Сказки о безопасности: Фальшивая личность

28/04/2017

 

— Иоганн, добрый день!

— Что привело к нам столь уважаемого человека, Гюнтер?

— Ой, только не нужно этих расшаркиваний, Иоганн. Если я с утра встаю в несусветную рань и еду к вам, даже не заезжая в столичный департамент полиции, значит у меня неприятности. Что тут непонятного?

— Не, то что неприятности, я вижу. У вас это на лице написано. Судя по всему, с утра не завтракали?

— Да какой-там завтрак. Всю ночь уснуть не могу.

— Погодите!

— Мари, будь добра, сделай нам кофе с молоком и попроси из кафе напротив принести горячие круассаны, я даже отсюда слышу их запах. Да побольше. И шоколадный крем захвати! И себе с шоколадом. За наш счет! И попроси меня ни с кем не соединять, хорошо?

— Да, шеф!

— Ну а теперь жалуйтесь!

— Как вы знаете, я не сторонник социальных сетей. Ну не понимаю я зачем это и что там делать.

— О да! Знаю! И что?

— Звонит мне вчера товарищ и говорит, мол, Гюнтер, я понял, что у тебя неприятности, я перевел тебе денег, пусть жена выздоравливает. Ты не стесняйся, говори если надо, я ребятам сказал, скинемся. Но я-то ничего не делал. И жена здорова и профиля в сети у меня нет. Не понимаю.

— Погоди, Гюнтер, тут боюсь все куда сложнее. Я приглашу ребят.

— Мари, пригласите Риту и Карла.

— Итак, коллеги. Перед нами жертва подмены личности. Нужна помощь. Сможем?

— Постараемся.

— Понимаете, Гюнтер, вы публичная фигура и потому подменить вас весьма просто. Мошеннику даже не нужно иметь технических навыков. Ваше фото добыть очень легко, а данные о вас также легко найти. Ведь проверочные вопросы ваших друзей не помогут: кто кому друг, где вы праздновали новый год, как зовут жену и т.п. Увы, все это известно. А главное – что найти такого преступника практически невозможно.

— Что вы посоветуете на будущее?

— Вот несколько советов, которые помогут уберечь себя и своих знакомых от такого рода мошенничества:

  1. Скройте список ваших друзей от посторонних глаз (к сожалению, если у вас открытый аккаунт, это будет сделать труднее — каждого друга придется скрывать отдельно).
  2. Закройте свои фотографии от посторонних.
  3. Измените настройки сообщений так, чтобы принимать их только от тех, на кого вы подписаны;
  4. Лучше всего сделать аккаунт максимально приватным и скрыть всю информацию от тех, кого нет в списке ваших друзей.
  5. При любой подозрительной просьбе внимательно проверяйте страницу пользователя, задавайте каверзные вопросы.
  6. Если вы получили от знакомого сообщение с просьбой о финансовой помощи, позвоните или напишите ему SMS.
  7. Если вы столкнулись с мошенником, обязательно пожалуйтесь на его страницу администрации социальной сети, а также оповестите друзей.
  8. Сообщите о случае мошенничества в правоохранительные органы.

— Спасибо, Иоганн! Придется мне извиняться перед друзьями.

— Да. Более того, я рекомендую обзвонить всех, чтобы не попадались.

Вам я тоже настоятельно рекомендую придерживаться этих советов.

 


Прежде чем говорить, проверяйте!

26/04/2017

В ответ на мою публикацию

http://www.securitylab.ru/blog/personal/bezmaly/341694.php

комментатор заявил что указанная мною дыра не работает уже два года. Откровенно? Я бы хотел ошибаться. Но…

1

Обратите внимание на дату поиска в правом нижнем углу. 26.04.17
И собственно паспорт
2

Так что увы-увы, дыра доступна!


Социальные сети и беспечность пользователей

21/04/2017

Скажите мне, каким (далее нецензурно….) нужно быть, чтобы выкладывать свои документы в социальной сети?

Вконтакте. В любом чатике нажимаешь на «Прикрепить», а в всплывающем окошке — поиск по документам. Далее можно набрать слово паспорт или passport, например. Выдается туча ссылок на какие-то картинки. Разумеется, аплоадеры сами бестолковые — грузили свои паспорта в какие-нибудь малоизвестные группы или к себе на страницу. Но вот делать поиск по этим загруженным документам — это нечто!
Этот же паспорт можно найти в обычном поиске, но для этого нужно делать очень специфичный запрос — «паспорт Дианы pdf».
Это к вопросу, что каждый удобный функционал может выйти боком при наличии слишком широкой и плохо контролируемой информации в системе.


