И снова о приватности

05/01/2019

Меня умиляют пользователи, активно использующие социальные сети, мобильный устройства и при этом рассуждающие о приватности. О чем вы? Посмотрите на улицу? В какое время вы живете?

Начнем с улицы. Тысячи и десятки тысяч видеокамер, следящие за нами на улицах, в торговых центрах, на вокзалах… А сегодня еще и распознавание лиц. Тысячи дронов, перехватывающих наши переговоры по мобильному. Универсальные поводки в виде различных мобильных приложений, сообщающих практически ежеминутно куда мы пошли, где и сколько времени находимся. Ах, да, голосовые помощники (Привет, Alexa! Привет, Siri! Ok, Google!) в роли универсальных подслушивающих и подсматривающих устройств. Телевизоры с микрофонами и видеокамерами. Куклы и плюшевые мишки, активно общающиеся с вашими детками и слушающие вас все остальное время. Что еще?

Биометрические паспорта, собирающие наши отпечатки пальцев и фотографии. Что у нас остается свое? ДНК? Не-а. Это уже собирают в высокотехнологичных странах. Пока для силовых структур. Ведь в случае ранения или смерти нужно выплачивать страховку семье. А как узнать кто наступил на мину или от кого осталась рука или часть ноги?

А что мешает собирать ДНК у доноров? Или при проведении массовых вакцинаций? Вы еще верите в приватность? Добро пожаловать в новый безжалостный мир!

Реклама

Apple, поддержка фишинга становится все лучше

05/01/2019

Помните, как несколько лет назад пользователи получали голосовые сообщения от «поддержки Windows? История имеет свойство повторяться. По словам эксперта по безопасности Брайана Кребса (Brian Krebs), мошенники сегодня весьма убедительно звонят от имени Apple.

Как это происходит? У вас раздается телефонный звонок, при этом отображается логотип Apple, адрес и действительный номер телефона Apple. Вас предупреждают о необходимости перезвонить из-за нарушения данных. Вам предлагают перезвонить на номер 1-866. По заявлению эксперта по безопасности, этот номер является известным фишинговым источником.

Рисунок 1 Снимок экрана с подставным номером Apple.

Номер … для вызова — известный источник фишинга. Помните: если кто-то звонит вам и утверждает, что ваш компьютер сломан, он, скорее всего, лжет.

Apple не сразу предоставила комментарий к отчету. На своем веб-сайте компания Apple предлагает советы о том, как бороться с различными мошенниками, включая телефонные звонки. «Если вы получаете незапрошенный звонок от кого-то, утверждающего, что он от Apple, повесьте трубку и  свяжитесь с нами  напрямую», — говорится в сообщении компании.

Можно повторить то же, о чем уже писали ранее. Службы поддержки Microsoft и Apple не будут звонить вам по поводу широко распространенного нарушения данных. Если вы не уверены, зайдите на веб-сайт компании и позвоните по указанному там номеру, а не по номеру голосовой почты.


Насколько безопасно хранить ваши данные в облаке

03/01/2019

Мы все чаще и чаще используем облачные хранилища. Что из этого следует? Да то, что безопасность ваших хранимых данных становится все большей проблемой. Уже сегодня все чаще и чаще компании, университеты и школы уже продолжительное время расширяют использование таких облачных сервисов, как Google Drive, и все больше пользователей хранят файлы в Dropbox, Box, Amazon Drive, Microsoft OneDrive и т.п.

Безусловно, пользователи обеспокоены сохранностью своей информации, миллионы пользователей хранят данные в Интернет. Данные, которые хранятся в облаке, практически всегда хранятся в зашифрованном виде. Шифр нужно взломать прежде, чем злоумышленник получит доступ к информации.

Однако стоит помнить, что расположение ключей подобного шифрования варьируется в зависимости от сервисов хранения.

Кроме того, необходимо помнить, что есть ряд относительно простых способов, с помощью которых пользователи могут повысить безопасность своих собственных данных по сравнению со встроенными методами.

Кто выступает в роли хранителя ключа?

Коммерческие облачные системы шифруют данные каждого пользователя с помощью специального ключа шифрования. Но кто владеет этим ключом?

