Сказки о безопасности

02/03/2017

Том 1 https://ridero.ru/books/skazki_o_bezopasnosti/
Том 2 https://ridero.ru/books/skazki_o_bezopasnosti_1/
Том 3 https://ridero.ru/books/skazki_o_bezopasnosti_2/
Том 4 https://ridero.ru/books/skazki_o_bezopasnosti_3/
Том 5 
https://ridero.ru/books/skazki_o_bezopasnosti_4/
Цифровая гигиена
https://ridero.ru/books/cifrovaya_gigiena/

 

 

reclama

Реклама

Утечка в Statoil из-за сервиса онлайн переводов.

17/11/2017

Используя простой поиск Google, исследователи нашли множество конфиденциальной информации норвежского нефтяного гиганта Statoil, переведенной с помощью сайта Translate.com.

С использованием поисковых запросов Google были обнаружены уведомления об увольнении, планы сокращения рабочей силы и аутсорсинга, пароли и контракты.

На самом деле этого следовало ожидать. Как работает бесплатный онлайн-перевод? Каждое введенное вами слово сохраняется в общедоступном облаке для последующей коррекции перевода всеми желающими, которым может не понравится качество машинного перевода. Кроме того, это облако индексируется поисковыми машинами типа Google.

Следует отметить, что у сервиса Translate.com есть корпоративная версия переводчика, не использующая публичное облако. Однако, сотрудники компании Statoil переводили конфиденциальные документы при помощи бесплатного публичного сервиса.

Недавно произошла похожая утечка, когда файл с данными Министерства здравоохранения и социальных служб штата Мэн загрузили на бесплатный сайт сравнения файлов.

Но ведь бесплатные сайты переводов никогда не были безопасным способом перевода. А платить особо никто не стремится.

Ну так что? Бесплатно или безопасно?

Автор: Владимир Безмалый

https://www.devicelock.com/ru/blog/3086.html

 


Сказки о безопасности: Автомобиль эры смартфонов

17/11/2017

─ Шеф, доброе утро! Как вы относитесь к широкой интеграции электронного управления в автомобили?

─ Карл, ваши вопросы всегда с подвохом! Признавайтесь, что вы нашли в этот раз?

─ Ну… Так не интересно!

─ И все же?

─ Да что говорить? Нашел что в новый автомобиль собираются вставлять систему управления с помощью смартфона.

─ Погоди, а что они говорят о шифровании канала? О том, кто и как генерирует ключи шифрования? А если хозяин потеряет смартфон? Как перенести настройки? Как в конце концов хозяину доказать, что именно он законный владелец этого автомобиля?

─ Да не знаю я, шеф!

─ Хорошую ты загадку задал. Нужно обращаться в фирму-изготовитель.

Прошло полгода.

─ Шеф, как я и говорил, вышел-таки автомобиль с управлением через смартфон. И более того, автосалон привез в столицу такое авто. Сейчас мы можем «полазить» по нему и попробовать что это.

─ Вот теперь это твоя задача! Карл, ты же помнишь, что у нас как в армии — инициатива наказуема?

─ Помню, потому и сказал об этом. Интересно же, аж руки чешутся. А прелесть нашей работы в том, что можно удовлетворить свое любопытство за казенный счет.

─ Ну ты молодец! Только не затягивай, у нас и своей работы полно.

Прошло две недели.

─ Шеф, готов доложить! Итак, система представляет собой телематическую платформу, с помощью которой можно удаленно отпирать и запирать двери машины, включать фары, узнавать температуру в салоне, проверять запас топлива и заряд аккумулятора, управлять штатной сигнализацией, а также системой автозапуска.

─ То есть фактически, обладая мастер-ключом к системе и установив приложение, а также зная индивидуальный номер авто, который можно узнать у продавца, вы сможете всем этим управлять?

─ По идее так.

─ Вы понимаете, что это находка для злоумышленника?

─ Ну почему же только для злоумышленника? Для полиции тоже.

─ Даже не знаю, что и сказать? Себе я такое ставить не буду, а вы Карл?

─ Безусловно нет. Ни себе ни жене. И вам не советую.

А вы готовы ко все большему вмешательству в вашу жизнь? Или тоже считаете, что удобство в первую очередь, а безопасность когда-то потом? Вы думаете это удаленное будущее? Нет! «АвтоВАЗ» планирует внедрить на своих моделях систему дистанционного управления. С помощью смартфона можно будет запускать двигатель и контролировать параметры автомобиля.

https://www.itweek.ru/security/article/detail.php?ID=198686


Сказки о безопасности: Телефонное мошенничество

16/11/2017

— Доброе утро, шеф!

