Сказки о безопасности: Автопилот

23/06/2017

— Доброе утро, Иоганн!

— Доброе, господин комиссар!

— Нам нужна ваша помощь. Как вы знаете, не так давно на трассе произошло страшное происшествие. Хоккеист Джо Борн погиб на своем «умном» автомобиле. Его семья подала в суд на компанию-производителя автомобиля, заявив, что причиной аварии стало неправильное поведение автопилота. Компания, в свою очередь, заявила, что ее автопилот не виноват. Нас попросили провести независимую экспертизу. Но поскольку у нас нет специалистов, мы решили обратиться к вам.

— Хорошо. Я прошу доставить к нам автопилот, бортовой компьютер и «черный ящик». Естественно, в состав комиссии по проведению экспертизы должны входить как представители компании-производителя, так и представители полиции или, даже лучше, страховой компании, в которой был застрахован хоккеист.

— Безусловно.

Прошло три недели.

— Господин комиссар, дело оказалось действительно интересным.

— И что? Виновата компания?

— Нет. Виноват сам Джо Борн. Он включил автопилот и смотрел художественный фильм. Автопилот трижды обратился к нему с просьбой взять управление на себя в связи с осложнением обстановки на дороге. Однако Джо взял управление на себя один раз и то на 30 с. В результате произошла авария.

— И что теперь? Что мы можем сказать прессе?

— Да то что, сидя за рулем автомобиля, даже «умного» и оборудованного автопилотом, водитель должен понимать свою ответственность за свою жизнь! Нельзя одновременно вести транспорт, ковырять в носу, смотреть кино и болтать по телефону. В конце концов, каким бы ни был «умный» автопилот, все же о своем здоровье нужно думать самому!!!

Заботиться о себе должны вы сами. А примеры аварий по вине зазевавшихся водителей уже давно не редкость. Еще в 2008 г. виновником крупной железнодорожной катастрофы в пригороде Лос-Анджелеса признан машинист компании Metrolink Роберт Санчес, который во время движения набирал SMS.

https://www.itweek.ru/security/article/detail.php?ID=196160

 


Сказки о безопасности: Сигареты-шпионы

22/06/2017

 

— Господин комиссар! Нам срочно нужно как-то скачать файл с компьютера дона Витторио. Но проблема в том, что снаружи это сделать невозможно, а физического доступа к ноутбуку у нас нет.

— Позвоните в департамент интеллектуальных преступлений. Только вначале получите максимум сведений о доне Витторио. Вам могут задать крайне странные вопросы.

Прошло три дня.

— Иоганн, вас беспокоит комиссар полиции. У нас к вам просьба о помощи.

— Добрый день, господин комиссар. Что произошло?

— Нам нужно скачать файл с ноутбука дона Витторио. Но он никого, кроме своего сына не допускает к нему, а из интернета это сделать нельзя. Поможете?

— Конечно. А что вы знаете о его сыне?

— Молодой человек. Завсегдатай модных тусовок. Наркотиками не балуется. Курит только электронные сигареты. Часто бывает в баре «Полнолуние».

— Господин комиссар, а у вас есть свой искусный карманник?

— Спрашиваете! Конечно.

— Нам для начала нужно знать, сигареты какой компании курит молодой человек.

— Я был готов к такому вопросу. Это изделие фирмы А.

— Отлично. Достаньте нам два таких. Именно таких, как у этого молодого человека.

— Будут у вас через два часа.

Прошло два часа.

— Марк, нам нужно заменить контроллер этих сигарет таким образом, чтобы переписать определенный файл на флэшку при зарядке этих сигарет от USB-порта.

— Понял, шеф! Сделаем. Внешне ничего не будет заметно.

Прошел день.

— Шеф, вот ваши заказанные сигареты. Да, курить их тоже можно!

— Господин комиссар! Передайте эти сигареты вашему карманнику. Он должен будет подменить сигареты сына дона Витторио. А потом, через сутки, подменить их обратно. Сын всегда заряжает эту дрянь от ноутбука отца.

Прошло два дня.

— Иоганн! Огромное спасибо! Вы гений! Передайте мое восхищение вашими людьми! Мы получили все что хотели!

