Сказки о безопасности: Проверка мобильных устройств

15/01/2019

http://www.itweek.ru/themes/detail.php?ID=204951

— Иоганн, у меня к вам просьба! Личная. Ваши ребята смогут помочь?

— Ну что вы, Густав! Мы всегда помогаем тем, кто помогает нам. Что вы хотели?

— Мы вводим у себя мобильные устройства. Пользовательские, для менеджеров, работающих «в полях».

— И что тут плохого?

— Боюсь, чтобы не утекли персональные данные наших клиентов.

— Хорошо! К вам на работу будут отправлены два моих сотрудника, Таня и Пауль. Они попробуют разобраться. Их поддерживать будет подразделение Риты. Естественно, у вас никто ничего не будет знать. Хорошо?

— Спасибо огромное, Иоганн! Я ваш должник!

Прошло две недели.

— Иоганн, вы были правы, у них серьезные проблемы.

— Что вам удалось найти?

— Не мне, Тане.

— Докладывайте!

— Шеф, несмотря на то, что инциденты с нарушением сохранности данных могут показаться незначительными по сравнению с теми, в которые вовлечены настольные компьютеры, все же они могут представлять серьезный риск по другой причине: чем чаще не хватает памяти у таких устройств, тем больше пользователей хранят некоторые свои приложения и файлы с данными в публичном облаке, а оно чаще всего не подконтрольно компании.

— Все верно, а если учесть, что в прошлом публичные облака, используемые пользователями мобильных устройств, уже пострадали от многочисленных атак, то такой сценарий вполне может иметь место.

— Мы также смоделировали атаку, использовав для этого поддельную точку Wi-Fi. Так как мобильные устройства компании находятся в постоянном движении, то взаимодействуют со многими сетями, не контролируемыми компанией. Самый распространенный случай — это открытые небезопасные Wi-Fi соединения в общественных местах. Кибер-преступники могут использовать такие сети для кражи с устройства конфиденциальной информации или даже для получения контроля над ним. Мы установили поддельную точку Wi-Fi с таким же значением SSID, как и подлинная точка доступа, в результате чего пользователь ошибочно подключался к поддельной сети, что позволило нам похитить конфиденциальную информацию.

— Что вы можете посоветовать для минимизации ущерба?

— Прежде всего сведение к минимуму рисков работы с данными на мобильных устройствах — это, как всегда, профилактика и, конечно же, уверенность в том, что сотрудники осторожны при обработке информации. Ну и использование специальных решений, отслеживающих все конечные устройства для того, чтобы обнаруживать аномальное поведение при управлении файлами, содержащим данные.

— А что вы посоветуете в случае поддельных Wi-Fi сетей?

— Да в принципе то же самое. Повышение осведомленности сотрудников о рисках информационной безопасности для мобильных устройств — это, опять же, запрет подключаться к подозрительным Wi-Fi сетям и передавать конфиденциальную информацию и финансовые данные в общественных Wi-Fi. Но также нужно иметь решения безопасности, которые незамедлительно будут предупреждать пользователей в том случае, если сеть является подозрительной, еще до того, как они подключатся к ней. Ну а конкретные решения им должны посоветовать их специалисты по информационной безопасности. Мы ж не можем за них работать!

Насколько серьезно вы относитесь к безопасности мобильных устройств? Или решили, что пока не до того?

Реклама

Еще две дыры в голосовых помощниках

07/01/2019

Исследователи из Indiana University, Академии наук Китая и University of Virginia обнаружили две новые уязвимости в голосовых помощниках, таких как Amazon Alexa или Google Assistant, которые могут привести к краже личной информации.

Voice Squatting

Первую уязвимость, описанную исследователями, назвали «Voice Squatting». Это метод, использующий способ, вызывающий навык или действие. Этот метод использует преимущества того, как работают голосовые помощники (voice-powered assistants VPA), такие как интеллектуальные колонки. Сервисы, используемые в интеллектуальных колонках, работают с использованием приложений, называемых «навыки» (“skills” (Amazon)) или «действия (“actions” (Google)).

