Часовые ремешки Montblanc могут использоваться для бесконтактных платежей

22/06/2018

Mont

Рынок мобильных кошельков стал популярным из-за повышенного интереса к технологии NFC, и сегодня создаются предпосылки для создания надлежащей инфраструктуры, которая позволит и побудит пользователей отказаться от наличных платежей.

Читать далее…

Реклама

Сказки о безопасности: Футбольное пиратство

22/06/2018

http://www.itweek.ru/themes/detail.php?ID=201797 

— Карл, вы понимаете, что на носу Лига чемпионов? Вы понимаете какие убытки мы несем из-за пиратских трансляций матчей? Что вы предлагаете?

— Господин президент, наши программисты написали приложение для футбольных болельщиков, которое может записывать их разговоры и отслеживать их местоположение для борьбы с пиратскими трансляциями матчей. Но нас ведь обвинят в нарушении прав пользователей!

— А вот это уже задача для юристов и пиарщиков. Нужно сделать так, чтобы либо не обвинили, либо обвинили уже потом, после трансляции! Вам все понятно? Выполняйте!

Прошел месяц.

Благодаря отслеживанию и оперативной блокировке пиратских трансляций Лиги чемпионов принесла телевизионщикам рост прибыли на 25%. Вместе с тем в прессе поднялась волна по поводу того, что прослушка была незаконной. Авторы программы были вынуждены подтвердить факт записи разговоров и отслеживания геолокации. Но суд встал на их сторону, ведь при установке на Android-смартфоны приложение запрашивало разрешение на доступ к микрофону и определению местоположения. А пользователи сами с этим соглашались, значит никто никого не обманывал.

— Господин президент, ваше задание выполнено! Все получилось, как вы и говорили. Мы успешно справились с заданием. На носу Чемпионат мира по футболу. Продолжаем?

— Безусловно! Можно было и не спрашивать!

Это, увы, не сказка! Такое программное обеспечение для борьбы с пиратскими трансляциями матчей успешно применяется в Испании, сообщает издание El Pais.


Угрозы безопасности: угроза автомобильным инновациям

19/06/2018

Темп инноваций в автомобильной промышленности просто захватывает. Еще десять лет назад сама концепция легковых и грузовых автомобилей без водителя-человека считалась научной фантастикой. А сегодня это уже обычное явление на дорогах всего мира.

Многие из этих нововведений носят поистине революционный характер. Умные автомобили позволяют экономить топливо, снизить загруженность и аварийность на дорогах. Однако вместе с тем, в конкурентной борьбе за то, чтобы вывести на рынок все больше и больше подключенных автомобилей крайне важно чтобы производители не пропустили основы кибербезопасности и не поставили под угрозу безопасность автомобилей и пользователей.

До этого времени законодатели и производители приоритетное внимание уделяли физической безопасности автомобильных технологий. А теперь пришло время сосредоточиться на кибербезопасности.

Основные угрозы автомобилю – физическая и кибер.

С точки зрения любого специалиста по безопасности автомобиль это еще одна сложная система, которая становится все более связанной с целью повышения эффективности и удобства клиентов. Проблема, которая при этом создается – все больше возможностей подключения, что означает больше векторов атаки и больше возможностей для хакеров.

С точки зрения безопасности вызывает озабоченность физическая безопасность, ведь если системы управления транспортными средствами могут использовать удаленные соединения, то всегда есть вероятность, что они открыты для взлома, что означает немедленную и неприемлемую опасность для водителей, пассажиров и других участников дорожного движения. Например, три года назад американский производитель автомобилей Chrysler выпустил официальное предупреждение о 1,4 миллионах автомобилей в ответ на уязвимость программного обеспечения, которая позволила исследователям полностью контролировать автомобиль по воздуху. Удивительно, но этот инцидент, похоже, не ослабил желания потребителей в отношении большей автоматизации и интернет-услуг в их транспортных средствах, или скорости, с которой производители автомобилей хотят их производить.

