И еще раз о «мантрах». Родительский контроль

13/12/2017

Я уже писал о «мантрах» в информационной безопасности. Тогда речь шла о том, что все мы надеемся на чудо. Особенно во время ожидания Рождества и Нового Года. В разные периоды времени это чудо может быть разным. Начиная от веры в детстве в маму с папой, заканчивая верой «в доброго царя» в зрелой жизни.

Сегодня это вера в то, что родителям при воспитании детей помогут различные программы «Родительского контроля». Помогут?

Безусловно, это поможет вам получать объективную информацию о том, чем занят ваш ребенок на смартфоне, планшете, при работе за компьютером. Какие сайты посещает, во что играет и даже где бывает. Да-да, именно так. Вам ребенок говорит одно, а на самом деле? Большая часть получаемой информации – это констатация факта. Да, вместо школы сбежал к товарищу, или говорил, что пошел к товарищу, а был… Бывает всяко. Однако, как правило, это информация об уже свершившемся нарушении.

Кто-то мне может возразить, мол, мы можем запретить ему бывать на тех или иных сайтах, можем ограничить его время пребывания за компьютером. Конечно можете. Но где гарантия что он не пойдет к товарищу или не станет использовать для посещения запретных сайтов школьный ПК? Смартфон товарища? А никакой!

Потому мантра «Родительский контроль» это всего лишь мантра. Никто и никогда не заменит откровенный разговор с родителями, а любое программное обеспечение родительского контроля это всего лишь вспомогательный костыль. Но обойтись без него нельзя.

Другая «мантра» родительского контроля.

Мы установим это ПО и все будет хорошо. Увы, это еще опаснее! Если вы установили ПО, но не настроили его, считайте, что у вас вообще ничего не установлено. Ведь разработчик не знает о конкретно ваших проблемах. Его задача сделать продукт для наиболее широкого круга пользователей. А значит – вы ДОЛЖНЫ сами понимать, что вам нужно настроить и как. Более того, вам не поможет даже компьютерный специалист. Ведь ему-то вы тоже должны пояснить, а что же вы хотите. А кто это знает если не вы?

 

Реклама

Сказки о безопасности: От слежки не спрятаться

12/12/2017

http://www.itweek.ru/themes/detail.php?ID=199000

Когда же наконец-то на улице будет светить солнце? Снова тучи, снова темно. Вот уже скоро 9 утра, а в кабинете снова приходится включать свет. Черные тучи заволокли небо. Пошел снег.

Иоганн не любил такую погоду. Когда на улице рано темнело, у него портилось настроение. В такое время хорошо сидеть в кресле у камина, укрывшись пледом и читать книгу, изредка попивая чай со смородиновым бальзамом. Но служба есть служба, и тут не выбирают.

— Доброе утро, шеф! Вам звонят из департамента внутренней безопасности.

— С утра? Интересно что у них произошло. Соединяйте.

— Доброе утро, Иоганн! Сейчас к вам приедет наш курьер, посмотрите, сможете ли вы помочь.

Прошло полчаса. Каково же было удивление Иоганна, когда вместо простого курьера он увидел перед собой заместителя директора департамента внутренней безопасности.

— Здравствуйте, Иоганн! Не удивляйтесь, проблема настолько серьезная, что я просто не смог ее доверить обычному курьеру. Да и кофе у вас замечательный. Придется к вам мою секретаршу отправить на стажировку. А теперь о серьезном.

У нас проблема. Прибывает курьер наркоторговцев. Увы, мы знаем только его номер мобильного телефона. Нам нужно понять с кем он будет встречаться в нашей стране. Проблема в том, что мы не знаем ни кто это, ни через какую границу он прибудет.

— Думаю, что мы сможем вам помочь. Марк, подойди, пожалуйста. У нас есть интересная задача.