Фактически навык или действие — это то, что дает VPA дополнительные функции, таким образом пользователь может взаимодействовать с умным помощником через виртуальный пользовательский интерфейс (VUI) и может выполнять это умение или действие, используя только свой голос.

Таким образом, метод Voice Squatting, по сути, включает в себя трюки VPA с использованием простых гомофонов — слов, которые звучат одинаково, но имеют разное значение. Используя пример из белой книги, если пользователь дает команду «Alexa, откройте Capital One» для запуска навыка / действия Capital One, киберпреступник может создать вредоносное приложение с аналогичным названием, например «Capital Won». Это может означать, что голосовая команда для навыка Capital One будет взломана для запуска вредоносного навыка Capital Won.

Voice Masquerading

Вторая уязвимость, выявленная в ходе исследования, получила название «Voice Masquerading». Этот метод заключается в использовании вредоносного навыка/ действия для олицетворения законного навыка / действия с предполагаемым результатом обмана пользователя при считывании личной информации / учетных данных учетной записи или при прослушивании личных разговоров.

Исследователи смогли зарегистрировать 5 новых поддельных навыков в Amazon, прошедших процедуру проверки Amazon. При этом использовали похожие имена вызовов. Было установлено, что они были использованы многими пользователями.

Частный разговор отправлен на телефон

Запись личного разговора женщины в Портленде (США) была отправлена на один из ее телефонных контактов без ее разрешения после того, как VPA Echo Amazon неверно истолковало ее слова.

Что это значит для вашего бизнеса?

VPA популярны, но все же это еще относительно новая технология, и один положительный аспект этой истории состоит в том, что, по крайней мере, теперь эти уязвимости были выявлены исследователями, чтобы можно было внести изменения для противодействия угрозам. Amazon заявила, что проводит проверки безопасности в рамках процесса сертификации навыков, и есть надежда, что способность исследователей успешно выдавать поддельные навыки может побудить Amazon, Alexa и других более внимательно относиться к своим процессам проверки.


Приложение Weather Channel обвиняется в обманном сборе данных о местоположении пользователей

05/01/2019

Лос-Анджелес подал в суд на разработчиков приложения за сбор данных о местоположении пользователей. Городской прокурор Лос-Анджелеса в четверг подал в суд на разработчика приложения Weather Channel за то, что он якобы собирал, передавал и получал данные о местоположении пользователей без разрешения пользователей. Приблизительно 45 миллионов человек используют приложение каждый месяц, и это приложение было самым загружаемым приложением погоды с 2014 по 2017 год, согласно иску.

В иске утверждается, что дочерняя компания IBM The Weather Company, которая создала приложение, использовала эту программу, чтобы «накапливать личные, персональные данные геолокации своих пользователей», в то же время заставляя пользователей полагать, что их данные использовались только для предоставления точных локальных прогнозов погоды.

Приложение Weather отслеживает движение пользователей в мельчайших деталях и продает эти данные третьим лицам без ведома или разрешения пользователей.

Приложение собирает данные о местоположении пользователей, о том, где пользователи живут и работают, а также местах, которые они посещают в течение суток. Кроме того, собирается информация о том, сколько времени пользователи проводят в каждом месте. Данные могут быть предположительно проанализированы, чтобы понять ежедневные привычки конкретного пользователя, предпочтения в покупках и даже уникальность личности.


Сказки о безопасности: Распознать лицо

25/12/2018

http://www.itweek.ru/themes/detail.php?ID=204842

— Иоганн, у нас проблема.

— Что, опять? Так надеялся хоть под Новый год отдохнуть. Что случилось?

— Вы уже слышали о стрельбе на 21-й улице? В баре «Под липой».

— Да, я прочел об этом утром, а что?

— Да там банда каких-то отморозков пристрелила мужчину. Но самое интересное не это. При нем найден смартфон. Мы вели этого курьера от самой границы и так бездарно потеряли. Проблема в том, что смартфон использует аутентификацию по Face ID. У нас нет времени ждать, пока вскроют этот смартфон, да и гарантии, что его вскроют, нет. Сможете помочь?

