Сказки о безопасности: Как госслужащие подставились

13/12/2017

https://www.itweek.ru/security/article/detail.php?ID=199021

Наконец-то на улице выглянуло солнышко. Небо очистилось от вчерашних туч и ничего не напоминало о том, что две недели подряд лил дождь. Выйдя на улицу хотелось улыбаться всем встречным, ведь на улице наконец-то солнце!

Иоганн отправился на службу пораньше, чтобы немного прогуляться по утреннему парку. Сегодня пятница, а значит впереди выходные. Можно будет выспаться, погулять с собакой, поиграть с ребенком и просто отдохнуть!

Однако его мечты были самым грубым образом прерваны. Звонили с работы.

— Шеф, когда вас ждать? За вами выслать машину?

— Не стоит, я буду через 10 минут. У нас снова ЧП?

— Конечно. Из-за того чтобы пожелать вам доброго утра, я бы не звонил.

Прошло 10 минут.

— Доброе утро, шеф!

— Доброе утро! Что у нас в этот раз произошло?

— Утечка персональных данных почти 200 тыс. пользователей подпольного сайта «для взрослых».

— Причина?

— Некорректная конфигурация базы данных. На сайте публиковались так называемые «подсмотренные» фото женщин, которые не подозревали, что их фотографируют. Примечательно, что среди утекших данных были обнаружены адреса электронной почты и IP, относящиеся к военным ведомствам и государственным органам как нашей империи, так и некоторых наших союзников.

— Что еще утекло?

— Логины, пароли, даты рождения и некоторые логи сайта, такие как «дата регистрации», «дата последней публикации», «репутация». Финансовой информации среди этих данных обнаружено не было.

— Ого! Но, вероятно, это не все?

— Увы, нет. Наиболее печально то, что среди похищенных данных находились адреса электронной почты, зарегистрированные в зонах .gov и .mil, что может привести к шантажу чиновников и военных.

— Согласен, это чрезвычайно важно. Вы уже сообщили руководителям этих пользователей о необходимости срочно сменить почтовые адреса? А скомпрометированные поставить на контроль?

— Безусловно.

— Придется еще раз напомнить пользователям о запрете использования корпоративных почтовых ящиков в личных целях!

Увы, эта история состоялась на самом деле. Персональные данные почти 180 тыс. пользователей подпольного сайта «для взрослых» The Candid Board попали в сеть из-за некорректно сконфигурированной базы данных. Примечательно, что среди утекших данных были обнаружены адреса электронной почты и IP, относящиеся к военным ведомствам и госорганам США, Великобритании и Австралии.

 

Реклама

Сказки о безопасности: От слежки не спрятаться

12/12/2017

http://www.itweek.ru/themes/detail.php?ID=199000

Когда же наконец-то на улице будет светить солнце? Снова тучи, снова темно. Вот уже скоро 9 утра, а в кабинете снова приходится включать свет. Черные тучи заволокли небо. Пошел снег.

Иоганн не любил такую погоду. Когда на улице рано темнело, у него портилось настроение. В такое время хорошо сидеть в кресле у камина, укрывшись пледом и читать книгу, изредка попивая чай со смородиновым бальзамом. Но служба есть служба, и тут не выбирают.

— Доброе утро, шеф! Вам звонят из департамента внутренней безопасности.

— С утра? Интересно что у них произошло. Соединяйте.

— Доброе утро, Иоганн! Сейчас к вам приедет наш курьер, посмотрите, сможете ли вы помочь.

Прошло полчаса. Каково же было удивление Иоганна, когда вместо простого курьера он увидел перед собой заместителя директора департамента внутренней безопасности.

— Здравствуйте, Иоганн! Не удивляйтесь, проблема настолько серьезная, что я просто не смог ее доверить обычному курьеру. Да и кофе у вас замечательный. Придется к вам мою секретаршу отправить на стажировку. А теперь о серьезном.

У нас проблема. Прибывает курьер наркоторговцев. Увы, мы знаем только его номер мобильного телефона. Нам нужно понять с кем он будет встречаться в нашей стране. Проблема в том, что мы не знаем ни кто это, ни через какую границу он прибудет.

— Думаю, что мы сможем вам помочь. Марк, подойди, пожалуйста. У нас есть интересная задача.

— Шеф, на самом деле задача с одной стороны интересная, а с другой — тривиальная. Нам нужно отследить, какие телефоны будут рядом с искомым и при этом будут переходить с ним из соты в соту. Задача не сложная, но требует больших вычислений. Сделаем! Мы как раз работали над такой задачей.

Прошла неделя.

— Ну что, Марк? Порадуешь наших «смежников».

— Конечно. Вот два номера, которые сопровождали нашего курьера. Более того, я могу сказать, где конкретно они встречались. Мало того, кто еще был на встрече и куда потом они отправились.

