Сказки о безопасности: Камера в квартире

22/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192715

— Доброе утро! Мне нужен дежурный! Я хочу оставить заявление. Мне прислали мои фотографии в не совсем одетом виде. У меня в квартире стоит камера видеонаблюдения, но эти фото я не делала.

Перед дежурным по городскому управлению криминальной полиции стояла молодая симпатичная женщина. У нее был заплаканный вид.

— Можно подробнее? Что случилось, мисс?

— Вчера мне пришло письмо с требованием выкупа. Иначе злоумышленник грозится опубликовать эти фото.

— Понятно. Вы привезли ваш компьютер с собой?

— Нет. Письмо пришло на мой телефон. Он у меня с собой.

— Хорошо. Сможете его оставить нам?

— Да, безусловно.

Через час в департаменте интеллектуальных преступлений раздался звонок.

— Иоганн? Это Краузе, руководитель столичной полиции. Нам нужна ваша помощь в связи с делом о взломе камеры видеонаблюдения.

— Понимаю. На днях в Интернет уже появились сообщения о взломах IP-камер с последующим распространением видеоматериалов с них за деньги. Вообще-то такими новостями уже сложно кого-то удивить, но в данном случае взломана домашняя камера. И девочке просто нужно помочь.

— Карл, разберешься?

— Хорошо, шеф!

Прошел день.

— Иоганн, установленная в квартире камера имела доступ в Интернет. Она была предназначена для слежения за помещением в то время, когда девушка уходила на работу. Для доступа к камере использовался веб-интерфейс. Проблема в том, что пароль, установленный разработчиками по умолчанию, был достаточно простым, а изменить его никому не пришло в голову.

— Вы отследили взломщика?

— Да. Он достаточно слабенький и мы отследили его адрес. Группа уже выехала, а девушке стоит сказать, что пароли по умолчанию нужно менять сразу же.

Прошло еще два часа.

— Курт, ты не ошибся? Вот этот ребенок и есть наш взломщик?

— Да, шеф! Увы, ему всего 13 лет, и мы не можем его судить. Придется выпускать.

— Но как?

— А вот так. Мальчишка начитался информации, начал искать скрипты и попытался их использовать. Вот и все.

— Ну что ж. Посоветуйте его родителям занять его чем-то полезным. А то через год он вполне может загреметь в тюрьму для несовершеннолетних.

А вы всегда меняете пароли по умолчанию? Или предпочитаете надеяться, что вас не станут ломать? Я бы так не надеялся.


Сказки о безопасности: Скорая помощь

22/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192710

— Иоганн, к вам представители департамента здравоохранения.

— Проведите их, пожалуйста, в конференц-зал.

— Доброе утро, господа. Что случилось?

— У нас проблема, причем мы не понимаем с какой стороны приступать.

— А можно подробнее?

— На прошлой неделе в столице мужчина вызвал скорую помощь для своей бабушки. Ей уже 92 года и у нее заболевание сердца. Когда скорая приехала, у дома уже стоял представитель похоронного бюро. Он приехал туда первым и пришел на квартиру к этой женщине. Представьте себе реакцию внука, вызывавшего скорую!!!

— Да… Такое врагу не пожелаешь!

— Проблема в том, что адрес старушки передали из телефонного центра. Передали по радио. Звонить оттуда не могли никому. Телефон врача мы проверили. С него никто не звонил, но проверьте еще и вы. Хорошо? А то мы не знаем, что и делать.

— Хорошо. Это единственный такой случай?

— Увы, нет. Это уже второй случай. Перед этим такое было неделю назад.

— Бригада на скорой была та же?

— Нет! И район города был другим.

— Хорошо, мы начинаем работать над этим делом. Через неделю надеемся вас уведомить о результатах. Телефон врача вы привезли?

— Да.

Прошло минут двадцать.

— Курт, Рита. У нас проблема. Поручаю ее вам.

— Хорошо.

Прошел час.

— Иоганн, а ведь врач не соврал. Его телефон чист. Более того, мы проверили мобильные телефоны операторов центра, дежуривших в тот день. Они также никому не звонили. Причем в дни, когда случились происшествия, дежурили разные бригады.