— Думаю да. Ирина, пригласите сюда Марка.

— Марк, нужно вскрыть телефон. Проблема в том, что мы ничего о нем не знаем. Он требует Face ID. А у хозяина выстрелом снесло полголовы. Сможем помочь?

— Думаю, да. У нас есть фотографии этого человека? Причем чем больше, тем лучше.

— Комиссар?

— Есть, конечно, причем сделаны разными камерами и с разных сторон. Я распоряжусь, и их вам немедленно доставят.

Прошло полчаса.

— Марк, вам пришло электронное письмо. Направлено на секретариат с пометкой «Марку, срочно!». От комиссара.

— Отлично, я его жду.

— Александра, будьте добры. Вы сможете сделать мне 3D-снимок головы по этим фото? В цвете.

— Безусловно. Пять минут.

— Марк, вот ваш снимок. Что сделать дальше?

— Распечатайте в натуральную величину на нашем 3D-принтере. Только в цвете.

— Понятно! А зачем, если не секрет?

— Будем подставлять эту голову смартфону. Попробуем его открыть.

Прошел еще час.

— Иоганн, с комиссара хороший кофе. С коньяком. И печенье, миндальное! Мы все сделали. Открыли смартфон, данные скачали. И знаем, куда направлялся курьер.

— Комиссар, примите мои поздравления. Мы вскрыли смартфон. Порядок!

— Мои поздравления вашим ребятам. А курьер с кофе, коньяком и печеньем уже в пути! Я сам приеду чуть позже.

Это уже совсем не фантастика. С помощью гипсового слепка головы такие смартфоны уже вскрывали.


Ваши приложения знают, где вы были прошлой ночью, и не держат это в секрете

24/12/2018

Интересно, многие ли пользователи мобильных телефонов понимают, как много фактов из их личной жизни становится известно приложениям их мобильны-х телефонов? Разработчикам этих приложений и компаниям, скупающим эти данные?

Нам всем давно пора привыкнуть, что все мы просто товар. Если взять карту земного шара, то миллионы точек на этой карте обозначат автомагистрали, улицы, переулки, велосипедные и пешеходные дорожки, каждая такая точка – это часть маршрута движения некоего анонимного пользователя мобильного телефона.


Сказки о безопасности: Цифровой апокалипсис

19/12/2018

http://www.itweek.ru/themes/detail.php?ID=204751

— Иоганн! Срочно приезжайте! За вами и вашими сотрудниками уже выслан транспорт! В столице и вообще по империи — коллапс. В первую очередь транспортный. Все подробности по приезду.

— Да что случилось?

— Приедете, расскажу. Операция строго секретна. Всем перейти на использование шифрованной связи.

Прошло полчаса.

— Все в сборе?

— Да, шеф!

— Пригласите комиссара полиции. Он доложит, что произошло.

Сегодня утром, а точнее 1 час и 45 минут назад более 30 млн. граждан империи, использующих мобильный Интернет, сообщили что они остались без доступа к Интернету. Мало того, о подобном сообщили наши посольства еще из трех стран. Мы не знаем, что это. Возможна массовая террористическая атака. Вам предстоит разобраться, что случилось.

— Н-да, еще три-пять лет назад это было бы просто небольшим раздражением, а тут чуть ли не угроза терроризма.

— Рита, ты, безусловно, права. Однако ты забываешь, что за это время среднемесячное использование мобильных данных в нашей стране выросло в двадцать раз, и владельцы телефонов используют их для всего — от потоковой передачи музыки до заказа такси и навигации.

— Согласна. Сегодня это цифровой апокалипсис.

— Именно так! Курьеры не могут доставить вовремя грузы. Заказать элементарную пиццу проблема. Таксисты не могут работать, ведь они опираются на навигационную систему, а она тоже не работает! Информационная система на столичных автобусных остановках вышла из строя. Мало того, остановлена работа многих небольших компаний, работавших через Интернет. Это катастрофа! Люди блокированы от жизни, социальных сетей, банков, данных. В некоторых торговых центрах невозможно расплатиться карточками, а так как мы уже привыкли не иметь в руках наличных, то люди просто не понимают, что им делать!