Второй областью, требующей повышенного внимания, является конфиденциальность личных данных. Автомобили становятся все более ценными генераторами персональных данных. GPS-навигационные системы регистрируют поездки, чтобы сократить время, затрачиваемое на трафик, дилеры предупреждаются, когда достигнуты интервалы обслуживания, и страховые компании могут отправить помощь по первым показаниям серьезной аварии. Производители также собирают данные об использовании транспортных средств для улучшения будущих проектов.

Проблема, стоящая перед производителями автомобилей, заключается в том, что многие из этих систем не были разработаны с учетом безопасности, поскольку они никогда не предназначались для подключения к внешним коммуникациям. Однако в современных автомобилях мы находим GSMA, Bluetooth, WiFi и другие беспроводные технологии — не говоря уже о портах USB — повсеместно и могут предоставлять шлюзы для критически важных систем управления. Универсальная CAN-шина, которая управляла автомобильными компонентами в течение двух десятилетий, оказалась особенно сложной для защиты и изоляции. Действительно, непреднамеренное разоблачение CAN-шины позволило атаковать автомобили Chrysler. Исследователи не только смогли получить доступ к CAN-шине через мультимедийный блок управления, который был теоретически изолирован от CAN-шины, но и для установки индивидуальной прошивки без разрешения.

Усиление мер кибербезопасности

В результате производители сегодня гораздо более чувствительны к проблемам безопасности, чем три года назад, а в октябре 2017 года 15 членов Европейской ассоциации автопроизводителей (ACEA) одобрили набор шести принципов кибербезопасности. Эти обязательства являются весьма обнадеживающими и включают принятие подхода к жизненному циклу кибербезопасности для развития транспортных средств, а также обмен информацией между субъектами промышленности для решения новых угроз по мере их возникновения.

Руководящие принципы ACEA должны приветствоваться как введение в концепцию «безопасного проектирования» для автомобильного мира.

Возможно, именно поэтому в январе 2018 года исследователи все еще могли показать, что электронный блок управления (ECU) в ряде недавно построенных автомобилей от разных производителей был восприимчив к удаленному взлому через беспроводные сети даже при выключенном двигателе.

Есть уроки, которые отрасль может извлечь из других секторов. Методы, которые регулярно разворачиваются в корпоративных сетях для выявления и карантина аномального поведения, — определение атак раньше, другими словами, должны быть разработаны для конкретных взаимодействий внутриавтомобильной сети. Также важно, чтобы производители разрабатывали культуру постоянного тестирования и упрочнения их защиты до и после выпуска продукта.

Когда дело доходит до интеграции подключенных систем с системами управления транспортными средствами, требуется лучшее понимание того, как сегментировать сетевые функции и защищать устаревшие системы, и в то же время получать доступ к данным, которые будут стимулировать инновации.

Что касается рисков, связанных с сбором персональных данных в современных автомобилях, то производители должны вкладывать больше средств в образование потребителей по своей продукции. Сегодня водители могут даже не знать, что данные о поездке собираются и хранятся «умными» компонентами в их транспортных средствах, поскольку пользовательские соглашения и условия часто зарыты в конце руководств.


Исследователи обнаружили критические недостатки в судоходных перевозках

15/06/2018

Физическое перемещение товаров в значительной степени зависит от кораблей и самолетов. По данным Международной палаты судоходства, на транспорт на водной основе приходится примерно 90 процентов мировой торговли, в то время как недавний технический документ Boeing отметил, что в ближайшие несколько лет воздушные грузоперевозки вырастут более чем вдвое.

Учитывая этот быстрый рост, недавние исследования показывают, что как аэрокосмическая промышленность, так и судоходная отрасль могут получить неожиданный удар благодаря использованию устаревшей (и часто незащищенной) технологии кибербезопасности.