— Доброе утро, Софи! Что у вас вид какой-то озабоченный?

— С утра соседка озадачила, пытаюсь понять, что у нее случилось.

— А что произошло?

— У нее дочь — студентка местного университета. Говорит, что кто-то незаконно использует ее банковский счет.

— А что конкретно произошло?

— В социальной сети ее университета некто предлагает всем желающим заработать по 50 империалов в обмен на заключение договора с оператором связи на покупку контрактного смартфона последней модели. В основном на это клюют студенты, желающие заработать легкие деньги.

— Но ведь это противозаконно?

— Своим жертвам мошенники говорят, что не совершают ничего противозаконного, а всего лишь используют юридические лазейки для получения выгоды.

— Что-то тут не то. Предлагаю вам подключиться к этой сети и заключить с ними договор. Посмотрим, что будет.

Прошла неделя.

— Шеф, получилось. Схема следующая. С человеком заключается контракт, злоумышленники получают привязанный к сети оператора смартфон с договором обслуживания. Затем договор с оператором расторгается, но вместо оригинального смартфона человеку по почте отправляется дешевая подделка. Оригинальный смартфон разблокируется и продается за рубежом.

— Пора подключать полицию и искать потерпевших.

— Шеф, мало того, преступники регистрировали на студентов вымышленные фирмы. Таким образом они получали еще больше смартфонов.

— Н-да, снова убеждаюсь, что нельзя гоняться за дешевизной.

В Великобритании осуждена преступная группа из семи человек. Около года она зарабатывала, используя персональные данные сотен человек. Мошенническая схема затронула ряд операторов связи, ущерб составил более 2 млн. фунтов стерлингов, передает радиостанция Leading Britain’s Conversation.

https://www.itweek.ru/security/article/detail.php?ID=198659


Сказки о безопасности: Ограбление ювелирного

15/11/2017

Утро понедельника выдалось сырым и ветреным. Иоганн медленно шел через парк на работу. Но вот и здание департамента интеллектуальных преступлений. Пришел наконец-то. Было не столько холодно, сколько мерзко. Зима все сильнее вступала в свои права.

— Доброе утро, шеф!

— Доброе утро, Софи! Что у нас хорошего?

— У нас гости!

— Кто?

— К вам едет начальник столичной полиции. Он звонил, что особых дел нет и хотел просто встретиться с вами и поговорить.

— Софи, знаю я его «поговорить». Предупреди Марка и Риту, чтобы никуда не отлучались. Он никогда не приезжает просто так. Снова у них неприятности. Чувствую, что нам везут новую работу.

Прошло полчаса.

— Вилли, доброе утро! Что привело вас ко мне? Софи сказала, что вы приехали просто так? Но что-то мне верится в это с трудом.

— Иоганн, увы, вы как всегда правы. У нас сложное дело об ограблении, и мы не понимаем с какой стороны приступать.

— Что случилось?

— Предлагаю пригласить ваших спецов и заодно мы попробуем миндальный торт, который я привез для ваших очаровательных Софи и Риты.

— Только для них?

— Ну а для нас я привез изумительный кофе и прекрасный ликер к нему.

— Н-да… Здорово вас зажало, однако. Софи, будьте добры, приготовьте кофе, который привез Вили, и пригласите Марка и Риту. И сами не забудьте зайти. Кажется, тут хватит работы всем.

Прошло минут десять.

— Вилли, рассказывайте!

— У нас произошло странное ограбление на 15-й улице. Был ограблен ювелирный магазин.

— А что странного?

— Да то, что в этом магазине есть и сигнализация, выведенная на полицейский участок и сейф, в который складывается по окончании рабочего дня вся ювелирная продукция. И все это было вскрыто. Причем шифр сейфа знает только владелец. Он никогда никому не доверяет закрывать магазин.

— А видеокамера там есть?

— Конечно! И хранятся все записи за последние три месяца.

— Таким образом, там может быть снято и само ограбление?

— Да. Но лиц там нет, увы. Зато четко видно, что преступники отключают сигнализацию и вводят шифр сейфа.

— Странно. А какие камеры там стоят?

— Цифровые камеры фирмы Р. Они передают изображение по шифрованному каналу сразу в облако.

— Заинтриговали вы нас. Марк, возьметесь с Ритой поглядеть?

— Шеф, я тоже хотела бы поучаствовать в этом деле, тем более что на прошлой неделе нашла очередной сайт, позволяющий находить открытые IP-камеры. Может и тут забыли сменить пароль по умолчанию?

— Хорошо. Вилли, нам потребуется несколько дней и думаю мы сможем вам помочь.

