Сказки о безопасности: Смартфон для внука

18/10/2017

С утра Потапыч решил, что у него сегодня наконец-то более-менее спокойный день и он сможет заняться отчетами за месяц. Но, приехав на работу, он понял, что все не так легко и просто. Его директор решил подарить своему внуку смартфон. Решил — подарил. Но что-то пошло не так. Смартфон слишком быстро разряжался.

— Потапыч, погляди, пожалуйста. Что-то тут не так. Ну не может он так разряжаться. Да и трафик расходует, хотя внук клянется, что не использует Интернет так уж часто.

— Хорошо, Михал Михалыч, погляжу. Но придется вам его оставить на пару дней.

— Конечно.

— А вообще-то я рекомендовал бы проверить все смартфоны вашей семьи. Просто на всякий случай.

Прошло три дня.

— Вот ваш смартфон. Где вы его покупали?

— Да в магазине возле дома. Вроде и сеть крупная. А что с ним не так?

— Судя по всему, производитель встроил в программную прошивку телефона сбор данных о владельце. Мы кое-что увидели сами, а потом я в Интернете прочел.

— Что?

— Компания-производитель смартфона призналась, что собирает целый комплекс данных о владельцах своей продукции. Но самое страшное, что информацию собирают не анонимно, а с привязкой к конкретному человеку. Кроме того, стоит отметить, что полностью выключить слежку на нем невозможно.

— Даже так?

— Увы, да. Потому мой совет — верните его обратно и купите что-то иное.

Компания OnePlus, выпускающая одноименные смартфоны, призналась, что собирает целый комплекс данных о владельцах своей продукции, а именно: список контактов, MAC-адреса, данные Wi-Fi, IMEI-номера и прочее.

http://www.itweek.ru/themes/detail.php?ID=198281

 

Реклама

Сказки о безопасности: Неуправляемая веб-камера

11/10/2017

— Потапыч, срочно приезжай! Тут такое!!! СРОЧНО!

— Да что случилось, Хрюша?

— Мы с Лисой кажется сходим с ума! Приезжай, я жду!

Прошел час.

— Хрюша, что случилось?

— Потапыч, пойдем я покажу. Тут не рассказать! Пойдем к Лисе. Она ждет нас.

— Ты можешь пояснить, в чем дело?

— Лиса купила себе домой беспроводную веб-камеру, которая передает изображение из дома. У нее дома живет собака, которая постоянно что-то творит. Вот Лиса и решила понаблюдать за ней. Но лучше все же она расскажет тебе сама.

— Потапыч, добрый вечер! У меня дурдом! Да-да, натуральный. Сегодня вдруг я заметила, что камера непрерывно поворачивается и следит за мной. Но так не может быть! Я вытащила ее из электрической розетки. Давай включим ее еще раз?

— Включайте!

Камера начала поворачиваться и вдруг раздался голос:

— Добрый день!

— Отключай!

— Хрюша, а сейчас нам нужно разбираться. Что взломано? Прошивка камеры? Wi-Fi-точка? Боюсь, пора вызывать полицию. Это уже не игрушки. Совсем не игрушки!

— Потапыч, так что? Не включать камеру?

— Конечно нет. Думаю, в ближайшее время нашим полицейским будет чем заняться.

Так закончилась эта история. А вы уверены, что ваши камеры, ваш роутер WiFi в безопасности? Вы сменили пароли, стоявшие по умолчанию? Уверены?

https://www.itweek.ru/security/article/detail.php?ID=198215


Сказки о безопасности: Счетчик-наводчик

06/10/2017

И снова на улице дождь… Кажется сырость проникла уже повсюду. Увы, такова осень. Кажется, солнце забыло об этой земле. Но нравится или нет, а нужно идти на работу.

Под ногами шуршат мокрые красные, желтые и даже зеленые листья. Осень… Мокрая и холодная осень…

— Доброе утро, шериф!

— Доброе утро, Софи!

— Что у нас плохого?

— Ограбления на 9-й улице. Ограблены дома номер 10, 14, 17 и 21.

— Что в них общего?

— Сейчас разбирается Чарли.

— Чарли, что там?

— Преступники явно знали, куда шли. Работали не торопясь и вынесли все ценное. И все это за одну ночь!

— Как?

— Вот и мне интересно, как. Сейчас думаю, что в этих домах общего. Пока ничего в голову не приходит. Разве то, что все они клиенты электрической компании «Дж. Электрик». И что?

— А поезжай-ка в представительство и выясни, может в этих домах работала одна и та же бригада? И кто-то навел.

— Шериф, погодите, у меня есть идея.