А вы тоже заряжаете ваши сигареты от USB-порта компьютера? Думайте!

http://www.itweek.ru/themes/detail.php?ID=196123

 


Сказки о безопасности: Кукла-шпион

19/06/2017

— Вальтер, ты думал, как нам установить прослушку в доме дона Марко?

— Думал. И ничего не придумал.

— Плохо. Что будем делать?

— Господин комиссар, давайте попросим помощи у наших умников. Я не вижу другого выхода.

Прошел час.

— Иоганн, к вам комиссар полиции.

— Просите его!

— Здравствуйте, Иоганн! У нас проблема.

— Ха, когда вы скажете, что у вас нет проблем, я решу, что я сошел с ума и у меня галлюцинации! Но все же к делу!

— Нам нужно установить прослушку в доме дона Марко. Увы, все наши попытки не увенчались успехом. Я пришел за помощью.

— А кто живет в этом доме?

— Сам дон Марко, его телохранитель, дочь и маленькая внучка.

— А сколько лет внучке?

— Пять! Причем дон Марко души в ней не чает! Разрешает ей быть везде рядом с собой.

— Отлично! У нас есть решение!

— Так быстро???

— Ну да! Мы просто подарим его внучке новую куклу. От имени детского магазина, что на 13-й улице.

— Но у нас нет куклы со спецоборудованием.

— Ха! Зато она есть в магазине. В том и дело, что нам не придется ничего придумывать! Это обычная кукла Мери, которую продают в этом магазине!!!

— И что нам это даст?

— Поверьте, очень много! Мобильное приложение, в паре с которым работают куклы, требует разрешение на доступ к файлам устройства, а приложение для робота, который продается там же, — к камере гаджета. Производитель не разъясняет, зачем приложениям эти разрешения: камера, к примеру, не упоминается ни на официальном сайте производителя, ни в демонстрационном видео приложения.

К смартфону или планшету игрушки подключаются по Bluetooth, но защита соединения не предусмотрена, пароль не требуется. Кроме того, игрушка не оповещает хозяев о произведенном подключении. В результате мы легко можем не только осуществлять прослушку, но и говорить с ребенком! Игрушка выступает, по сути, в роли обыкновенной беспроводной гарнитуры.

— Погодите, но ведь мы все равно не сможем это прослушивать?

— Вы торопитесь, комиссар! Приложения отправляют запись разговора ребенка на серверы компании NC, где слова не только распознаются для формирования ответа на основе интернет-источников, но и сохраняются. А уж оттуда мы сможем их извлечь практически в реальном времени. Вы позаботитесь о том, чтобы у нас был доступ к этим базам.

— Погодите, но это означает, что теоретически так можно подслушать любого из нас?

— Безусловно!

Фантастика? Нет! Подобные подслушивающе-подсматривающие игрушки продаются с 2015 г.

Поэтому вручая своему чаду современную электронную игрушку, стоит насторожиться, если игрушка оснащена микрофоном и камерой, передает данные в Интернет, выведывает у ребенка личную информацию, если для ее настройки, например, по Bluetooth не требуется аутентификации и вы не можете контролировать ее действия

Стоит подумать, что для вас важнее — польза и удовольствие от игрушки либо неприкосновенность частной жизни вашего ребенка.

http://www.itweek.ru/themes/detail.php?ID=196041

 


Сказки о безопасности: Когда без регламентов не обойтись

15/06/2017

Сегодня выходной день, и Потапыч рассчитывал с утра поковыряться немного в огороде, а затем просто отдыхать на веранде с любимой книгой.

Вначале все так и было, но затем к нему в гости зашел любимый племянник Мишка. Он в прошлом году закончил столичный университет и сейчас работал на одном из местных предприятий на должности сотрудника службы информационной безопасности. Звучало это солидно, но и Потапыч, и Мишка знали, что на самом деле он там один, кто занимается этой проблемой, да и сама служба только появилась.

— Потапыч, я к тебе.

— Жаловаться пришел?

— А то! Проблема у меня. Я давно подозревал, что наша Овечка только прикидывается белой и пушистой. Не так давно, читая ее почту, я обнаружил, что она сливает нашу информацию конкурентам. Пришел в отдел кадров, мол, ее увольнять надо. И письмо показал.

