Сказки о безопасности: Мошеннический запрос

12/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203189

— Ой, Потапыч, беда!

— Что опять случилось, Хрюша?!

— Ты ж банке работаешь?

— Ну да!

— В службе безопасности?

— Да говори ты толком, что случилось?

— Я ж у вас деньги свои держу!

— И что? Банк вроде надежный, я ж сам тебе рекомендовал. Что случилось-то?

— Да сегодня мне пришло SMS от имени банка, а в нем предупреждение о блокировке моей банковской карты из-за подозрительной операции.

— Правильно, что позвонила мне. А что было в сообщении?

— Для подтверждения транзакции мне предлагают позвонить по указанному номеру телефона, однако, когда я перезвонила, меня попросили назвать данные карты. Я испугалась, бросила трубку и позвонила тебе.

— Правильно сделала. Мы никому такие SMS не отправляли. Молодец, Хрюша! Умничка что позвонила сразу. Извини, я позже перезвоню, нужно предупредить нашу службу безопасности и наших вкладчиков! Спасибо!!!

— Так я все правильно сделала? А то думаю, вдруг я не права?

— Да правильно, правильно! Успокойся! Молодец что перезвонила! И запомни, не знаешь — перезвони сразу или мне, или на горячую линию банка, она у тебя на карточке написана. И не волнуйся! Никого ты не напрягаешь, горячая линия для того и создана, чтобы помогать.

Вот так закончилась эта история.

Увы, хорошо заканчиваются такие истории только в сказках. Гораздо чаще владельцы карточек идут на поводу у мошенников и сами отдают им свои деньги. Исследователи безопасности из компании Zecurion рассказали о новой мошеннической схеме, в ходе которой злоумышленники отправляют гражданам SMS-сообщения, якобы предупреждающее о блокировке банковской карты из-за подозрительной операции. Для подтверждения транзакции мошенники предлагают позвонить по указанному номеру телефона, однако, когда человек связывается со злоумышленниками, его просят назвать данные карты. Затем, с помощью полученной информации, хакеры выводят средства на свои счета. Пострадавших уже около сотни, а ущерб насчитывает порядка 2 млн. рублей.

Реклама

Сказки о безопасности: Незапертый замок

10/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203125

— Рита, к вам на стажировку прикрепляются два новых курсанта Академии. Татьяна и Поль. Судя по отзывам из Академии, они хорошо образованы и могут вполне неплохо влиться в ваш коллектив.

— Спасибо, Иоганн, я как раз хотела попросить у вас двух новых «незасвеченных» людей для проведения оперативного мероприятия.

— В чем суть операции?

— Нужно проверить систему физической безопасности в банке на 18-й улице. Они давно нас просят. Но надо провести проверку негласно, чтобы о ней знал только руководитель банка.

— То есть служба безопасности знать об этом ничего не будет?

— Да. Проблема в том, что именно служба безопасности участвовала в проектировании здания изначально и поэтому привлекать их на данном этапе считаю недопустимым.

— Что смущает вас в проекте?

— Блокировка дверей с помощью RFID-карты.

— Ну вот с этого и начнем, тем более Поль и Татьяна писали на эту тему курсовые проекты. Пусть и покажут, чему их научили в Академии. А для начала Татьяна идет в экономический отдел, а Поль в техподдержку банка. Дадим им пару недель.

Прошло две недели.

— Шеф, ваша идея принесла плоды. Я в очередной раз хочу отметить высокий уровень наших курсантов. Поль обнаружил уязвимости в системе офисных контроллеров для управления физической безопасностью. Он заметил, что зашифрованные сообщения, рассылаемые устройствами по внутренней сети банка, не были случайными. А при надлежащей защите зашифрованные сообщения всегда должны выглядеть как случайный набор символов.

Он также обнаружил вшитый ключ шифрования, используемый для всех устройств. Ему удалось успешно скопировать ключ и подделать команды, в том числе для разблокировки дверей. С тем же успехом он мог просто заново воспроизвести команды для разблокировки дверей, что имело бы аналогичный эффект. Он смог блокировать замки и не впускать других сотрудников офиса. Более того, все его действия не регистрировались системой.

