Мысли вслух

17/01/2019

В наше время нас все больше окружает умных вещей. Сейчас не удивительно, что кофеварка или кондиционер могут писать письма о необходимости заменить фильтр. Такое впечатление, что не мы контролируем вещи, а вещи контролируют нас.

Все чаще и чаще умные вещи контролируют нас. Кофеварка начала писать письма о том, что нужно сменить фильтр. То же пишет кондиционер. А дверной замок, после замены прошивки просто заявил, что нужно сменить и замок, и дверь. Автомобиль напоминает о необходимости техосмотра… Вы готовы жить в таком мире? Я – нет! Все же в глубине души я надеюсь, что я контролирую вещи, а не вещи меня. А вы как думаете? Мы готовы к тотальному контролю? Представьте, вы пришли на кухню, а ваш холодильник заявляет, что по совету врача вам сегодня можно есть только овсянку и отказывается выдать колбасу.

Реклама

Еще две дыры в голосовых помощниках

07/01/2019

Исследователи из Indiana University, Академии наук Китая и University of Virginia обнаружили две новые уязвимости в голосовых помощниках, таких как Amazon Alexa или Google Assistant, которые могут привести к краже личной информации.

Voice Squatting

Первую уязвимость, описанную исследователями, назвали «Voice Squatting». Это метод, использующий способ, вызывающий навык или действие. Этот метод использует преимущества того, как работают голосовые помощники (voice-powered assistants VPA), такие как интеллектуальные колонки. Сервисы, используемые в интеллектуальных колонках, работают с использованием приложений, называемых «навыки» (“skills” (Amazon)) или «действия (“actions” (Google)).

Фактически навык или действие — это то, что дает VPA дополнительные функции, таким образом пользователь может взаимодействовать с умным помощником через виртуальный пользовательский интерфейс (VUI) и может выполнять это умение или действие, используя только свой голос.

Таким образом, метод Voice Squatting, по сути, включает в себя трюки VPA с использованием простых гомофонов — слов, которые звучат одинаково, но имеют разное значение. Используя пример из белой книги, если пользователь дает команду «Alexa, откройте Capital One» для запуска навыка / действия Capital One, киберпреступник может создать вредоносное приложение с аналогичным названием, например «Capital Won». Это может означать, что голосовая команда для навыка Capital One будет взломана для запуска вредоносного навыка Capital Won.

Voice Masquerading

Вторая уязвимость, выявленная в ходе исследования, получила название «Voice Masquerading». Этот метод заключается в использовании вредоносного навыка/ действия для олицетворения законного навыка / действия с предполагаемым результатом обмана пользователя при считывании личной информации / учетных данных учетной записи или при прослушивании личных разговоров.

Исследователи смогли зарегистрировать 5 новых поддельных навыков в Amazon, прошедших процедуру проверки Amazon. При этом использовали похожие имена вызовов. Было установлено, что они были использованы многими пользователями.

Частный разговор отправлен на телефон

Запись личного разговора женщины в Портленде (США) была отправлена на один из ее телефонных контактов без ее разрешения после того, как VPA Echo Amazon неверно истолковало ее слова.

Что это значит для вашего бизнеса?

VPA популярны, но все же это еще относительно новая технология, и один положительный аспект этой истории состоит в том, что, по крайней мере, теперь эти уязвимости были выявлены исследователями, чтобы можно было внести изменения для противодействия угрозам. Amazon заявила, что проводит проверки безопасности в рамках процесса сертификации навыков, и есть надежда, что способность исследователей успешно выдавать поддельные навыки может побудить Amazon, Alexa и других более внимательно относиться к своим процессам проверки.


Сказки о безопасности: Опасные куклы для взрослых

17/12/2018

http://www.itweek.ru/themes/detail.php?ID=204720 

— Иоганн! Срочно приезжайте! За вами и вашими сотрудниками уже выслан транспорт! За Марком и Ритой, как наиболее далеко живущими сотрудниками, я выслал вертолет транспортной полиции.

— Да что случилось?

— Приедете, расскажу. Уж больно неприятная история. Прямо скажем, с душком.

— Еду.

— Итак, господин комиссар, что произошло?

— Вчера нашему секретарю имперской канцелярии пришло письмо от неизвестного злоумышленника. Он угрожает опубликовать некоторые компрометирующие фотографии и видеозаписи и требует предоставить ему копии секретных документов.

— А можно понять, где сделаны эти фотографии и видео.

