Сказки о безопасности: Защита от дурака

12/02/2019

— Доброе утро, Софи! Что у нас нового?

— Звонила Рита, просила ее извинить. Она опаздывает. Что-то с автомобилем.

— Ты ей сказала, что, если нужно, она может вызвать такси за счет департамента? Или ей нужен эвакуатор?

— Она сказала, что приедет, только опоздает на час или чуть больше. У нее все в порядке. И просила обязательно ее дождаться, не начинать совещание без нее. У нее что-то очень интересное.

— Хорошо. Перезвони об переносе совещания. Ждем Риту.

Далее
Реклама

Сказки о безопасности: Думать!

12/02/2019


— Потапыч, помоги!

— Что опять Хрюша?

— Да опять племянник и племянница!

— Знаешь, я скоро буду с вас деньги брать! По двойному тарифу!

— А чего так дорого?

— За срочность! Что случилось? Где эти придурки снова отличились?

— Прихожу я к сестре. Хрюндель орет на сестру, мол, чего мой ноут взяла? Кто разрешал??? А она взяла кино посмотреть да закачала туда какую-то программу, мол, чтобы фильмы смотреть. И ноут повис. Ну а Хрюндель орать начал, ему, оказывается курсовой дописать надо.

— И чем кончилось?

— Да он же болван, ты ж сам говоришь, нашел в поиске «удалить вирус» и скачал себе что-то по первой же ссылке.

— И подцепил другой?

— Ну да, а ты откуда знаешь?

— Знаю. И что дальше?

— Да что – зашифровал ноутбук полностью. А резервных копий нет. Бегает, орет.

— Ну тут я вряд ли помогу. Попробую, но гарантии никакой. Скорее всего все заново переустановить придется. А раз резервных копий нет, то плакал его курсовой.

— Да-а-а-а, весело!

— А что с племянницей?

— Да дура она. Дура набитая. Сколько раз уж говорила, чтобы никогда не таскала с собой в ванную планшет.

— Она что с собой его берет? Ненормальная!

— Ага. Говорит, что любит полежать в горячей воде и что ей скучно! Она там кино смотрит.

— Ну нет, это не лечится!

— Ага. Вчера ей пришло письмо, что если она не заплатит выкуп, то все ее знакомые из соцсети получат видео на котором основной предмет – ее розовая мягкая задница! Что делать?

— Думать надо было.

— Я ей так и говорю! Но что сейчас делать?

— Уже ничего! Любоваться!

— Потапыч, ты серьезно?

— Вполне. Даже если вы заплатите, думаете это последний платеж? А кто мешает сделать копию и продать ее? Да никто! Потому тут, извините, я бессилен. Увы, далеко не всегда я могу помочь, потому и говорю, что думать нужно до того!

— Что ж делать?

— Идти домой. Увы, я не всегда могу помочь! Думать, повторю, нужно ДО того или вместо того, увы!


Сказки о безопасности: Что помнят “умные” вещи

08/02/2019

Несмотря на хмурое небо за окнами и то и дело идущий мелкий дождь, в департаменте информационной безопасности царило приподнятое настроение. Сегодня, в первую пятницу февраля, начинались «научные посиделки», которые решено было проводить дважды в месяц по пятницам. А значит снова можно будет делиться своими наработками и исследованиями. С легкой руки Иоганна такие посиделки уже давно превратились в конференции по обмену опытом, а авторов наиболее интересных докладов и показов ждала немалая премия из особого императорского фонда на развитие науки.

Вообще исследовательская деятельность, как и самообразование, в департаменте очень поощрялись. Считалось что каждый сотрудник не менее двух часов в день должен посвящать самообразованию. А если он за год ни разу не посещал курсы повышения квалификации, то это было серьезным поводом для проведения служебного расследования.

— Слово предоставляется Рите. О чем вы будете рассказывать?

— Мы снова покопались в мусоре. Ведь сегодня пользователи различных устройств в большинстве своем — представители культуры потребления. Если что-то ломается, то владелец вещи просто ее выбрасывает, не задумываясь ни о возможности ремонта, ни о том, чтобы почистить устройство, убрав свои личные данные.

Как вы знаете, на свалку отправляются жесткие диски, полные данных, телефоны с контактными книжками и данными владельцев, а также «умные» устройства с сохраненными паролями и логинами. Поскольку редкий пользователь использует больше 2-3 логинов и паролей, то такие гаджеты могут стать для взломщиков источником ценной информации.

Мы уже показывали здесь, какие ценные данные мы восстанавливали с найденных жестких дисков, флэшек, мобильных телефонов. Увы, люди все так же беспечны. Но сегодня мы поговорим о новом поколении подобных устройств. Об устройствах Интернета вещей (IoT) и, в частности, о нашем исследовании найденных на сайте продаж бывших в употреблении «умных» лампочек.

Мы приобрели «умную» лампочку L за 30 империалов и настроили при помощи соответствующего приложения. В частности, лампочку подключили к Wi-Fi. Затем отключили и разобрали.