Прошла неделя.

— Вилли, заезжайте в гости. Как у вас с ограблением ювелирного?

— Есть новости. Приеду, расскажу.

— Приезжайте, у нас тоже есть новости.

Прошел час.

— Иоганн, мы смогли задержать одного из грабителей. Он сказал, что шифр от сейфа и ключи сигнализации они получили от хакера по кличке «Длинный».

— Ну вот и славно. А мы готовы рассказать, как их получил этот хакер.

— И как?

— Да все просто. Хозяин, устанавливая видеокамеры, забыл сменить пароль по умолчанию. А «Длинный» увидел эти камеры на сайте, о котором говорила Софи. В ходе наблюдения за магазином он подглядел шифр, который набирает владелец магазина. Увы, все просто.

А вы прикрываете клавиатуру рукой, когда набираете код? Меняете пароли по умолчанию? Или надеетесь на «авось»?

Сайт Insecam предупреждает беззаботных владельцев веб-камер: не забудьте поменять у своей камеры заводской пароль, иначе вас увидит весь мир. Новый ресурс в Интернете передает потоковое видео с десятков тысяч камер безопасности, установленных по всему миру, без ведома их владельцев, сообщает канадская телекомпания CBC News.


Некорректно настроенные серверы Amazon S3 и проблема целостности данных

14/11/2017

Оригинал статьи

Некорректно настроенные серверы Amazon S3 могут использоваться хакерами для осуществления скрытых атак «человек посередине» (Man in the Middle, MitM).

По сообщению исследователей из компании Skyhigh Networks атакующие могут искать в интернете некорректно настроенные серверы Amazon S3, владельцы которых не ограничили возможность записи. Такая техника атаки получила название GhostWriter. Обнаружив такой сервер, злоумышленник может заменить оригинальный файл другим. На мой взгляд, несмотря на то, что по словам исследователей, данная атака может использоваться для внедрения эксплойтов, проблема будет даже не в том, что это будет вредоносная версия. Гораздо большей проблемой будет подмена документа. Ведь доказать его целостность и оригинальность будет можно лишь в случае наличия цифровой подписи. А здесь возникает вопрос. Все ли документы, помещаемые в облако, подписываются? Сильно сомневаюсь. А доказать то что это не оригинальные образцы без подписи будет весьма сложно.

Согласно данным Skyhigh Networks, более 1,6 тыс. или 4% серверов Amazon S3 уязвимы к атакам GhostWriter. Ранее исследователи сообщили, что 7% серверов Amazon S3 доступны в интернете и позволяют просматривать их содержимое.

А вы готовы к атакам на подмену ваших документов? А то и на их модификацию? Уверены? Я – нет!

Автор: Владимир Безмалый


Сказки о безопасности: Диверсия с документацией

14/11/2017

— Доброе утро, шеф! Вам звонят из городской мэрии.

— Доброе утро, Софи! Спасибо, соединяйте.

— Иоганн, по поручению императора ваши специалисты включаются в комиссию, которая будет участвовать в расследовании по факту обрушения торгового центра в столице. Вы же знаете, что две недели назад упало здание торгово-развлекательного центра? При этом погибли люди.

— Конечно знаю. Но причем тут наш департамент? Мы ж не имеем никакого отношения ни к строительству, ни, тем более, к расследованию ошибок в строительстве.

— Безусловно! Но вчера на мой служебный электронный адрес пришло письмо от имени непонятной группы террористов. Они заявили, что это первая диверсия в столице и если мы не перечислим им 10 млн. империалов, то будут следующие.

— Но ведь полиция уже разбиралась и выяснила, что причиной разрушения здания была ошибка, допущенная при строительстве.

— Все не так просто. В ходе следствия было выявлено, что при передаче строительной документации подрядчику была допущена ошибка в проекте. Вместо бетона марки А использовался бетон марки В. Именно это и послужило причиной обрушения после того, как в ТРЦ был сдан бассейн. Причем в документации проекта все было написано верно, проектная документация передавалась через облачное хранилище компании А. НО! В итоговых файлах был уже прописан бетон другой марки.

— Как это стало возможным?

— Именно поэтому и привлекаются ваши специалисты.

Прошло две недели.

— Итак, господа, как выяснили специалисты департамента интеллектуальных преступлений, документация была изменена уже в облачном хранилище. Увы, серверы облачных хранилищ фирмы А были некорректно настроены, владельцы не ограничили возможность записи. Обнаружив такой сервер, злоумышленники смогли заменить оригинальные файлы документации, что и привело к обрушению. В свою очередь, компания, проектировавшая ТРЦ, не использовала электронную подпись для обеспечения неизменности файлов. Таким образом, имеется двойная халатность. Именно это и привело к тяжелой аварии и гибели людей. Сколько еще таких объектов возведено с нарушениями, мы не знаем. Это предстоит выяснить.

