Сказки о безопасности: Телефонный счет

21/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192693

Наконец-то выглянуло солнышко. Нет, понятно, что зима. Но кажется она наконец-то заканчивается. Птицы с утра начинают галдеж. Дятел стучит в парке, да и не один.

Иоганн очень любил этот период, когда сквозь толстые зимние тучи начинает пробиваться солнце. Кажется, даже на душе становится светлее. Он медленно шел через парк, наслаждаясь робким пока еще приходом весны. И в этот момент зазвонил мобильный телефон.

— Доброе утро, Иоганн! Вы уже на работе?

— Нет еще. А что случилось?

— Да это личное.

— Тем не менее. Через полчаса я буду на работе, приезжайте!

Прошло полчаса.

— Иоганн, к вам гости. Руководитель имперского архива.

— Доброе утро, Иоганн!

— Доброе утро, господин Штраус. Чем обязан?

— Да есть проблема. С мобильника моего сына вдруг пропали деньги. Причем непонятно что случилось. Он молчит.

— А можете нам привезти его мобильный телефон и его самого пригласить? Естественно, в первую очередь нам нужен его телефон.

— Я привез его.

— Ну что ж, оставляйте, наши спецы посмотрят его, как только будет свободное время.

— Огромное спасибо!

— Курт, посмотри смартфон юного дарования. Мне кажется, что ребенок установил какое-то платное приложение, которое просто качает с него деньги.

— Хорошо, шеф. Только это будет не так быстро. Устраивает?

— Безусловно.

Прошло три дня.

— Шеф, я разобрался. Все оказалось банально. Вредоносов на смартфоне нет. Но есть огромное количество игрушек, из которых как минимум две требуют реальные деньги для улучшения свойств персонажей. Вот куда ушли деньги. А ребенок просто побоялся сказать родителям.

— Господин Штраус, мы ждем вас в гости!

— Да, Иоганн, через час я приеду к вам.

— Захватите бутылку коньяка для Курта. Он ведь работал в нерабочее время.

— Безусловно! Можно было даже и не говорить!

Прошел час.

— Итак, господин Штраус, мы разобрались с вашей проблемой. Ваш ребенок в игре «прокачивал» свой персонаж, покупая дополнительное оружие. Увы, покупал он его за реальные деньги. А в другой игре он пропускал просмотр рекламы, а за это тоже платил реальными деньгами. Вот куда уходили деньги. Поговорите с ним.

А вы всегда знаете, во что играют ваши дети? Ведь 90% детей в возрасте до 12 лет часто играют в мобильные игры(на своем смартфоне или смартфоне более взрослых членов семьи, а значит их владельцы не защищены от такого сценария. Вы к этому готовы?


Google: у Stagefright не было жертв, а другие ошибки сильно не повлияли

20/02/2017

https://www.pcweek.ru/security/blog/security/9365.php

Руководитель программы Android Security Adrian Ludwig заявил что Android не неуязвим, но тем не менее прекрасно написан.

На конференции RSA Conference 2017 вопросы безопасности Android обсудил в своем докладе «Delivering Secure, Client-Side Technology to Billions of Users» директор программы Android Security. Один из слайдов его презентации «Actual protection vs. newsworthy exploits» представил три слабых места Android. (полностью доклад вы можете просмотреть здесь):

  • Уязвимость Master Key
    • Уязвимы 99 процентов устройств
    • Известных применений не зарегистрировано до раскрытия
    • Данная уязвимость после раскрытия эксплуатировалась на менее восьми устройств на миллион
  • Уязвимость FakeID
    • Повлияла на 82 процента пользователей
    • До опубликования сведений о ней известных случаев эксплуатации не обнаружено
    • После опубликования уязвимость эксплуатировалась на менее одном устройстве на миллион
  • Уязвимость Stagefright
    • 95 процентов устройств уязвимы
    • На сегодня не обнаружено случаев эксплуатации

Большая удача то что Google знает об уязвимостях. И то что они пока не эксплуатируются. Но цифры внушают ужас, особенно зная об отвратительном обновлении устройств под Android


Любителям поговорить о privacy

19/02/2017

Любителям визжать по поводу сбора телеметрических данных в Windows 10 (и не желающих самим отключить сбор подобных данных) хотелось бы заметить, что собирает подобные данные не только Windows 10. Более того, зная, что подобные данные собирает и Apple и Android, вы продолжаете возмущаться Windows 10.