— А что говорят операторы мобильного Интернета?

— А что они могут сказать? Обвиняют неназванного стороннего поставщика программного обеспечения.

— Иоганн, нам нужно получить доступ к сетям операторов мобильного интернета и связаться с этим «неназванным» поставщиком.

— Все уже готово, документы выписаны. Работайте!

Прошло четыре часа.

— Шеф, мы нашли причину. Она проста до банальности.

— А можно подробнее?

— Этим «неназванным» поставщиком оказалась фирма Е. Она уже принесла свои извинения и дала поразительное признание, что проблемой стал истекший сертификат клиентского ПО. А ведь чего проще было бы просто следить за сроком окончания сертификата!

— Проблема решена?

— Да. Они сейчас распространяют новый сертификат. Но, боюсь, на решение уйдет порядка 24 часов.

— Ну что ж, это лишнее свидетельство того, насколько мы зависим сегодня от Интернета.


12 советов о Рождестве или как защититься от фишинга

19/12/2018

Оригинал

Поскольку каждый гражданин Великобритании тратит в среднем 330 фунтов стерлингов на рождественские подарки ежегодно, и примерно 19% ежегодных продаж приходится на шесть недель перед празднованием — крупнейшим торговым периодом в розничной торговле — ясно, что Рождество очень выгодное время года для розничной торговли. Но необходимо понимать, что это также выгодное время года для онлайн-мошенников, поскольку многие заманчивые скидки и специальные акции предлагаются по электронной почте, чтобы привлечь клиентов. Все это — прекрасные возможности получить доступ к паролям, учетным записям и данным кредитных карт с помощью фишинг-атак. Итак, как защититься от фишинга?

Или, другими словами, как вы можете распознать эти «подозрительные» электронные письма?

Или действительно, какие советы ИТ-персоналу следует дать сотрудникам, чтобы помочь им защитить от фишинга?

Знать мошенничество, без мошенничества

Что такое фишинг? Слово «фишинг» было придумано как по аналогии с английским термином «рыболовство», поскольку оно подразумевает создание приманки для жертв. Как правило, фишинговые ссылки распространяются с помощью электронной почты; хотя иногда используется телефонный звонок – это называется Vishing — или текстоаой сообщение — Smishing. При этом сообщение якобы исходит из заслуживающего доверия источника, такого как банк, или продавец, или даже коллега или друг (которого по незнанию взломали). Эти электронные письма часто заслуживают доверия, чтобы обмануть получателя и заставить его перейти по ссылке, которая затем может выпустить вредоносное ПО — вирусы, черви, трояны — на компьютер получателя или перенести жертву на фальшивый веб-сайт. Как защититься от фишинга?

 Совет 1: Как защититься от фишинга. Никогда, никогда не переходите по подозрительным ссылкам

Не существует 100% гарантированного способа обнаружения фишинга, но, если есть малейшее подозрение, что электронное письмо может быть мошенническим, не нажимайте на содержащиеся в нем ссылки. Всегда вводите адрес веб-сайта отправителя (не ссылку в электронном письме) непосредственно в браузере.

 Совет 2: Как защититься от фишинга. Проверьте отправителя

Будьте внимательны, если часть после знака «@» в адресе электронной почты не соответствует предполагаемому отправителю; например, если PayPal отправляет вам электронное письмо с адресом paypal@emails.com или URL-адрес ошибочно указан как www.paypa1.com или что-то подобное. Увы, это (поддельный) веб-сайт, принадлежащий злоумышленникам. Некоторые из самых известных компаний в мире имеют мошеннические веб-сайты, имитирующие их внешний вид, включая Facebook, Google, DropBox и PayPal.

Совет 3: Как защититься от фишинга. Не поддавайся эмоциональному шантажу

Фишинговые письма почти всегда содержат одинаковый контент и запросы. Иногда они просят вас обновить вашу учетную запись или пароль. Но часто они используют психологию, чтобы заставить вас отреагировать: уведомление о крупном выигрыше в лотерею, предложение принять участие в уникальной бизнес-возможности или, особенно популярное на Рождество, обращение к пожертвованию на благотворительность.