— Да, Софи!

— К нам ведь тоже приходили домой из этой компании. Они сейчас устанавливают новые счетчики.

— А причем тут счетчики?

— Погодите, не перебивайте, я и сама собьюсь! Там что-то связано с ежедневной передачей данных со счетчика в компанию. Чарли, уточни на всякий случай, хорошо?

— Чарли, сделай, а то наш Пинкертон не успокоится.

— Конечно.

Прошел час.

— Шеф, а ведь Софи была права. Я привез к нам своего друга, он занимается безопасностью в университетском исследовательском центре.

— Погоди, давай сначала. Что общего в домах?

— А то, что во всех этих домах стоят новые счетчики электричества, и они автоматически ежедневно передают показатели в компанию. Мало того, они могут передавать показания и по запросу. Зная показания, можно выяснить, есть ли кто-то в доме или нет.

— А причем тут твой друг?

— Вот он. Джонни, это шериф! Расскажи то, что ты сказал мне.

— Да что? Я проверил. Все показания передаются в незашифрованном виде. То есть теоретически их может прослушать кто угодно. На самом деле я бы такие счетчики запретил.

— Погоди, я, наверное, туплю. Что это дает преступникам?

— Если в доме три дня не потребляется электричество и вода, значит в нем никого нет. И наводчики не нужны. Все просто!

— Гениально!

— Увы, да!

А вы знаете, что это уже не фантастика? Подобные интерактивные счетчики собираются внедрять по всей России. А будут ли они использовать шифрованные каналы связи — неизвестно. Вы готовы?

http://www.itweek.ru/themes/detail.php?ID=198155

 


Сказки о безопасности: Обманный месседж

05/10/2017

Все чаще и чаще осень напоминала о себе мелким дождем. Казалось, это даже не дождь, а плотная водяная взвесь висела над городом. Иоганн ужасно не любил это время года. Вот и сегодня пришлось одевать куртку с капюшоном. Ведь ни один зонт не спасал от порывов ветра с дождем и туманом, казалось пробиравших до костей. Самое противное, что судя по всему дождь зарядил на неделю. А может и дольше.

Но вот уже и работа.

— Мари, а можно чашку крепкого чаю с сахаром и коньяком?

— Шеф, что случилось, я приготовила ваш утренний кофе?

— Кофе? Кофе — это тоже славно, но принесите пожалуйста потом черного сладкого чаю в большой кружке и добавьте туда пару чайных ложек коньяка. Хорошо? Я просто продрог. Чертова погода! Да! Налейте и себе! И пригласите Риту. У нас новое дело. Да, заходите сами. Вам это тоже полезно!

— Итак, коллеги, судя по всему у нас новое дело. Рассказываю. Маме позвонила в мессенджере ее подруга и попросила перевести денег на лечение. Мама записала внимательно, куда перевести деньги, сославшись на то, что она пожилой человек и может просто забыть.

Но поскольку это все же моя мама, а я стараюсь ей рассказывать и учить ее, то она перезвонила подруге по сотовому и выяснила, что та ей не звонила и вообще не может получить доступ к своему мессенджеру. Какие-то проблемы с паролем. И уж тем более она не просила перевести ей деньги.

— Шеф, думаю, что мы имеем дело с массовым мошенничеством. Тем более что некоторое время тому назад проходила информация о том, что этот мессенджер, а точнее база его пользователей, была взломана и информация о пользователях была украдена.

— Верно мыслишь, Рита. Ваши предложения?

— Проверить, была ли учетная запись звонившего в украденной базе. И обязательно проверить, на чье имя открыт счет. Затем проверить счета этого же пользователя в других банках. И обязательно поискать в базе наших граждан и обратиться к ним, были ли такие предложения. Таким образом мы сможем выйти если не на злоумышленников, то хотя бы на владельцев счетов. Как думаете?

— Марк, думаю ты прав. Займитесь этим вместе с нашим банковским отделом. Да! Не забудьте поставить эти счета на контроль. Юридические вопросы я улажу сегодня же! И обязательно поделитесь информацией с международной полицией. Уверен, что такое преступление могло быть не только в нашей стране.

— Хорошо, шеф! Я возьму на себя общение с иностранными коллегами.

— Спасибо, Рита! Я не сомневался в тебе.

Прошло две недели.

— Шеф, к вам представитель международного полицейского союза.

— Просите.

— Доброе утро, Иоганн!

— Доброе, господин Рене.

