Сказки о безопасности: Продажа сервера

25/10/2018

https://www.itweek.ru/security/article/detail.php?ID=203972

— Доброе утро, Иоганн!
— Доброе, Рита! Ты вся такая взволнованная. Что случилось?
— Иоганн, в моей группе с недавних пор работает новый сотрудник, Пауль Вейн. Помните, мы недавно взяли его на работу? Он пришел из Академии.
— Да, конечно, помню. А что с ним?
— Он рассказал, что ведет с коллегами интернет-проект по защите детей в Интернете.
— Да, я помню это. Весьма интересный проект, тем более, кажется, они ведут его бесплатно?
— Да, этот проект они начали, еще будучи курсантами Академии. Так вот. Не так давно на сайте электронных объявлений были выставлены на продажу серверы обанкротившейся торговой сети IX. И Пауль с товарищами купили два из сервера по цене 1500 империалов. Деньги дала Академия, так как считается что этот проект будет весьма важен для империи. Более того, этот проект идет под патронажем императрицы.
— Молодцы. Если наш департамент сможет им помочь — пусть скажут, что им нужно.
— Погодите, Иоганн! Все гораздо интереснее! Ребята исследовали серверы на предмет возможности восстановления информации. Мне кажется, пора подключаться нашему подразделению, пока все машины ритейлера не проданы.
— Даже так?
— Именно так! По словам Пауля, изучая серверные жесткие диски, он нашел широкий спектр клиентской информации: учетные данные, счета-фактуры, ID-фотографии, имена, домашние адреса, электронные адреса, номера телефонов, IP-адреса, некоторое количество незашифрованных паролей. На одном из серверов оказалась таблица с данными 258 тыс. платежных карт. Также ему удалось получить доступ к образу диска с компьютера, которым пользовался основатель компании Стив Чен.
— Ого! А в связи с чем распродажа оборудования?
— Компания не смогла расплатиться за аренду помещения и все железо ушло в оплату долга.
— Ну что ж, Паулю и его друзьям нужно объявить благодарность, а все остальное оборудование компании взять к нам на исследование. Думаю, что это, увы, не единичный случай, как считаете?
— Увы, думаю вы правы. Большинство компаний не заморачивается об уничтожении информации на старых десктопах и серверах. Сколько мы ни говорим, все бестолку.

Реклама

Сказки о безопасности: Оплошность полиции

15/10/2018

https://www.itweek.ru/security/article/detail.php?ID=203795

— Добрый день, господин комиссар!

— Доброе утро, Иоганн! Что случилось? Обычно я вас тревожу с утра пораньше. А тут вдруг вы. Рабочий день только начинается, а вы уже звоните. Мы можем вам помочь?

— Да нет, господин комиссар, у вас ЧП. Лучше приезжайте в гости. Не телефонный это разговор. Мне придется наказывать одного из ваших сотрудников, а, сами понимаете, я очень этого не люблю.

— О боже! Что-то серьезное? Надеюсь, никто не пострадал?

— Увы, скорее да, чем нет. Короче, приезжайте!

Прошло полчаса.

— Иоганн, так что случилось?

— На 215-й столичный участок поступила жалоба в суд. А суд направил ее к нам на экспертизу. Так как мы с вами в хороших отношениях, я решил вначале все рассказать вам, ведь суд вы явно проиграете и это может стать прецедентом, когда гражданин подал в суд на полицию и выиграл.

— А что случилось?

— Вы же помните, что в соответствии с имперским законом полиция обязана публиковать сведения о применении силы. Однако практика таких публикаций предусматривает удаление из таблиц личных данных граждан, подвергшихся насилию.

— Конечно помню, я же сам писал черновик этого закона. Он применяется уже более 10 лет. И ничего страшного никогда не происходило.

— Увы. 215-й участок выложил на свой сайт электронную таблицу с подробным описанием случаев применения силы в отношении граждан в период с апреля по июнь этого года. Но при этом скомпрометировал данные более 1600 человек, случайно разместив в открытом доступе имена, даты рождения, национальность, данные о здоровье. О происшествии был проинформирован офис уполномоченного по информации. Причиной инцидента стала ошибка сотрудника, ответственного за обнародование значимой информации. Самое печальное, что информация была доступна в течение двух месяцев.

