Самый популярный запрос на блоге.

14/03/2017

Самый популярный запрос на моем блоге «Шифрование устройств под Android». Причем чаще всего пользователи лезут читать уже после того, как зашифровали свое устройство, наигрались и решили расшифровать. А вот тут начинаются чудеса.

Интересно, до того, как начать шифрование, пользователь задумывается о том, что шифрование в Android, как минимум, неудобно? А кроме того, думают ли они что нужно сделать резервную копию в случае шифрования? И потом обновлять ее регулярно? Боюсь нет. Ведь сообщение о том, что чаще всего для расшифровки нужно сбросить устройство в заводские настройки повергает пользователя в шок.

Очень хотелось бы чтобы те, кто решают внедрять шифрование, десять раз подумали, а нужно ли им это и что они будут делать если нужно будет расшифровать устройство. А если, не дай Бог, утерян ключ шифрования, тогда как?


Общительный телевизор

14/03/2017

https://www.pcweek.ru/security/blog/security/9426.php

Однажды вечером вдруг заметил, что мой телевизор, Samsung UE40ES8000, купленный несколько лет назад, самостоятельно включился и начал издавать звук, как будто переключаются контакты реле. Я запретил Wi-Fi-роутеру принимать сигнал от телевизора и тем более отдавать его наружу. Счастье было так близко, но… После очередного обновления все повторилось. Просматривая логи своего роутера убедился, что телевизор снова без моего ведома лезет в Интернет. Проверив IP-адреса, обнаружил что сервера расположены как в США, Корее, так и в России.
Вывод?
Думаю, что мне скоро это надоест и телевизор я сменю. А вы готовы к такому самостоятельному поведению телевизора?


Сказки о безопасности: Притча о жабе и скорпионе

14/03/2017

http://www.pcweek.ru/themes/detail.php?ID=193084

Как-то в пятницу вечером после удачной рабочей недели ближайшие сотрудники Иоганна собрались в баре «У реки». В последнее время там подавали изумительное пиво со свежими вареными раками, которые тут же в реке ловил сын владельца бара.

— Иоганн, а почему ты отказался взять на испытательный срок Алекса?

— Это парня, которого судили за взлом банка?

— Да.

— Проблема в том, что я не буду брать к нам больше «перевоспитанных» хакеров. С меня хватит проблем Елены. Помните ее?

— Нет, ее повторно судили еще до моего прихода. Это разве что Майкл помнит или Рита.

— Я помню, — отозвался Майкл, — Славная была девчонка. Умница. Но кто мог подумать, что она захочет похитить наш арсенал? И даже попробует его продать! Помнишь, Иоганн?

— Конечно помню. Это был единственный раз, когда мне пришлось стрелять. Еще бы не помнить. Вот поэтому и не верю я в перевоспитание. У человека нашей профессии должна быть не только голова на плечах. У него должен быть моральный стержень! Ведь мы слишком много знаем и умеем. И потому лучше не сомневаться, на чьей стороне твой напарник.

А ситуация с Еленой напомнила мне старую сказку о жабе и скорпионе.

— Это та, где жаба переплывает реку со скорпионом на спине и думает, укусит он ее или нет?

— Да. Помните, чем закончилась сказка?

— Да. Скорпион ее все же укусил, сказав при этом, что несмотря на всю его признательность жабе, спасшей его от смерти, он не может ее не укусить. У него натура такая. Вот потому я и не беру бывших злоумышленников на работу к нам. Кто его знает, когда у них снова натура проявится?

А вы бы взяли в службу безопасности бывшего хакера? Вопрос не простой! Ой, совсем не простой! Ведь предавший раз легко предаст второй! Не так ли?


Сказки о безопасности: Вредоносная зарядка

14/03/2017

http://www.pcweek.ru/themes/detail.php?ID=193077

— Марк, к нам обратились из налоговой службы.

— Чем мы можем им помочь?

— Им нужно получить сведения из ресторана быстрого обслуживания М, расположенного на 16-й улице.

— Да пусть организуют выезд своих оперативников и просто заберут у них жесткие диски.

— Этот вариант не подходит.

— Шеф, а давайте я воспользуюсь своим арсеналом?

— То есть?

— Ну вспомню свою бурную молодость. Я ведь в прошлом тоже подрабатывал взломом. Вам ли этого не знать? Вы ж вытащили меня из заключения.

— А конкретнее?

— Давайте я вам расскажу, и мы подумаем можно ли это применить?