— Шеф, на самом деле задача с одной стороны интересная, а с другой — тривиальная. Нам нужно отследить, какие телефоны будут рядом с искомым и при этом будут переходить с ним из соты в соту. Задача не сложная, но требует больших вычислений. Сделаем! Мы как раз работали над такой задачей.

Прошла неделя.

— Ну что, Марк? Порадуешь наших «смежников».

— Конечно. Вот два номера, которые сопровождали нашего курьера. Более того, я могу сказать, где конкретно они встречались. Мало того, кто еще был на встрече и куда потом они отправились.

— Умница! Твои ребята сумеют отслеживать их дальнейшее передвижение?

— Безусловно. Причем в любой стране и с любыми сим-картами и даже без таковых. Ведь у нас широко распространены бесплатные точки Wi-Fi. А кто мешает отслеживать их?

— Молодцы! Думаю, что нам пора отслеживать таким образом телефоны. Естественно, это необходимо делать в тайне.

— Но как же приватность?

— А разве она существует? Ты еще в это веришь?

— Я? Нет давно.

Такой способ отслеживания телефонов существует достаточно давно. Издание The Washington Post раскрыло информацию о программе слежения за абонентами сотовых операторов по всему миру. Как следует из оказавшихся в распоряжении редакции документов Эдварда Сноудена, АНБ США создало программу CO-TRAVELER, анализирующую информацию о совместных перемещениях мобильных устройств.


Сказки о безопасности: Игроки за рулем

05/12/2017

https://www.itweek.ru/security/article/detail.php?ID=198940

Вчера лежал снег, а сегодня на улице снова грязь, ветер, дождь. Осень и зима никак не могли договориться. Мокрые ветки царапали стекла и снова шел дождь. Выходить на улицу в такую погоду никак не хотелось. Но служба есть служба, и идти все равно нужно. Тем более на этой неделе предстоял визит в канцелярию императора. И хотя совещание вроде бы никак не касалось департамента интеллектуальных преступлений, все же что-то не давало покоя.

Выглянув в окно, Иоганн понял, что идти пешком ну никак не хочется и вызвал дежурную машину.

— Шеф, у вас через два дня совещание в канцелярии императора. Вы не забыли?

— Помню. Софи, напомните мне тему совещания.

— Оно будет посвящено дорожному движению в столице. Резко выросло количество аварий на дорогах. Дорожная полиция пока не может понять причины. Водители вдруг стали совершенно не внимательны.

— Стоп. А позовите ко мне нашего аналитика. Роберт на работе?

— Да, безусловно. Сейчас приглашу.

— И сами заходите. Как мне помнится, вы были одним из лучших аналитиков во время учебы в Академии.

— Спасибо!

— Это ко не мне. Это ректору Академии. Он вас так охарактеризовал.

— Роберт, Софи! Вам предстоит помочь мне понять, что же случилось с водителями? Что у нас такого произошло за последние три месяца, что они стали невнимательны?

— За последние три месяца? Думаю, что невнимательными стали не только водители, а и пешеходы. Вспомните появление массового сумасшествия — игры «Поймай дракона».

— Ах да, толпы бродящих зомби по улицам со смартфонами в руках, пытающиеся поймать виртуальных дракончиков… Ажиотаж прошел довольно быстро, и данная игра уже не фигурирует на первых полосах в СМИ. Вместе с тем она показала, как легко и сильно можно влиять на поведение и привычки людей.

— Да. Эта игра показала, насколько быстро у людей отключается мозг в погоне за целью. Даже если цель виртуальна.

— А никто не пытался оценить ущерб от этой игры?

— Ну почему же. Наши преподаватели провели весьма любопытный анализ по столице. Ущерб составил порядка нескольких миллионов империалов.

— А вы могли бы найти мне результаты этого анализа?

— Легко. Ведь там одним из ведущих аналитиков была Софи. Да-да, шеф, вы недооцениваете вашего прекрасного секретаря. Эта милая девушка хоть сегодня могла бы стать руководителем нашего аналитического бюро, которое давно пора создать.