— Мы провели работу совместно с вашими коллегами. Что сказать? Атака исходила с вашей территории, хотя в банду входили не только ваши соотечественники. Благодаря совместным усилиям мы нашли злоумышленников, и вчера ночью одновременно проведены аресты в четырех странах. Огромное спасибо! Мы уже доложили об этом вашему императору и своему руководству.

Надеюсь вы понимаете, что в следующий раз в роли жертвы можете оказаться вы сами? Если вам приходит сообщение от «друга» в социальных сетях с просьбой одолжить денежные средства, удостоверьтесь, действительно ли вам пишет этот человек, связавшись с ним иным способом.

https://www.itweek.ru/security/article/detail.php?ID=198139

 


Сказки о безопасности: Метро все отследит

04/10/2017

— Добрый день, Мари! Что у нас сегодня?

— К вам сегодня приезжает директор департамента контрразведки вместе со своим замом, начальником управления по борьбе с терроризмом. Они такие важные, что даже отказались сообщить мне цель приезда.

— Ой, Мари, да какая у них может быть цель приезда? В очередной раз сели в какую-то лужу и пытаются с нашей помощью реабилитироваться. Ну и ладно. Нам не привыкать. Ведь и они, и мы знаем, что они без нас никак. Так что пусть надувают щеки. Когда они приезжают?

— К 11.00.

— Пригласи Риту, Карла, и вы с Марком чтобы тоже были. Чувствую нам в очередной раз постараются подсунуть свинью. Отмените все встречи на сегодня.

Настало 11 часов.

— Добрый день, Иоганн! Добрый день, коллеги!

— Да уж, наверное, сильно добрый, раз вы оба приехали к нам, даже не желая обсуждать вопрос по закрытой связи.

— Увы, вы правы. В последнее время в столице империи наблюдается всплеск активности террористических ячеек. В последнее время мы все чаще получаем известия о возможном теракте в метро.

— И чем мы можем вам помочь?

— Хотелось бы с вашей помощью понять, где именно это может произойти.

— Но как? Что у вас на сегодня есть?

— У нас есть несколько мобильных номеров, которые могут принадлежать потенциальным террористам. Но мы ведь не можем отследить их маршруты в метро. А если бы могли, то, наверное, смогли бы сделать какие-то выводы.

— Хорошо. Думаю, что это не так сложно. Сколько у нас времени?

— Неделя. Сможете предоставить данные за неделю?

— Попробуем.

Прошла неделя.

— Господин директор. Мы готовы предоставить вам маршруты передвижения интересующих номеров не только за эту неделю, но и за две предыдущие. Увы, корпорация Т не хранит данные о перемещениях дольше двух недель.

— А причем тут корпорация Т?

— А все просто. Они официально собирают данные о местоположении пользователей метро и продают их третьим лицам. Когда они создавали этот проект, то целью был сбор анонимных данных для лучшего понимания того, как люди перемещаются по линиям метро и улучшения сервиса на основе этих данных. Сейчас корпорация рассматривает возможность отслеживания пассажиров на постоянной основе. Единственным способом избежать слежки для пользователя станет отключение Wi-Fi или телефона.

— Выходит, мы сможем отслеживать пассажиров в метро?

— И не только. То же самое мы сможем делать на улицах, в крупных торговых центрах, магазинах, ресторанах и кафе. Но учтите, мы сможем отслеживать лишь тех, у кого смартфоны работают с включенным Wi-Fi. Даже если они не будут подключаться к беспроводным сетям.

Вы еще верите в приватность? Увы, рассказанная ситуация — правда. Корпорация Transport for London (TfL) планирует заработать £322 млн., собирая данные о местоположении пользователей метро и продавая их третьим лицам.

http://www.itweek.ru/themes/detail.php?ID=198121

 


Сказки о безопасности: Грозовое облако

02/10/2017

Вот и пришла осень. Всего неделю назад было тепло, а сегодня небо заволокло тучами, того и гляди пойдет дождь. Вылезать в такую погоду из-под одеяла было откровенным подвигом. Но на работу идти нужно.

А тут еще и с кухни призывно заурчала кофеварка. Пора!

Иоганн окончательно стряхнул сон и вспомнил, что сегодня у него встреча с представителями банка по поводу внедрения облачных технологий. Эту встречу он давно старался отложить или хотя бы переложить на кого-то иного. Увы, все снова придется решать самому. Но как же пояснить руководству, что внедрение облачных сервисов означает коренную перестройку бизнес-процессов? А главное, как пояснить, что это несет с собой не только экономию ресурсов, но и угрозы безопасности?

С этими тяжелыми мыслями он поехал на работу.

— Шеф! У нас ЧП!

— Да, Мари, умеешь ты встречать руководство с утра. Кофе заказала?

