Анонимности нет, смиритесь!

15/01/2017

Когда читаешь сегодня статьи о тайне личной жизни, хочется спросить пишущего, а он верит в наличие тайны личной жизни? Всерьез? Потому что говорить об анонимности сегодня по меньшей мере смешно и самонадеянно.

Вы вышли на улицу и тут же попали в кадр видеокамеры. «Ну и что? Снимают то поток людей, я ж не один. Посмотрите, сколько людей утром едет в метро. Кто будет отслеживать, есть я там или нет?» — думает обычный пользователь. Верно, никто не будет. Но если вы интересны, то уже сегодня существует программное обеспечение, которое может в реальном времени отследить и вычислить вас в толпе. То же касается и потока автомобилей.

А еще проще отследить вас по наличию смартфона. Впрочем, если у вас не смартфон, а простой мобильный телефон, то вас это не спасает. Ведь чтобы отследить вас, достаточно просто знать ваш мобильный номер телефона. А дальше – дело техники. Было бы желание и деньги.

Думаете это все? Отнюдь. Вы пользователь социальной сети? Тогда можно не просто отслеживать вас, а даже влиять на ваше мнение по тому или иному вопросу. Ведь можно фильтровать те новости, которые вы увидите на своей странице. А значит сформировать ваше мнение.

Если вы используете виртуального голосового помощника, то вы сами себе установили подслушивающее устройство, ведь помощник начнет работать после вашей голосовой команды, а как он поймет, что вы нуждаетесь в его услугах, если он не будет вас слушать?

А ведь ваш голосовой помощник работает не только на смартфоне или планшете. Ваш телевизор оборудован видеокамерой и микрофоном? Тогда у вас в комнате не только подслушивающее, но и подсматривающее устройство.

Что у вас еще осталось для общения? Сеть Tor? Сегодня часто можно услышать, что ее сложно взломать, однако на мой взгляд это вранье. Ведь функционирование и развитие этой сети в значительной степени финансируется армией США. Как вы думаете, армия заинтересована в вашей тайне личной жизни? Думаю, они заинтересованы в тайне своей информации и чтении других тайн.

Ну хорошо, собирают информацию. И что? А следующий шаг — это контроль вашего поведения. Думаете это не так? А зря.

Начиналось все с социальных сетей типа Foursquare. Foursquare начиналась с классической пассивной фазы сбора информации о физическом местоположении пользователя и его предпочтениях. Постепенно сеть перешла в активную фазу, появилось меряние чекинами. Это стало своего рода игрой соревнованием, что в свою очередь позволило влиять на поведение пользователей. «Пойдем на улицу А в заведение В, там зачекиниться надо, за это можно получить бонусы.

Следующим шагом стало появление Pokemon Go. Теперь вам предстоит перемещаться в физическом мире, чтобы найти виртуальные призы. Это привело к тому, что можно легко собрать толпу в определенное время в определенном месте, причем благодаря рекламе в СМИ об этом узнают даже те, кто и не собирался играть. Ведь это модно.

А что будет завтра?


Сказки о безопасности: Лекция в университете

10/01/2017

http://www.pcweek.ru/themes/detail.php?ID=191347

Ежегодно в начале января департамент интеллектуальных преступлений проводил лекцию на факультете информационных технологий имперской Академии безопасности.

Так произошло и в этом году.

— Иоганн, вы не забыли? У вас лекция в Академии на следующей неделе.

— Ой, спасибо что напомнили, совсем вылетело из головы! Надеюсь, тему лекции я придумываю сам? Я хочу в этом году предупредить студентов, что с радостью буду отвечать на их вопросы. На мой взгляд, это куда интереснее, чем просто вести лекцию.

— Безусловно.

— Так и решим.

Прошла неделя.

Лекция в университете вначале шла вяло. Студенты занимались своими делами, и вопросы как-то не получались. Так было до тех пор, пока Иоганн не спросил у аудитории, как они относятся к проблеме персональных данных. Готовы ли они к тому, что их данные будут продаваться и покупаться.

Тут же раздался возмущенный вопль:

— Нет! Я не давал свое разрешение!

— Н-да? Давайте проведем небольшой эксперимент. Сколько вас сегодня в аудитории? Порядка 100 человек? Ответьте на ряд моих вопросов. Готовы?

— Да!

— Встаньте пожалуйста. Да-да, все! А теперь пусть сядут те, кто пользуется социальными сетями.