Читать далее…


Сказки о безопасности: “Подписанные” ворота

05/06/2018

https://www.itweek.ru/security/article/detail.php?ID=201262

— Шеф, у вас найдется немного времени? Хотела рассказать вам, а также Максу и Рите, об одной проблеме. Думаю, что она возникла не только у меня.

— Конечно, зови Макса и Риту!

— Спасибо, шеф!

Прошло 10 минут.

— Коллеги, у нашей милой Софи кажется маленькие неприятности. Наша задача ей помочь. Надеюсь, никто не против?

— Шеф, как мы можем быть против, ведь она одна из нас!

— Итак, Софи, прошу! Рассказывайте! Коллеги, берите кофе, ликер, сладости. У нас всех был тяжелый день.

— На самом деле это даже не моя неприятность, а моей мамы. Она решила установить на гараже автоматические ворота с поддержкой GSM. Ну, чтобы удаленно их открывать и закрывать.

— Обычная практика, у тебя умная мама. И что случилось?

— Она купила SIM-карту от компании М. Все было нормально. Но вдруг три дня назад она обнаружила, что на симке закончились деньги. Но как? Ведь не могут же ворота сами отсылать SMS или звонить кому-либо? Да и в Интернет они вроде сами не ходят. Я решила узнать, что произошло.

— Ты поехала в компанию М?

— Да! И там выяснилось, что оказывается на эту симку было сделано три автоматические подписки.

— Что???

— Да-да, я сама удивилась. Оказывается, компания М сама оформляет «временные» бесплатные подписки для своих новых абонентов, а потом, если абонент не отказывается от подписки, она становится уже платной и постоянной.

— Понятно. То есть компания «подписала» эту SIM-карту?

— Да! Думаю, что это совсем не единичный случай.

— Понятно. Придется идти на прием к канцлеру, а то и к императору. И решать эту проблему.

Прошло три дня.

— Чем все закончилось? Шеф, вам удалось поговорить с канцлером?

— Да! Компания М будет наказана. А деньги за «бесплатные» подписки вернут владельцам. В случае повторения у них просто отзовут лицензию на работу в империи.

Вот так закончилась эта история. Увы, такие истории не новость. Не так давно гаражные ворота были подписаны на платную рассылку МТС.


Сказки о безопасности: Найти хозяина

31/05/2018

http://www.itweek.ru/themes/detail.php?ID=201236

— Господин комиссар, нам приказано отслеживать передвижения госпожи S, но она уже второй раз уходит от слежки. Причем весьма умело, хотя и притворяется обычной светской дамой.

— Как же так?

— Ну вот вчера, когда она была в торговом центре, она то ли умышленно то ли случайно выронила свою любимую собачку. Та умудрилась, естественно, убежать от хозяйки. Мадам устроила переполох, подняла всю охрану. Собачку нашли, но в поднявшейся суматохе мадам вместе с собачкой ушли от наблюдения.

— И что вы предлагаете делать?

— Не знаю.

— Кто еще постоянно ее сопровождает? Шофер? Служанка?

— Они всегда разные. Мы не можем сказать, кто будет с ней. Разве что ее любимая собачонка…

— Андрэ, а чего ты скривился при слове «собачонка»?

— Да моя девушка — ветеринар этой маленькой сволочи. Уже дважды наши встречи срывались из-за нее. То эта собака сожрет что-то не то и у нее живот болит, то еще что-то.

— Андрэ, так это же прекрасно! Твоя девушка сможет нам подыграть?

— Стажер, вы что-то придумали? Поделитесь идеей.

— Да все просто, тем более после того, как эта псина сбежала в торговом центре. Предложим мадам купить трекер для собаки, позволяющий отслеживать ее местоположение по GPS. Сегодня это модно!

— А что нам это дает?

— Сегодня большинство таких трекеров содержат уязвимости. Зная, какой именно трекер на собаке, можно взломать это устройство и определить его координаты. Более того, можно будет даже изменить координаты и привести хозяйку туда, куда нам будет нужно.

