Сказки о безопасности: Смартфон начальника

23/06/2017

— Доброе утро!

— Да какое к черту доброе утро! Жорж, посмотрите, что у нас происходит, а тут вы «с добрым утром!»

— Шеф, а что происходит? Нас взломали?

— Да, черт побери! Взломали! Более того, наши финансовые отчеты всплыли даже не у конкурентов! У потенциальных покупателей! И наши отчеты о выводе нового продукта на рынок!!! Это катастрофа! Мы же теперь стоим раза в четыре меньше! Немедленно выясните, почему это стало возможным! Найдите мне виновных!

Прошел день.

— Шеф, извините, но кажется мне, что виновный с нашей стороны — вы сами!

— Что???

На руководителя компании было страшно смотреть. Он стал красным, как вареный рак, а от его крика казалось рассыпаются стекла в кабинете.

— Да как вы смеете? Да что вы себе позволяете? Мальчишка! Я вас уволю! Сейчас же!

— Не сможете! Я вызвал на заседание владельца компании. И буду докладывать только в его присутствии, а уж потом может быть меня и уволят.

Через час началось совещание владельцев компании.

— Доброе утро, господа! Год назад нынешний руководитель компании принял решение о необходимости дать ему полный доступ к финансовым и другим отчетам компании с его личного смартфона. При этом он отказался предоставить его в службу информационной безопасности, заявив, что сам знает, что ему можно, а что нельзя. Мое письмо к нему зарегистрировано в системе электронного документооборота компании. В этот раз именно атака с его смартфона привела к хищению данных.

— Вы уверены?

— Да! Более того, я готов ответить за свои слова.

— Вы готовы к независимой внешней экспертизе смартфона руководителя?

— Да. Готов!

— Ну что ж, предлагаю ее провести. До окончания исследования и вы, и директор отстранены от работы.

Прошла неделя.

— Господа, с прискорбием хочу признать, что Жорж был прав. Троян действительно находился на смартфоне директора. Скорее всего он был получен при работе через общедоступный Wi-Fi в кафе аэропорта. Но это, безусловно, уже из области предположений. Интересно, а есть ли еще у нас менеджеры, которые нарушают правила использования смартфонов? Как считаете, Жорж?

— Безусловно. И не один. Все при этом ссылались на директора, мол, ему можно, а я чем хуже?

— Вы должны еще раз провести обучение руководящего состава. При отказе предоставить свой смартфон для настройки соответствующие права не предоставлять.

— Но на каком основании? Ведь они по должности куда выше меня.

— Все верно. С этого дня вы подчиняетесь непосредственно совету директоров. Работайте!

Преимущества того, что сотрудники предприятия всегда находятся на связи, очевидны. Однако это является существенным вызовом для менеджеров по корпоративной безопасности, которые всегда должны быть уверены в том, что постоянный доступ к корпоративным данным из любого места не представляет риска для самой компании. Согласно данным последнего отчета iPass по вопросам мобильной безопасности, 92% из них сказали, что они обеспокоены проблемами безопасности со стороны расширяющейся мобильности сотрудников.

https://www.itweek.ru/security/article/detail.php?ID=196151

 


Сказки о безопасности: Навязчивая реклама

21/06/2017

— Привет, Потапыч!

— Привет, Хрюша! Что привело на этот раз?

— Да не пойму, что произошло! На ноутбуке вдруг изменилась стартовая страница в браузере и поисковая система по умолчанию стала другой. Приходил Заяц, ну ты ж знаешь его.

— И что?

— Посидел поохал, но сменить все обратно так и не смог. Не пойму, что случилось.

— Погоди, а что ты устанавливала в последнее время. И когда это случилось?

— Случилось с неделю назад, но последний раз я устанавливала программу давно, еще с месяц тому. Заяц же мне ее и устанавливал. Я ж в этом деле темная. Ставил он мне книгу рецептов. Ты ж знаешь, я люблю готовить.

— Ворованную?

— Да нет. Бесплатную. Там еще говорилось что периодически вам будет показываться реклама. Но оно ж мне не мешает, верно? Зато рецепты хорошие.

— Эх, Хрюша! Судя по всему, тебя явно заразили каким-то ПО для показа рекламы. Осталось понять, каким.

— Ну реклама, а что тут плохого?

— Да то, что такая вот дополнительная реклама может не просто тебе показывать где и что купить, с ее помощью можно следить за тобой и фиксировать, на какие сайты ты ходишь, что смотришь, чтобы подсовывать тебе именно твою рекламу.

— Ага, то-то я смотрю, стоило мне поискать для племянника велосипед и теперь меня преследует реклама велосипедов, запчастей и т. д. Причем не только в браузере на компьютере, но и на телефоне.

— Вот-вот! А ведь фактически такое ПО может скачивать и устанавливать расширения для браузера и выполнять любой код на зараженном устройстве, превращают это рекламное приложение в отличный способ для установки троянов. Использовать его можно самыми разными способами — в основном для установки нехороших программ на компьютер и перехвата важной информации или для заражения его различными видами зловредов.