— Умница! Твои ребята сумеют отслеживать их дальнейшее передвижение?

— Безусловно. Причем в любой стране и с любыми сим-картами и даже без таковых. Ведь у нас широко распространены бесплатные точки Wi-Fi. А кто мешает отслеживать их?

— Молодцы! Думаю, что нам пора отслеживать таким образом телефоны. Естественно, это необходимо делать в тайне.

— Но как же приватность?

— А разве она существует? Ты еще в это веришь?

— Я? Нет давно.

Такой способ отслеживания телефонов существует достаточно давно. Издание The Washington Post раскрыло информацию о программе слежения за абонентами сотовых операторов по всему миру. Как следует из оказавшихся в распоряжении редакции документов Эдварда Сноудена, АНБ США создало программу CO-TRAVELER, анализирующую информацию о совместных перемещениях мобильных устройств.


Разработчик виртуальной клавиатуры слил в Интернет 31 миллион записей о клиентах

08/12/2017

https://www.devicelock.com/ru/blog/3119.html

Исследователи смогли получить доступ к персональным данным пользователей, хранившимся в неправильно сконфигурированной базе данных, принадлежащей разработчику виртуальной клавиатуры для телефонов и планшетов под управлением Android и iOS.

Компания Ai.Type случайно оставила открытым для всех доступ к базе данных MongoDB, объемом 577 Гб, которая содержала данные 31 293 959 пользователей, установивших виртуальную клавиатуру. Эта конфиденциальная информация содержала номера телефонов, полные имена владельцев устройств, названия и модели устройств, названия мобильных сетей, номера IMSI (международный идентификатор мобильного абонента, используемый для межсетевого соединения), номера IMEI (уникальный номер для каждого мобильного телефона), данные о местоположении и многое другое.

Пользователи оставляют все больше данных в обмен на использование сервисов и приложений. Самое страшное заключается в том, что компании собирают и используют персональные данные, не предупреждая об этом. Однако, как только пользователи отдают эти данные, они не знают, что на самом деле происходит с ними далее.

Автор: Владимир Безмалый


Сказки о безопасности: Игроки за рулем

05/12/2017

https://www.itweek.ru/security/article/detail.php?ID=198940

Вчера лежал снег, а сегодня на улице снова грязь, ветер, дождь. Осень и зима никак не могли договориться. Мокрые ветки царапали стекла и снова шел дождь. Выходить на улицу в такую погоду никак не хотелось. Но служба есть служба, и идти все равно нужно. Тем более на этой неделе предстоял визит в канцелярию императора. И хотя совещание вроде бы никак не касалось департамента интеллектуальных преступлений, все же что-то не давало покоя.

Выглянув в окно, Иоганн понял, что идти пешком ну никак не хочется и вызвал дежурную машину.

— Шеф, у вас через два дня совещание в канцелярии императора. Вы не забыли?

— Помню. Софи, напомните мне тему совещания.

— Оно будет посвящено дорожному движению в столице. Резко выросло количество аварий на дорогах. Дорожная полиция пока не может понять причины. Водители вдруг стали совершенно не внимательны.

— Стоп. А позовите ко мне нашего аналитика. Роберт на работе?

— Да, безусловно. Сейчас приглашу.

— И сами заходите. Как мне помнится, вы были одним из лучших аналитиков во время учебы в Академии.

— Спасибо!

— Это ко не мне. Это ректору Академии. Он вас так охарактеризовал.

— Роберт, Софи! Вам предстоит помочь мне понять, что же случилось с водителями? Что у нас такого произошло за последние три месяца, что они стали невнимательны?

— За последние три месяца? Думаю, что невнимательными стали не только водители, а и пешеходы. Вспомните появление массового сумасшествия — игры «Поймай дракона».

— Ах да, толпы бродящих зомби по улицам со смартфонами в руках, пытающиеся поймать виртуальных дракончиков… Ажиотаж прошел довольно быстро, и данная игра уже не фигурирует на первых полосах в СМИ. Вместе с тем она показала, как легко и сильно можно влиять на поведение и привычки людей.

— Да. Эта игра показала, насколько быстро у людей отключается мозг в погоне за целью. Даже если цель виртуальна.

— А никто не пытался оценить ущерб от этой игры?

— Ну почему же. Наши преподаватели провели весьма любопытный анализ по столице. Ущерб составил порядка нескольких миллионов империалов.

— А вы могли бы найти мне результаты этого анализа?

— Легко. Ведь там одним из ведущих аналитиков была Софи. Да-да, шеф, вы недооцениваете вашего прекрасного секретаря. Эта милая девушка хоть сегодня могла бы стать руководителем нашего аналитического бюро, которое давно пора создать.