— И как это восприняли в банке?

— Как маленькое землетрясение! Ох сколько было крику, когда глава службы безопасности смог попасть к себе в кабинет только с четвертого раза. Причем его ключ то срабатывал, то нет.

— А что компания-производитель? Меры приняты?

— Меры-то приняты, да потребителям не легче, ведь фактически нужно заново покупать новые замки, починить-то их невозможно!

— Думаю, что стоит обязать компанию заменить все замки старого образца на новые бесплатно.

— Но ведь это может привести к банкротству компании?

— А лучше, чтобы за их разгильдяйство платили добросовестные покупатели? Думаю, нет!

Не так давно в офисе Google своим же сотрудником была выявлена уязвимость в дверных замках, благодаря наличию которой он смог открывать и блокировать все двери в офисе. Так что это, увы, не сказка.


Сказки о безопасности: Как уязвимость помогла преступника взять

06/09/2018

http://www.itweek.ru/themes/detail.php?ID=203075

— Доброе утро, Иоганн!

— Доброе, Рита! Что случилось на этот раз? Что вы нашли?

— Думаю, что вам придется выступать на коллегии императора с требованием запретить нашим военным и спецслужбам использовать смартфоны под управлением операционной системы Android всех версий, кроме последней.

— Что произошло?

— Ну вы же знаете, что мы постоянно исследуем смартфоны, которые мы разрешили использовать государственным чиновникам. Вот и в этот раз мы нашли кое-что.

— Что именно?

— Уязвимость, которая позволяет получить самую разную информацию об устройстве, включая название сети Wi-Fi, BSSID, IP-адрес, DNS-сервер и т. д. То есть злоумышленники при помощи вредоносного ПО вполне могут отследить смартфон, воспользовавшись этой уязвимостью. Также хакер может совершить атаку на сеть Wi-Fi и другие устройства в ней.

— Вы сообщили разработчику?

— Безусловно! Они уже закрыли данную брешь системы безопасности, но только в новейшей версии Android 9.0 P. А плохая новость в том, что она доступна лишь 0,1% пользователей. Однако и это еще не все.

— Что еще?

— Основная проблема в том, что разработчик не планирует устранять эту уязвимость в предыдущих версиях операционной системы.

— И что? Мы запретим, безусловно, использовать эту ОС. Но ведь все не так плохо! Мы можем использовать эту уязвимость сами, создавая программу-шпион для целей наших правоохранителей. Верно?

— Иоганн, вы читаете мысли! Конечно, мы уже создали подобное программное обеспечение и даже протестировали его. Получается весьма и весьма интересно. Более того, естественно, авторами подобного ПО является не департамент и не тестовая лаборатория, а хакерская группировка Patriot, официально никак не связанная с департаментом.

— Да, я помню, мы создавали эту группу специально для этого.

Прошло три недели.

— Господин комиссар, пришла новая рекомендация из Академии.

— Что там снова?

— Помните, у нас были сложности со слежкой за доном Ромеро?

— Еще бы! Конечно, помню. Этот гад мне даже по ночам снится.

— Мы решили эту проблему и теперь можем прослушивать его и отслеживать все его маршруты.

— Погоди, но ты же говорил, что это невозможно. Он применяет шифрование.

— Все верно, было невозможно! А теперь мы получили его пароли от почты и мессенджеров и слушаем все его переговоры, как шифрованные, так и нет. Мы имеем все доказательства для его ареста.

— Как удалось?

— Я воспользовался недавно обнаруженной уязвимостью!

Вот так и закончилась карьера дона Ромеро, а вместе с тем на юге империи была разгромлена крупнейшая нарколаборатория.


Сказки о безопасности: Видеоподмена

31/08/2018

https://www.itweek.ru/security/article/detail.php?ID=202927

— Комиссар, у нас проблема.

— А когда у нас не было проблем?

— Я серьезно. Проблема и большая. Помните, сколько мы гонялись за наркоторговцем с 9-й улицы?