— Можно. Сделаны они в новом салоне интимных услуг Robo-Dolls. Там вместо обычного персонала — роботы. Последнее поколение секс-кукол связывается с управляющим сервером, запоминает данные своего «пользователя», чтобы обеспечить более «индивидуальный подход». Ведь пользователи всегда хотят чего-то большего от своих гаджетов.

— Та-а-к, кажется кто-то взломал эти куклы. Вы правы, это действительно дело нашего департамента. Посмотрим, что там такое.

— Макс, езжайте туда вы. Думаю, что Рите там будет не совсем приятно.

— Шеф, да какая разница? Куклы они и есть куклы, тем более мы туда работать едем.

— Хорошо, берите ее с собой. Сам понимаешь, дело строго секретное.

— Еще бы.

Прошел день

— Шеф, а ведь действительно, кукол взломали. Вернее даже не кукол, а канал связи между ними и сервером. Вообще, разработчикам хочется сломать руки и запихать их вместо ног. Идиоты! Как можно было сделать шифрованный канал и назначить вместо ключа шифрования серийный номер куклы, который пишется прямо на ее коробке. Я даже не знаю, как это назвать!

— Спасибо, Макс! Куклы нужно отозвать, пока не исправят программное обеспечение. И в дальнейшем разрешать их продажу только после того, как они пройдут сертификацию в нашем департаменте!

— Ну да, мы секс-роботов еще не сертифицировали.

— А что ты предлагаешь, Макс? Оставить как есть?

— Нет, конечно.

— А что со злоумышленником? Мы что-то знаем о нем?

— Да. Ребята уже связались с его провайдером, установили его место жительства. Вы не представляете, шеф! Этот идиот работал прямо из дома. Туда уже уехал наряд полиции, думаю они его уже привезли.

— Отлично! Давайте его сюда! Нам интересно, откуда он узнал о дефекте шифрования.

— Что вы можете сказать? Ведь вы же не программист. Откуда вы это знаете?

— Мой брат работает в компании-производителе кукол. Он говорил об этом дефекте, но руководство компании сочло, что вносить изменения слишком дорого. А через месяц моего брата просто уволили по сокращению. Он рассказал мне обо всем, и я просто украл у него это программное обеспечение. Он даже не знает об этом.

— Понятно, вы просто подставили его.

— Да! Но мне нужны были деньги.

— Ну а теперь вместо денег вы получите тюремный срок.

Вот так закончилась эта история. Думаю, что очень скоро подобное станет реальностью.


Сказки о безопасности: Слежка за автомобилями

11/12/2018

https://www.itweek.ru/security/article/detail.php?ID=204621

— Иоганн, нам нужна ваша консультация. Что вы думаете по поводу электромобилей?

— Думаю, что при наличии определенной воли со стороны императора мы можем получить дополнительно новое средство наблюдения за гражданами страны. Да, у нас сегодня есть системы распознавания лиц, множество камер на дорогах, авторизация в мессенджерах и веб-сервисах — все это позволяет полиции знать, что делает гражданин в конкретный момент времени. А теперь к числу этих инструментов мы можем добавить еще и электромобили.

— Да, но как мы это поясним гражданам?

— А зачем им что-то пояснять? Единственные, кому придется что-то пояснять, это производители электромобилей. Но им-то как раз пояснить все достаточно просто.

— Как?

— Заботой о покупателе, естественно. Ведь если все производители такого рода транспортных средств будут встраивать системы, которые каждые 30 с отправляют властям информацию о местонахождении машины, ее скорости и направления движения, то они всегда смогут оказать помощь покупателю за минимальное время. Ведь лучше производителя эту помощь никто не окажет. Ну а покупателю достаточно знать, что его координаты в случае чего будут передаваться на ближайшую станцию техобслуживания.

— Но тогда нужно будет договариваться не только с нашими, но и зарубежными производителями электромобилей.

— А куда они денутся, иначе не будем импортировать. И все.

— Отлично. Так и сделаем.

Прошло несколько лет. Чиновники говорили, что они используют данные для того, чтобы усилить безопасность пешеходов и автомобилистов, оптимизировать промышленное производство и инфраструктурное планирование, избежать возможности обмана со стороны автопроизводителей, которые получают льготы со стороны государства.

И все было хорошо. Правда никто не знал, что вся эта информация с легкостью может использоваться и для других целей — например, установления местонахождения конкретного человека. А в перспективе электромобили следующего поколения будут отсылать властям и более персонализированные данные — например, что человек искал в навигационной системе, с кем он встречается, какие локации посещает.