— Спасибо за подсказку. Софи! Вам поручение. Поищите мне на выпускном курсе студентку, которая могла бы заменить вас на должности секретаря и готовьтесь к новой работе. Думаю, указ императора о создании аналитического отдела не заставит себя долго ждать. Роберт! Жду отчет.

Через два часа отчет Академии был на столе Иоганна. Там были приведены конкретные цифры, касающиеся аварий, которые произошли как по вине водителей, игравших за рулем, так и по вине пешеходов-игроков. Когда эти цифры сравнили с общим числом аварий, оказалось, что более 25% всех аварий можно объяснить именно игрой.

Выступление Иоганна на совещании поразило присутствующих. Никто и подумать не мог, что даже такая обыденная тема, как количество аварий в столице, может быть настолько связана с информационными технологиями.

По окончании совещания император издал два указа, одним из которых создавался аналитический отдел в департаменте Иоганна, а вторым — вносились изменения в правила дорожного движения. Отныне под угрозой огромного штрафа запрещалось использование смартфонов за рулем.

Исследователи Университета Пердью попытались оценить ущерб, нанесённый игрой Pokemon GO. Согласно их исследованию, за первые 148 дней после появления игры в США только лишь автомобилистами было нанесено ущерба на сумму 2,0-7,3 млрд. долларов. Сюда включили все аварии, которые, согласно официальным отчётам, произошли по вине играющих в Pokemon GO за рулём. Более того, по этой же причине два человека расстались с жизнью.


Сказки о безопасности: Атака детей

04/12/2017

http://www.itweek.ru/themes/detail.php?ID=198920

— Шеф! У нас проблема! Вернее, не у нас, но пришли к нам.

— Софи, будьте добры, подробнее и без паники. Давайте с начала.

— К нам обратился директор одной известной компании. Он пожаловался на утечку данных. Его специалисты обнаружить утечку не смогли.

— И что тут трагического?

— Да только пришла на работу, даже не успела пальто снять, а тут звонок… Крик, шум! Короче, как обычно. Вот я и разволновалась, извините, пожалуйста.

— Все нормально! Постарайтесь сохранять спокойствие. Для дела полезнее.

— Хорошо! Я постараюсь.

— Попросите их перезвонить мне.

Прошло полчаса.

— Иоганн, если вы не против, мы с моим руководителем службы безопасности приедем к вам в гости?

— Я не против, но, наверное, куда полезнее, если мы приедем к вам сами. Как думаете?

— Приезжайте, мы вас ждем.

— Карл, Рита, на выезд. Нас ждут. Думаю, в ближайшую неделю вы будете работать в этой компании.

Прошла неделя.

— Шеф, все куда интереснее. Данные были похищены с помощью учетных записей директора компании и их коммерческого директора.

— Ого! Это интересно, но как?

— Оказывается, все просто. Атака была осуществлена с помощью их любимых детей.

— Погодите. С этого момента подробнее.

— Учетную запись директора исследовала Рита, а я занимался коммерческим директором.

— Вы выяснили, что у них общего?

— Да. У обоих дети 12-13 лет. Сыновья. Оба очень любят играть на ПК. И обоим это запрещают родители.

— То есть?

— Разрешают играть лишь с 18 до 20 в присутствии родителей.

— У них уже были проблемы?

— Да. Оба запустили учебу, чересчур увлекались играми.

— Как это произошло?

— Проблема оказалась простой как дрова. Для ребенка не создавалась отдельная учетная запись. Он играл под учетной записью родителя. Соответственно, ему кто-то (сейчас разбираются кто), дал флэшку с кодами для игр. Он запустил программу с флэшки и … все! Троян на ноутбуке директора.

— А что с коммерческим? Так же?

— Там похоже. Только там заразили смартфон. Загрузили по совету друга игру, а в игре троян. Учетной записи для ребенка тоже нет.

— Понятно. Таким образом, оба нарушили одно и то же правило. Для детей нужно создавать отдельные ограниченные учетные записи. А на смартфоне, кроме того, нужно запретить загрузку программ из посторонних источников! Это сделано не было. Вот и поплатились.

А вы разрешаете детям играть на вашем компьютере под своей учетной записью? Она имеет административные права?


Сказки о безопасности: Компрометация биометрии

29/11/2017

Утро выдалось солнечным, но холодным. Видимо ночью был мороз. Впрочем, такая погода нравится Иоганну куда больше, чем бесконечный дождь с ветром. Прогулка до офиса не заняла много времени. Хотя даже эти 15 минут помогли ему собраться с мыслями. А подумать было о чем. Вчерашний звонок из департамента иностранных дел никак не выходил из головы. Это ж надо было такому произойти. По приказу Иоганна Макс и Рита сегодня вылетают в дружественную республику И. Там произошло серьезное нарушение в системе идентификации граждан и резидентов республики. Обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев.

