро находящихся в розыске.

— Ваш департамент, Иоганн, начинает мне казаться волшебниками. Что у вас не попроси, тут же оказывается возможным. Передайте благодарность императора вашим сотрудникам!

Вы думаете, такие очки — это вопрос отдаленного будущего? Вы не правы. Уже сегодня подобные устройства применяет китайская полиция!


Сказки о безопасности: Bluetooth-cейф

06/04/2018

https://www.itweek.ru/security/article/detail.php?ID=200339

— Доброе утро, Иоганн!

— Доброе утро, Мари! Что случилось?

— Вам звонили из столичной полиции, просили как можно скорее перезвонить.

— Спасибо!

— Привет, Вилли! Что случилось на этот раз?

— У нас новое уголовное дело. Взломали оружейный сейф в квартире господина Д. Сейф не простой, а с дистанционной разблокировкой. Разберетесь?

— Конечно, Вили, постараемся!

Прошла неделя

— Шеф, думаю проблема в том, что сейф позволяет пользователям ввести PIN-код как с панели на самом сейфе, так и через приложение на смартфоне. Перед разблокировкой сейфа приложение должно быть сопряжено с ним по протоколу Bluetooth, причем допускается неограниченное количество попыток сопряжения. Код сопряжения совпадает с кодом разблокировки сейфа. Таким образом, злоумышленник может подключиться к сейфу с помощью стороннего ПО и взломать его посредством брутфорс-атаки.

— Понятно, Рита! Думаете, злоумышленник получил доступ таким образом?

— Мало того, Иоганн! Мы обнаружили уязвимость в процессе разблокировки сейфа с помощью мобильного приложения. Когда мобильное приложение отправляет сообщение о разблокировке вместе с PIN-кодом сейф не проверяет правильность кода и снимает блокировку, если сообщение поступает с сопряженного телефона.

— И что вам удалось выяснить?

— В сейфе также отсутствует какое-либо шифрование при обмене данными с мобильным приложением, несмотря на то, что производитель заявляет о наличии шифрования с длиной ключа 128. В результате приложение передает PIN-код сейфа в незашифрованном виде, позволяя находящемуся в непосредственной близости злоумышленнику перехватить трафик Bluetooth и извлечь код. Затем он может подключиться к сейфу и разблокировать устройство даже после того, как владелец изменил PIN-код, так как сейф не проверяет код.

— Ого! И это оружейный сейф?

— Да! Мало того, именно в таких сейфах рекомендуется хранить оружие.

— Вили, вы все поняли?

— Спасибо, Иоганн! Мы подозревали что вы можете нам помочь, но не думали, что так быстро!

Исследователям кибербезопасности из компании Two Six Labs удалось взломать оружейный сейф VT2oi компании Vaultek с поддержкой соединения по Bluetooth.


Задумался…

05/04/2018

Следует признать, что подготовка специалистов в области безопасности должна начинаться со школы. И чем умнее и талантливее учителя, тем выше престиж работы. Чем лучше учителя, тем лучше будут подготовлены кадры. Мораль проста. Хотите обеспечить безопасность — учитесь! Учитесь и учите, иначе так и будете использовать неизвестные продукты и технологии, в которые ваши конкуренты вполне смогут разместить всевозможные закладки. А вы об этом и знать-то не будете.

_______________________________________________________________________________

Давно необходимо понимать, что учить безопасности должны свои специалисты. Хороший безопасник и хороший преподаватель ИБ зачастую совершенно разные люди. Преподаватели товар штучный, поэтому к ним и относиться нужно соответствующим образом. Боюсь только такое счастливое будущее это просто сказка.