— Молодец, стажер! А ты это умеешь?

— Увы, я нет, но ведь у нас есть целый отдел киберполиции. Они должны справиться.

Прошла неделя.

— Господин комиссар, предлагаю вам премировать вашего стажера, пусть сводит свою девушку-помощницу в ресторан. Теперь у нас есть координаты мадам в любое время. Вопрос решен.

— Но как?

— Как оказалось, трекер передает координаты на сервер через GSM в открытом виде. Мы их получаем сразу же. А вскоре появятся новые образцы устройств с видеокамерами и микрофонами. И мы будем видеть и слышать все, что видит и слышит собака.

Выпускаемые сегодня трекеры для животных содержат уязвимости, что позволяет перехватывать их координаты и другую конфиденциальную информацию. Задумайтесь об этом заранее.

 


Сказки о безопасности: Фальшивое письмо

31/05/2018

— Шеф, у нас странное дело. Господин N заявляет, что его корпоративный почтовый ящик взломали. С его домашнего компьютера вчера было отправлено письмо, которое он не отправлял.

— Что говорят у него на работе?

— Там клянутся, что все в порядке и взлома нет.

— Но письмо-то есть.

— Письмо есть, а взлома нет.

— Непонятно. Привезите домашний компьютер к нам. И все подключенные устройства.

— Но к нему ничего не подключено, кроме обычного голосового помощника.

— Вот и тащите его сюда. А что есть там еще?

— Обычный плеер с колонками. Дочка обожает музыку.

— Шеф, можно предложение?

— Да, стажер что у тебя.

— А в котором часу отправлено письмо?

— В 19-30, а что?

— А кто в это время был дома?

— Дочка со своим молодым человеком.

— А чем они занимались?

— Он принес какой-то новый диск с музыкой. Кстати, диск так и валяется дома.

— Привезите его сюда.

— Зачем???

— Привезите, если я прав, то все еще интереснее, чем вы думаете.

Через полчаса диск привезли. Прошел еще час.

— Шеф, я был прав! Смотрите! Я правда только читал об этом, но вот оно, живое!

— Что там?

— Исследователи из университета в Б наглядно показали, каким образом хакеры могут красть данные пользователей, используя приложения с голосовыми помощниками.

Пользователи даже не будут знать, что их голосовые помощники помогли украсть личные и платежные данные, перевели куда-то деньги со счета, оплатили чью-то покупку в интернет-магазине, поделились с кем-то информацией по кредитным картам и т.д.

Все это можно осуществить с помощью секретных команд, неразличимых для восприятия человеческим ухом. Эти команды могут быть вставлены в музыкальные произведения, в потоковое видео или быть просто неким шумом, который ваши устройства будут «слышать» и распознавать. И в этих звуках будут содержаться команды, которые отдадут управление в руки злоумышленников.

Эксперты выявили этот критический недостаток в уязвимости у всех распространенных голосовых помощников.

— И вы считаете, что это именно такой случай?

— Да! Секретные команды могут приказать голосовому помощнику открыть сайты с вредоносными программами, отправить спам или фишинговые письма по электронной почте, набрать нужный телефонный номер. Я проанализировал запись на диске и нашел на нем высокочастотные записи, понизив частоту которых и обнаружил команду на отправку письма. Теперь нам просто предстоит узнать, где молодой человек взял этот диск, и кто его записал. Но это уже куда проще, верно?

— Да, стажер… Понимаю теперь что преступники весьма широко используют новые технологии, а нам нужно учиться и учиться. Думаю, что осенью я пошлю тебя на годовые курсы при новой Академии безопасности, тем более нам пообещали одно место. Спасибо тебе!

— Не мне! Моим учителям!

А такая атака вполне реальна, что и продемонстрировали не так давно исследователи из Китая.