— Очень интересно! А как передаются заявки?

— По радио. Причем, увы, по обычному открытому каналу.

— То есть получается, что слушать его может кто угодно?

— Увы, да! Шифрование не применяется.

— Спасибо! Вы хорошо поработали.

Настало утро.

С утра Иоганн поехал в департамент здравоохранения.

— Доброе утро, господа!

— Доброе утро! Чем вы нас порадуете?

— Мы разобрались в проблеме. Я буду докладывать об этом на встрече у императора. Боюсь вам предстоят большие перемены и полная смена средств связи. Увы. Это займет несколько месяцев, а то и год.

Увы, прослушивать радио Скорой помощи, как и полицейское радио, совсем не сложно. А вот мысль о шифровании радиообмена пока никому в голову не пришла. Интересно, а почему?


Сказки о безопасности: Случай на границе

21/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192688

С того времени как на Изумрудной планете появились социальные сети прошло пятьдесят лет. Уже давным-давно привычными стали смартфоны и планшеты, а камеры на улицах настолько примелькались, что их просто перестали замечать. Различная реклама стала ориентированной на конкретного клиента и этому уже никто не удивлялся.

Предприятия давным-давно проверяли записи в социальных сетях при приеме кандидатов на работу. Но настал следующий шаг. Теперь при получении визы в империю стали требовать пароли к социальным сетям. А при пересечении границы просили пароли к ноутбукам, планшетам и смартфонам. Вопросы приватности уже никого не волновали. Все делалось на благо империи.

— Мистер К! Вы пересекаете границу империи уже четвертый раз за год. И все время приезжаете с удаленного острова М, который принадлежит республике К. Почему?

— Я просто там живу. А здесь удаленно работаю. Вот и приезжаю, когда я нужен.

— Мистер К! Предъявите пароль к вашему смартфону!

— Не могу. Это рабочий смартфон. Я работаю в агентстве по космическим исследованиям, и смартфон принадлежит компании. Это нарушение государственной тайны!

— Ничего не знаю! Либо вы предъявите пароль, либо мы вынуждены будем вас арестовать на 48 часов, пока наши специалисты не взломают смартфон. Если они не смогут этого сделать, то мы изымем ваш смартфон, а вас вышлем обратно!

— Но это государственная тайна! Вызовите офицера безопасности!

— Погодите, это не все! У нас есть сведения, что вы принадлежите к террористической организации, планировавшей ракетный удар по столице!

— ???

— Вы три года назад искали в поисковой системе «ракетное топливо»! Зачем это вам, если не для террористов?

— Я с сыном занимался ракетным моделированием. Проверьте сами!

— Хорошо, мы подумаем.

— Но с чего вы взяли, что я террорист?

— А зачем вам книга «Убить президента»? Ведь вы искали ее в течение недели.

— Все верно. Это популярный детектив, и я люблю детективы.

— Хорошо! Проходите! Но смартфон все же придется оставить! А впредь думайте, что и как вы ищете в Интернете!

Такой или приблизительно такой разговор может состояться в ближайшем будущем. Вы к этому готовы? Я — нет!


Сказки о безопасности: Приемные дети

20/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192667

Все чаще шум капели и пение птиц напоминает о том, что скоро-скоро придет весна. И хотя вода и туман на улице доставляют некоторые неудобства, все же скоро весна и это радует.

Так думал Иоганн, идя на работу через парк. Он любил эти 15-20 минут, когда мог остаться наедине с собой, глядя на мокрые деревья и слушая пробуждение весны. Ведь на работе снова ждала работа… Он постоянно думал о том, что нужно бы отдохнуть и снова и снова задумывался о том, а сможет ли он без работы? Наверное, все же нет!

— Иоганн, к вам руководитель отдела собственной безопасности криминальной полиции.

— Просите, Мишель! И принесите нам кофе. Надеюсь любимое печенье с миндалем еще осталось?

— Безусловно, шеф! Я тут купила, и вам достанется.