— Обижаете, шеф! Мало того, Марк, Рита и Карл уже ждут вас.

— Хорошо. Они знают, что произошло?

— Нет! Я решила не проговаривать все дважды.

— Хорошо! Что случилось?

— В банке А активно использовались облачные технологии. Но в нарушение наших рекомендаций резервное копирование осуществлялось на постоянно подключенные облачные ресурсы. И…

— Погоди, дай я продолжу. Шифровальщик? Зашифрованы и компьютеры, и облачные копии?

— Да! Шеф, с вами не интересно говорить. Вы все знаете.

— Нет. Просто я сегодня хотел рассказать, что может произойти в случае такого резервного копирования.

— Мало того, шеф! У них почти половина рабочего парка настольных ПК работает под устаревшей ОС, на которую производитель уже не выпускает обновления.

— Боюсь, мы тут бессильны. Мы ж не можем заставить их обновить компьютерный парк.

— Думаю, что теперь наши усилия уже и не потребуются. Вряд ли банк это переживет.

— Вы предупредили их, что оплачивать выкуп вымогателям бессмысленно?

— Безусловно.

— Ну а теперь пусть расплачиваются за свою беспечность!

Вот такая грустная история случилась. Хорошо, что она придуманная, верно? Надеюсь, вы то умнее. Верно?

http://www.itweek.ru/themes/detail.php?ID=198108

 


Сказки о безопасности: Нехитрое проникновение

28/09/2017

— Добрый день, Иоганн!

— Добрый день, господин директор! Чем обязан?

— У нас есть проблема. Нам нужно проникнуть в дом известного наркодельца, чтобы установить там аппаратуру. Но проблема в том, что это «умный» дом со специальными замками, которые мы пока вскрыть не можем, а ломать, сами понимаете, нам нельзя. Нужно сделать так, как будто нас там не было.

— Понимаю. А что вы можете сказать нам о жителях этого дома? У кого из них есть ключи?

— В доме живет сам дон Ансельмо, его жена и сын. Прислуга приходящая. Охранник. Но ни у охранника, ни у прислуги ключей от дома нет.

— Ну, охранник — это ваша забота.

— Безусловно.

— Чем открывается дом?

— Приложением со смартфона.

— Как часто жена выезжает в город? Бывает ли она в женских спа-салонах?

— Да. Еженедельно. Проводит на процедурах от часа до двух. А что?

— Нам потребуется хороший карманник. Женщина. У вас есть такие?

— Безусловно. Но для чего? Цель?

— Нам нужен смартфон супруги дона Ансельмо. На полчаса. Потом его нужно незаметно вернуть на место. Сможете?

— Легко. Что еще?

— Да больше, скорее всего, ничего.

Прошла неделя.

— Господин директор, вот вам ключи от дома. Кроме того, здесь же ключи от сигнализации, гаража, главных ворот и запасных ворот, отсюда же вы можете управлять освещением и много еще чем, мы сами до конца пока не понимаем. Но главное — вас нет и не было в доме.

— Как?

— Господин директор, мы ж не спрашиваем, как работает ваш карманник, верно?

— А если серьезно, чтобы самим так не впутаться?

— А если серьезно, я уже запретил в своем ведомстве «умные» замки и «умные» дома для всех сотрудников. В крайнем случае можно использовать лишь те, которые одобрены нашим департаментом и то с использованием регулярной проверки. Мы проанализировали, какой именно контроллер управления стоит в этом доме. И выяснили, что приложение хранит данные конфигурации в незашифрованном виде. Потом при помощи вашего специалиста получили смартфон в свои руки и дублировали эти данные. Мало того, сгенерировали свои ключи.

— Да, но разве при этом старые ключи не затираются?

— Увы, нет. Они остаются рабочими. Так что даже если и выяснится, что кто-то входил, то неясно кто. Скорее всего решат, что это тестовые ключи компании.

— Никогда не буду пользоваться «умным» домом.

— Ну… Никогда это слишком долго. Но пока не пользуйтесь!

Увы, такая история — не фантастика. Исследователи безопасности из компании Rapid7 проанализировали Android-приложения для управления IoT-устройствами Wink Hub 2 и Insteon Hub. В ходе исследования было выявлено, что оба приложения хранят конфиденциальные учетные данные в файлах конфигурации в незашифрованном виде. Данные приложений могут быть легко извлечены из утерянных или украденных телефонов, не имеющих сильной парольной защиты или не использующих шифрование. По словам исследователей из Rapid7, для этого не требуются особые навыки — только Google и 45 минут времени.

https://www.itweek.ru/security/article/detail.php?ID=198071