— Спасибо за подсказку. Софи! Вам поручение. Поищите мне на выпускном курсе студентку, которая могла бы заменить вас на должности секретаря и готовьтесь к новой работе. Думаю, указ императора о создании аналитического отдела не заставит себя долго ждать. Роберт! Жду отчет.

Через два часа отчет Академии был на столе Иоганна. Там были приведены конкретные цифры, касающиеся аварий, которые произошли как по вине водителей, игравших за рулем, так и по вине пешеходов-игроков. Когда эти цифры сравнили с общим числом аварий, оказалось, что более 25% всех аварий можно объяснить именно игрой.

Выступление Иоганна на совещании поразило присутствующих. Никто и подумать не мог, что даже такая обыденная тема, как количество аварий в столице, может быть настолько связана с информационными технологиями.

По окончании совещания император издал два указа, одним из которых создавался аналитический отдел в департаменте Иоганна, а вторым — вносились изменения в правила дорожного движения. Отныне под угрозой огромного штрафа запрещалось использование смартфонов за рулем.

Исследователи Университета Пердью попытались оценить ущерб, нанесённый игрой Pokemon GO. Согласно их исследованию, за первые 148 дней после появления игры в США только лишь автомобилистами было нанесено ущерба на сумму 2,0-7,3 млрд. долларов. Сюда включили все аварии, которые, согласно официальным отчётам, произошли по вине играющих в Pokemon GO за рулём. Более того, по этой же причине два человека расстались с жизнью.


Сказки о безопасности: Компрометация биометрии

29/11/2017

Утро выдалось солнечным, но холодным. Видимо ночью был мороз. Впрочем, такая погода нравится Иоганну куда больше, чем бесконечный дождь с ветром. Прогулка до офиса не заняла много времени. Хотя даже эти 15 минут помогли ему собраться с мыслями. А подумать было о чем. Вчерашний звонок из департамента иностранных дел никак не выходил из головы. Это ж надо было такому произойти. По приказу Иоганна Макс и Рита сегодня вылетают в дружественную республику И. Там произошло серьезное нарушение в системе идентификации граждан и резидентов республики. Обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев.

Итак, скорее всего скомпрометирована база отпечатков пальцев. А значит те пользователи, чьи данные скомпрометированы, больше не смогут использовать свои биометрические данные.

— Рита, что там у вас? Как долетели? Как вас встретили?

— Да все хорошо, спасибо! Здесь нас встретил выпускник нашей же Академии. Он до сих пор помнит ваши лекции. Просил передать привет и заявил, что обязательно передаст с нами ящик какого-то особого ликера из слоновьей ягоды. Говорит, что до сих пор помнит, что вам понравилось!

— Вы поосторожнее, а то обвинят в контрабанде!

— Он тоже так сказал и добавил, что передаст с нами пару бутылок, а остальное — дипломатической почтой!

— Спасибо! И все же давайте по делу.

— Итак, по делу. Нарушение было обнаружено после выявления большого количества операций, сделанных за короткий период с использованием одних и тех же отпечатков пальцев. По словам местных чиновников, это было бы невозможно без незаконного использования биометрических данных.

— Проверьте, кто имел доступ к биометрическим данным? Где они хранились? Короче, все проверьте! И держите меня в курсе.

Прошла неделя.

— Шеф! Кажется, мы нашли причину.

— И в чем она?

— Причина банальна до жути. Сторонний подрядчик имел доступ к части баз и хранил данные в облаке. Причем в открытом виде. Но хорошо то, что это были всего несколько сотен записей, да к тому же там были не все биометрические данные, а только отпечатки пальцев.

— Ну что ж. Жду вас дома. Прилетайте!

Вот так закончилась эта история.

В марте 2017 г. было выявлено нарушение в области информационной безопасности после того, как в системе идентификации граждан и резидентов Индии UIDAI обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев. Инцидент вызвал большие опасения относительно конфиденциальности и безопасности хранения биометрических данных.