Рассказ Марка

Это было еще во время моей студенческой молодости. Я на спор пообещал заразить трояном компьютер в забегаловке недалеко от дома. Ничего особо страшного, но проблема была в том, что компьютер работал без выхода в Интернет. И вот что я сделал.

Как-то холодным зимним вечером я зашел туда выпить кофе. Я перед этим регулярно заходит туда уже пару недель и меня там знали. В этом кафе можно было расплатиться с помощью телефона.

Когда я выпил кофе и хотел, как обычно расплатиться со смартфона, то обнаружил что на нем от холода села батарея.

— Эй, Стив, у меня проблема. Села батарея от холода, а зарядки нет.

— А что есть?

— Да ничего. А у вас зарядить можно? Минут 10 хотя бы. Я бы и расплатился потом.

— Легко. Давай смартфон.

Я отдал смартфон, и Стив подсоединил его именно к тому компьютеру, который я и хотел заразить. Спор я выиграл, а потом сам же подрабатывал в этом кафе, регулярно присматривая за их компьютерами.

— Хорошая идея, Марк. Только пойдешь не ты, а пошлем Мишель. Милая блондинка, хлопающая длинными ресницами, гораздо проще провернет это дело. Согласен? А то она засиделась в офисе.

— Согласен! Пусть попробует себя в роли полевого игрока.

Руководство налоговой службы осталось довольно.

А вы, надеюсь, не позволяете своим сотрудникам, а тем более гостям, использовать ваши компьютеры для подзарядки? Уверены?


Сказки о безопасности: Тайна приложений

14/03/2017

— Иоганн, завтра вас просит приехать на беседу император. Подчеркнули. Именно просит на беседу, а не на доклад. Вас ждут в зимнем саду дворца. О времени сообщат дополнительно.

Настало утро. Беседа с императором не внушала особой тревоги. Ничего срочного на работе не ожидалось, так что во дворец Иоганн ехал практически ни о чем не волнуясь.

— Добрый день, Ваше величество!

— Добрый день, Иоганн!

— Мы с вами уже неоднократно говорили о тайне личной жизни. Вы в прошлый раз говорили, что положение с безопасностью мобильных устройств постепенно улучшается. Можно ли сказать, что люди могут доверять своим мобильным устройствам?

— Увы, нет, Ваше величество!

— Почему?

— На то есть несколько причин. Во-первых, количество смартфонов под управлением последней ОС пока не превышает 1% и растет весьма и весьма медленно. Я уже докладывал на имперском совете о проблемах с обновлениями.

А во-вторых, гораздо большую проблему представляют приложения. Ведь чаще всего данные о пользователях собираются именно с использованием недокументированных функций различных мобильных приложений. Иногда это делается для выявления привычек владельцев и дальнейшего улучшения качества услуг. В других случаях на основании собранной информации пользователю показывается тематическая реклама или делаются другие коммерческие предложения. Порядка 30% бесплатных приложений, проверенных в результате теста, замечены в попытках передачи данных или попытках заражения.

— И что вы думаете по этому поводу? Мы ж не можем запретить все эти смартфоны?

— Безусловно не можем, но вот обучать – вполне. Только вот получится или нет, я не знаю!

А вы как думаете? Сможем ли мы обуздать этот вал шпионажа?


Сказки о безопасности: Тайна приложений

14/03/2017

— Иоганн, завтра вас просит приехать на беседу император. Подчеркнули. Именно просит на беседу, а не на доклад. Вас ждут в зимнем саду дворца. О времени сообщат дополнительно.

Настало утро. Беседа с императором не внушала особой тревоги. Ничего срочного на работе не ожидалось, так что во дворец Иоганн ехал практически ни о чем не волнуясь.

— Добрый день, Ваше величество!

— Добрый день, Иоганн!

— Мы с вами уже неоднократно говорили о тайне личной жизни. Вы в прошлый раз говорили, что положение с безопасностью мобильных устройств постепенно улучшается. Можно ли сказать, что люди могут доверять своим мобильным устройствам?

— Увы, нет, Ваше величество!

— Почему?

— На то есть несколько причин. Во-первых, количество смартфонов под управлением последней ОС пока не превышает 1% и растет весьма и весьма медленно. Я уже докладывал на имперском совете о проблемах с обновлениями.