— Да ладно, я ведь знаю, что вы сладкоежка! Ничего страшного, вашей фигуре такое печенье уж точно не угрожает!

— Добрый день, Иоганн! У нас странное дело. Мы пока сами не знаем, в чем именно нужна ваша помощь. Мы обратили внимание, что один из наших полицейских офицеров чаще других возвращает в тюрьму условно досрочно освобожденных заключенных. Причину пока найти не удалось. Может ваши люди смогут нам помочь, проанализировав данные?

— Хорошо, мы подключим наших аналитиков, но нам потребуется доступ к личным делам этих заключенных и вашего офицера.

— Безусловно.

— Тогда приходите через неделю. Впрочем, если удастся раньше, я вам перезвоню.

— Майкл, кто из ваших ребят займется анализом?

— Думаю этим займутся Анна и Виктор. Они хорошие специалисты по анализу данных.

— Ок, передайте им, что это дело на контроле собственной безопасности, и скажите, что чем раньше мы отделаемся от внимания этого подразделения, тем проще нам будет жить.

— Конечно, шеф!

Прошло три дня.

— Иоганн, есть новости, заслуживающие внимания! Все эти возвращенные в тюрьму были родителями в неполных семьях, и уж очень быстро их дети передавались в приемные семьи. А ведь каждый такой ребенок приносит приемным родителям до 800 империалов прибыли в месяц. Но вот еще что. Как оказалось, практически у каждого такого родителя появлялась ниоткуда еще как минимум пара детей. То есть если в семье был один ребенок, то на бумаге передавались в приемные семьи два, а то и три. Нужно допросить приемных родителей.

— Но ведь в таком случае в картотеку вносились данные на несуществующих детей?

— Верно. Проблема в том, что в детской инспекции данные в картотеку вносит тот же инспектор, который потом решает проблемы усыновления. И никто никогда не проверяет, существуют ли эти дети на самом деле. Оригиналы документов нигде никогда не регистрируются. Только копии. Причем эти копии никогда не подписываются электронной подписью. А еще — мы никогда не знаем кто из инспекторов вносил эти данные. Увы, там до порядка еще далеко.

— Сообщите ваши выводы руководителю внутренней безопасности и попросите его отправить несколько инспекторов к приемным родителям. Попытаемся узнать, с кем они делились выплатами.

— Хорошо. Сделаем сейчас же.

Прошло еще две недели.

— Иоганн, огромное спасибо и от меня лично и от десятков тех, кого мы сегодня освобождаем из тюрем. Виновные понесли наказание. Как мы их выявили, это уже оперативные данные. Вся система усыновления будет пересмотрена, и мы будем просить императора чтобы ваше управление взяло на себя регулярные проверки на уязвимости данного ведомства. Император просил вас представить отличившихся к наградам. Награждать их будет в малом зале для приемов лично император. Вас также просят там быть!

Вот так закончилась данная история. А у вас все данные, вносимые в базы данных, подписываются личной электронной подписью оператора? А при изменении — подписью лица, вносившего изменения? Подумайте хорошенько!

 


Сказки о безопасности: Происшествие на фармацевтической фабрике

20/02/2017

https://www.pcweek.ru/security/blog/security/9367.php

Наконец-то, кажется, пришла весна. На улице все еще лежит снег, но уже началась капель. Оттепель. Все чаще и чаще выглядывает солнышко из-за туч. Кажется, и на душе становится теплее. Но работа есть работа.

— Иоганн, к вам представитель криминальной полиции.

— Зовите, Мишель, и приготовьте нам кофе с миндальным печеньем. И себя не забудьте. Я знаю, что вы тоже обожаете миндальное печенье. И еще просьба, не забудьте пополнить его запасы. Не краснейте, Мишель! У всех у нас есть маленькие слабости! Все в порядке!

— Доброе утро, Иоганн!

— Доброе утро! Что случилось?

— У нас убитый. Фридрих Краузе. Он занимался «решением проблем». Мы обыскали его квартиру. И нашли флэшку. Странно, но в квартире не было никаких электронных устройств. Поэтому мы решили попросить вашей помощи.

— А где флэшка?