Разумеется, был построен центр сбора и анализа информации. Он разместился в неприметном здании. Незачем привлекать лишнее внимание. Основной же офис располагается в подвале.

В офисе есть огромный экран, на котором отображается местоположение электромобилей — и картинка не статичная, все это постоянно изменяется, в соответствии с изменением местоположения машин. Если кликнуть на одну из точек-автомобилей, то можно получить все необходимые данные о транспортном средстве, включая модель, скорость, пробег и остаток заряда батареи.

— Иоганн, нам нужно отследить машину господина Д. Он использует электромобиль. Вот его госномер, марка, номер двигателя и кузова.

— Да, это все что нам нужно. Можем найти его прямо сейчас. Нам нужно буквально минуту. Господин комиссар, он едет по 5-й улице. Продолжить наблюдение?

— Наша машина будет там через 5 минут. А мы можем его остановить?

— Безусловно.

Через 5 минут господин Д. был задержан полицией.

Вы думаете это сказка? Совсем нет. Сегодня электромобили уже отслеживаются в Китае.


Интернет вещей: как ваше телевидение, автомобиль, игрушки могут шпионить за вами.

09/12/2018

С каждым днем появляется все больше и больше «умных вещей». Можно ли использовать эти приборы для слежки за хозяевами? Безусловно. Руководитель одного из силовых ведомств США не так давно заявил, что соответствующие данные могут использоваться для слежения.
Ваше умное телевизионное устройство может следить за вами? Безусловно. Вспомните недавнее заявление Samsung о том, что не стоит обсуждать конфиденциальную информацию в комнате с «умным» телевизором, оборудованным микрофоном.
Расширяющийся массив устройств, оборудованных доступом в Интернет — это желанный подарок для сотрудников специальных служб, заявил Джеймс Клэппер, высокопоставленный сотрудник американских спецслужб.
«В будущем разведывательные службы смогут использовать Интернет вещей (Internet of Things, IoT) для идентификации, контроля, отслеживания расположения, получения доступа к сети и другой информации», — заявил Клэппер на слушании Сената США.
В этой роли IoT полезен как для официального, так и неофициального слежения по целому ряду причин, связанных прежде всего с утечкой данных.
Интернет вещей — это великолепное изобретение для сбора информации о вас, ведь все эти вещи могут передавать данные о вас без вашего согласия, у них могут быть сторонние функции, о которых вы даже не подозреваете, а следовательно, не можете никак управлять ними.
Более того, полезным для контроля является то, что таким образом можно получать данные буквально в реальном времени, ведь людям свойственно много болтать, заявил Ли Тянь, юрист Electronic Frontier Foundation.
Руководитель спецслужбы США: мы можем использовать IoT чтобы шпионить за вами 
Джеймс Клэппер заявил в своем выступлении перед Сенатом, что это вполне возможно уже сегодня.
Существует огромное количество устройств, предназначенных для подслушивания. Мало того, в таких устройствах как автомобили достаточно аппаратных средств, чтобы сформировать весьма эффективный комплект для контроля.
Безусловно, есть законные причины для контроля со стороны правоохранительных органов, но производители устройств часто довольно халатны и не предлагают выбор в настройке тех или иных устройств, оставляя, например, пароли по умолчанию, что делает потребителей более уязвимыми.
Сотрудники специальных служб не единственные, кто заинтересован во взломе высокотехнологичных домов. Знания о том, когда вы отсутствуете дома, неоценимы для воров. И заодно подумайте, что такие устройства могут рассказать вашему супругу о вашей возможной неверности.
Давайте подумаем, какие устройства сегодня могут наблюдать за вами?
Радионяни и другие беспроводные домашние видеокамеры
В августе 2014 года была опубликована заметка о взломе радионяни. Радионяня была взломана злоумышленником, оравшим на женщину и ее ребенка. У более свежих моделей меньше уязвимостей, но в данном случае устройство было доступно любому.
На сегодняшний день уже доступно множество историй о том, как частные компании шпионили за своими пользователями и вели анализ перемещений пользователей. Это запрограммированная функция, а не ошибка. Например, она использовалась в видеооборудовании безопасности Nest Cam от компании Google, которое хранило данные в облаке в течении 30 дней, анализируя его по вашему запросу.
Умные телевизоры
С недавних пор мы наблюдаем применение небольших видеокамер в новых умных телевизорах (сюда же можем отнести и Xbox Kinects, и ноутбуки, и сотовые телефоны).
Мало того, что эти устройства могут подслушивать вас. Они же могут и подсматривать за вами, ведь уже сегодня они отсылают некоторые голосовые команды на свои серверы управления.
Brennan Center (университетNew York) опубликовал статью Michael Price в которой автор заявил что он испуган такими технологиями и хотел бы вернуть подобный телевизор в связи с тем, что боится бесчисленных тревожащих его функций, среди которых функции распознавания лица.
Дешевые устройства
Очень много угроз безопасности содержатся в устройствах, о которых мы весьма редко вспоминаем и уж тем более редко обновляем.
Люди не обязательно покупают компьютеры, смартфоны и планшеты высшего качества с самой безопасной и часто обновляемой операционной системой. Мало того, они используют эту аппаратуру до последнего. В то время как выпускаются все новые и новые модели, старые зачастую никуда не уходят и люди, особенно домашние пользователи, остаются со своими проблемами один на один.
Домашняя автоматизация
Не стоит забывать об устройствах для домашней автоматизации. Фактически они не настолько «умны» и вынуждены общаться со своими серверами, чтобы обратиться к некоей базе данных. Данные одного термостата или кофеварки могут немного о вас рассказать, но чем больше становится таких устройств, тем больше они могут рассказать, особенно если знать, о чем и как спрашивать.
Игрушки
Атака на рынок игрушек VTech напомнила о безопасности детей в сети. Напомним о взломанной кукле Mattel Hello Barbie, передававшей слова детей в облако и возвращающей полноценные ответы, изготовленные компанией HereO часы с GPS. Как говорят специалисты безопасности Rapid7, все эти игрушки довольно просто скомпрометировать, а в случае часов, использовать их для определения координат владельца.
Ваш автомобиль
Отчет Berkman Center детализирует случай, о котором недавно рассказали сотрудники ФБР. В течение долго времени (еще с 2001 года) ФБР стремился использовать микрофон, расположенный в автомобиле для получения информации о разговорах, которые велись в автомобиле. Компания, выпускающая соответствующее оборудование, победила в суде, но возможность юридического принуждения нельзя игнорировать. Особенно сейчас, когда все чаще распространено использование GPS и соответственно большое количество автомобильных систем стали доступнее удаленному пользователю.

