Анонимности нет, смиритесь!

15/01/2017

Когда читаешь сегодня статьи о тайне личной жизни, хочется спросить пишущего, а он верит в наличие тайны личной жизни? Всерьез? Потому что говорить об анонимности сегодня по меньшей мере смешно и самонадеянно.

Вы вышли на улицу и тут же попали в кадр видеокамеры. «Ну и что? Снимают то поток людей, я ж не один. Посмотрите, сколько людей утром едет в метро. Кто будет отслеживать, есть я там или нет?» — думает обычный пользователь. Верно, никто не будет. Но если вы интересны, то уже сегодня существует программное обеспечение, которое может в реальном времени отследить и вычислить вас в толпе. То же касается и потока автомобилей.

А еще проще отследить вас по наличию смартфона. Впрочем, если у вас не смартфон, а простой мобильный телефон, то вас это не спасает. Ведь чтобы отследить вас, достаточно просто знать ваш мобильный номер телефона. А дальше – дело техники. Было бы желание и деньги.

Думаете это все? Отнюдь. Вы пользователь социальной сети? Тогда можно не просто отслеживать вас, а даже влиять на ваше мнение по тому или иному вопросу. Ведь можно фильтровать те новости, которые вы увидите на своей странице. А значит сформировать ваше мнение.

Если вы используете виртуального голосового помощника, то вы сами себе установили подслушивающее устройство, ведь помощник начнет работать после вашей голосовой команды, а как он поймет, что вы нуждаетесь в его услугах, если он не будет вас слушать?

А ведь ваш голосовой помощник работает не только на смартфоне или планшете. Ваш телевизор оборудован видеокамерой и микрофоном? Тогда у вас в комнате не только подслушивающее, но и подсматривающее устройство.

Что у вас еще осталось для общения? Сеть Tor? Сегодня часто можно услышать, что ее сложно взломать, однако на мой взгляд это вранье. Ведь функционирование и развитие этой сети в значительной степени финансируется армией США. Как вы думаете, армия заинтересована в вашей тайне личной жизни? Думаю, они заинтересованы в тайне своей информации и чтении других тайн.

Ну хорошо, собирают информацию. И что? А следующий шаг — это контроль вашего поведения. Думаете это не так? А зря.

Начиналось все с социальных сетей типа Foursquare. Foursquare начиналась с классической пассивной фазы сбора информации о физическом местоположении пользователя и его предпочтениях. Постепенно сеть перешла в активную фазу, появилось меряние чекинами. Это стало своего рода игрой соревнованием, что в свою очередь позволило влиять на поведение пользователей. «Пойдем на улицу А в заведение В, там зачекиниться надо, за это можно получить бонусы.

Следующим шагом стало появление Pokemon Go. Теперь вам предстоит перемещаться в физическом мире, чтобы найти виртуальные призы. Это привело к тому, что можно легко собрать толпу в определенное время в определенном месте, причем благодаря рекламе в СМИ об этом узнают даже те, кто и не собирался играть. Ведь это модно.

А что будет завтра?


Сказки о безопасности: Лекция в университете

10/01/2017

http://www.pcweek.ru/themes/detail.php?ID=191347

Ежегодно в начале января департамент интеллектуальных преступлений проводил лекцию на факультете информационных технологий имперской Академии безопасности.

Так произошло и в этом году.

— Иоганн, вы не забыли? У вас лекция в Академии на следующей неделе.

— Ой, спасибо что напомнили, совсем вылетело из головы! Надеюсь, тему лекции я придумываю сам? Я хочу в этом году предупредить студентов, что с радостью буду отвечать на их вопросы. На мой взгляд, это куда интереснее, чем просто вести лекцию.

— Безусловно.

— Так и решим.

Прошла неделя.

Лекция в университете вначале шла вяло. Студенты занимались своими делами, и вопросы как-то не получались. Так было до тех пор, пока Иоганн не спросил у аудитории, как они относятся к проблеме персональных данных. Готовы ли они к тому, что их данные будут продаваться и покупаться.

Тут же раздался возмущенный вопль:

— Нет! Я не давал свое разрешение!

— Н-да? Давайте проведем небольшой эксперимент. Сколько вас сегодня в аудитории? Порядка 100 человек? Ответьте на ряд моих вопросов. Готовы?

— Да!

— Встаньте пожалуйста. Да-да, все! А теперь пусть сядут те, кто пользуется социальными сетями.

Большая часть студентов села.

— А теперь пусть сядут те, кто использует смартфоны.

Стоять осталось менее 20 человек.

— Ну а теперь пусть сядут те, кто не использует почтовые и облачные сервисы.