— Вот. Мы принесли ее.

— Карл, посмотрите, что на ней.

— Шеф, на ней звуковой файл. Женский голос рассказывает о том, что фармацевтическая компания М выпускает лекарство, которое до конца не исследовано и вызывает побочное действие. Несмотря на то, что она неоднократно обращалась к руководству компании, результата она так и не получила.

— И все?

— Нет, там еще документация. Но тут уже нужна помощь химиков.

— А кто говорит?

— Неизвестно. Попробуем выяснить.

Прошло два дня.

— Иоганн, нам удалось выяснить, что этот голос принадлежит руководителю исследовательского отдела компании М. Но вот проблема. Она погибла от сердечной недостаточности полгода назад. Было сомнение в том, не убийство ли это, но прокуратура закрыла дело. Теперь думаем, что дело о ее гибели нужно все же открывать заново.

— А что говорят химики?

— Химики говорят, что это лекарство может иметь побочное действие и просят дать им месяц на проведение исследований, а на это время остановить продажи и отозвать лекарство из аптек империи.

— Интересно откуда эта флэшка у убитого? Но это уже дело криминальной полиции.

Прошел месяц. Химики выяснили что лекарство действительно несет в себе побочные действия и отозвали его из продажи. Нашли и убийц. Убийство было осуществлено по заказу владельца компании М и его руководителя службы безопасности, ведь без этого лекарства компании грозило банкротство.

Тем, кто надеется, что поиск по голосу — это сложно, хотелось бы сказать, что образцы нашего голоса мы оставляем ежедневно, разговаривая по телефону. Именно так можно найти ваш новый телефон, даже если вы сменили номер. И нужно для этого гораздо меньше времени, чем вы думаете.

 


Google: у Stagefright не было жертв, а другие ошибки сильно не повлияли

20/02/2017

https://www.pcweek.ru/security/blog/security/9365.php

Руководитель программы Android Security Adrian Ludwig заявил что Android не неуязвим, но тем не менее прекрасно написан.

На конференции RSA Conference 2017 вопросы безопасности Android обсудил в своем докладе «Delivering Secure, Client-Side Technology to Billions of Users» директор программы Android Security. Один из слайдов его презентации «Actual protection vs. newsworthy exploits» представил три слабых места Android. (полностью доклад вы можете просмотреть здесь):

  • Уязвимость Master Key
    • Уязвимы 99 процентов устройств
    • Известных применений не зарегистрировано до раскрытия
    • Данная уязвимость после раскрытия эксплуатировалась на менее восьми устройств на миллион
  • Уязвимость FakeID
    • Повлияла на 82 процента пользователей
    • До опубликования сведений о ней известных случаев эксплуатации не обнаружено
    • После опубликования уязвимость эксплуатировалась на менее одном устройстве на миллион
  • Уязвимость Stagefright
    • 95 процентов устройств уязвимы
    • На сегодня не обнаружено случаев эксплуатации

Большая удача то что Google знает об уязвимостях. И то что они пока не эксплуатируются. Но цифры внушают ужас, особенно зная об отвратительном обновлении устройств под Android


Любителям поговорить о privacy

19/02/2017

Любителям визжать по поводу сбора телеметрических данных в Windows 10 (и не желающих самим отключить сбор подобных данных) хотелось бы заметить, что собирает подобные данные не только Windows 10. Более того, зная, что подобные данные собирает и Apple и Android, вы продолжаете возмущаться Windows 10.

Ну а теперь еще вопросы:

  1. Публикуя ваши фотографии в Facebook, ВКонтакте, Одноклассниках и прочих социальных сетях вы вытираете EXIF-коды? Правда?
  2. Прогуливаясь по магазинам, вы, безусловно, отключаете NFC на ваших смартфонах? ДА?
  3. У всех вас в социальных сетях не указано в каком городе и в какой стране вы проживаете?
  4. В письмах вы скрываете ваш IP-адрес, чтобы нельзя было отследить ваш адрес?

Вопросы я могу задавать еще и еще. А ответы? Дайте себе ответы сами. И потом задумайтесь, правы ливы?