Сказки о безопасности: Камера в квартире

22/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192715

— Доброе утро! Мне нужен дежурный! Я хочу оставить заявление. Мне прислали мои фотографии в не совсем одетом виде. У меня в квартире стоит камера видеонаблюдения, но эти фото я не делала.

Перед дежурным по городскому управлению криминальной полиции стояла молодая симпатичная женщина. У нее был заплаканный вид.

— Можно подробнее? Что случилось, мисс?

— Вчера мне пришло письмо с требованием выкупа. Иначе злоумышленник грозится опубликовать эти фото.

— Понятно. Вы привезли ваш компьютер с собой?

— Нет. Письмо пришло на мой телефон. Он у меня с собой.

— Хорошо. Сможете его оставить нам?

— Да, безусловно.

Через час в департаменте интеллектуальных преступлений раздался звонок.

— Иоганн? Это Краузе, руководитель столичной полиции. Нам нужна ваша помощь в связи с делом о взломе камеры видеонаблюдения.

— Понимаю. На днях в Интернет уже появились сообщения о взломах IP-камер с последующим распространением видеоматериалов с них за деньги. Вообще-то такими новостями уже сложно кого-то удивить, но в данном случае взломана домашняя камера. И девочке просто нужно помочь.

— Карл, разберешься?

— Хорошо, шеф!

Прошел день.

— Иоганн, установленная в квартире камера имела доступ в Интернет. Она была предназначена для слежения за помещением в то время, когда девушка уходила на работу. Для доступа к камере использовался веб-интерфейс. Проблема в том, что пароль, установленный разработчиками по умолчанию, был достаточно простым, а изменить его никому не пришло в голову.

— Вы отследили взломщика?

— Да. Он достаточно слабенький и мы отследили его адрес. Группа уже выехала, а девушке стоит сказать, что пароли по умолчанию нужно менять сразу же.

Прошло еще два часа.

— Курт, ты не ошибся? Вот этот ребенок и есть наш взломщик?

— Да, шеф! Увы, ему всего 13 лет, и мы не можем его судить. Придется выпускать.

— Но как?

— А вот так. Мальчишка начитался информации, начал искать скрипты и попытался их использовать. Вот и все.

— Ну что ж. Посоветуйте его родителям занять его чем-то полезным. А то через год он вполне может загреметь в тюрьму для несовершеннолетних.

А вы всегда меняете пароли по умолчанию? Или предпочитаете надеяться, что вас не станут ломать? Я бы так не надеялся.


Сказки о безопасности: Скорая помощь

22/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192710

— Иоганн, к вам представители департамента здравоохранения.

— Проведите их, пожалуйста, в конференц-зал.

— Доброе утро, господа. Что случилось?

— У нас проблема, причем мы не понимаем с какой стороны приступать.

— А можно подробнее?

— На прошлой неделе в столице мужчина вызвал скорую помощь для своей бабушки. Ей уже 92 года и у нее заболевание сердца. Когда скорая приехала, у дома уже стоял представитель похоронного бюро. Он приехал туда первым и пришел на квартиру к этой женщине. Представьте себе реакцию внука, вызывавшего скорую!!!

— Да… Такое врагу не пожелаешь!

— Проблема в том, что адрес старушки передали из телефонного центра. Передали по радио. Звонить оттуда не могли никому. Телефон врача мы проверили. С него никто не звонил, но проверьте еще и вы. Хорошо? А то мы не знаем, что и делать.

— Хорошо. Это единственный такой случай?

— Увы, нет. Это уже второй случай. Перед этим такое было неделю назад.

— Бригада на скорой была та же?

— Нет! И район города был другим.

— Хорошо, мы начинаем работать над этим делом. Через неделю надеемся вас уведомить о результатах. Телефон врача вы привезли?

— Да.

Прошло минут двадцать.

— Курт, Рита. У нас проблема. Поручаю ее вам.

— Хорошо.

Прошел час.

— Иоганн, а ведь врач не соврал. Его телефон чист. Более того, мы проверили мобильные телефоны операторов центра, дежуривших в тот день. Они также никому не звонили. Причем в дни, когда случились происшествия, дежурили разные бригады.

— Очень интересно! А как передаются заявки?

— По радио. Причем, увы, по обычному открытому каналу.

— То есть получается, что слушать его может кто угодно?

— Увы, да! Шифрование не применяется.

— Спасибо! Вы хорошо поработали.

Настало утро.

С утра Иоганн поехал в департамент здравоохранения.

— Доброе утро, господа!