Стоять осталось буквально пять или шесть человек.

— Отлично! Вот эти люди заботятся о безопасности своей частной жизни. Все остальные уже продали свои данные и, более того, регулярно их пополняют. Причем они сами дали доступ к своим данным.

— Сэр, но почему вы считаете, что те, кто использует социальные сети, не заботятся о тайне личной жизни?

— Да потому что все, что вы опубликовали в Интернете, уже не ваше. Все это можно использовать против вас. Более того, опубликовав информацию в Интернете, вы уже не сможете ее никогда удалить!

— Хорошо, а смартфоны?

— А вы читали пользовательское соглашение?

— Нет, а что?

— Да то, что вы согласились на использование вашей информации. Вы передаете ваши маршруты движения, геокоординаты, содержимое ваших писем, посещенные страницы в Интернет. Вся эта информация позволяет создать ваш психологический портрет и продавать его поставщикам рекламы. Ничего личного, просто деньги! Беречь тайну личной жизни в наше время очень сложно. И вы должны это осознавать!

А вы помните об этом? Вы храните ваши тайны? Или предоставляете их всем?


Сказки о безопасности: Теледебаты

10/01/2017

http://www.pcweek.ru/themes/detail.php?ID=191345

Вот и наступил Новый год. В кабинете Иоганна собрались друзья и коллеги. У всех было еще нерабочее настроение. Все обсуждали прошедший Новый год. Один из коллег Иоганна похвастался тем, что на Рождество купил себе новый Smart TV под управлением открытой ОС А.

— Иоганн, что вы думаете по поводу внедрения ОС А в мир интернета вещей?

— Что думаю? Думаю, что это катастрофа, все последствия которой мы осознаем очень-очень скоро.

— Вы уверены?

— Да! Ведь даже вы, Курт, еще не понимаете, что произошло, а что уж говорить об обычных пользователях?

— Можете пояснить?

— Легко. Смотрите. ОС А очень широко применяется огромным числом производителей планшетов и смартфонов. Причем одна и та же операционная система у производителя 1 и производителя 2 выглядят совершенно по-разному. Более того, у одного и того же производителя одинаковые модели смартфонов, выпущенные на рынок в одном и том же году, но в разные месяцы, могут иметь совершенно разные операционные системы. Причем выпущенные в мае могут так и не обновиться до июньской версии ОС. Проходит год-два и эти смартфоны, и планшеты уже не обновляются совсем. А производитель ОС заявляет, что операционные системы старше двух лет обновляться не будет никогда. Это приводит к появлению зоопарка на рынке. Но ведь это всего лишь смартфоны и планшеты, ожидаемое «время жизни» которых составляет максимум три года. А теперь поставим ту же версию на телевизор.

— Да, я не подумал

— Вот-вот. Ожидаемое время эксплуатации вашего, достаточно дорогого телевизора минимум 5-7 лет. Сколько раз за это время сменится версия ОС? Как думаете, производитель телевизора будет ее поддерживать? Рассылать прошивки? Тем более что чаще всего перепрошивка через Интернет поддерживается только в аппаратах премиум-класса. А если добавить, что в телевизоры встраивают микрофоны и камеры, то не станут ли телевизоры легкой добычей для злоумышленников?

— Н-да, невеселую картинку мы нам нарисовали, шеф…

— Добавьте сюда, что уже есть блокировщики и шифраторы для соответствующих смартфонов. Появятся и для телевизоров. Да и уровень знаний пользователей телевизоров таков, что они не просто легкая, а очень легкая добыча для злоумышленника.

— Страшная картина.

— И это только телевизоры! Но еще страшнее будет, когда они решат встраивать эту ОС в автомобили.

— А что делать?

— Учить! Учить пользователей! Другого выхода у нас нет! И заставлять производителей обеспечивать безопасность своих устройств под угрозой лишения права продавать их в нашей стране. Да. Это нерыночная мера. А что делать?

Страшная сказка? Да нет! Страшная правда! Что делать? Я не знаю, а вы?


Противодействие вирусам-шифровальщикам Часть 2

10/01/2017

Напомню читателям, что в данной статье мы рассматриваем тему вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Как было показано в первой части статьи, современные темпы развития вирусов-шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. Сегодня мы обсудим, как это сделать, а также рассмотрим способы борьбы с шифровальщиками.

windows_it_ro_1_2017


Сколько лет прошло, а все одно и то же!