Ключ может храниться как самим сервисом, так и самими пользователями? Большинство сервисов сами хранят ключ, позволяя их системам просматривать и обрабатывать пользовательские данные, например, индексировать данные для будущих поисков. Эти сервисы также получают доступ к ключу, когда пользователь входит в систему с паролем, чтобы разблокировать данные для использования.

Без сомнения, это гораздо удобнее, чем хранить ключи у себя. Меньше вероятность его потерять. Но учтите, данный способ хранения гораздо менее безопасен, ведь так же, как и обычные ключи, ключи шифрования могут быть украдены или использованы не по назначению, без ведома владельца данных. Кроме того, некоторые сервисы могут содержать недостатки в своих методах обеспечения безопасности, делая данные пользователей уязвимыми.

Ключ хранится у пользователя

Несколько гораздо менее популярных облачных сервисов, в том числе Mega и SpiderOak, требуют, чтобы пользователи загружали и скачивали файлы через специализированные клиентские приложения, которые включают функции шифрования. Этот дополнительный шаг позволяет пользователям самим хранить ключи шифрования. Но пользователи в этом случае отказываются от некоторых привычных функций, таких как возможности поиска среди своих файлов, хранящихся в облаке.

Безусловно, такой способ хранения ключей не идеален. Ведь существует вероятность того, что эти клиентские приложения могут быть скомпрометированы или взломаны, что, в свою очередь, позволит злоумышленнику прочесть ваши файлы либо до того, как они будут зашифрованы для загрузки, либо после загрузки и дешифрования. Мало того, поставщик облачных услуг может даже встроить функции в свое конкретное приложение, которые могут сделать данные уязвимыми. И, конечно же, если пользователь теряет пароль, данные не подлежат восстановлению.

Что делать? Как защитить себя?

Наиболее безопасным будет объединить оба способа хранения ключей. Как? Перед загрузкой данных в облако сначала зашифруйте их, используя собственное программное обеспечение для шифрования. Затем загрузите закодированный файл в облако. Чтобы снова получить доступ к файлу, войдите в сервис, скачайте и расшифруйте его самостоятельно.

Безусловно, пользователи не смогут воспользоваться многими облачными сервисами, такими как редактирование общих документов в реальном времени и поиск в облачных файлах. И компания, предоставляющая облачные сервисы, может по-прежнему изменять данные, изменяя зашифрованный файл перед его загрузкой.

Лучший способ защититься от этого — использовать аутентифицированное шифрование. Этот метод хранит не только зашифрованный файл, но и дополнительные метаданные, которые позволяют пользователю определить, был ли файл изменен с момента его создания.

Увы, это означает для пользователей отказаться от многих удобств, что без сомнения не добавит популярности этому методу.


Сказки о безопасности: Распознать лицо

25/12/2018

http://www.itweek.ru/themes/detail.php?ID=204842

— Иоганн, у нас проблема.

— Что, опять? Так надеялся хоть под Новый год отдохнуть. Что случилось?

— Вы уже слышали о стрельбе на 21-й улице? В баре «Под липой».

— Да, я прочел об этом утром, а что?

— Да там банда каких-то отморозков пристрелила мужчину. Но самое интересное не это. При нем найден смартфон. Мы вели этого курьера от самой границы и так бездарно потеряли. Проблема в том, что смартфон использует аутентификацию по Face ID. У нас нет времени ждать, пока вскроют этот смартфон, да и гарантии, что его вскроют, нет. Сможете помочь?

— Думаю да. Ирина, пригласите сюда Марка.

— Марк, нужно вскрыть телефон. Проблема в том, что мы ничего о нем не знаем. Он требует Face ID. А у хозяина выстрелом снесло полголовы. Сможем помочь?

— Думаю, да. У нас есть фотографии этого человека? Причем чем больше, тем лучше.

— Комиссар?

— Есть, конечно, причем сделаны разными камерами и с разных сторон. Я распоряжусь, и их вам немедленно доставят.

Прошло полчаса.