— И что?

— Да что? Меня же дураком обозвали. Начали спрашивать, а какое я имею право читать ее письма? Я им пытался пояснить, что на работе все письма служебные и ничего личного тут нет, а значит я ничего не нарушаю.

— А они?

— А они спросили, мол, а бумага у нас есть, что все письма служебные и их могут читать? А пользователи ознакомлены с ней под роспись? Я и ответил, мол все и так понятно. А мне в ответ — это тебе понятно, а вот подадут на нас в суд и твое «понятно» — не доказательство! Иди пиши бумагу! Написал, пользователей ознакомил. Прихожу снова. А меня опять — мол, а пользователь знает, что он не может отсылать такую информацию? А вдруг это открытая информация? Замучили! Теперь мне что, еще и всю информацию классифицировать?

— Ну… Классифицировать, безусловно, нужно. Но делать это должен не ты. А владельцы информации. По закону так. Ты можешь только рекомендовать. А что, у вас с документами совсем плохо?

— Когда я пришел, их совсем не было! Никаких! Пишу потихоньку.

— Ну вот и пиши, а напишешь, тогда и спрашивать можно. А пока, извини, не с кого!

Вот так и закончился выходной.

А у вас, надеюсь, все хорошо на работе? Подумайте!

http://www.itweek.ru/themes/detail.php?ID=195993

 


Сказки о безопасности: Флэш-взлом автомобиля

14/06/2017

— Доброе утро, Иоганн!

— Привет, Карл!

— Шеф, как вы знаете, я недавно купил себе новый автомобиль. Он оборудован компьютерной информационно-развлекательной системой. Но вы ж меня знаете, я буду не я, если не буду ковыряться в любой попавшей мне в руки компьютерной железке.

— И что?

— Шеф, вы не поверите, я хакнул свой автомобиль!

— И что теперь ты можешь делать со своим авто?

— Да, в принципе, что угодно!

— Ты понимаешь, что теоретически теперь можно создать ботнет из подобных машин или установить троян для удаленного доступа.

— Понимаю, потому и решил вначале рассказать вам. По-моему, стоит сообщить об этом автомобильной компании, а если они не захотят принять меры, то необходимо докладывать императору.

— Все верно!

Автомобили Mazda с информационно-развлекательной системой MZD Connect нового поколения можно взломать, подключив к приборной панели USB-флэшку. Поскольку MZD Connect базируется на ОС Unix, кто угодно может написать вредоносный скрипт и осуществить серьезную атаку. Утешает лишь то, что атаки возможны только при включенной нейтральной передаче или запущенном двигателе. То есть, уязвимости в информационно-развлекательной системе не позволяют завести и угнать машину.

Об этих уязвимостях стало известно еще в 2014 г., и с тех пор они активно используются владельцами Mazda для кастомизации информационно-развлекательной системы, установки новых настроек и приложений.

http://www.itweek.ru/themes/detail.php?ID=195958


Сказки о безопасности: Медицинское оборудование под угрозой

13/06/2017

 

— Иоганн, вам срочный пакет из канцелярии императора. Просят разобраться как можно быстрее и доложить лично императору.

— Да… Давненько у нас не было таких пакетов. Давайте его сюда.

Прошло пять минут.

— Срочно ко мне руководителей подразделений. СРОЧНО!

— Господа, как вы знаете, в империи любой гражданин империи может обратиться напрямую к императору, если считает, что дело касается имперской безопасности. Так вот. В канцелярию прошло письмо от Жозе Фернандеса. Он специалист по информационной безопасности и занимается изучением безопасности медицинского оборудования производства компании H. В частности, он проводил исследования системы управления инфузионными помпами этой фирмы, 400 тыс. которых установлено в больницах по всему миру.

Более года назад он сообщил в департамент здравоохранения, департамент внутренней безопасности и управление по санитарному надзору за качеством пищевых продуктов и медикаментов о ряде уязвимостей в системе управления инфузионной помпой производства H. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств.

Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.

В апреле этого года другой независимый исследователь огласил некоторые из этих уязвимостей широкой публике, после чего поднялся переполох.

Более того, уязвимости были найдены и в другом оборудовании

Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей).

Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через Интернет, если злоумышленнику удастся войти в больничную локальную сеть.