— Погодите, Иоганн! Получается, фактически злоумышленники создали целое множество подобных объектов и сейчас мы должны расплачиваться за это.

— Именно так! Я настаиваю на проверке соответствия всех комплектов документации, передаваемой через облако. А впредь на внедрении электронной подписи! В обязательном порядке!

— Но ведь это огромное количество работы!

— А кроме того, на приостановке всех строящихся объектов до окончания проверки!

— Но ведь это сроки и деньги!

— На другой чаше весов люди и жизни! Я буду докладывать императору! Думать нужно было раньше! Теперь нужно выкарабкиваться!

Согласно данным Skyhigh Networks, более 1,6 тыс., или 4% серверов Amazon S3 уязвимы к атакам GhostWriter: атакующие находят в Интернете некорректно настроенные серверы Amazon S3, владельцы которых не ограничили возможность записи. Обнаружив такой сервер, злоумышленник может заменить оригинальный файл другим. Ранее исследователи сообщили, что 7% серверов Amazon S3 доступны в Интернете и позволяют просматривать их содержимое.

А вы готовы к атакам на подмену ваших документов? А то и на их модификацию? Уверены?

https://www.itweek.ru/security/article/detail.php?ID=198633


Сказки о безопасности: Проверка боем

13/11/2017

— Доброе утро, шеф! Вам звонят из канцелярии императора.

— Доброе утро, Софи! Спасибо, соединяйте.

— Иоганн, по поручению императора, ваши специалисты (по вашему выбору) включаются в комиссию, которая будет проверять наше главное разведывательное управление на предмет соблюдения режима секретности.

— Оп-па! А мы-то тут причем? Да и пустят ли нас военные на такую проверку?

— Как раз потому что пускать не захотят, император и поручил вам этим заняться. Тем более что новый руководитель управления встречает прямое противодействие в деле создания у себя структуры, подобной вашей. Именно он и просил включить вас в проверку.

— Понятно. Главное, чтобы не сильно мешали.

— А вы и не будете там появляться. Ваше дело посмотреть, что у них и как так сказать «снаружи». О вашей деятельности будет знать только их командир.

— Понятно! Как обычно, мы есть, но нас нет.

— Все верно! «В темноте, в тишине, без наград, на благо империи!»

— Понятно. Придется вспоминать наши навыки взлома.

— Ну что вы, Иоганн! Я не могу официально отдать вам такой приказ.

— Ну естественно. Все неофициально. Мы привыкли. Ладно, когда начинать?

— Уже.

Прошло две недели.

— Господин канцлер, я прошу вас лично приехать к нам в департамент. Увы, данные, которые мы хотим вам представить, мы не можем доверить даже курьеру. Да-да, все именно так серьезно и так печально.

— Буду у вас через час. Командира управления пригласить?

— Да. Мы решили, что лучше, чтобы его пригласили вы. Уж очень большое это будет потрясение для него.

Прошло два часа.

— Добрый день, господин канцлер! Здравствуйте, господин генерал! Как вы знаете, нам было поручено провести негласную проверку вашего управления. Мы решили начинать не с вашей ИТ-системы, так как уверены в ее защите. Как всегда, мы считали и считаем, что самое опасное звено, впрочем, и самое слабое тоже, увы, человек. Потому решили начать с людей.

— И что вы нашли?

— Вот список домашних адресов сотрудников вашего центрального управления, список школ, в которых учатся их дети, адреса работы их жен. Можем даже представить адреса дач.

— И как вы это получили?

— Все достаточно просто. У нас были фамилии и имена ваших сотрудников. Пробили их по базам мобильных операторов, по социальным сетям. Отследили их мобильные телефоны. Ну и EXIF-коды фотографий в социальных сетях.

— Ого!

— Увы, это не все! По фотографиям и записям в социальных сетях мы смогли восстановить адреса и номера воинских частей, в которых служат ваши офицеры.

— Иоганн, что делать?

— Что делать? Запретить вашим военнослужащим публиковать любые фотографии в социальных сетях. Ввести специальные курсы по персональной информационной безопасности. Ввести специальные должности офицеров по ИБ. Короче, нужно учить людей! А я буду докладывать об этом на коллегии императора!

А вы понимаете, что сегодня ваши персональные данные уже давным-давно не ваши? И совсем даже не персональные! Задумайтесь об этом!

https://www.itweek.ru/security/article/detail.php?ID=198615