Большая часть студентов села.

— А теперь пусть сядут те, кто использует смартфоны.

Стоять осталось менее 20 человек.

— Ну а теперь пусть сядут те, кто не использует почтовые и облачные сервисы.

Стоять осталось буквально пять или шесть человек.

— Отлично! Вот эти люди заботятся о безопасности своей частной жизни. Все остальные уже продали свои данные и, более того, регулярно их пополняют. Причем они сами дали доступ к своим данным.

— Сэр, но почему вы считаете, что те, кто использует социальные сети, не заботятся о тайне личной жизни?

— Да потому что все, что вы опубликовали в Интернете, уже не ваше. Все это можно использовать против вас. Более того, опубликовав информацию в Интернете, вы уже не сможете ее никогда удалить!

— Хорошо, а смартфоны?

— А вы читали пользовательское соглашение?

— Нет, а что?

— Да то, что вы согласились на использование вашей информации. Вы передаете ваши маршруты движения, геокоординаты, содержимое ваших писем, посещенные страницы в Интернет. Вся эта информация позволяет создать ваш психологический портрет и продавать его поставщикам рекламы. Ничего личного, просто деньги! Беречь тайну личной жизни в наше время очень сложно. И вы должны это осознавать!

А вы помните об этом? Вы храните ваши тайны? Или предоставляете их всем?


Противодействие вирусам-шифровальщикам Часть 2

10/01/2017

Напомню читателям, что в данной статье мы рассматриваем тему вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Как было показано в первой части статьи, современные темпы развития вирусов-шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. Сегодня мы обсудим, как это сделать, а также рассмотрим способы борьбы с шифровальщиками.

windows_it_ro_1_2017


Сколько лет прошло, а все одно и то же!

08/01/2017

https://msdn.microsoft.com/ru-ru/library/dn753686.aspx

Пользователи и мифы безопасности

Всякий раз, когда сталкиваешься с проблемой онлайн безопасности, стараешься советовать совершить те или иные действия, которые кажутся правильными. Это порождает массу мифов. С годами я понял, что многие мифы кажутся пользователям правдой. Давайте поговорим о таких мифах.

Миф №1. Пароли должны быть чрезмерно сложными и их невозможно запомнить

В то время как этот совет все еще хорош в теории, на самом деле сегодня он заменяется тремя гораздо более важными советами, которые я рекомендую вам запомнить:

  1. Ваш пароль должен быть не менее 15 символов в длину и содержать как минимум 3 набора символов из 4-х.
  2. Сегодня, когда вы вынуждены использовать множество паролей, запомните, вы не имеете права использовать один и тот же пароль на различных интернет-ресурсах.
  3. Используйте платные или бесплатные менеджеры паролей для их хранения. В таком случае вам потребуется запомнить один мастер-пароль. Лучше использовать тот менеджер паролей, который может работать под различными ОС, в том числе и мобильными, а также имеет portable-версию, хранимую на USB-флеш.

Миф №2. Только вложения электронной почты, являющиеся исполняемыми файлами, опасны и их нельзя открывать

Неправильно! Я очень часто слышу это от пользователей, которые не понимают, что существует риск при открытии файлов ВСЕХ типов, присоединенных к сообщениям электронной почты. Недавними и очень опасными примерами были документы MicrosoftWord и AdobePDF.

Если Вы не ожидаете получения документа по электронной почте от кого-либо, удалите сообщение электронной почты; или по крайней мере гарантируйте, что программное обеспечение вашего компьютера находится в актуальном состоянии и базы вашего антивируса регулярно обновляются.

Миф №3. Всплывающие сообщения, об обновлении ПО, могут быть фальшивкой

Много лет назад было довольно много примеров «поддельного» обновления программного обеспечения. Эта эпидемия, заразила много пользователей, но еще больше заставила бояться обновляться. Вместе с тем – обновление – важнейшая задача в обеспечении безопасности.

Лучший совет, в данном случае, состоит в том, чтобы ВСЕГДА обновлять свое программное обеспечение. А для того чтобы не забывать обновляться – воспользуйтесь услугами PersonalSoftwareInspector от компании Secunia.

Миф №4. Вы никогда не должны записывать пароль

Фактически бывают ситуации, когда записывать пароли можно и нужно, однако при этом хранить их придется в надежном месте. Например, чтобы защитить вашу домашнюю беспроводную сеть вы должны удостовериться, что пароль WiFi имеет надежную длину (по крайней мере 20 символов) и настолько сложен, что вы не помните его – запишите его и храните его дома в безопасном месте.

