Сказки о безопасности: Мошеннический кабель

23/10/2018

https://www.itweek.ru/security/article/detail.php?ID=203930 

Осеннее утро выдалось на удивление холодным, но солнечным. Деревья уже вовсю сияли желтыми листьями. Потапыч любил такое время. Утром было уже холодно, однако день обещал быть солнечным, а значит еще будет тепло. Хорошо-то так, в такое утро гулять и гулять!
— Потапыч, сможешь прийти?
— Хрюша, лучше приходи сама. Такое утро! Грех дома сидеть, лучше приходи в парк.
— Иду! Только захвачу термос с чаем и бутерброды. И бегу.
— Давай, жду!
Прошло полчаса. А вот и Хрюша.
— Ну рассказывай, что случилось?
— На бегу? Давай сядем, налью чай и поговорим. Проблема у меня. Глупая проблема и я не понимаю, что произошло.
— Рассказывай. Если что-то серьезное, пойдем в полицию.
— Погоди ты в полицию. Я вначале расскажу, а уж потом пойдем. Хорошо?
— Хорошо. Что случилось?
— Да мой iPhone сошел с ума. Устройство начало жить своей жизнью, не подчиняясь мне.
— Погоди. Давай сначала.
— Ну рассказываю. Знаешь же, что я использую iPhone. Но у меня позавчера соседская собака перегрызла зарядный кабель. Я решила купить новый. И увидела объявление на сайте интернет-продаж. Да. Вряд ли это был оригинальный кабель. Но ты ж понимаешь, что я живу не очень-то богато, вынуждена экономить.
— И что?
— Ну, купила кабель. Все работало вроде. Потом я подключила смартфон к зарядному устройству и положила его на стол.
— И что тут плохого?
— А потом начались чудеса. Мой iPhone самостоятельно открыл приложение онлайн-турагентства и забронировал президентский номер в одном из отелей на заграничном курорте.
— Ничего себе! Весело, однако.
— Мало того, смартфон даже сделал попытку заплатить за бронирование.
— Так ты еще и без денег?
— Потапыч, ну я, безусловно, дура, но не настолько же. У меня не записана карта в смартфоне. Да и, кроме того, я успела выдернуть кабель зарядки до того, как операция была завершена. Помимо этого, телефон также переключился с 4G на 2G.
— Ты пробовала еще подключить этот кабель?
— Ну, конечно, и iPhone попытался купить билет на самолет. И что мне теперь делать?
— Что-что. В полицию идти. Причем бегом! Твой кабель с тобой?
— Да.
— Поехали, а чаю потом попьем.
Дежурный полицейский был удивлен не менее Потапыча.
— Да. Такое дело у нас впервые. Пройдите в 5-й кабинет, вас там ждут.
— Доброе утро, Потапыч!
— Сашка? Ты что тут делаешь?
— Служу я здесь. Ты ж меня выучил, вот я и решил, что тут пригожусь. А кабель у вас интересный. Я его оставлю ребятам на экспертизу. Думаю, что придется отзывать такие кабели. Спасибо что пришли. Вам повезло, что у вас не украли деньги. Впредь будьте умнее, покупайте только проверенные аксессуары.
Вот так счастливо закончилась эта история. Будьте внимательнее. Ваша безопасность — это в первую очередь именно ваши проблемы. Помните об этом!

 