— Марк, вам пришло электронное письмо. Направлено на секретариат с пометкой «Марку, срочно!». От комиссара.

— Отлично, я его жду.

— Александра, будьте добры. Вы сможете сделать мне 3D-снимок головы по этим фото? В цвете.

— Безусловно. Пять минут.

— Марк, вот ваш снимок. Что сделать дальше?

— Распечатайте в натуральную величину на нашем 3D-принтере. Только в цвете.

— Понятно! А зачем, если не секрет?

— Будем подставлять эту голову смартфону. Попробуем его открыть.

Прошел еще час.

— Иоганн, с комиссара хороший кофе. С коньяком. И печенье, миндальное! Мы все сделали. Открыли смартфон, данные скачали. И знаем, куда направлялся курьер.

— Комиссар, примите мои поздравления. Мы вскрыли смартфон. Порядок!

— Мои поздравления вашим ребятам. А курьер с кофе, коньяком и печеньем уже в пути! Я сам приеду чуть позже.

Это уже совсем не фантастика. С помощью гипсового слепка головы такие смартфоны уже вскрывали.


Сказки о безопасности: Рекламный путеводитель

21/12/2018

http://www.itweek.ru/themes/detail.php?ID=204811

— Иоганн, у нас проблема.

— Что, опять? Так надеялся хоть под Новый Год отдохнуть. Что случилось?

— Нам нужно отследить место встречи наркокурьера с покупателем.

— А что там такого сверхъестественного? Неужели ваши люди справиться не могут? Вы меня удивляете!

— Проблема в том, что явно мы не можем его вести, слишком велика вероятность обнаружения слежки. А не явно у нас не получается. Он ныряет в метро и все.

— Он не пользуется навигаторами?

— Нет!

— А что вы о нем знаете?

— Он договаривается о месте встречи через социальную сеть, приходит и ему там дают следующие координаты. И так несколько раз.

— Отследите его через сотовую связь.

— Ха! Мы так и хотели. Не получается. Он для связи использует мессенджеры и только общедоступные точки Wi-Fi, а по городу их полно. Не знаю, что и делать. Потому и пришли к вам на поклон. Думаете, нам так легко расписаться в собственном бессилии?

— Не думаю. Ладно. Что у нас на него есть?

— Есть mас-адрес его смартфона.

— Ну, это уже кое-что. А какой социальной сетью он пользуется?

— Сетью F.

— Так это ж в корне меняет дело. Все гораздо проще, чем я думал. Помните, мы организовали рекламную компанию Т? Вы еще говорили, что это глупая трата денег. Помните?

— Я и сейчас так думаю.

— А зря! Совершенно зря! Социальная сеть F уже умеет прогнозировать «траекторию местоположения» пользователя, другими словами, определять место, куда он, вероятно, движется. Чтобы подсунуть соответствующую рекламу.

— И что нам это даст?

— Можно, например, сообщить ему, что кафе, куда он, скорее всего, направляется, закрыто на ремонт и предложить альтернативу. Если он примет это предложение, мы будем знать куда он идет, будем там раньше и перехватим его общение по Wi-Fi. Таким образом мы сможем его перехватить и в конечной точке.

— А кто ему даст эту рекламу?

— Комиссар, вы меня удивляете! Конечно, компания Т. Собственно, для этого мы ее и создавали!

— Иоганн, вы и ваши сотрудники настоящие маги! Я, кажется, всерьез понял, почему вашего департамента боятся в полиции. Вы умеете найти выход, причем таким образом, который нам даже в голову не приходит. Поздравляю! И спасибо огромное, что вы играете на нашей стороне. Я беру свои слова обратно о компании Т. И вообще, если вам нужна любая, я подчеркиваю, любая помощь от нас — обращайтесь! И вам и вашим сотрудникам!

— Спасибо! Ловлю на слове!


Точные данные о местоположении, отслеживаемые мобильными приложениями

16/12/2018

Ранее на этой неделе New York Times опубликовала результаты исследования данных о местоположении, которые отслеживаются мобильными приложениями и используются рекламодателями. Расследование показало, что более 75 компаний «получают анонимные точные данные о местонахождении из приложений, пользователи которых позволяют приложениям получать данные о местоположении, получать местные новости, информацию о погоде или другую информацию».