— А что было вашей целью?

— Мы хотели понять, что можно извлечь из памяти такой лампочки и насколько безопасно их выбрасывать. И стоит ли выбрасывать вообще. Нашей целью была плата управления. Безусловно, пришлось изрядно потрудиться, чтобы ее достать и очистить от клея. Затем мы идентифицировали устройство. И нашли через Интернет ее описание и SDK. Как оказалось, доступы к беспроводной сети хранились в открытом виде.

Кроме того, гаджет вообще никак не защищен от стороннего вмешательства. Ни шифрования, ни безопасной загрузки, ничего. Более того, корневой сертификат и частный ключ RSA были также доступны. После этого изучение лампочки завершили.

Итог? Мы смогли не только узнать пароль использовавшегося Wi-Fi, но и управлять аналогичными лампами.

— А что это дает злоумышленникам, кроме пароля?

— Очень многое. Ведь, в общем-то, проблема не только в лампочках. Аналогичным образом данные хранятся в разного рода «умных» гаджетах иного рода, включая камеры, колонки, холодильники, чайники, скороварки и т. п. Благодаря слабой защищенности подобных устройств взломщики без проблем формируют ботнеты, размер которых может достигать многих тысяч или даже миллионов устройств. Для этого используются зловреды, которые, в отличие от защиты смарт-девайсов, становятся все более совершенными и опасными.

— Н-да… Интересное будущее нам описала Рита… Спасибо огромное! Ну что же, коллеги! Будущее конечно мрачное, но ведь приходя на эту работу никто из нас не думал, что у нас светлое и безоблачное будущее, верно? Так что работы у нас с вами только прибавится, увы…

Описанный сценарий уже применяется на практике. Ну и разработчики подобных систем, увы, озабоченны не вашей безопасность, а лишь своей прибылью. Помните об этом!


Сказки о безопасности: Обновление прошивки

06/02/2019

— Потапыч, привет! Можно я к тебе загляну?

— Так, Заяц, ежели по служебному, приходи завтра на работу, но учти, консультации у меня стоят дорого.

— Ну а если по личному?

— Ну а по личному, хватай литр медовухи, да себе что-то. Решать будем. Только приходи пораньше, а то медовуха продается до 22-х, а вдруг дело затянется?

Читать далее…

Сказки о безопасности: Когда думать надо было раньше

04/02/2019

Вечер. За окном идет мелкий зимний дождь. Да-да, такое тоже бывает. Вроде бы февраль, а температура +2 и идет дождь. Погода мерзкая. Кажется, все пропиталось влагой. Как обычно, к утру дождь сменится туманом. В такую погоду хорошо сидеть у печки в кресле-каталке под теплым пледом с кружкой чаю и любимой книгой, нежась в тепле. Но…

В дверь тихонько постучали. Придется вставать, идти открывать. В доме Потапыча не было дверного звонка, потому что его резкие трели напоминали армейскую тревогу, когда срочно нужно вставать и куда-то бежать. А этого он очень не любил.

— Иду-иду! Кто там в такую погоду?

— Это мы.

— Кто мы? Кого принесло?

— Да Хрюша с племянником, Хрюнделем.

— Входите, чего мокнуть. Что привело в такую погоду? Что случилось?

— Да беда у него. А ты ж знаешь, что дурная голова ногам покоя не дает!

— Располагайтесь, я пока чаю налью. И рассказывайте.

— Да что тут рассказывать. Захотелось ему свой смартфон зашифровать, чтобы никто не смог прочесть, что на нем.

— И что? Это ж стандартная процедура.

— Процедура стандартная, да нельзя такое делать с дурной головой. Он же выпил предварительно для храбрости. Ну и пароль свой забыл. А теперь сам не может аппаратом пользоваться.

— Боюсь, я тут не помогу. Ты резервные копии делал?

— Да нет, все ж работало.

— Молодец! Поздравляю! Ты только что потерял все свои данные. Ведь вылечить это мы сможем, только скинув твой смартфон в заводские настройки, а значит данные твои мы уже потеряли.

— КАК???

— А вот так! Будет наука тебе. Прежде чем ставить шифрование, устанавливать непонятные обновления, нужно обязательно сделать резервную копию. Мало ли что может случиться. Например, ты решил по какой-то причине отнести свой смартфон в ремонт. Первое что там сделают — скинут его в заводские настройки. И где твои данные? Улетели! А так пришел домой и восстановил. Я уж сколько раз говорил, делайте резервные копии! Обязательно! Ничего, поругаешься и будет тебе наука. Может быть!

— Это же и все мои контакты?

— Конечно! А ты как думал? Думать, уважаемый, желательно до того. После — поздно!

Вот так закончилась эта грустная история.

Навеяно посетителями моего блога. Самый популярный запрос «я зашифровал свой смартфон и забыл пароль. Что делать!». Так и хочется ответить — думать ДО ТОГО!!!