Вывод, который можно сделать, увы, достаточно прост и мрачен.
При использовании IoT вы все больше будете доступны для отслеживания как спецслужбами, так и злоумышленниками, и пока решения этой проблемы просто нет.


Почем домашние тайны?

08/12/2018

Мы обожаем различные технологии. Но чем мы готовы расплатиться за это? Не слишком ли это дорого?

Я, как и большинство современных людей, обожаю удобства и не смыслю себе сегодняшний день без использования различных технологий, в частности доступа в Интернет.

Первое что я делаю, проснувшись — открываю свой ПК или смартфон, чтобы прочесть новости. Когда я еду на работу или просто в город, я слушаю музыку или читаю книгу и снова-таки читаю новости. Вокруг себя я вижу таких же людей. Следовательно, я не один.

Более того, согласно отчета Business Insider Intelligence к 2019 г., в мире ожидается более 23,3 млрд. активных устройств, использующих технологии Интернет вещей (Internet of Things, IoT). Все это делает данный сегмент рынка самым большим рынком устройств в мире.

Эти устройства будут объединять экологические, медицинские и прочие типы датчиков, отправляющих данные и принимающих команды, которые будут контролироваться, корректироваться и взаимодействовать через Интернет. Например, ваш датчик, связывающий вас с доктором, будет передавать данные об уровне сахара в крови, автоматически подавая сигнал тревоги, если он превысит критический, а другой датчик — корректировать температуру в вашем доме в зависимости от погоды на улице. Или ваш автомобиль подскажет вам дорогу в зависимости от состояния пробок и ремонта дороги, узнавая соответствующую информацию из Интернета. Да мало ли что еще.

К 2019 г., согласно прогнозу аналитиков, данный рынок вдвое превысит рынок ПК, планшетов и смартфонов, а также добавит более 1,7 трлн. долл. в денежном выражении к объему мировой экономики.

Очевидно, бизнес доволен таким прогнозом, но действительно ли улучшится качество нашей жизни? Несомненно, гораздо приятнее иметь в доме холодильник, автоматически пополняющий запасы к нашему возвращению из длительной поездки. И, безусловно, гораздо более комфортно возвращаться в квартиру, согретую к твоему приходу.

Пока есть желание получить эти услуги, будут появляться и соответствующие продукты. Мы все больше и больше предоставляем ту или иную работу по дому нашим электронным помощникам. Мы считаем, что это процесс, который позволяет нам жить лучше. Это шаги вперед, освобождающие нас от домашней работы, ведь фактически благодаря смартфонам и планшетам мы доступны для работы в любое время суток.