— Доброе утро! Чем вы нас порадуете?

— Мы разобрались в проблеме. Я буду докладывать об этом на встрече у императора. Боюсь вам предстоят большие перемены и полная смена средств связи. Увы. Это займет несколько месяцев, а то и год.

Увы, прослушивать радио Скорой помощи, как и полицейское радио, совсем не сложно. А вот мысль о шифровании радиообмена пока никому в голову не пришла. Интересно, а почему?


Сказки о безопасности: Телефонный счет

21/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192693

Наконец-то выглянуло солнышко. Нет, понятно, что зима. Но кажется она наконец-то заканчивается. Птицы с утра начинают галдеж. Дятел стучит в парке, да и не один.

Иоганн очень любил этот период, когда сквозь толстые зимние тучи начинает пробиваться солнце. Кажется, даже на душе становится светлее. Он медленно шел через парк, наслаждаясь робким пока еще приходом весны. И в этот момент зазвонил мобильный телефон.

— Доброе утро, Иоганн! Вы уже на работе?

— Нет еще. А что случилось?

— Да это личное.

— Тем не менее. Через полчаса я буду на работе, приезжайте!

Прошло полчаса.

— Иоганн, к вам гости. Руководитель имперского архива.

— Доброе утро, Иоганн!

— Доброе утро, господин Штраус. Чем обязан?

— Да есть проблема. С мобильника моего сына вдруг пропали деньги. Причем непонятно что случилось. Он молчит.

— А можете нам привезти его мобильный телефон и его самого пригласить? Естественно, в первую очередь нам нужен его телефон.

— Я привез его.

— Ну что ж, оставляйте, наши спецы посмотрят его, как только будет свободное время.

— Огромное спасибо!

— Курт, посмотри смартфон юного дарования. Мне кажется, что ребенок установил какое-то платное приложение, которое просто качает с него деньги.

— Хорошо, шеф. Только это будет не так быстро. Устраивает?

— Безусловно.

Прошло три дня.

— Шеф, я разобрался. Все оказалось банально. Вредоносов на смартфоне нет. Но есть огромное количество игрушек, из которых как минимум две требуют реальные деньги для улучшения свойств персонажей. Вот куда ушли деньги. А ребенок просто побоялся сказать родителям.

— Господин Штраус, мы ждем вас в гости!

— Да, Иоганн, через час я приеду к вам.

— Захватите бутылку коньяка для Курта. Он ведь работал в нерабочее время.

— Безусловно! Можно было даже и не говорить!

Прошел час.

— Итак, господин Штраус, мы разобрались с вашей проблемой. Ваш ребенок в игре «прокачивал» свой персонаж, покупая дополнительное оружие. Увы, покупал он его за реальные деньги. А в другой игре он пропускал просмотр рекламы, а за это тоже платил реальными деньгами. Вот куда уходили деньги. Поговорите с ним.

А вы всегда знаете, во что играют ваши дети? Ведь 90% детей в возрасте до 12 лет часто играют в мобильные игры(на своем смартфоне или смартфоне более взрослых членов семьи, а значит их владельцы не защищены от такого сценария. Вы к этому готовы?


Сказки о безопасности: Случай на границе

21/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192688

С того времени как на Изумрудной планете появились социальные сети прошло пятьдесят лет. Уже давным-давно привычными стали смартфоны и планшеты, а камеры на улицах настолько примелькались, что их просто перестали замечать. Различная реклама стала ориентированной на конкретного клиента и этому уже никто не удивлялся.

Предприятия давным-давно проверяли записи в социальных сетях при приеме кандидатов на работу. Но настал следующий шаг. Теперь при получении визы в империю стали требовать пароли к социальным сетям. А при пересечении границы просили пароли к ноутбукам, планшетам и смартфонам. Вопросы приватности уже никого не волновали. Все делалось на благо империи.

— Мистер К! Вы пересекаете границу империи уже четвертый раз за год. И все время приезжаете с удаленного острова М, который принадлежит республике К. Почему?

— Я просто там живу. А здесь удаленно работаю. Вот и приезжаю, когда я нужен.

— Мистер К! Предъявите пароль к вашему смартфону!

— Не могу. Это рабочий смартфон. Я работаю в агентстве по космическим исследованиям, и смартфон принадлежит компании. Это нарушение государственной тайны!

— Ничего не знаю! Либо вы предъявите пароль, либо мы вынуждены будем вас арестовать на 48 часов, пока наши специалисты не взломают смартфон. Если они не смогут этого сделать, то мы изымем ваш смартфон, а вас вышлем обратно!