Реклама

Сказки о безопасности: Поддельный голос

26/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203506

— Доброе утро, коллеги! У нас с вами есть неоконченное дело по наркокартелю дона Родригеса. Помните? Мы нарушили его работу, разгромили сеть доставки и производства, накрыли лаборатории, однако сам дон Родригес бежал за границу и достать его оттуда мы не можем. Республика N не выдает преступников.
— А что мы знаем о нем?
— У него здесь осталась тетка, на попечении которой дочь дона Родригеса, которую он очень любит и регулярно звонит ей. Однако мы же не можем использовать ребенка для того, чтобы он вернулся в нашу страну.
— Господин комиссар, у меня есть идея.
— Слушаю вас, стажер.
— Предлагаю доверить мне руководство группой по возвращению Родригеса на родину.
— Стажер, что вы себе позволяете?
— Господин комиссар, в случае успеха никто ведь не поверит, что операцией руководил стажер, а если нас постигнет неудача, вы всегда сможете сказать, что стажер напортачил. Так что вам это ничем не угрожает. А в Академии я был лучшим на курсе по способам ведения технической разведки и понимаю, что нужно сделать.
— Хорошо! Только ежедневно докладывайте мне о своих действиях.
Прошло два дня.
— Что вы можете мне сказать о маленькой Веронике?
— У нее на этой неделе день рождения. В субботу как обычно ее поведут в торговый центр выбрать себе игрушку, а затем они устраивают день рождения в детском кафе на третьем этаже этого же центра.
— Отлично. Мы должны сделать так, чтобы девочке подарили в магазине говорящую собачку. Это их новая модная игрушка. Она разговаривает с помощью искусственного интеллекта через Интернет.
— Понятно. Сделаем. Но зачем?
— А вот это вы узнаете через неделю.
В субботу маленькая Вероника с бабушкой пришли в магазин. На входе их встретила очаровательная девушка, которая заявила бабушке, что так как они являются юбилейным покупателем, то магазин дарит маленькой девочке говорящую собачку.
Описать всю радость Вероники было просто невозможно.
Прошла неделя. Вероника не расставалась с собачкой целыми днями.
— Итак, господа, а теперь мы приступаем ко второй части. Мы едем в компанию-производитель нашей собачки. Хорошо, что они находятся в нашем городе.
— Добрый день, господа! Мы знаем, что вы коллекционируете разговоры, записываемые вашими собачками с целью усовершенствования программного обеспечения.
— Но мы никому не говорили об этом. Откуда?
— На то мы и департамент контрразведки. Мы не открываем свои источники. Нам нужны все записи за последние две недели.
— Но это конфиденциальная информация.
— Безусловно. Если вы откажете нам, то мы вынуждены будем подать на вас в суд за незаконное прослушивание. Какой вариант вас больше устраивает?
— Мы готовы отдать вам требуемую информацию.
— Отлично.
По приезду в комиссариат стажер заявил, что для дальнейшей работы ему придется обратиться в Академию.
— Господин профессор, вы сможете мне помочь? Мне нужно подделать голос в телефоне. Вот образец.
С помощью фальшивого звонка от имени ребенка полиции удалось выманить дона Родригеса на свою территорию и произвести арест. Так и закончилась эта история.
В феврале 2017 г. в открытый доступ попали более 2 млн. детских голосов пользователей «умной» игрушки CloudPets. Голоса были зашифрованы, однако пароль шифрования был очень простым.


Сказки о безопасности: Расшифровка автомобиля

14/09/2018

https://www.itweek.ru/security/article/detail.php?ID=203231

— Добрый день, Иоганн!

— Добрый день, господин комиссар! Что привело вас к нам в такую рань? Ведь явно же не просто так вы пришли. А выпить чашку хорошего кофе вы могли бы и у себя в кабинете. Тем более в такую мерзкую погоду.

А за окном вовсю хлестал дождь. Осень в империи началась вдруг резким похолоданием и дождями. Ветер и дождь, дождь и ветер. Казалось вода хлынула с небес сплошным потоком.

— Иоганн, вы же понимаете, что в такую погоду хорошая собака пожалеет хозяина и не будет проситься на прогулку. Значит меня привела очень важная причина. На самом деле у нас проблема. Нам нужно поставить прослушку в автомобиль Длинного Дэна. Он, как правило, проводит свои короткие совещания прямо в своем автомобиле.

— Ну так вскройте автомобиль и сделайте это.

— Ключевым является слово «вскройте». Мы не можем этого сделать. Он применяет электронный замок. А вскрыть его мы не можем.

— Понятно. Я поговорю с Ритой. Подумаем, чем мы можем вам помочь. Но, сами понимаете, это, увы, не мгновенно.

Прошло две недели.

— Иоганн, мы нашли решение.

— Какое?

— Автомобиль Длинного Дэна применяет беспроводную систему, которая использует относительно слабые алгоритмы шифрования для ключей. Наши исследователи разработали таблицу объемом в 6 Тб с возможными комбинациями кода — это примерно 216 возможный ключей. Помимо таблицы нужны еще радио-донгл, дубликатор и эмулятор RFID-меток, а также мини-компьютер. В общей сложности все оборудование стоит приблизительно 600 империалов.

— Погоди, но это же совсем не дорого!

— Более того, данный метод подходит для всех автомобилей, использующих беспроводные брелки, поскольку принцип работы таких систем одинаков: при нажатии на кнопку разблокировки брелок отправляет зашифрованный код, открывающий двери и запускающий бортовой компьютер. Оборудование способно удаленно считать сигнал с находящегося поблизости брелока, причем процесс получения криптографического ключа занимает менее 2 с.

— Ну что ж, Рита, получается мы можем порадовать комиссара?

— Да. И более того, мы продемонстрируем это на его собственном автомобиле.

— Господин комиссар, приезжайте к нам завтра с утра на вашем новом авто. Мы вам кое-что покажем.

Настало утро.

— Доброе утро, Иоганн, что вы хотели мне показать?

— Давайте подойдем к вашему автомобилю.