— Еще бы. Конечно, помню. Ох и нервов же тогда попортили.

— Ну вот. Вчера во время полицейской облавы наши ребята, Дэн и Ники, взяли его, но сегодня адвокат требует его освобождения. Говорит, что во время задержания была нарушена процедура.

— А вы смотрели показания их видеорегистраторов?

— Конечно! Но вот тут и есть проблема. Показания видеорегистраторов не совпадают. Регистратор Ники пострадал во время задержания. Вернее, уже после задержания. И видеозапись на нем в корне отличается от видео Дэна.

— Не понял.

— У Ники запись показывает, что все было правильно, а вот у Дэна свидетельствует, что задержанному не были зачитаны его права, что Дэн грубо толкнул его и ударил уже лежачего ногой. Короче, если опираться на видеорегистратор Дэна, то права этого торговца действительно были нарушены.

— Сколько у нас времени?

— Сутки.

— Везите видеорегистратор к нашим умникам. Не верю я в то, что Дэн мог избить задержанного. И второй регистратор захватите. Что-то тут не так.

Настало утро следующего дня.

— Чем порадуете, Иоганн?

— Скажу, что торговцу сидеть нужно долго. Регистратор Дэна взломан. А вот к производителям регистраторов у меня серьезные вопросы. И еще более серьезные вопросы к тем, кто давал разрешение на их использование в правоохранительных органах.

— В чем дело?

— Во-первых, все они не имеют никакой защиты от взлома. Во-вторых, видеофайлы не подписываются. А следовательно, хакеры имеют возможность не только прочесть видеофайлы, но и подменить их. В результате невозможно проверить, действительно ли загруженный ролик был снят стражами правопорядка, или его заменили хакеры. Последние могут манипулировать устройством по своему усмотрению. Например, они имеют возможность удалять все кадры и связанные с ними метаданные, такие как местоположение, время и дата записи.

— Спасибо, Иоганн! Придется докладывать императору.

Хакеры научились взламывать нагрудные камеры полицейских и не только просматривать видеоматериалы, но и удалять их. Об этом рассказал консультант по кибербезопасности компании Nuix Джош Митчелл на ежегодной конференции DefCon.


Как удалить личные данные с подключенных автомобилей

28/08/2018

К огромному количеству устройств, на которых хранятся ваши персональные данные и которые нужно очищать перед продажей добавились… автомобили! Да-да, ведь ваш автомобиль, в сущности, это компьютер, хранящий массу информации о вас и когда вы его продаете, эти персональные данные могут быть доступны следующему владельцу, если, конечно, вы не предпримете шагов по удалению этой информации.

Читать далее…


Что изменилось?

28/08/2018

Вчера мне задали вопрос, мол, а как вы считаете, что изменилось за эти годы в области информационной безопасности? Не буду говорить о корпоративных технологиях, появилось много нового, но стали ли мы более защищены?

МОЙ ОТВЕТ – НЕТ!

Почему? Да потому что умных гаджетов становится все больше, умных пользователей все меньше! И эта тенденция скорее всего сохранится. Более того, падение защищенности только усилится. Вы можете возражать, но это так.

Давайте посмотрим почему.

  1. Падение уровня образования.

40211795_10216837708918459_3661264125813587968_nДавайте трезво посмотрим на вещи. Кто сегодня идет преподавать в школу? Чаще всего те, кто не сумел найти себе более высокооплачиваемую работу. Не верите? Вспомните историю, промелькнувшую пару лет назад, когда лучший учитель года, преподаватель английского языка с Западной Украины, уехала работать в Великобританию. Обычной няней.

Все верно, там больше платят. Я ее понимаю. Вопрос в другом – кто остается? Я обратил внимание на программу гимназии с углубленным изучением физики и математики и сравнил с программой физ-мат школы в которой когда-то учился сам. Небо и земля!

Обратите внимание, как отвратительно сдают сегодня ВНО украинские школьники. Безусловно, я имею ввиду математику. Как-то раз на подготовительных в ВУЗ я встретил двух школьниц, которые складывали ½+1/3 и получили… 2/5!!!!