— Да-а-а, вы меня порадовали. Спасибо что позвонили. Такие вещи лучше узнавать от вас, чем в суде. Что предложите?

— Предложу оштрафовать сотрудника, допустившего ошибку. Безусловно, надо бы его уволить, но где гарантия, что следующий будет умнее? Именно поэтому я бы не хотел его увольнять.

— Иоганн, вы правы. Так будет лучше. Увы, от ошибок никто не застрахован.

А вы как думаете? По-моему, самая страшная уязвимость — это ваши сотрудники. Увы, сменить им прошивку невозможно!

 

 


Сказки о безопасности: Когда дешево действительно сердито

08/10/2018

https://www.itweek.ru/security/article/detail.php?ID=203687

— Доброе утро, Иоганн!
— Доброе утро, Рита! Что у нас случилось? Ведь не просто так ты меня тут ждешь?
— Конечно, не просто так. К нам обратились представители службы безопасности банка N. У них резко выросло количество жалоб со стороны пользователей, которые использовали смартфоны для проведения банковских операций.
— И что вы выяснили?
— На проведение исследований у нас ушел месяц. И вот что выяснили. Поставляемые из республики К дешевые смартфоны ценой менее 100 империалов, которые сегодня может купить как студент, так и пенсионер с небольшими доходами, имеют целый ряд недостатков.
— А конкретнее?
— Во-первых, операционная система на таких телефонах практически не обновляется никогда. А во-вторых, из-за недостаточного контроля качества они часто имеют на борту троян удаленного доступа. Мы определили, что вредонос может передавать номер телефона, информацию о местоположении, IMEI, разрешение экрана, информацию о производителе, модели и версии ОС, информацию о процессоре, MAC-адрес, размер оперативной памяти, объем SD-карты, информацию о языке и стране. Более того, он может скачивать, устанавливать и деинсталлировать приложения и открывать URL-адреса в браузере. И все это без ведома владельца!
— Ого! И что вы думаете по этому поводу?
— Мы предлагаем либо запретить ввоз подобных смартфонов, либо ввести их обязательную сертификацию.
— Согласен. Это все?
— Увы, нет. К нам привезли на анализ разбившийся дрон компании, проводившей геологоразведочные работы в горах на востоке империи.
— А мы тут причем?
— Как оказалось, вполне даже причем. Как удалось выяснить нашим специалистам, дешевые дроны, закупаемые нашими компаниями в той же республике К, передают получаемые данные не только нашим компаниям, а и их конкурентам из республики К.
— То есть фактически это шпионаж?
— Да! И мы пока не знаем, что с этим делать. На наш взгляд, об этом нужно говорить на коллегии у императора и принимать какие-то решения о прекращении закупок дронов у наших соседей. Нужно делать свои! А зарубежные допускать на рынок только после сертификации.
— Да-а-а-а! Серьезные проблемы вы поднимаете. Но спасибо, что поднимаете!
Увы, подобные истории не сказка и не фантастика. Мы живем в мире, в котором сказка давно стала былью!