— Но это государственная тайна! Вызовите офицера безопасности!

— Погодите, это не все! У нас есть сведения, что вы принадлежите к террористической организации, планировавшей ракетный удар по столице!

— ???

— Вы три года назад искали в поисковой системе «ракетное топливо»! Зачем это вам, если не для террористов?

— Я с сыном занимался ракетным моделированием. Проверьте сами!

— Хорошо, мы подумаем.

— Но с чего вы взяли, что я террорист?

— А зачем вам книга «Убить президента»? Ведь вы искали ее в течение недели.

— Все верно. Это популярный детектив, и я люблю детективы.

— Хорошо! Проходите! Но смартфон все же придется оставить! А впредь думайте, что и как вы ищете в Интернете!

Такой или приблизительно такой разговор может состояться в ближайшем будущем. Вы к этому готовы? Я — нет!


Сказки о безопасности: Приемные дети

20/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192667

Все чаще шум капели и пение птиц напоминает о том, что скоро-скоро придет весна. И хотя вода и туман на улице доставляют некоторые неудобства, все же скоро весна и это радует.

Так думал Иоганн, идя на работу через парк. Он любил эти 15-20 минут, когда мог остаться наедине с собой, глядя на мокрые деревья и слушая пробуждение весны. Ведь на работе снова ждала работа… Он постоянно думал о том, что нужно бы отдохнуть и снова и снова задумывался о том, а сможет ли он без работы? Наверное, все же нет!

— Иоганн, к вам руководитель отдела собственной безопасности криминальной полиции.

— Просите, Мишель! И принесите нам кофе. Надеюсь любимое печенье с миндалем еще осталось?

— Безусловно, шеф! Я тут купила, и вам достанется.

— Да ладно, я ведь знаю, что вы сладкоежка! Ничего страшного, вашей фигуре такое печенье уж точно не угрожает!

— Добрый день, Иоганн! У нас странное дело. Мы пока сами не знаем, в чем именно нужна ваша помощь. Мы обратили внимание, что один из наших полицейских офицеров чаще других возвращает в тюрьму условно досрочно освобожденных заключенных. Причину пока найти не удалось. Может ваши люди смогут нам помочь, проанализировав данные?

— Хорошо, мы подключим наших аналитиков, но нам потребуется доступ к личным делам этих заключенных и вашего офицера.

— Безусловно.

— Тогда приходите через неделю. Впрочем, если удастся раньше, я вам перезвоню.

— Майкл, кто из ваших ребят займется анализом?

— Думаю этим займутся Анна и Виктор. Они хорошие специалисты по анализу данных.

— Ок, передайте им, что это дело на контроле собственной безопасности, и скажите, что чем раньше мы отделаемся от внимания этого подразделения, тем проще нам будет жить.

— Конечно, шеф!

Прошло три дня.

— Иоганн, есть новости, заслуживающие внимания! Все эти возвращенные в тюрьму были родителями в неполных семьях, и уж очень быстро их дети передавались в приемные семьи. А ведь каждый такой ребенок приносит приемным родителям до 800 империалов прибыли в месяц. Но вот еще что. Как оказалось, практически у каждого такого родителя появлялась ниоткуда еще как минимум пара детей. То есть если в семье был один ребенок, то на бумаге передавались в приемные семьи два, а то и три. Нужно допросить приемных родителей.

— Но ведь в таком случае в картотеку вносились данные на несуществующих детей?

— Верно. Проблема в том, что в детской инспекции данные в картотеку вносит тот же инспектор, который потом решает проблемы усыновления. И никто никогда не проверяет, существуют ли эти дети на самом деле. Оригиналы документов нигде никогда не регистрируются. Только копии. Причем эти копии никогда не подписываются электронной подписью. А еще — мы никогда не знаем кто из инспекторов вносил эти данные. Увы, там до порядка еще далеко.

— Сообщите ваши выводы руководителю внутренней безопасности и попросите его отправить несколько инспекторов к приемным родителям. Попытаемся узнать, с кем они делились выплатами.

— Хорошо. Сделаем сейчас же.

Прошло еще две недели.

— Иоганн, огромное спасибо и от меня лично и от десятков тех, кого мы сегодня освобождаем из тюрем. Виновные понесли наказание. Как мы их выявили, это уже оперативные данные. Вся система усыновления будет пересмотрена, и мы будем просить императора чтобы ваше управление взяло на себя регулярные проверки на уязвимости данного ведомства. Император просил вас представить отличившихся к наградам. Награждать их будет в малом зале для приемов лично император. Вас также просят там быть!