 

http://www.itweek.ru/themes/detail.php?ID=198856


Сказки о безопасности: Искушение вернуть смартфон

24/11/2017

http://www.itweek.ru/themes/detail.php?ID=198790

Который день подряд стояла хмурая осенняя погода. Иоганн ужасно не любил такие дни. Но, увы, солнце поздней осенью, да и зимой, не часто баловало столицу, и потому нравится или не нравится, но приходится погоду воспринимать такой как она есть. Но вот и здание департамента интеллектуальных преступлений. И хотя он, как руководитель департамента, давно имел персональный автомобиль, да и дежурную машину можно было вызвать, он все же любил вот такие неспешные прогулки перед работой, тем более если идти пешком, то весь путь занимал минут 15. А кроме того, прогулка по парку помогала собраться с мыслями.

— Доброе утро, шеф!

— Доброе утро, Софи! Что ты сегодня какая-то взволнованная? Есть новости? Мы можем чем-то помочь?

Каждый сотрудник департамента знал, что это не пустые слова, ведь Иоганн искренне считал, что чем меньше у сотрудников домашних проблем, тем больше с них можно спросить на работе. А потому личные проблемы сотрудников в департаменте решались весьма быстро.

— Шеф, у меня странная ситуация, вернее не у меня, а у подружки. Думаю, что о ней стоит рассказать нашим ребятам. На мой взгляд, это новое мошенничество. По крайней мере я с таким встречаюсь впервые.

— Тогда зови их в зал. И, будь добра…

— Я уже сделала кофе, шеф! И даже любимый зеленый чай для Риты приготовила. И ваши любимые миндальные пирожные!

— Софи, ты угадываешь мысли!

— А что тут угадывать? У вас ведь все на лице написано!

Прошло 10 минут.

— Итак, коллеги, я собрал вас чтобы мы все вместе послушали Софи.

— Вчера ко мне обратилась сестра. У нее украли смартфон. От фирмы А. Естественно, он был заблокирован. Но! Вчера он получила письмо якобы от фирмы А с уведомлением о том, что смартфон найден. Чтобы вернуть гаджет, ей предложили перейти по указанной ссылке и ввести свои учетные данные для входа в iCloud. Так как я ей неоднократно рассказывала об интернет-мошенничестве, то она перед тем как что-либо делать, приехала ко мне.

— И что?

— Да что? Сайт был поддельным, что в принципе было понятно сразу же. Ведь никогда представители компании-производителя не будут обращаться к вам для того, чтобы уведомить о найденном смартфоне. Сделан сайт был добротно и если бы не моя паранойя, то может быть она и ввела бы данные. А злоумышленники потом использовали бы их для разблокирования телефона.

— Рита, посмотрите, пожалуйста, подобные случаи мошенничества как у нас в империи, так и за рубежом. А вы, Софи, подумайте, как передать такую новость в СМИ. И учтите, на телевидении выступать вам. Помните, что вы в первую очередь офицер безопасности, причем хороший специалист, а уж потом мой секретарь. Хотя тоже очень хороший секретарь.

Подобные случаи кражи и последующего разблокирования телефонов уже встречались в Юго-Восточной Азии, Африке и Косово. Будьте внимательнее! Помните, никто и никогда не будет вам писать, звонить и посылать SMS, если вы потеряете ваш смартфон.

 


Сказки о безопасности: Автомобиль эры смартфонов

17/11/2017

─ Шеф, доброе утро! Как вы относитесь к широкой интеграции электронного управления в автомобили?

─ Карл, ваши вопросы всегда с подвохом! Признавайтесь, что вы нашли в этот раз?

─ Ну… Так не интересно!

─ И все же?

─ Да что говорить? Нашел что в новый автомобиль собираются вставлять систему управления с помощью смартфона.

─ Погоди, а что они говорят о шифровании канала? О том, кто и как генерирует ключи шифрования? А если хозяин потеряет смартфон? Как перенести настройки? Как в конце концов хозяину доказать, что именно он законный владелец этого автомобиля?