Но каково же было мое удивление, когда обеих я встретил студентками на факультете защиты информации (!!!).

О каком качестве образования можно вести речь?

  1. Модно

Ребенок в три года устраивает сцену и получает от мамы (папы) смартфон чтобы посмотреть любимый мультфильм или поиграть в игру. Главное, чтобы молчал. Но это плохо, но не страшно. Страшнее другое.

— Нужно купить ребенку смартфон! Причем не простой!

— Зачем?

— Модно!

Такой или приблизительно такой разговор можно услышать и сегодня. То же самое я встречал на факультете защиты информации. На вопрос, зачем вы сюда пришли я услышал следующие ответы:

— Модно!

— Папа с мамой привели.

Ну а теперь о самом страшном. О пользователях.

Все хором кричат о необходимости защиты персональных данных. И в то же время большинство выкладывает личные данные в социальных сетях.

Кто и когда читает документацию? Все кричат о необходимости смены паролей, а кто это делает?

Сколько существует двухэтапная аутентификация в сервисах Google? А пользуется нею? 10% пользователей. Но говорят что нужно защищаться!!! Говорят-говорят-говорят… Ни НИЧЕГО не делают!

Список можно продолжать. Но зачем???


Сказки о безопасности: Беззащитная кофемашина

27/08/2018

http://www.itweek.ru/themes/detail.php?ID=202780

— Иоганн, у нас проблема.

— А когда у нас не было проблем?

— Я серьезно. Проблема и большая. Помните, нам подарили кофеварку на годовщину отдела?

— Конечно, ты еще хвасталась, что теперь в отделе начинается новая жизнь и вы сможете продуктивнее работать, так как она варит изумительный кофе, и более того, сварить чашку кофе можно, не вставая с рабочего места.

— Помню! Дура! Признаю.

— Погоди, что ты так категорично! Что произошло?

— Так вот. На прошлой неделе у нас был небольшой перерыв в исследованиях. И наш стажер из Академии, Поль, решил заняться нашей кофеваркой. Главное, что он никого не предупредил! Талантливый парень, но в общем-то совершенно беззаботный мальчишка! Он разобрался с программным обеспечением нашей кофеварки и обнаружил, что она может сама звонить и сама заказывать кофе в капсулах, как только капсул становится меньше указанного минимального порога!!!

— Молодец, что разобрался, и что?

— Да то, что он выставил минимальный порог наполнения в 65 536 и нам теперь регулярно третий день привозят капсулы.

— Ничего страшного. Отключите кофеварку и попросите его все исправить.

— А капсулы кто оплатит?

— Оплатим из исследовательского фонда, тем более они одинаковые для всех наших кофемашин. Зато кофе теперь есть. Рита, привыкайте видеть не только плохое! Лучше расскажите, что еще он нашел!

— Ну что, по его словам, это, увы, очень примитивное устройство. В этой кофемашине отсутствуют даже самые простые средства защиты при подключении через Bluetooth. Как и в случае с игрушкой, помните, мы анализировали умную куклу, отсутствует Bluetooth PIN, режим запуска соединения и вообще хоть что-то, напоминающее защиту.

— Уже весело!

— Более того, поскольку сейчас к кофемашине не подключено ни одно устройство, любой телефон может выполнить подключение, и соответственно, кто угодно может сварить себе кофе. Вам даже не потребуется выполнять реверс-инжиниринг приложения. Нужно лишь просто загрузить копию из соответствующего магазина приложений. А найти кофемашины, доступные для подключения, не составит особого труда. BLE ID = Prod_<MAC address>. И все! Управляйте кофеварками!

— Рита, вашего стажера нужно с одной стороны поощрить за пытливый ум, а с другой объявить выговор за самоуправство, ведь вам он ничего не сказал, верно?

— Именно так!

Увы, эта история не сказка. Как обнаружил исследователь Кен Мунро, именно так работает кофемашина Nespresso Prodigio.