— Погодите, Иоганн, но я не оставлял на водительском сидении этот журнал. И тем более этот конверт. Что это?

— Откройте конверт, господин комиссар.

«Господин комиссар, мы успешно вскрыли ваш автомобиль, а значит и проблема Длинного Дэна успешно решена!»

— Иоганн, передайте мое восхищение вашим исследователям. Проблема действительно решена.

Увы, это не фантастика. Ключи от автомобиля Tesla сегодня подбираются за несколько секунд. Помните об этом.


Сказки о безопасности: Зараженное авто

04/09/2018

http://www.itweek.ru/themes/detail.php?ID=202989

Вот и прошло лето. Настала осень, а вместе с ней и занятия в школе. Иоганн подумал, что правильно дал сегодня Рите выходной. Все же ребенок впервые идет в школу. Нужно отвезти его, познакомиться с учительницей, да мало ли дел у первоклашки. И все нужно решить. А главное успокоить ребенка, что у него начинается взрослая жизнь, но мама и папа рядом и всегда помогут!

Иоганн шел по парку на службу и понимал, что не зря он сегодня вышел заранее. Утро было уже по-осеннему прохладным, но чувствовалось что впереди жаркий день. Он свернул на боковую аллею, решив, что до службы еще успеет покормить уток, а может и лебедей, которые с недавних пор тоже жили у этого озера в центре парка.

Но как бы ни хорошо было в парке, все же пора на работу.

— Доброе утро, Иоганн! Вы, как обычно, начинаете свое утро с чашки кофе? Я сейчас принесу.

— Спасибо, Ирина!

Новый секретарь Иоганна была выпускницей Академии и строго говоря, совсем не секретарем. Но пока настоящего секретаря еще не нашли, она проходила годичную стажировку в департаменте, а значит, была основным человеком на побегушках. В департаменте относились к этому спокойно, ведь сегодня она могла быть секретарем, а завтра оперативником.

Первые два часа прошли спокойно, а потом позвонила Рита.

— Шеф, я сейчас беру такси и приезжаю в управление. Попрошу подготовить служебный эвакуатор и прислать его к гимназии № 100.

— Погоди, это гимназия твоего сына. Что случилось? Ты попала в аварию? С сыном порядок? Ты здорова?

— Шеф, с сыном и со мной все в порядке, спасибо. А вот с машиной чудеса. Я ж вчера была на станции техобслуживания. Меняла прошивку бортового компьютера. Вот с ним чудеса, потому и прошу помощи.

— Не волнуйся, дежурная машина за тобой уже вышла. Эвакуатор тоже.

— Спасибо! И попросите Марка с моими ребятами быть наготове. Если я не ошибаюсь, у нас новое дело.

Прошло три часа.

— Шеф, а Рита права. У нас действительно новое дело.

— Что случилось?

— Автомобиль Риты взломан, точнее он заражен вредоносным ПО. Более того, троян сидит прямо в прошивке этого автомобиля. Мы выслали дежурную группу на станцию техобслуживания и выяснили, что проблема не на станции. Это проблема производителя автомобилей. Зараженную прошивку на станцию доставили из фирменного центра обслуживания, а там ее получили от производителя оборудования.

— Выходит, нужно отзывать все автомобили этой марки?

— Да! И проводить расследование уже в самой компании-производителе.

Прошло две недели.

— Иоганн, мы закончили. Ну и бардак же в ИТ-службе этого автогиганта. Пришлось попотеть. Оказалось, что их разработчики уже несколько раз просили руководство купить им новое средство разработки, а главное — его библиотеки. Им каждый раз отказывали. И пришлось скачивать библиотеки из Интернета. Естественно, их никто не тестировал на безопасность. А они оказались ворованными, и вирус проник в прошивку.

— Вы доложили руководству компании?

— Конечно. Но не знаю, примет ли оно наши аргументы.

— Примет, я об этом позабочусь. Доведу ваши результаты до императора. Так что примет. Не забудьте выделить премию вашей группе из фонда департамента.

— Спасибо, шеф!

— Знаешь, Марк, а теперь я понимаю, почему ты не меняешь свое старое авто.

— Ха! Только поняли? Оно старое, зато надежное!

Вот такая или почти такая история может произойти с любым из ваших «умных» автомобилей. Вы готовы? Мне кажется, нет!


Сказки о безопасности: Видеоподмена

31/08/2018

https://www.itweek.ru/security/article/detail.php?ID=202927

— Комиссар, у нас проблема.

— А когда у нас не было проблем?

— Я серьезно. Проблема и большая. Помните, сколько мы гонялись за наркоторговцем с 9-й улицы?