08/01/2017

https://msdn.microsoft.com/ru-ru/library/dn753686.aspx

Пользователи и мифы безопасности

Всякий раз, когда сталкиваешься с проблемой онлайн безопасности, стараешься советовать совершить те или иные действия, которые кажутся правильными. Это порождает массу мифов. С годами я понял, что многие мифы кажутся пользователям правдой. Давайте поговорим о таких мифах.

Миф №1. Пароли должны быть чрезмерно сложными и их невозможно запомнить

В то время как этот совет все еще хорош в теории, на самом деле сегодня он заменяется тремя гораздо более важными советами, которые я рекомендую вам запомнить:

  1. Ваш пароль должен быть не менее 15 символов в длину и содержать как минимум 3 набора символов из 4-х.
  2. Сегодня, когда вы вынуждены использовать множество паролей, запомните, вы не имеете права использовать один и тот же пароль на различных интернет-ресурсах.
  3. Используйте платные или бесплатные менеджеры паролей для их хранения. В таком случае вам потребуется запомнить один мастер-пароль. Лучше использовать тот менеджер паролей, который может работать под различными ОС, в том числе и мобильными, а также имеет portable-версию, хранимую на USB-флеш.

Миф №2. Только вложения электронной почты, являющиеся исполняемыми файлами, опасны и их нельзя открывать

Неправильно! Я очень часто слышу это от пользователей, которые не понимают, что существует риск при открытии файлов ВСЕХ типов, присоединенных к сообщениям электронной почты. Недавними и очень опасными примерами были документы MicrosoftWord и AdobePDF.

Если Вы не ожидаете получения документа по электронной почте от кого-либо, удалите сообщение электронной почты; или по крайней мере гарантируйте, что программное обеспечение вашего компьютера находится в актуальном состоянии и базы вашего антивируса регулярно обновляются.

Миф №3. Всплывающие сообщения, об обновлении ПО, могут быть фальшивкой

Много лет назад было довольно много примеров «поддельного» обновления программного обеспечения. Эта эпидемия, заразила много пользователей, но еще больше заставила бояться обновляться. Вместе с тем – обновление – важнейшая задача в обеспечении безопасности.

Лучший совет, в данном случае, состоит в том, чтобы ВСЕГДА обновлять свое программное обеспечение. А для того чтобы не забывать обновляться – воспользуйтесь услугами PersonalSoftwareInspector от компании Secunia.

Миф №4. Вы никогда не должны записывать пароль

Фактически бывают ситуации, когда записывать пароли можно и нужно, однако при этом хранить их придется в надежном месте. Например, чтобы защитить вашу домашнюю беспроводную сеть вы должны удостовериться, что пароль WiFi имеет надежную длину (по крайней мере 20 символов) и настолько сложен, что вы не помните его – запишите его и храните его дома в безопасном месте.

Пока вы храните любые записанные пароли в защищенном месте, они находятся в безопасности.

Миф №5. Ваши банковские учетные данные — самая важная вещь

Когда людей спрашивают, какие онлайн учетные записи более всего нуждаются в защите, они будут часто говорить о своих банковских данных. При этом часто они полностью забывают о важности защиты их почтового ящика; особенно, если это — онлайновая учетная запись, такая как Gmail, Yahoo или Outlook.com.

Мошенники в состоянии использовать плохо защищенные почтовые ящики многими способами. Защитите свой почтовый ящик уникальным паролем и включите все дополнительные функции, такие как двухэтапная аутентификация (если она существует).


Сказки о безопасности: Как отследить курьера

29/12/2016

http://www.pcweek.ru/themes/detail.php?ID=191294

Несмотря на канун Нового Года, работа в департаменте контрразведки шла своим чередом. В столице империи должна была состояться встреча курьера для передачи информации. Такое происходило чрезвычайно редко, и важно было понять, кто будет курьером и что ему передадут. Но как это сделать? Встреча должна состояться в крупном торговом центре, в зале, не оборудованном видеокамерами. Камеры были лишь на входе и выходе, но не внутри.

— Иоганн, ваши коллеги смогут нам помочь? У нас проблема.

— Вы знаете номер телефона человека, который будет передавать сведения?

— Да. Но что толку? В зале не работает GPS, и мы все равно не можем его отследить.

— С вас новогодний подарок моим сотрудникам и учтите, они предпочитают хороший коньяк, а не тот, что предлагает ваша секретарь.

— Конечно. Что от нас требуется?

— Номер телефона объекта.

— И все?

— И все.

— Как?

— А это я вам позже поясню.

Прошло три часа.

— Ваш объект встретился с курьером. Вот телефон курьера. Он сейчас едет по 19-й улице, около дома 14. Судя по всему, он едет на 8-ю улицу. Вы сможете его там перехватить.

— Спасибо! При встрече расскажете? Или это магия?