Сказки о безопасности: GPS-доказательство

31/01/2019

— Мартин, что у нас с делом об убийстве криминального авторитета Хуана Мартинеса?

— Да все то же. Висяк. У нас нет ни свидетелей, ни улик. Он был расстрелян рядом со своим домом год назад, и найти подозреваемого мы просто не можем.

— Мартин, а что с убийством Поля Кранца? Он, кажется, был заместителем Хуана Мартинеса?

— После смерти Мартинеса он фактически руководил бандой с 98-й улицы. С ним все гораздо проще. Убийца свалял дурака.

— Поясните?

— Убийца — велосипедист в маске и ярко-желтом жилете. Нам очень помогло то, что жилет, а также велосипед, покрытый характерными желтыми наклейками, оказались хорошо различимы на камерах видеонаблюдения, так что маршрут убийцы удалось отследить почти от его дома и до места преступления.

— Что известно об убийце?

— Это Майк Клип, он связан с преступной группировкой, враждовавшей с той, к которой принадлежали Мартинес и Кранц.

— Вы уже отправили к его дому полицейских?

— Да, они должны скоро его привезти. Дом его обыскивают наши агенты. Кстати, они запросили кого-то из технического отдела им помочь.

— А что они обнаружили?

— Клип фанатично увлекался спортивным бегом. У него обнаружили фитнес-часы от компании G, а в них данные о его перемещениях за прошедшие несколько лет.

— Получается, мы можем понять, где он был и когда?

— Именно так.

Очень скоро у полицейских были все подтверждения того, что незадолго до убийства Клип проводил много времени в непосредственной близости от дома Хуана Мартинеса. Кроме того, удалось доказать, что он неоднократно подъезжал к дому Мартинеса за неделю до убийства.

Очень скоро дело было передано в суд, и убийца получил пожизненное заключение.

Сегодня это вполне заурядное доказательство. Добро пожаловать в новое время.


Сказки о безопасности: Обратная сторона кибербуллинга

29/01/2019

— Потапыч! Срочно нужна помощь! Не мне!

— Хрюша, ты чего шла в такую погоду? Дождь, ветер! Нельзя чтобы ты еще и заболела. Ну-ка быстро чаю с малиной, да и ноги попарить еще не мешало бы. Ишь чего вздумала. Позвонить никак нельзя было?

— Да я такое узнала, что о телефоне даже и не вспомнила. Тут такое!!!

— Да что случилось? Рассказывай!

— Короче, в школе, где учится мой племянник, произошло чрезвычайное происшествие. Три великовозрастные дуры из выпускного класса выставили в социальной сети фотографию своего одноклассника, опубликовав его имя, фамилию, класс и школу.

— И что тут криминального?

— Слушай дальше. Они организовали голосование на тему «Кто за то, чтобы его убить?»

— Идиотки!

— Конечно. Причем самое интересное, что все они из благополучных семей, отличницы, прекрасно ведут себя в школе.

— Все равно, дуры!

— Да кто ж спорит? А ты сможешь прийти в школу и рассказать им, почему они дуры? И чем это грозит?

— Когда?

— А в субботу. Ты ж не работаешь?

— Приду. И ребят возьму с собой из отдела.

Вот и настала суббота.

— Добрый день, дети! К нам в гости пришел Потапыч. Он руководитель подразделения информационной безопасности в нашем банке.

— Добрый день. Я не буду долго пояснять, что меня привело к вам. Все и так понятно. То, что сделано, увы, не вернуть. Вы понимаете, что любые наши дела оставляют следы? Так вот. Если вы кому-то в школе сделали гадость, то пройдет год-два и это забудется. Увы, в Интернете это не так. Все что вы сделали, остается в памяти поисковых машин на долгие годы.

— И что?

— Да то! Пройдет 5-6 лет и кто-то из вас закончит вуз и захочет получить интересную, хорошо оплачиваемую работу. Но тут окажется, что вас не берут. Без пояснения. Даже на собеседование не зовут. Почему? А все просто. В порядочной организации на хорошую работу можно попасть только после проверки службы безопасности. Времена, когда подобная работа доверялась агентам и личной проверке уже практически в прошлом. Вначале идет проверка по социальным сетям вас, ваших друзей, родных.

— И что? А если мы удалим наши аккаунты?

— И что с того? В кеше поисковых систем вы все равно останетесь.

— И что тогда, вообще не регистрироваться в соцсетях?

— А это другая крайность. В некоторых странах уже сегодня тех, кого нет в соцсетях, считают потенциально ненормальными. Выход только один — думать, что вы размещаете в сети, что пишете, что комментируете. Короче, думайте! Если, естественно, вы предполагаете со временем претендовать на интересную должность. Вот то, о чем я хотел сказать.

Такая история состоялась в одной из киевских школ. Что посоветовать вашим детям? Думать, думать и думать! Ну а вам — почаще просто разговаривать с детьми. Конечно, в 16-17 лет это уже, наверное, поздно. Но думайте, господа родители!