Сказки о безопасности: Тотализатор

19/04/2017

Еще вчера казалось в город окончательно пришла весна. Медленно отцветающие абрикосы сменились буйно цветущими вишнями. Однако, увы, это было вчера. А сегодня на город надвинулся ураган. Бурные струи дождя хлестали по окнам, выдувая остатки тепла. Такое впечатление что в город вернулась заблудившаяся осень. Одинокие прохожие передвигались перебежками от одного укрытия к другому. Ни один зонт не спасает в такую погоду, они просто летят вслед за ветром.

Глядя за окно понимаешь, что нет, не хочется идти на работу. Но придется. Иоганн понял, что идти пешком, даже ради утренней прогулки он просто не может себя заставить и потому попросил дежурного по департаменту прислать дежурную машину. Обычно он старался этого не делать, но в такую погоду уж точно можно.

Через пятнадцать минут, вешая промокший плащ в шкаф, он попросил Мари:

— Мари, милая, будьте добры, приготовьте мне большую чашку черного чаю с сахаром.

— Не кофе, шеф?

— Нет! В такую погоду нужно пить чай. Черный с сахаром и коньяком.

— С коньяком, шеф? Вы уверены?

— Да. И тебе предлагаю сделать то же самое. Ведь ты замерзла и промокла, верно?

— Да.

Зайдя в кабинет, Мари увидела, как Иоганн достал из шкафчика заветную бутылку коньяка, который он открывал только в особых случаях и долил в чашку пару чайных ложек коньяка. То же самое он сделал и для Мари.

— А вот теперь можно спокойно попить чаю. Попробуй, запаха спиртного ты не почувствуешь, впрочем, как его не почувствует никто иной. Зато мгновенно согреешься. Попробуй!

— Ой, шеф, вы чай пьете? – в кабинетную дверь заглянула мокрая голова Майкла.

— А ты тоже хочешь?

— Ха, ну конечно. Вашего со знаменитым коньяком!

— Закрывай дверь, а то тут скоро будет конференц-зал, а не кабинет! Вон уже Мишель бежит! Мишель, заходи, ты же к нам на чай?

— Ну конечно! Да вот у меня не только чай, но и новости!

— Рассказывай! Только чай бери! С печеньем! Что там у тебя нового?

— Я вам рассказывала, что мой папа обожает футбол. Причем скрываясь от мамы, он делает ставки на игры. Не большие. Правда мама об этом знает, но виу не подает, говорит, что у папы должны быть свои небольшие секреты.

— И что?

— Он нашел в интернете специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах. Создатели таких сайтов представляются отставными тренерами или спортивными аналитиками. На самом деле часть клиентов подобных сервисов получает один спортивный прогноз, другая часть — прямо противоположный. Если кто-то из пострадавших и возмутится, жулики предложат ему получить следующий прогноз бесплатно в качестве компенсации за проигрыш.

— Да, я помню, мы писали о таком.

— Так вот, мошенники внесли в эту схему некоторые изменения. Ему для подтверждения качества своих услуг предложили скачать самораспаковывающийся архив, якобы содержащий текстовый файл с результатами того или иного матча. Пароль для архива жулики высылают после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным.

— А что посылают на самом деле?

— На самом деле отправляют потенциальной жертве написанную ими программу, полностью имитирующую интерфейс и поведение самораспаковывающегося архива. Она не только внешне практически неотличима от обычного архива, но и схожим образом реагирует на попытку ввести неправильный пароль и на другие действия пользователя. Этот поддельный «архив» содержит шаблон текстового файла, в который с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введет пользователь. Таким образом, после окончания спортивного соревнования жуликам достаточно отправить своей жертве соответствующий пароль, и из «архива» будет «извлечен» текстовый файл с правильным результатом (на самом деле он будет сгенерирован троянцем на основе шаблона).

— Да-а-а. Неужели ваш отец не понимает, что всевозможные предсказания исхода спортивных состязаний — это мошенничество, жертвой которого может стать любой пользователь. Не стоит доверять сайтам, предлагающим разбогатеть благодаря ставкам на тотализаторе с использованием какой-либо инсайдерской информации, даже если обещания жуликов выглядят очень убедительными.