Пока вы храните любые записанные пароли в защищенном месте, они находятся в безопасности.

Миф №5. Ваши банковские учетные данные — самая важная вещь

Когда людей спрашивают, какие онлайн учетные записи более всего нуждаются в защите, они будут часто говорить о своих банковских данных. При этом часто они полностью забывают о важности защиты их почтового ящика; особенно, если это — онлайновая учетная запись, такая как Gmail, Yahoo или Outlook.com.

Мошенники в состоянии использовать плохо защищенные почтовые ящики многими способами. Защитите свой почтовый ящик уникальным паролем и включите все дополнительные функции, такие как двухэтапная аутентификация (если она существует).


Сказки о безопасности: Как отследить курьера

29/12/2016

http://www.pcweek.ru/themes/detail.php?ID=191294

Несмотря на канун Нового Года, работа в департаменте контрразведки шла своим чередом. В столице империи должна была состояться встреча курьера для передачи информации. Такое происходило чрезвычайно редко, и важно было понять, кто будет курьером и что ему передадут. Но как это сделать? Встреча должна состояться в крупном торговом центре, в зале, не оборудованном видеокамерами. Камеры были лишь на входе и выходе, но не внутри.

— Иоганн, ваши коллеги смогут нам помочь? У нас проблема.

— Вы знаете номер телефона человека, который будет передавать сведения?

— Да. Но что толку? В зале не работает GPS, и мы все равно не можем его отследить.

— С вас новогодний подарок моим сотрудникам и учтите, они предпочитают хороший коньяк, а не тот, что предлагает ваша секретарь.

— Конечно. Что от нас требуется?

— Номер телефона объекта.

— И все?

— И все.

— Как?

— А это я вам позже поясню.

Прошло три часа.

— Ваш объект встретился с курьером. Вот телефон курьера. Он сейчас едет по 19-й улице, около дома 14. Судя по всему, он едет на 8-ю улицу. Вы сможете его там перехватить.

— Спасибо! При встрече расскажете? Или это магия?

— Расскажу, приезжайте!

Прошел еще час.

— Иоганн, вы волшебник! Но как?

— Карл, расскажете?

— Конечно, шеф! Все просто. Фирма, работающая на 6-м этаже торгового центра, где и состоялась встреча, установила у себя оборудование, которое отслеживает маршруты передвижения покупателей для оптимизации расстановки товаров и увеличения продаж. В основе технологии, которую используют эти продавцы одежды и обуви, лежит отслеживание пингов от телефонов посетителей при попытке подключиться к сетям Wi-Fi. Для этих целей в торговых залах размещаются специальные устройства, позволяющие собирать необходимую информацию.

Она включает в себя данные о передвижении и местонахождении покупателя, а также количестве посетителей магазина. Эти сведения продавец в дальнейшем использует для выбора оптимального расположения отделов и полок с товаром.

— И вы воспользовались этими сведениями?

— Ну да. Как видите, в век информационных технологий сложно оставаться необнаруженным.

Вы думаете, это фантастика? Нет! Подобные технологии применяют в частности, Marks & Spencer, Dune, Morrisons и Topshop. А в ближайшее время к ним присоединятся Apple и Google.


Сказки о безопасности: Конкуренция на транспорте

27/12/2016

http://www.pcweek.ru/themes/detail.php?ID=191250

В столичную полицию поступило странное заявление. Компания А, транспортный перевозчик, пожаловалась на своего конкурента, компанию В. Дело обстояло следующим образом. В конце квартала все клиенты компании А внезапно отказались продлевать с ней контракты и заключили контракты с компанией В, причем на весьма и весьма выгодных условиях. Каким образом фирма В узнала практически все маршруты и графики поставок — неизвестно. Скорее всего, это промышленный шпионаж. Но как?

Полицейские попросили помощи у департамента интеллектуальных преступлений, и сегодня представители полиции вместе с представителями компании А прибыли в департамент.

— Здравствуйте, господин директор!

— Зовите меня просто Иоганн. Здесь находятся мои сотрудники, которые будут заниматься вашим делом. Марк, Рита, Мишель, это ваше дело. Перейдем к подробностям. Как вы отслеживаете доставку товаров? Как следите за маршрутом и графиками? Ваши водители постоянно ездят по одному и тому же маршруту?