Ну а теперь еще вопросы:

  1. Публикуя ваши фотографии в Facebook, ВКонтакте, Одноклассниках и прочих социальных сетях вы вытираете EXIF-коды? Правда?
  2. Прогуливаясь по магазинам, вы, безусловно, отключаете NFC на ваших смартфонах? ДА?
  3. У всех вас в социальных сетях не указано в каком городе и в какой стране вы проживаете?
  4. В письмах вы скрываете ваш IP-адрес, чтобы нельзя было отследить ваш адрес?

Вопросы я могу задавать еще и еще. А ответы? Дайте себе ответы сами. И потом задумайтесь, правы ливы?


Windows 10 & Privacy

19/02/2017

https://www.youtube.com/watch?v=Zy4D—iJpgw


Mobile & Privacy

19/02/2017

Доклад сделан на онлайн-встрече сообщества IT Pro 16 февраля 2017 г.
https://www.youtube.com/watch?v=SkNHkTlk8rc


Сказки о безопасности: Развод

14/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192456

— Доброе утро, Иоганн!

— Доброе! Что случилось?

— Вам звонили из канцелярии императора. Просили срочно приехать. Не звонить!

— Хорошо, выезжаем.

Прошло 15 минут.

— Иоганн, хорошо, что вы так быстро. У нас проблемы. Жена известного политика Т подала в суд на развод.

— И что?

— Да проблема в том, что скоро выборы. И нас просили разобраться, действительно ли это случайность или атака.

— ??? Поясните!

— Жена обнаружила, что он регулярно использует приложение по вызову такси, чтобы ездить к любовнице. Оказывается, он регулярно посещал любовницу, жившую в том же городе на юге, не сталкиваясь ни с какими проблемами.

Все продолжалось до тех пор, пока мужчина не вызвал такси с телефона жены. Он открыл приложение под своим аккаунтом, а после вышел из него, однако из-за бага на телефон жены продолжили приходить уведомления о поездках мужа.

— Н-да, он стал жертвой бага в приложении… Боюсь, политиком ему больше уже не быть, но он сможет стать существенно богаче, подав в суд на компанию. А компании придется быстро исправить баг!

Вы считаете это фантастикой и продолжаете вызывать такси через приложения на смартфонах? Удачи! Но может, все же задумаетесь?

 


Сказки о безопасности: Злонамеренное приложение

13/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192408

— Доброе утро, Иоганн!

— Доброе утро!

— К нам на анализ попало странное приложение.

— Откуда?

— Курт принес. Как обычно.

— А если серьезно?

— Ну вы ж знаете, что Курт до сих пор обожает ковыряться с различными новинками программного обеспечения для смартфонов.

— Позовите Курта!

— Доброе утро, шеф! Я тут обнаружил нестандартное поведение сервиса, встраиваемого во многие популярные мобильные приложения. Как выяснилось, с его помощью можно настроить на запись видео с экрана приложения для отслеживания ввода данных банковской карты или входа в платежную систему. Таким образом, инструмент можно использовать не только для аналитики, но и в мошеннических целях. Судя по всему, в это приложение кто-то из разработчиков несанкционированно добавил этот сервис.

— Н-да… Сервис легальный, применяется практически повсюду… Что будем делать?

— Сервис-то легальный, но это не спасает от недобросовестных программистов, которые могут встраивать подобные сервисы в приложения. В такой ситуации можно только посоветовать компаниям-разработчикам приложений внимательнее следить за тем, чем занимаются их сотрудники, ну а пользователям — более придирчиво относиться к мобильным приложениям, в которых требуется вводить свои платежные данные. То есть все в конце концов сводится либо к грамотной работе службы информационной безопасности разработчика, либо к порядочности его специалистов…

— Дела обстоят очень плохо, и мы ничего сделать не можем! Ведь службы безопасности у большинства разработчиков просто нет! А верить во всеобщую порядочность мы просто не можем! Неужели так рискованно пользоваться смартфонами для мобильных платежей?

— И не только платежными приложениями? А как быть с защитой паролей? Почты? Конфиденциальных данных?

— Не знаю, Курт! Не знаю!

А вы знаете ответ на вопрос? Я — нет!