─ Да не знаю я, шеф!

─ Хорошую ты загадку задал. Нужно обращаться в фирму-изготовитель.

Прошло полгода.

─ Шеф, как я и говорил, вышел-таки автомобиль с управлением через смартфон. И более того, автосалон привез в столицу такое авто. Сейчас мы можем «полазить» по нему и попробовать что это.

─ Вот теперь это твоя задача! Карл, ты же помнишь, что у нас как в армии — инициатива наказуема?

─ Помню, потому и сказал об этом. Интересно же, аж руки чешутся. А прелесть нашей работы в том, что можно удовлетворить свое любопытство за казенный счет.

─ Ну ты молодец! Только не затягивай, у нас и своей работы полно.

Прошло две недели.

─ Шеф, готов доложить! Итак, система представляет собой телематическую платформу, с помощью которой можно удаленно отпирать и запирать двери машины, включать фары, узнавать температуру в салоне, проверять запас топлива и заряд аккумулятора, управлять штатной сигнализацией, а также системой автозапуска.

─ То есть фактически, обладая мастер-ключом к системе и установив приложение, а также зная индивидуальный номер авто, который можно узнать у продавца, вы сможете всем этим управлять?

─ По идее так.

─ Вы понимаете, что это находка для злоумышленника?

─ Ну почему же только для злоумышленника? Для полиции тоже.

─ Даже не знаю, что и сказать? Себе я такое ставить не буду, а вы Карл?

─ Безусловно нет. Ни себе ни жене. И вам не советую.

А вы готовы ко все большему вмешательству в вашу жизнь? Или тоже считаете, что удобство в первую очередь, а безопасность когда-то потом? Вы думаете это удаленное будущее? Нет! «АвтоВАЗ» планирует внедрить на своих моделях систему дистанционного управления. С помощью смартфона можно будет запускать двигатель и контролировать параметры автомобиля.

https://www.itweek.ru/security/article/detail.php?ID=198686


Сказки о безопасности: Телефонное мошенничество

16/11/2017

— Доброе утро, шеф!

— Доброе утро, Софи! Что у вас вид какой-то озабоченный?

— С утра соседка озадачила, пытаюсь понять, что у нее случилось.

— А что произошло?

— У нее дочь — студентка местного университета. Говорит, что кто-то незаконно использует ее банковский счет.

— А что конкретно произошло?

— В социальной сети ее университета некто предлагает всем желающим заработать по 50 империалов в обмен на заключение договора с оператором связи на покупку контрактного смартфона последней модели. В основном на это клюют студенты, желающие заработать легкие деньги.

— Но ведь это противозаконно?

— Своим жертвам мошенники говорят, что не совершают ничего противозаконного, а всего лишь используют юридические лазейки для получения выгоды.

— Что-то тут не то. Предлагаю вам подключиться к этой сети и заключить с ними договор. Посмотрим, что будет.

Прошла неделя.

— Шеф, получилось. Схема следующая. С человеком заключается контракт, злоумышленники получают привязанный к сети оператора смартфон с договором обслуживания. Затем договор с оператором расторгается, но вместо оригинального смартфона человеку по почте отправляется дешевая подделка. Оригинальный смартфон разблокируется и продается за рубежом.

— Пора подключать полицию и искать потерпевших.

— Шеф, мало того, преступники регистрировали на студентов вымышленные фирмы. Таким образом они получали еще больше смартфонов.

— Н-да, снова убеждаюсь, что нельзя гоняться за дешевизной.

В Великобритании осуждена преступная группа из семи человек. Около года она зарабатывала, используя персональные данные сотен человек. Мошенническая схема затронула ряд операторов связи, ущерб составил более 2 млн. фунтов стерлингов, передает радиостанция Leading Britain’s Conversation.

https://www.itweek.ru/security/article/detail.php?ID=198659