— Водители наших автомобилей имеют смартфоны со встроенной программой навигации. Там с утра задаются маршруты движения, положение транспорта на маршруте контролируется программой, которая передает GPS-координаты к нам на сервер в реальном времени.

— Координаты передаются в шифрованном виде?

— Безусловно.

— Как часто меняется ключ шифрования?

— Ежемесячно. Он вырабатывается на сервере.

— Кто разработчик программы?

— Компания IS.

— Вы могли бы организовать встречу с представителями разработчика скажем через неделю? И предоставить нам полный доступ к серверу и смартфонам ваших водителей?

— Безусловно.

— Тогда за работу. Марк, Рита — на вас анализ смартфонов. Мишель, на тебе сервер.

Прошла неделя.

— Итак, у нас после обеда разговор с разработчиком. Марк, Рита, что скажете? Мишель? Кто первый?

— Шеф, пусть первыми начнут Рита с Марком.

— Итак, для разработки использовалась библиотека J3, бесплатно распространяемая в Интернете. Одно но: у официального разработчика этой библиотеки она стоит около 1500 империалов, здесь же явно использовался бесплатный вариант с заранее вложенным трояном, который автоматически переносился в разрабатываемые приложения, что позволяло собирать данные о местоположении, маршруте, скорости с привязкой по времени.

— Одного этого достаточно чтобы обвинить разработчика. Что Мишель? Это еще не все?

— Нет, шеф. Параллельно с утечкой со смартфонов могу сказать, что сервер приложения также был взломан. Он практически не был защищен, да и в целом защита компьютерной сети компании А была дырява насквозь. Непонятно, как ее до этого не взломали. Короче, мы можем обвинять разработчика, но и сама компания А приложила к этому руку. Ну нельзя ж так работать!

— Интересно получается.

Итог.

Компания А ввиду отсутствия клиентов вскоре обанкротилась, разработчик вынужден был выплатить штрафы своим клиентам и тоже постепенно сошел на нет. А компания В продолжила свою работу, так как несмотря на явный промышленный шпионаж связь злоумышленников с ней так и не была доказана. Представители компании заявили, что купили эту информацию через Интернет и отделались штрафом.

А вы проверяете купленный софт на наличие закладок? Или тоже надеетесь на «авось»? Ваши разработчики используют легальные инструменты? Вы уверены?


Сказки о безопасности: Отпечаток пальца

19/12/2016

http://www.pcweek.ru/themes/detail.php?ID=191060

Близился Новый Год. Люди на улицах бегали за покупками. Наблюдался ежегодный кошмар под названием рождественские распродажи…

Иоганн шел по утренним улицам, кишащим народом. Сегодня была пятница. А значит с утра предстояло очередное совещание в канцелярии императора, которое в этот раз, в порядке очереди, вел руководитель департамента внутренней безопасности.

— Все собрались?

— Да!

— У нас очередное громкое дело. Вчера стреляли в банкира М. К счастью он жив, ранен один из его телохранителей.

— Оружие обнаружено?

— Да, но отпечатков пальцев стрелка не обнаружено в базах силовых ведомств.

Иоганн поднял руку.

— Господа, а в базах выдачи паспортов его тоже нет? Ведь у нас сейчас при выдаче загранпаспортов требуют отпечатки.

— Нет, в этих базах тоже ничего нет. Но ведь выдавать такие паспорта начали не более двух лет назад.

— А в базах пользователей смартфонов и ПК?

— О чем вы, Иоганн?

— Сегодня на большинстве смартфонов, части планшетов и ПК используется идентификация с помощью отпечатков пальцев.

— И что?

— А то, что все эти сведения собираются производителями операционных систем, а мы, как всегда, имеем полный доступ к их базам. Там вы смотрели?

— Нет! Мы вообще не подозревали об этом.

— А зря! Правда, даже если там они есть, мы узнаем всего лишь о том, какое устройство использует наш стрелок, но не узнаем его имя.

— Тогда что нам это дает?

— Его координаты. При первом же выходе устройства в Интернет мы получим его координаты. Дальше дело техники.

Через три часа был получен номер телефона, которым пользовался стрелок, а еще через четыре он был арестован.

Анализ ДНК подтвердил, что именно этот человек стрелял в банкира.

Такая ситуация возможна уже сегодня? Безусловно. Датчик пальца на вашем смартфоне — это, безусловно, удобно. Но безопасно ли? Не думаю!