— Расскажу, приезжайте!

Прошел еще час.

— Иоганн, вы волшебник! Но как?

— Карл, расскажете?

— Конечно, шеф! Все просто. Фирма, работающая на 6-м этаже торгового центра, где и состоялась встреча, установила у себя оборудование, которое отслеживает маршруты передвижения покупателей для оптимизации расстановки товаров и увеличения продаж. В основе технологии, которую используют эти продавцы одежды и обуви, лежит отслеживание пингов от телефонов посетителей при попытке подключиться к сетям Wi-Fi. Для этих целей в торговых залах размещаются специальные устройства, позволяющие собирать необходимую информацию.

Она включает в себя данные о передвижении и местонахождении покупателя, а также количестве посетителей магазина. Эти сведения продавец в дальнейшем использует для выбора оптимального расположения отделов и полок с товаром.

— И вы воспользовались этими сведениями?

— Ну да. Как видите, в век информационных технологий сложно оставаться необнаруженным.

Вы думаете, это фантастика? Нет! Подобные технологии применяют в частности, Marks & Spencer, Dune, Morrisons и Topshop. А в ближайшее время к ним присоединятся Apple и Google.


Сказки о безопасности: Конкуренция на транспорте

27/12/2016

http://www.pcweek.ru/themes/detail.php?ID=191250

В столичную полицию поступило странное заявление. Компания А, транспортный перевозчик, пожаловалась на своего конкурента, компанию В. Дело обстояло следующим образом. В конце квартала все клиенты компании А внезапно отказались продлевать с ней контракты и заключили контракты с компанией В, причем на весьма и весьма выгодных условиях. Каким образом фирма В узнала практически все маршруты и графики поставок — неизвестно. Скорее всего, это промышленный шпионаж. Но как?

Полицейские попросили помощи у департамента интеллектуальных преступлений, и сегодня представители полиции вместе с представителями компании А прибыли в департамент.

— Здравствуйте, господин директор!

— Зовите меня просто Иоганн. Здесь находятся мои сотрудники, которые будут заниматься вашим делом. Марк, Рита, Мишель, это ваше дело. Перейдем к подробностям. Как вы отслеживаете доставку товаров? Как следите за маршрутом и графиками? Ваши водители постоянно ездят по одному и тому же маршруту?

— Водители наших автомобилей имеют смартфоны со встроенной программой навигации. Там с утра задаются маршруты движения, положение транспорта на маршруте контролируется программой, которая передает GPS-координаты к нам на сервер в реальном времени.

— Координаты передаются в шифрованном виде?

— Безусловно.

— Как часто меняется ключ шифрования?

— Ежемесячно. Он вырабатывается на сервере.

— Кто разработчик программы?

— Компания IS.

— Вы могли бы организовать встречу с представителями разработчика скажем через неделю? И предоставить нам полный доступ к серверу и смартфонам ваших водителей?

— Безусловно.

— Тогда за работу. Марк, Рита — на вас анализ смартфонов. Мишель, на тебе сервер.

Прошла неделя.

— Итак, у нас после обеда разговор с разработчиком. Марк, Рита, что скажете? Мишель? Кто первый?

— Шеф, пусть первыми начнут Рита с Марком.

— Итак, для разработки использовалась библиотека J3, бесплатно распространяемая в Интернете. Одно но: у официального разработчика этой библиотеки она стоит около 1500 империалов, здесь же явно использовался бесплатный вариант с заранее вложенным трояном, который автоматически переносился в разрабатываемые приложения, что позволяло собирать данные о местоположении, маршруте, скорости с привязкой по времени.

— Одного этого достаточно чтобы обвинить разработчика. Что Мишель? Это еще не все?

— Нет, шеф. Параллельно с утечкой со смартфонов могу сказать, что сервер приложения также был взломан. Он практически не был защищен, да и в целом защита компьютерной сети компании А была дырява насквозь. Непонятно, как ее до этого не взломали. Короче, мы можем обвинять разработчика, но и сама компания А приложила к этому руку. Ну нельзя ж так работать!

— Интересно получается.

Итог.

Компания А ввиду отсутствия клиентов вскоре обанкротилась, разработчик вынужден был выплатить штрафы своим клиентам и тоже постепенно сошел на нет. А компания В продолжила свою работу, так как несмотря на явный промышленный шпионаж связь злоумышленников с ней так и не была доказана. Представители компании заявили, что купили эту информацию через Интернет и отделались штрафом.

А вы проверяете купленный софт на наличие закладок? Или тоже надеетесь на «авось»? Ваши разработчики используют легальные инструменты? Вы уверены?