— Шеф, но это практически лицензия на убийство!

— Все верно, Рита! Вот поэтому у нас создается сверхсекретный проект и возглавите его скорее всего вы с Марком. Вы можете отбирать себе любых людей из состава нашего департамента, а также студентов выпускных курсов Академии. Если же вы знаете кого-то из выпускников, кто сейчас работает в других местах (неважно, это государственные или частные компании), пишите и они будут по приказу императора призваны на службу. Цель проекта — тестирование на проникновение во всех госпиталях и клиниках. Естественно, о проведенном тестировании вы докладываете мне лично. Будем наводить порядок.

— А какие у нас полномочия?

— Любые! Приказ императора уже готовится, и я жду, когда его привезут. Пора наводить порядок!

— А что будет с компанией H?

— Думаю, что руководство компании горько жалеет о том, что не прислушалось к проблеме по-хорошему. Проверкой медицинского оборудования (и не только этой компании) займется Карл. Я предлагаю подключить к вашей группе как консультанта г-на Фернандеса. Но, Карл, учти, старший в группе ты. Жду доклады еженедельно! Дело на контроле императора.

Думаете это фантастика? Увы, нет. Проблемы с помпами обнаружены еще в 2015 г. Исправили ли их? Неизвестно!

https://www.weekit.ru/security/article/detail.php?ID=195934


Сказки о безопасности: Мобильный банк

05/06/2017

 

— Доброе утро, шеф! Есть интересная новость. Вчера в приложении «Мобильный банк» банка NT появилось подтверждение транзакций по отпечатку пальца. Клиенты смогут использовать дактилоскопический сканер смартфона не только для входа в мобильное приложение, но и для подтверждения операций в нем.

— Спасибо, Мишель! Думаю, теперь множество способов хищения денег со счетов клиентов данного банка существенно увеличилось.

— Вы так считаете?

— Да. Мы в этом еще убедимся. Возьмите происшествия, связанные с данным банком, на особый контроль.

Прошел месяц.

— Иоганн, я поражена. Вы заранее знали, что так произойдет?

— Мишель, вы о чем?

— Неделю назад произошло хищение со счета клиента банка NT именно с помощью приложения «Мобильный банк». При этом клиент клянется, что операцию не производил. Сейчас он пытается судиться с банком. Сумма не столь велика, но дело принципа.

— А что произошло?

— Со счета клиента произведена оплата виртуального персонажа известной компьютерной игры. Но клиент утверждает, что этого не делал и, более того, в это время спал после бурной вечеринки в баре, где обмывал удачную сделку.

— У него есть ребенок?

— Да, но вы откуда знаете? У него сын.

— А сколько ему лет?

— 13, а что?

— Привезите его вместе с родителями к нам, я думаю, что мы нашли злоумышленника.

Прошел час.

— Добрый день! У меня есть вопросы к вашему сыну, и я хотел бы, чтобы вы присутствовали при этом разговоре.

— Конечно!

— Молодой человек, может вы все же расскажете родителям, как оплатили виртуального персонажа в своей любимой игре? И не будете утверждать, что не знаете, как со счета отца пропали деньги?

— Я не брал! У него же телефон блокирован отпечатком пальца.

— Ну что же, тогда это придется рассказать мне. Вы увидели, что отец вернулся с вечеринки прилично пьян и упал спать, не раздеваясь, прямо на диван. Вы взяли телефон у него из кармана, приложили его палец к датчику на смартфоне, разблокировали и осуществили платеж. Так было?

— Да. Но вы откуда знаете?

— Да все просто. Мы проверили вашу учетную запись в игре. Убедились, что платеж произведен с телефона вашего отца.

— Так что вы можете отзывать ваше заявление из банка. И, пожалуйста, будьте внимательнее с вашим смартфоном.

Эта история вам может показаться фантастикой? Увы, нет. Банк ВТБ внедрил технологию Touch ID для приложения «Мобильный банк» для физических лиц. Клиенты смогут использовать сканер отпечатка пальца смартфона не только для входа в мобильное приложение, но и для подтверждения операций в нем. Технология доступна для устройств на платформе iOS.

https://www.weekit.ru/security/article/detail.php?ID=195782