Итак, скорее всего скомпрометирована база отпечатков пальцев. А значит те пользователи, чьи данные скомпрометированы, больше не смогут использовать свои биометрические данные.

— Рита, что там у вас? Как долетели? Как вас встретили?

— Да все хорошо, спасибо! Здесь нас встретил выпускник нашей же Академии. Он до сих пор помнит ваши лекции. Просил передать привет и заявил, что обязательно передаст с нами ящик какого-то особого ликера из слоновьей ягоды. Говорит, что до сих пор помнит, что вам понравилось!

— Вы поосторожнее, а то обвинят в контрабанде!

— Он тоже так сказал и добавил, что передаст с нами пару бутылок, а остальное — дипломатической почтой!

— Спасибо! И все же давайте по делу.

— Итак, по делу. Нарушение было обнаружено после выявления большого количества операций, сделанных за короткий период с использованием одних и тех же отпечатков пальцев. По словам местных чиновников, это было бы невозможно без незаконного использования биометрических данных.

— Проверьте, кто имел доступ к биометрическим данным? Где они хранились? Короче, все проверьте! И держите меня в курсе.

Прошла неделя.

— Шеф! Кажется, мы нашли причину.

— И в чем она?

— Причина банальна до жути. Сторонний подрядчик имел доступ к части баз и хранил данные в облаке. Причем в открытом виде. Но хорошо то, что это были всего несколько сотен записей, да к тому же там были не все биометрические данные, а только отпечатки пальцев.

— Ну что ж. Жду вас дома. Прилетайте!

Вот так закончилась эта история.

В марте 2017 г. было выявлено нарушение в области информационной безопасности после того, как в системе идентификации граждан и резидентов Индии UIDAI обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев. Инцидент вызвал большие опасения относительно конфиденциальности и безопасности хранения биометрических данных.

 

http://www.itweek.ru/themes/detail.php?ID=198856


Сказки о безопасности: GPS в каблуке

28/11/2017

Это утро выдалось неожиданно солнечным. Казалось, не было вчерашних черных туч — голубое небо, яркое солнце. И хотя было уже по-зимнему прохладно, даже скорее холодно, но яркое солнышко улыбалось прохожим и на душе стало теплее. Иоганн очень любил солнечную погоду, хотелось улыбаться всем встречным.

Однако его секретарша Софи встретила его нахмурившись, и было видно, что она задумалась о чем-то весьма серьезном.

— Софи, у вас неприятности? Чем я смогу вам помочь? Что случилось?

— Шеф, действительно у меня неприятности и я пока не понимаю, что делать!

— Софи, давайте, готовьте кофе и пригласим ребят. Мы вместе что-то придумаем. Хорошо?

Прошло полчаса.

— Софи, рассказывайте, что произошло?

— Шеф, вы знаете что у меня есть старенькая бабушка.

— Да, конечно.

— Так вот. Увы, из-за болезни она иногда не может вспомнить, кто она и где живет. И теряется в городе. Мы уже во все ее карманы вкладываем визитки с телефонами, куда звонить. Но это помогает мало. Тогда мы купили ей смартфон, который могли отслеживать сами. То есть использовали геолокацию для определения ее координат. Но она забывала смартфон дома.

После этого мы придумали и купили ей кулон с GPS-датчиком. На некоторое время все наладилось. Но потом она снова стала его забывать.

И теперь мы не знаем, что делать!

— Погодите, шеф! Кажется, я знаю, что делать!

— Что, Рита?

— Я тут недавно наткнулась в Интернете на объявление. Требовались добровольцы для тестирования новой обуви.

— И чем это поможет?

— Да ведь обувь-то не простая. В каблук встроен GPS-трекер, запросив который можно получить координаты владельца! Покупая обувь, вы регистрируете ее на сайте и генерируете пароль владельца. Потом на этом же сайте вы сможете посмотреть, где находится человек.

— Ой как славно! Рита, вы мне поможете?

— Рита! Кроме всего нужно проанализировать защищенность их сайта. Ведь это координаты людей! Хорошо?

— Конечно, шеф!

— А я перезвоню им и попрошу включить вашу бабушку, Софи, в список тестеров.

— Огромное спасибо, шеф! Вы сняли груз с моих плеч!

Это уже не фантастика. В Японии в продажу поступила обувь с GPS-трекером. Ее предлагает компания «Вишхиллз» из Киото: она рассчитывает, что этот товар пригодится старикам с нарушениями памяти или детям, то есть тем, кто может потеряться в суете большого города.

Небольшой аппарат взаимодействует помещается в каблук. Он позволяет в режиме реального времени получать на экране смартфона или компьютера информацию о местонахождении обладателя обуви. После регистрации на специальном веб-сайте и получении пароля следить за его перемещениями смогут не только родственники, но и знакомые, а также медицинские работники.

http://www.itweek.ru/themes/detail.php?ID=198840