А во-вторых, гораздо большую проблему представляют приложения. Ведь чаще всего данные о пользователях собираются именно с использованием недокументированных функций различных мобильных приложений. Иногда это делается для выявления привычек владельцев и дальнейшего улучшения качества услуг. В других случаях на основании собранной информации пользователю показывается тематическая реклама или делаются другие коммерческие предложения. Порядка 30% бесплатных приложений, проверенных в результате теста, замечены в попытках передачи данных или попытках заражения.

— И что вы думаете по этому поводу? Мы ж не можем запретить все эти смартфоны?

— Безусловно не можем, но вот обучать – вполне. Только вот получится или нет, я не знаю!

А вы как думаете? Сможем ли мы обуздать этот вал шпионажа?


Сказки о безопасности: Беседа

14/03/2017

— Иоганн, завтра вас просит приехать на беседу император. Подчеркнули. Именно просит на беседу, а не на доклад. В 12-00 вас ждут в зимнем саду дворца.

— Хорошо. И не планируйте мне на завтра ничего. Я не знаю сколько продлится наша встреча. Ведь меня впервые приглашают на беседу.

На следующий день уже в 11-30 Иоганн был во дворце. Он весь вечер терзал себя сомнениями. О чем с ним хотел беседовать император, но так ничего и не придумал.

— Добрый день, Ваше величество!

— Добрый день, Иоганн. Я специально пригласил вас именно в зимний сад. Вы сдали на входе ваш мобильный телефон?

— Нет, Ваше величество! Я просто не брал его с собой в эту поездку.

— Умное замечание! С вами приятно иметь дело. Вы все понимаете с первого слова. Я пригласил вас именно в сад, так как здесь дворцовая охрана ежедневно все проверяет на наличие подслушивающих устройств, да и беседуем мы с вами у дворцового фонтана.

— К чему такая секретность?

— Я не хотел бы чтобы наш разговор кому-то стал известен. Тема нашего с вами разговора – приватность. Тайна личной жизни. Не так давно вы утверждали, что приватности больше нет. И я согласен с вами. Но как быть? Вы что-то можете посоветовать?

— Как я уже говорил, все высшие чины империи, а, наверное, не только высшие, должны использовать аппаратные шифровальные устройства для переговоров. Причем то же самое будет относиться к членам их семей. Да-да. Вплоть до детей. Почему? Да потому что любые переговоры с семьями могут быть использованы для компрометации. Ведь сегодня так легко подделать голос. А потом доказывать, что вы этого не говорили? Может и сможете доказать, но, если это попадет в прессу, осадок в любом случае останется, а это ущерб репутации, несмываемое пятно.

— Хорошо, о разговорах понятно. А как быть с электронной почтой?

— Здесь все немного проще. Вся электронная почта должна подписываться и шифроваться. Естественно, это касается служебных переговоров в первую очередь, ну а во вторую, шифроваться должны все письма членов семей. Снова-таки для предотвращения фальсификации либо попыток шантажа.

— Вы понимаете, что, во-первых, это будет стоить денег и немалых, а во-вторых этому придется их всех учить? Что опять-таки стоит денег?

— Согласен. Но куда больше будет стоить потеря репутации империи. Ведь дискредитировать можно кого угодно, вплоть до вас, Ваше величество. А вернуть репутацию практически невозможно. Это будет стоить гораздо дороже. Ну и последнее. Потребуется широкая кампания в СМИ, чтобы заставить и обучить людей внимательному обращению с собственными данными. Да, еще раз подчеркну, это стоит денег. Но нужно.

— Согласен. А стоит ли ввести в школах на уроках программирования специальный курс по информационной безопасности?

— Безусловно. Причем с первого класса школьникам нужно пояснять что и как. Правда тут еще бы кто учителей научил… Может потребуются специальные мультфильмы, комиксы, сказки в конце концов. Но что-то нужно делать. Причем начинать нужно еще вчера.

— Иоганн, в вашем подразделении создается специальный отдел. Его работой будет создание программ обучения, ведение семинаров, выступления на ТВ. Это подразделение будет общественно открытым, но подчиняться вам. Да. Формально оно не будет связано с вами. Это скорее всего будет отдельный институт или благотворительный фонд. Но работать они будут с вами. Спасибо за беседу и идеи. О том, что это фонд фактически работает на вас буду знать только я. Остальным директорам департаментов это пока ни к чему. Еще раз спасибо и до свидания, Иоганн!

— До свидания, Ваше величество!

Кто-то может заметить, что такой разговор мог бы состояться только в сказке и, наверное, будет прав. Но учить нужно. Давно нужно. Верно?