— Мой-то как раз понимает. Не зря первое что он сделал – передал письмо мне. И сказал, что лучше на деньги, которые у него просят, он купит нам с мамой пирожные.

А вы понимаете, что бесплатным не бывает ничего? Нельзя выиграть на инсайдерской информации. Вы заплатите, но выиграете ли? Ой не знаю. Мошенники выиграют точно, а вот вы…

https://www.pcweek.ru/security/article/detail.php?ID=194706

 


Основы безопасности IoT от Microsoft

17/04/2017

Производители оборудования IoT и интеграторы должны соответствовать следующим требованиям:

  • Аппаратные средства должны соответствовать минимальным требования, таким образом, устройство не может выполнять больше функций, чем необходимо.
  • Гарантируйте, что все аппаратные средства защищены от несанкционированного использования, например, в них отсутствуют внешние USB-порты.
  • Оборудование IoT должно быть создано на основе безопасных аппаратных средств, таких как Trusted Platform Module (TPM).
  • Должны гарантировать, что существует безопасный путь для установки обновлений микропрограммы.

Разработчики решения IoT должны:

  • Использовать безопасную методологию разработки программного обеспечения.
  • Гарантировать что любое программное обеспечение с открытым исходным кодом, которое вы выбираете, имеет активное сообщество, отслеживающее и исправляющее любые возникающие проблемы безопасности.
  • Проверить все интерфейсы компонентов для обнаружения дефектов безопасности, обратив особые внимания на излишнюю функциональность, которая может быть доступной через уровень API.

Лица, осуществляющие развертывание решения IoT, должны:

  • Гарантировать, что все развернутые аппаратные средства защищены от несанкционированного использования — особенно там, где они оставлены без надзора или в общественных местах.
  • Бережно хранить аутентификационные ключи после развертывания. Любой скомпрометированный ключ может использоваться злонамеренным устройством для подмены существующего устройства.

Операторы решения IoT должны:

  • Устанавливать последние обновления ОС и драйверов.
  • Защищать от злонамеренной деятельности, защитив операционные системы устройства актуальными антивирусами (если это возможно).
  • Регулярно проводить аудит инфраструктуры IoT для обнаружения проблем безопасности.
  • Физически защищать инфраструктуру от злонамеренного доступа.
  • Защищать учетные данные аутентификации в облаке, изменяя часто изменяя пароли, при этом не входить в систему с общедоступных машин.

 

 

 


Сказки о безопасности: Родительская забота

13/04/2017

В департаменте Иоганна шло совещание о насущных проблемах. Слово попросила Рита.

— Иоганн, мне кажется, что одной из основных проблем сегодня является обучение родителей контролю поведения детей в Интернете, да и вообще их поведению за компьютерами и смартфонами.

— Поясни.

— Огромное количество статей и разговоров о клубах самоубийц, неконтролируемой агрессии детей, отсутствие интереса к учебе, компьютерной зависимости — все это, на мой взгляд, имеет общую причину. Это отсутствие контроля родителей за поведением своих детей при использовании ПК и смартфонов. Родители, увы, имеют гораздо более низкий уровень знаний.

— Ты уверена? Ну что ж, у нас как в армии, инициатива наказуема. Попробуй организовать вебинар об этих проблемах. С детским психологом я тебе помогу. Месяца хватит? Реклама в социальных сетях с нас.

Прошел месяц. Рита и ее ребята работали не покладая рук. Наконец-то все было готово. На вебинар записались более 200 человек. Решено было его провести в выходной день. Чтобы всем было удобно. Каково же было удивление Риты, когда в назначенное время к трансляции подключилось менее 10 пользователей.

В понедельник она пришла на работу в подавленном состоянии.

— Иоганн, выходит наши старания никому не нужны? Да как же так?

— Увы, Рита, именно так! Я не стал настаивать и говорить тебе, что это бессмысленно. Я все чаще и чаще слышу о том, что родители обеспокоены поведением своих детей в Интернете, но похоже либо люди не понимают, о чем говорят, либо просто лгут.

— Иоганн, ты серьезно? Как же можно? Это же их дети!

— Да-да, именно лгут! Родители не могут помочь детям? Да нет! Они не хотят! Ведь для того, чтобы смотреть и контролировать своих детей, родители должны хотеть и понимать, как это делать. Никто и никогда не поможет детям кроме родителей!