Совет 4: Как защититься от фишинга. Банки никогда не задают подобные вопросы

Есть некоторые вещи, о которых ваш банк никогда вас не спросит. Они никогда не запрашивают ваши пароли или ПИН-коды, никогда не просят отправлять их по электронной почте или в виде текстовых сообщений; они не хотят, чтобы вы разрешали перевод средств на новый счет; и они не хотят, чтобы вы встречались с представителем банка у вас дома, чтобы забрать наличные, банковские карты или что-то еще.

Совет 5: Как защититься от фишинга. Остерегайтесь открытия вложений

Если в письме содержатся вложения с неизвестными расширениями файлов (или PDF-файлы), это является четким признаком того, что что-то не так, особенно если вы не знаете отправителя.

Совет 6: Как защититься от фишинга. Личное приветствие

Большинство компаний обращаются к своим клиентам по имени. Но если имя написано с ошибкой или имя вообще отсутствует, и написано что-то вроде «Привет» или «Уважаемый клиент», это может указывать на то, что это поддельное электронное письмо.

Совет 7: Как защититься от фишинга. Доверие это хорошо, но контроль лучше

Регулярно проверяя банковские выписки, вы можете смягчить любые потенциально серьезные последствия фишинг-атаки. О любых подозрительных или неизвестных транзакциях следует немедленно сообщать непосредственно банку или компании-эмитенту кредитной карты.

Совет 8: Как защититься от фишинга. Будьте в курсе текущих мошенничества

Потратьте время на то, чтобы регулярно читать о том, как защитить свою цифровую безопасность. Если вы слышите, что поставщик услуг был взломан, обязательно следуйте его инструкциям и смените пароль.

Совет 9: Как защититься от фишинга. Используйте только безопасные сайты

При проведении онлайн-транзакций переходите непосредственно на сайт. Если специальное предложение является подлинным, оно будет доступно на веб-сайте. Ищите знак безопасности сайта, например, белый значок замка в строке состояния браузера или URL-адрес «https» (где «s» означает «безопасный»).

Совет 10: Защитите свой компьютер с помощью брандмауэра, спам-фильтров, антивирусного и антишпионского программного обеспечения.

Проведите некоторое исследование, чтобы убедиться, что вы получаете самое современное программное обеспечение, и регулярно обновляйте его, чтобы гарантировать, что вы блокируете новые вирусы и шпионское ПО.

Совет 11: Не торопитесь нажимать на ссылку

Многие фишинговые письма заставляют вас действовать быстро, иначе угрожают, что произойдет что-то плохое, или вы упустите что-то очень важное. «Банк» может предупредить вас, что ваш счет будет закрыт, если вы не будете действовать быстро; или компания может сказать вам, что вы выиграли крупный денежный приз, но только если вы сможете получить его в течение следующих 24 часов. Не спешите. Не торопитесь, убедитесь в подлинности сообщение.

 Совет 12: подлинные сообщения не угрожают

Хотя большинство мошеннических действий включают попытки обмануть или убедить людей передать конфиденциальную информацию, некоторые мошенники используют страх и запугивание, чтобы напугать своих жертв. Например, угрожая отправить не подобающее видео или фото контактам, если выкуп не выплачен. Постарайтесь не реагировать сразу на электронное письмо, потратьте несколько минут, чтобы успокоиться и подумать рационально. Почему этот человек вдруг отправил вам электронное письмо, особенно об этом?

Правило JDLR

Лишь немногие сегодня реагируют на мошенничество «Нигерийский принц, предлагающий неисчислимые богатства», но теперь преступники могут собирать сообщения и веб-страницы профессионального уровня, которые могут заставить даже самого взыскательного человека выдать личную информацию. Проверьте настройки конфиденциальности в популярных социальных сетях, чтобы ограничить объем публикуемой личной информации, и, прежде всего, следуйте правилу JDLR. Если это «Просто выглядит неправильно», то, вероятно, что-то действительно не так.