Несмотря на утверждение, что данные являются анонимными, Times пришла к выводу, что собранная информация является довольно точной, с удивительной точностью раскрывая местоположение пользователя. Данные используются рекламодателями, которые затем продают рекламу пользователям в зависимости от их местоположения.

«Это огромный горячий рынок, объем продаж рекламы, ориентированной на местоположение, в этом году оценивается в 21 млрд долларов. IBMвошла в индустрию, купив приложение Weather Channel . Социальная сеть Foursquare переделана в локационную маркетинговую компанию. Известные инвесторы в стартапы включают в себя Goldman Sachs и PeterThiel , соучредителя PayPal », — пишет Times .

По словам Криса Олсона, генерального директора The Media Trust, хотя эти откровения могут быть шокирующими, эти часто несанкционированные работы продолжаются годами и, по-видимому, только усиливаются по частоте и степени детализации этой информации.

Тем не менее, сведения могут постепенно меняться, поскольку потребители начинают понимать, как лучше защитить свою конфиденциальность. «Потребители лишь медленно осознают, сколько информации о каждом их движении собирается, анализируется и продается как законными, так и незаконными субъектами», — сказал Олсон. 

Кроме того,предлагаются новые законы о конфиденциальности данных потребителей, такие какGDPR и Калифорнийский закон о защите прав потребителей. В сочетании с недавно предложенным в США федеральным законопроектом о конфиденциальности данных о потребителях эти усилия могут помочь в решении данной проблемы.