Вот так закончилась данная история. А у вас все данные, вносимые в базы данных, подписываются личной электронной подписью оператора? А при изменении — подписью лица, вносившего изменения? Подумайте хорошенько!

 


Сказки о безопасности: Происшествие на фармацевтической фабрике

20/02/2017

https://www.pcweek.ru/security/blog/security/9367.php

Наконец-то, кажется, пришла весна. На улице все еще лежит снег, но уже началась капель. Оттепель. Все чаще и чаще выглядывает солнышко из-за туч. Кажется, и на душе становится теплее. Но работа есть работа.

— Иоганн, к вам представитель криминальной полиции.

— Зовите, Мишель, и приготовьте нам кофе с миндальным печеньем. И себя не забудьте. Я знаю, что вы тоже обожаете миндальное печенье. И еще просьба, не забудьте пополнить его запасы. Не краснейте, Мишель! У всех у нас есть маленькие слабости! Все в порядке!

— Доброе утро, Иоганн!

— Доброе утро! Что случилось?

— У нас убитый. Фридрих Краузе. Он занимался «решением проблем». Мы обыскали его квартиру. И нашли флэшку. Странно, но в квартире не было никаких электронных устройств. Поэтому мы решили попросить вашей помощи.

— А где флэшка?

— Вот. Мы принесли ее.

— Карл, посмотрите, что на ней.

— Шеф, на ней звуковой файл. Женский голос рассказывает о том, что фармацевтическая компания М выпускает лекарство, которое до конца не исследовано и вызывает побочное действие. Несмотря на то, что она неоднократно обращалась к руководству компании, результата она так и не получила.

— И все?

— Нет, там еще документация. Но тут уже нужна помощь химиков.

— А кто говорит?

— Неизвестно. Попробуем выяснить.

Прошло два дня.

— Иоганн, нам удалось выяснить, что этот голос принадлежит руководителю исследовательского отдела компании М. Но вот проблема. Она погибла от сердечной недостаточности полгода назад. Было сомнение в том, не убийство ли это, но прокуратура закрыла дело. Теперь думаем, что дело о ее гибели нужно все же открывать заново.

— А что говорят химики?

— Химики говорят, что это лекарство может иметь побочное действие и просят дать им месяц на проведение исследований, а на это время остановить продажи и отозвать лекарство из аптек империи.

— Интересно откуда эта флэшка у убитого? Но это уже дело криминальной полиции.

Прошел месяц. Химики выяснили что лекарство действительно несет в себе побочные действия и отозвали его из продажи. Нашли и убийц. Убийство было осуществлено по заказу владельца компании М и его руководителя службы безопасности, ведь без этого лекарства компании грозило банкротство.

Тем, кто надеется, что поиск по голосу — это сложно, хотелось бы сказать, что образцы нашего голоса мы оставляем ежедневно, разговаривая по телефону. Именно так можно найти ваш новый телефон, даже если вы сменили номер. И нужно для этого гораздо меньше времени, чем вы думаете.

 


Google: у Stagefright не было жертв, а другие ошибки сильно не повлияли

20/02/2017

https://www.pcweek.ru/security/blog/security/9365.php

Руководитель программы Android Security Adrian Ludwig заявил что Android не неуязвим, но тем не менее прекрасно написан.

На конференции RSA Conference 2017 вопросы безопасности Android обсудил в своем докладе «Delivering Secure, Client-Side Technology to Billions of Users» директор программы Android Security. Один из слайдов его презентации «Actual protection vs. newsworthy exploits» представил три слабых места Android. (полностью доклад вы можете просмотреть здесь):

  • Уязвимость Master Key
    • Уязвимы 99 процентов устройств
    • Известных применений не зарегистрировано до раскрытия
    • Данная уязвимость после раскрытия эксплуатировалась на менее восьми устройств на миллион
  • Уязвимость FakeID
    • Повлияла на 82 процента пользователей
    • До опубликования сведений о ней известных случаев эксплуатации не обнаружено
    • После опубликования уязвимость эксплуатировалась на менее одном устройстве на миллион
  • Уязвимость Stagefright
    • 95 процентов устройств уязвимы
    • На сегодня не обнаружено случаев эксплуатации

Большая удача то что Google знает об уязвимостях. И то что они пока не эксплуатируются. Но цифры внушают ужас, особенно зная об отвратительном обновлении устройств под Android