Сказки о безопасности: Мобильный антивирус

02/10/2018

https://www.itweek.ru/security/article/detail.php?ID=203610
Владимир Безмалый | 02.10.2018
— Потапыч, помочь сможешь? Я кажется снова заразила свой смартфон!
— Хорошо, зайду чуть позднее. Ближе к вечеру. Занят я сейчас, обед готовлю.
— Потапыч, давай я зайду помогу.
— Ты что, за меня суп сваришь и картошку приготовишь?
— Да я всегда рада помочь!
— Да-а-а-а, значит сильно припекло. Заходи. Обед делаешь ты, а смартфон ковыряю я.
— Бегу, Потапыч! Бегу!
Прошло минут 10.
— Погоди, Хрюша, ты что, действительно бегом?
— Да, Потапыч! Сильно очень нужно!
— Так, давай разбираться. У тебя что, антивируса не было совсем?
— Ну почему же, был! Я ж девочка хоть и красивая, но умная. Ты ж сказал мне, что первое что нужно сделать — это установить антивирус. Я так и сделала.
— И как ты его выбирала?
— Да как? Я доверилась общественному мнению. Я нашла самый популярный бесплатный антивирус и поставила его себе.
— И все?
— И все!
— Ой, Хрюша, Хрюша! Говорил же тебе, не знаешь — спроси!
— Да постеснялась! Я и так тебя отрываю каждый раз.
— Успокойся. Вот смотри. Заходим на сайт антивирусной тестовой лаборатории. Видишь, здесь есть тесты антивирусов. В том числе тесты бесплатных, наиболее часто загружаемых?
— Вижу!
— Ну а теперь давай поищем твой.
— Вот он! А теперь глянь, как он прошел тесты.
— Да он ничего не поймал! Совсем! Почему же он тогда наиболее популярный?
— Вот-вот! Я ж тебе говорил, вначале смотри! А теперь мы просто сделаем резервную копию твоих контактов, а потом сбросим телефон в заводские настройки, установим правильный платный антивирус и заново все настроим.
— А может удалим бесплатный и поставим платный сразу и все?
— А где гарантия, что он все обнаружит? Нет, дорогая, умерла так умерла. Делаем как я сказал.
— Хорошо, и антивирус я сразу куплю.
А вы как выбираете себе антивирус? Просто посмотрев, какой из них чаще скачивают? Или все же советуетесь со специалистом?


Сказки о безопасности: Мошенничество с айфоном

28/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203555

— Потапыч, помочь сможешь? Я — дура!
— Хрюша, что случилось? Во что ты опять вляпалась?
— Да хотела продать свой старый iPhone, доплатить и купить новый.
— Нормальное желание, а что случилось-то?
— Да решила, дурра, заработать! Говорили мне — отнеси в магазин, доплати разницу и спи спокойно, так нет, решила, что буду продавать сама, больше заработаю.
— Действительно больше, а что?
— Да говорю же, дура! Нужно было хотя бы с тобой посоветоваться! А я решила, что сама справлюсь!
— Так что произошло?
— Да написал мне какой-то мужчина, представился как покупатель, начал переписку со мной в вацапе и вдруг заявил, что у него проблемы, мол, его iCloud подходит не ко всем моделям.
— Что за бред?
— Ага, теперь-то я понимаю, что бред, однако тогда…
— А что было дальше?
— Потом он попросил, чтобы я проверила его аккаунт, выслал мне логин и пароль. А после того, как я ввела эту информацию на своем телефоне, он написал, что заблокировал мой телефон и предложил мне заплатить ему за разблокировку сотового телефона через электронную платежную систему киви.
— Ты в полицию позвонила?
— Да! Они сказали, что я далеко не первая такая дура. И что они, конечно, попробуют мне помочь, но не знают, получится это или нет. Господи, какая же я дура!!!
На самом деле подобное мошенничество имело место не так давно в Казахстане. Так что будьте внимательнее с незнакомыми.


Сказки о безопасности: Мошеннический запрос

12/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203189

— Ой, Потапыч, беда!

— Что опять случилось, Хрюша?!

— Ты ж банке работаешь?

— Ну да!

— В службе безопасности?

— Да говори ты толком, что случилось?

— Я ж у вас деньги свои держу!

— И что? Банк вроде надежный, я ж сам тебе рекомендовал. Что случилось-то?

— Да сегодня мне пришло SMS от имени банка, а в нем предупреждение о блокировке моей банковской карты из-за подозрительной операции.

— Правильно, что позвонила мне. А что было в сообщении?

— Для подтверждения транзакции мне предлагают позвонить по указанному номеру телефона, однако, когда я перезвонила, меня попросили назвать данные карты. Я испугалась, бросила трубку и позвонила тебе.