— Еще бы. Конечно, помню. Ох и нервов же тогда попортили.

— Ну вот. Вчера во время полицейской облавы наши ребята, Дэн и Ники, взяли его, но сегодня адвокат требует его освобождения. Говорит, что во время задержания была нарушена процедура.

— А вы смотрели показания их видеорегистраторов?

— Конечно! Но вот тут и есть проблема. Показания видеорегистраторов не совпадают. Регистратор Ники пострадал во время задержания. Вернее, уже после задержания. И видеозапись на нем в корне отличается от видео Дэна.

— Не понял.

— У Ники запись показывает, что все было правильно, а вот у Дэна свидетельствует, что задержанному не были зачитаны его права, что Дэн грубо толкнул его и ударил уже лежачего ногой. Короче, если опираться на видеорегистратор Дэна, то права этого торговца действительно были нарушены.

— Сколько у нас времени?

— Сутки.

— Везите видеорегистратор к нашим умникам. Не верю я в то, что Дэн мог избить задержанного. И второй регистратор захватите. Что-то тут не так.

Настало утро следующего дня.

— Чем порадуете, Иоганн?

— Скажу, что торговцу сидеть нужно долго. Регистратор Дэна взломан. А вот к производителям регистраторов у меня серьезные вопросы. И еще более серьезные вопросы к тем, кто давал разрешение на их использование в правоохранительных органах.

— В чем дело?

— Во-первых, все они не имеют никакой защиты от взлома. Во-вторых, видеофайлы не подписываются. А следовательно, хакеры имеют возможность не только прочесть видеофайлы, но и подменить их. В результате невозможно проверить, действительно ли загруженный ролик был снят стражами правопорядка, или его заменили хакеры. Последние могут манипулировать устройством по своему усмотрению. Например, они имеют возможность удалять все кадры и связанные с ними метаданные, такие как местоположение, время и дата записи.

— Спасибо, Иоганн! Придется докладывать императору.

Хакеры научились взламывать нагрудные камеры полицейских и не только просматривать видеоматериалы, но и удалять их. Об этом рассказал консультант по кибербезопасности компании Nuix Джош Митчелл на ежегодной конференции DefCon.


Сказки о безопасности: Хрюша и телевизор

29/08/2018

http://www.itweek.ru/themes/detail.php?ID=202849

— Привет, Потапыч! А я новый телевизор купила! С доступом в Интернет, Smart TV называется.

— Молодец. Настроила?

— Да. Мне Заяц помог. Какие-то приложения установил, сказал, что очень хороший телевизор.

— А ты знаешь, что он там устанавливал?

— Да откуда? Поставил и поставил. Сказал, что через недельку-две зайдет, обещал меня научить всем этим пользоваться.

— Вот и славно, расскажешь потом, как оно живется с новым телевизором.

Прошло две недели.

— Ой, Потапыч, ты б зашел в гости.

— А что случилось?

— Да с телевизором что-то. Не понимаю. Все в квадратиках. И тормозит изображение.

— Зайду. Только в выходные. Хорошо?

— Конечно. Потому как Заяц ничего такого не нашел.

Прошло несколько дней.

— Так, Хрюша, давай-ка глянем, что у тебя тут. Тормозит… А кто все эти приложения тебе поставил?

— Я ж тебе говорила, Заяц.

— Ну косой, поймаю, уши оторву. Он же тебе сам эту гадость установил.

— А что это? Вирус?

— Да нет, это не вирус. Это программа, которая использует ресурсы твоего Smart TV для выращивания криптовалюты. Майнер это.

— Ой, а что это?

— Короче, часть ресурсов твоего телевизора использовалось злоумышленником в своих целях. Этого пояснения тебе достаточно. Потому телевизор и тормозил.

— Ой! А что ж мне делать?

— Тебе? Ничего! А вот мне придется повозиться. Буду сбрасывать настройки твоего телевизора в заводские. А потом настраивать заново.

Прошло два часа. Потапыч закончил свою работу.

— Вот Хрюша, принимай работу. Теперь все работает! А Зайцу скажи, чтобы больше ничего не трогал. Я сам тебе все покажу и расскажу.

Вот так и закончилась эта история. Думаю, что скоро на телевизоры придется антивирус устанавливать. А вы как считаете?


Как удалить личные данные с подключенных автомобилей

28/08/2018

К огромному количеству устройств, на которых хранятся ваши персональные данные и которые нужно очищать перед продажей добавились… автомобили! Да-да, ведь ваш автомобиль, в сущности, это компьютер, хранящий массу информации о вас и когда вы его продаете, эти персональные данные могут быть доступны следующему владельцу, если, конечно, вы не предпримете шагов по удалению этой информации.

Читать далее…