Родители обеспокоены? А какие меры они приняли? Научились использовать программы родительского контроля? Поговорили с детьми? Нет! Ты же сама видела, сколько народу пришло.

Так что не стоит обольщаться. Родители готовы только говорить! Реально делать — нет, учиться — нет! Выходит, их дети нужны им только на словах!

— Иоганн, я все же надеюсь, что это не так.

— Я не буду тебя переубеждать. Я тоже очень хотел бы ошибаться.

А вы как думаете? Родители готовы заниматься детьми?

http://www.pcweek.ru/themes/detail.php?ID=194374


Сказки о безопасности: Опасное преследование

03/04/2017

http://www.pcweek.ru/themes/detail.php?ID=193848

Ну вот и все. Позади долгие годы службы, заснеженные сопки, бессонные ночи. Парадный мундир висит в шкафу, поблескивая наградами… Да и сам Ефим больше не бравый полковник с седыми висками, а молодой пенсионер, медленно гуляющий по городу. Первые полгода после увольнения в запас, когда он переехал к детям, он просто отдыхал. Но рано или поздно отдых надоедает, тем более он не чувствовал себя пенсионером.

Вот и сегодня, подходя к подъезду, он увидел заплаканную дочку соседей, Лену. Интересно, что у нее случилось? Впрочем, мало ли что может случиться у 15-летней девочки? Может с подружкой поругались, может с парнем. Но пройти мимо все же очень сложно.

— Что случилось, дочка?

— Вы ничем не сможете помочь.

— Кто знает, расскажи. Мне многое пришлось пройти. Рассказывай. Давай пройдем за угол, там есть кафе с прекрасным мороженым. Я угощаю. А пока ты полакомишься мороженым, я выпью кофе. Ты успокоишься, и мы поговорим.

— Хорошо.

Прошло полчаса.

— Леночка, расскажите, что произошло?

— Дядя Ефим, меня вечером во время пробежки в парке преследует какой-то человек. Я нахожу письма в ящике с предложением встретиться и меня это пугает. Причем, судя по письмам, тот кто меня преследует, хорошо меня знает. Я боюсь.

— В котором часу ты выходишь на пробежку?

— В 20-00.

— Сегодня я погуляю с Мишкой в сквере в это время.

— Ой, ваш Мишка такой большой и с виду такой страшный. Но добрый, я знаю. Он как-то подошел к мне и уткнулся головой в колени, а потом стал повизгивать пока я не почесала ему между ушами.

— Ага, знаю. Он иногда так делает с теми, кто ему сильно нравится. Но вообще будь аккуратнее. Он все же огромный пес.

— Хорошо. А что у него за порода? Я искала, но так и не смогла понять.

— Он смесь сенбернара и немецкой овчарки. Хорошая собака получилась.

Настал вечер. Ефим с Мишкой гуляли по скверу, при этом Ефим все время наблюдал за Леной. И вдруг увидел, как к Лене кинулся какой-то молодой парень в капюшоне, надвинутом на голову.

— Мишка, фас!

Убежать от собаки совсем не просто. А уж тем более, когда на спину тебе падает 90 килограммов живого веса.

— Сними капюшон! Быстро!

Лена вскрикнула.

— Антон? Ты? Чего ты меня преследуешь?

— Я не могу с тобой поговорить! Ты всегда убегаешь!

— Лена, ты его знаешь?

— Да. Это мой одноклассник.

— Это ты писал ей?

— Да. Она мне нравится. А тут в социальной сети я прочел у нее на странице, что она ищет себе спутника. Да и фотографии она стала публиковать, скажем так, несколько двусмысленные. Я и решил с ней поговорить. Пытался сделать это в школе, на улице. Но она всегда убегала. Вот я и решил сделать так. Просто поговорить. Нравится она мне.

— Лена, ты понимаешь, что ты наделала? Хорошо, что так легко отделалась. А если бы это был кто-то посерьезнее твоего одноклассника? Извини, но решать твои проблемы придется тебе вместе с Антоном вдвоем. И будь внимательнее в соцсетях. Придется мне поговорить с твоими родителями.

— Не нужно! Я все поняла. А записи в соцсети я удалю. И буду умнее!

Эта история закончилась хорошо. А вы и ваши дети готовы к таким историям? Точно? Советую очень внимательно смотреть что делают за компьютером ваши дети. Куда и кому они пишут, с кем общаются. Подумайте о ваших детях!