— Правильно сделала. Мы никому такие SMS не отправляли. Молодец, Хрюша! Умничка что позвонила сразу. Извини, я позже перезвоню, нужно предупредить нашу службу безопасности и наших вкладчиков! Спасибо!!!

— Так я все правильно сделала? А то думаю, вдруг я не права?

— Да правильно, правильно! Успокойся! Молодец что перезвонила! И запомни, не знаешь — перезвони сразу или мне, или на горячую линию банка, она у тебя на карточке написана. И не волнуйся! Никого ты не напрягаешь, горячая линия для того и создана, чтобы помогать.

Вот так закончилась эта история.

Увы, хорошо заканчиваются такие истории только в сказках. Гораздо чаще владельцы карточек идут на поводу у мошенников и сами отдают им свои деньги. Исследователи безопасности из компании Zecurion рассказали о новой мошеннической схеме, в ходе которой злоумышленники отправляют гражданам SMS-сообщения, якобы предупреждающее о блокировке банковской карты из-за подозрительной операции. Для подтверждения транзакции мошенники предлагают позвонить по указанному номеру телефона, однако, когда человек связывается со злоумышленниками, его просят назвать данные карты. Затем, с помощью полученной информации, хакеры выводят средства на свои счета. Пострадавших уже около сотни, а ущерб насчитывает порядка 2 млн. рублей.


Сказки о безопасности: Незапертый замок

10/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203125

— Рита, к вам на стажировку прикрепляются два новых курсанта Академии. Татьяна и Поль. Судя по отзывам из Академии, они хорошо образованы и могут вполне неплохо влиться в ваш коллектив.

— Спасибо, Иоганн, я как раз хотела попросить у вас двух новых «незасвеченных» людей для проведения оперативного мероприятия.

— В чем суть операции?

— Нужно проверить систему физической безопасности в банке на 18-й улице. Они давно нас просят. Но надо провести проверку негласно, чтобы о ней знал только руководитель банка.

— То есть служба безопасности знать об этом ничего не будет?

— Да. Проблема в том, что именно служба безопасности участвовала в проектировании здания изначально и поэтому привлекать их на данном этапе считаю недопустимым.

— Что смущает вас в проекте?

— Блокировка дверей с помощью RFID-карты.

— Ну вот с этого и начнем, тем более Поль и Татьяна писали на эту тему курсовые проекты. Пусть и покажут, чему их научили в Академии. А для начала Татьяна идет в экономический отдел, а Поль в техподдержку банка. Дадим им пару недель.

Прошло две недели.

— Шеф, ваша идея принесла плоды. Я в очередной раз хочу отметить высокий уровень наших курсантов. Поль обнаружил уязвимости в системе офисных контроллеров для управления физической безопасностью. Он заметил, что зашифрованные сообщения, рассылаемые устройствами по внутренней сети банка, не были случайными. А при надлежащей защите зашифрованные сообщения всегда должны выглядеть как случайный набор символов.

Он также обнаружил вшитый ключ шифрования, используемый для всех устройств. Ему удалось успешно скопировать ключ и подделать команды, в том числе для разблокировки дверей. С тем же успехом он мог просто заново воспроизвести команды для разблокировки дверей, что имело бы аналогичный эффект. Он смог блокировать замки и не впускать других сотрудников офиса. Более того, все его действия не регистрировались системой.

— И как это восприняли в банке?

— Как маленькое землетрясение! Ох сколько было крику, когда глава службы безопасности смог попасть к себе в кабинет только с четвертого раза. Причем его ключ то срабатывал, то нет.

— А что компания-производитель? Меры приняты?

— Меры-то приняты, да потребителям не легче, ведь фактически нужно заново покупать новые замки, починить-то их невозможно!

— Думаю, что стоит обязать компанию заменить все замки старого образца на новые бесплатно.

— Но ведь это может привести к банкротству компании?

— А лучше, чтобы за их разгильдяйство платили добросовестные покупатели? Думаю, нет!

Не так давно в офисе Google своим же сотрудником была выявлена уязвимость в дверных замках, благодаря наличию которой он смог открывать и блокировать все двери в офисе. Так что это, увы, не сказка.