Несколько советов по обеспечению конфиденциальности информации на смартфоне

16/12/2018

Владельцы смартфонов, надеюсь эти советы помогут вам защититься от злоумышленников и любопытных приложении и сохранить в неприкосновенности вашу личную жизнь.
Задумайтесь! Сегодня ваш смартфон одновременно ваш лучший друг и ваш худший враг. Вы уже не представляете вашу жизнь без ежедневных утренних новостей, общения с друзьями в социальных сетях, просмотра погоды, поиска оптимального маршрута движения без пробок, персонального цифрового помощника, да и еще мало ли чего. Чтение со смартфона превратилось в ежедневную дозу утреннего кофе, без которого, кажется, и жизнь немила.
Но ведь одновременно с тем количеством пользы, которое вы получаете, используя данное устройство, стоит понимать, что ежедневно вы носите с собой своего персонального шпиона, который знает о вас куда больше, чем вам хотелось бы.
Представьте себе на секунду, что ваш смартфон, ваш любимый помощник и поверенный в делах попадает в чужие руки? Ситуация реальная? Увы, да! А ведь вы храните в нем не только контакты ваших знакомых, списки звонков, ваши маршруты передвижения, банковские данные и т. д.
Все это не страшно и даже в чем-то интересно, пока это чужие проблемы. Но ведь в какой-то момент времени эти проблемы могут стать вашими, а это уже куда страшнее. Что делать?
Универсальный совет «будьте бдительны» помогает слабо.
В данной статье мы попробуем дать несколько советов, которые, надеюсь, смогут вам помочь. Естественно, следовать им или нет — ваше дело. Ведь безопасность, в сущности, ваша!
1. Заблокируйте свой телефон
Несмотря на то, что это простой и очевидный шаг, далеко не все его выполняют. Люди слишком ленивы для того чтобы использовать PIN-код или тем более алфавитно-цифровой пароль. Несмотря на то, что PIN-код из четырех цифр может остановить уличного воришку, серьезный взломщик вряд ли будет остановлен такой защитой. Помните, что чем длиннее и сложнее ваш пароль, тем сложнее взломать ваш смартфон, правда, тем быстрее он вам надоест. Но когда безопасность была синонимом удобству?
Установите блокирование вашего смартфона после 1-5 минут неиспользования.
2. Используйте «Find My iPhone» или подобные службы
Сегодня существует масса как корпоративных, так и персональных приложений, позволяющих не только отслеживать ваш смартфон под управлением iOS, Android или Windows Phone, но и удаленно блокировать или даже вытирать его содержимое, и, более того, даже тайно фотографировать злоумышленника.
3. Не оставляйте свой смартфон без присмотра
Оставляете ли вы свой кошелек или банковскую карту на столе без присмотра? Вряд ли, верно? А почему вы бросаете ваш смартфон? Безусловно, вы можете и даже должны доверять вашим коллегам по работе, тем более если вы находитесь с ними в одном помещении. Но, тем не менее, уходя, не забудьте взять с собой ваш смартфон или в крайнем случае запереть его в ящике стола.
4. Не давайте свой телефон незнакомым
Скажите, у вас есть основание доверять ваш телефон незнакомому человеку, который просит у вас смартфон, чтобы сделать экстренный звонок? Вряд ли, верно? Безусловно, человек может нуждаться в помощи, но позвоните самостоятельно и включите громкую связь.
5. Не забудьте обновить программное обеспечение своего смартфона
Вы прекрасно знаете, что периодически ваш смартфон обновляется. Обновлению подлежат операционная система и приложения. Важно только, чтобы вы не забывали это делать. Не откладывали обновления в долгий ящик. Практически все обновления включают улучшения в обеспечении безопасности. Увы, но практически все производители смартфонов и поставщики приложений поставляют ПО с «дырами». Я не буду рассуждать, почему так происходит, могу лишь сказать, что на то существуют как объективные, так и субъективные причины. Для исправления этих ошибок существуют обновления, которые в свою очередь также могут содержать ошибки. На самом деле этот процесс бесконечен.
6. Управляйте настройками геолокации
Сегодня большинство смартфонов идет или с поддержкой GPS, или с другими похожими сервисами отслеживания местоположения. Они нужны для поддержки таких функций, как карты, помощь в составлении маршрута и т. д. Масса приложений хотят получить доступ к вашим данным расположения. Если вы хотите, чтобы вас нельзя было отследить, просто выключите определение местоположения, но в таком случае у вас не будут работать многие приложения, в том числе и такие, которым, казалось бы, не нужны эти функции (например, Диктофон для Windows Phone).
7. Настройка прав приложений
Раз уж зашел разговор о приложениях, не забывайте оценивать, насколько тому или иному приложению нужны запрашиваемые ими права. Многие приложения требуют доступ к вашему местонахождению, контактам и т. д. Подумайте, а действительно ли им это нужно? Если вы сомневаетесь — не устанавливайте соответствующее приложение. Например, зачем вашему Фонарику доступ к вашему местоположению? Я не знаю, а вы?
8. Не загружайте приложения из недоверенных источников
Большинство производителей смартфона хочет, чтобы вы загружали приложения только из их хранилищ, но есть много способов обойти это ограничение. В смартфонах на Android, например, вы можете включить установку приложений из третьих источников. В смартфонах под управлением iOS для этого вам потребуется сделать Jailbreak. Не делайте этого. Приложения, которые не были одобрены официальным хранилищем, более вероятно, будут взломаны или могут содержать в себе вредоносный код.
9. Будьте внимательны, получая письма с вложениями
Возможность использовать электронную почту всегда жизненно важна, особенно если вам приходится работать вне офиса. Однако будьте особенно осторожны, получая письма с вложениями от пользователей, которых вы не знаете. Впрочем, и от знакомых тоже. Фактически от вас требуется вести себя так же, как если бы вы получали это письмо на компьютер. То же самое можно сказать о загрузках с веб-сайтов, из социальных сетей, сокращенных URL и т. д.
10. Зашифруйте данные смартфона
Сегодня шифрование смартфона относительно простой процесс. Фактически шифрование гарантирует, что даже если ваш смартфон действительно попадет в чужие руки, то получить доступ к нему будет практически невозможно. Особенно это важно для карт памяти Android. Но даже если телефон попадет в чужие руки — вы не потеряете информацию, которая хранилась на нем, ведь вы вовремя делаете резервную копию, верно? Не забывайте о необходимости делать резервные копии своевременно!
Надеюсь эти несложные советы помогут вам сохранить информацию от злоумышленников.