Мало того, при этом мы сами отказываемся от конфиденциальности, от своего права на личную жизнь в угоду удобству, потому что нам нравится экономить время и деньги.И начало этому процессу обмена конфиденциальности на удобство было положено с созданием социальных сетей. Ведь именно в это время нам постепенно приучали делиться с обществом самым сокровенным. Мы сами участвуем в создании огромной базы наших данных, отдаем все добровольно! Мы используем социальные сети, совершаем онлайн-покупки, радуемся проникновению IoT в нашу жизнь, тем самым открывая себя для специалистов по маркетингу. И эти специалисты знают, в каких магазинах мы любим бывать, какие места отдыха предпочитаем, на каких авто ездим и т. д.

Может вы уже и смирились с таким положением вещей, я не знаю. Но уверен, что вряд ли вам придется по вкусу то, что эти же данные могут использоваться против вас злоумышленниками при создании атак социальной инженерии.

Многие из моих друзей в свое время были удивлены что Google мог отследить их местонахождение автоматически (да и не только Google).

Напомню одну цифру из исследования Hewlett-Packard. 70% используемого IoT-оборудования на сегодня содержат уязвимости безопасности.Новые технологии удобства действительно стоят такого отношения к конфиденциальности?


Сказки о безопасности: Утечка в автомобиле

05/12/2018

— Доброе утро, Иоганн!

— Добро утро, господин комиссар! Что произошло на этот раз? Ну не верю я в то, что вы звоните просто для того, чтобы пожелать мне доброго утра.

— Вы правы. Нам нужно добыть данные с телефона Мартина Зандера. Но как это сделать, мы не знаем.

— А что вам нужно?

— Как обычно, все что сможете. В частности, интересны журналы вызовов, списки контактов и текстовые сообщения.Ну а если сможете перехватить и разговоры, то это совсем великолепно!

— Хорошо. А что вы можете сказать о Зандере?

— Пользуется смартфоном, ездит на автомобиле марки N540, новом. Автомобили меняет ежегодно. Регулярно пользуется автомобильным сервисом на 19-й улице. В дом попасть невозможно. Круглосуточная охрана.

— Понятно. Ну что ж, попробуем. Нам нужно будет чтобы автомобиль Зандера осмотрел наш человек. Вы сможете это сделать?

— Да. Этим сервисом руководит наш человек и он сможет это сделать.

— Очень хорошо, сделайте это буквально завтра. Мы сможем вам помочь.

— Вызовите ко мне Поля.

— Поль, добрый день! Есть дело. Вы завтра устраиваетесь на автосервис на 19-й улице. Вас там примут как специалиста по настойке бортовых компьютерных развлекательных систем.

— Цель?

— Нам нужны данные с автомобиля господина Зандера. Вы должны подключиться к его бортовой компьютерной системе и взять максимум информации с его смартфона. Воспользуетесь для этого его Bluetooth, как только он снова подключит свой телефон к машине для синхронизации личной информации с информационно-развлекательным компьютером.

— Я понял, мы как недавно повторяли как работает CarsBlues. С помощью данной уязвимости можно извлечь журналы вызовов, списки контактов и текстовые сообщения, а при длительном использовании и перехватить содержание голосовых вызовов.

— Получение информации – долгий процесс?

— Нет, получение персональных данных возможно в считанные минуты с использованием недорогого и легко доступного оборудования и программного обеспечения.

— Постарайтесь сделать как можно больше!

— Я понял задачу. Разрешите идти?

Прошла неделя.

— Иоганн, мы смогли извлечь историю звонков телефона, контакты, тексты, электронные письма и файлы, связанные с приложениями на телефоне, например фотографии и аудио, а также подробную информацию о машине. Мы написали сценарий, который отключил брандмауэр устройства и сбросил все данные на USB-накопитель.

— Молодцы!

— Кроме того, мы сделали так, что развлекательная система слушает все что происходит в автомобиле, включая разговоры по телефону.

— Ну что ж, еще раз поздравляю с успешным выполнением задания!

— Господин комиссар, мы сделали все что вы просили и установили прослушку в его авто.

— Спасибо огромное, Иоганн! Рад, что мы всегда можем опираться на вас!

Такие истории совсем не фантастика. Увы, но очень часто люди подключают свои телефоны к развлекательным системам, особенно в арендуемых авто. Но никто потом не «чистит» эти автомобили. Вы готовы к такому? Я пока нет.