— Ой, а что ж мне делать?

— Неси ноутбук сюда, будем проверять и настроим тебе защиту от потенциально нежелательных программ. Заодно вообще гляну, что у тебя там и как. Короче, иди домой за ноутбуком!

Вот так счастливо закончилась эта история для Хрюши. А на вашем компьютере вы установили защиту от нежелательной рекламы? Нет еще? Тогда самое время!        

 https://www.itweek.ru/security/article/detail.php?ID=196097


Сказки о безопасности: Правдоподобный разговор

20/06/2017

— Доброе утро, Генри!

— Доброе утро, Жанна!

— Вот документы, о которых вы мне звонили вчера. И нечего было орать! Я вам не жена!

— Погодите, Жанна! Я не звонил вам!

— Звонили и писали, требовали, чтобы я срочно уплатила фирме А по контракту!

— Жанна, вы уверены?

— Безусловно. Вот ваше письмо!

— Погодите, письмо отправлено с моего адреса, но я его не писал! А что вы говорили о звонке?

— Знаете, мой отец долго работал в службе безопасности и приучил меня записывать важные разговоры. Вот запись нашего вчерашнего разговора.

— Жанна, голос мой, но я не звонил, клянусь!

— Странно. И телефон определился как ваш. Хорошо, что я не перечислила деньги.

— Поехали в полицию.

— Поехали!

— Здравствуйте! Нам нужен дежурный детектив. У нас вот такие проблемы.

После того как Генри изложил проблему дежурному детективу, тот попросил подождать пять минут.

— Жорж, это к тебе! Иди сюда!

Выслушав Генри еще раз, Жорж попросил его компьютер и смартфон на исследование.

Прошло два дня.

— Генри, ваш почтовый ящик был взломан, что в принципе и неудивительно. В следующий раз устанавливаете более устойчивый пароль. Манеру писать письма и сведения о вас преступник получил из открытых источников и социальных сетей. А вот с телефоном все куда интереснее. Злоумышленник скопировал вашу симку. Но судя по всему вас прослушивали довольно долго. Вам нужно провести очистку дома, в вашем автомобиле и на работе. Преступник долго слушал вас, а потом с помощью специального ПО сымитировал ваш голос и манеру говорить. Скажите спасибо Жанне, а то бы вы в конце концов остались без денег. Увы, мы пока не можем арестовать преступника. Но постараемся его найти.

Вы думаете, это фантастика? Увы, нет! Потому думайте, что вы говорите, где, а уж тем более, что пишете!

http://www.itweek.ru/themes/detail.php?ID=196073


Сказки о безопасности: Как не уберегли данные о здоровье

16/06/2017

— Иоганн! К вам представители контрразведки.

— Просите!

— Иоганн, у нас проблема.

— Да понимаю, что вы не поздравить меня с началом лета пришли. Что случилось?

— У нас покушение на сына нашего ведущего разработчика ракетных систем. Вернее, только сегодня мы догадались что это было покушение. До этого думали, что это просто чей-то недосмотр или даже вообще несчастный случай. Ну мало ли.

— А что случилось?

— У ребенка аллергия на пальмовое масло. Поэтому в доме никогда нет продуктов, содержащих этот компонент.

— И что?

— Он с друзьями пошел в кафе на 9-ю улицу. Там делают изумительное мороженное. Причем только из натуральных продуктов. То есть нет там пальмового масла и быть не может. Он ходил туда неоднократно. А в этот раз его оттуда забрала скорая.

— Хозяина и повара допросили?

— Безусловно! Они заявили, что покупают молоко у одного и того же поставщика уже лет 10 и никогда не было никаких неприятностей. Более того, молоко регулярно проходит проверку.

— А с чего вы решили, что это покушение?

— Сегодня на домашнюю электронную почту ученого пришло письмо, в котором ему настоятельно рекомендуют отказаться от проекта, который он курирует. В письме говорится что случай с его сыном — это только начало и приводят конфиденциальные сведения о здоровье его жены, которые фактически известны только ей и врачу. Врач утверждает, что его компьютер не взломан. Именно поэтому мы и пришли к вам за помощью.

— Хорошо, мы займемся этим. Я попрошу доставить к нам все электронные устройства как из кабинета и дома врача, так и из дома ученого.

— Безусловно. Их вам доставят через 15 минут. Мы уже изъяли все с полным соблюдением всех предосторожностей.

— А смартфоны, планшеты и прочие электронные устройства, которые могут собирать сведения?

— Тоже, не волнуйтесь!

Прошло два дня.

— Шеф, компьютер доктора не был взломан, компьютеры ученого тоже. Роутеры тоже мы проверили. А вот смартфоны сына и жены… Там явно кто-то ковырялся.

— А причем тут смартфоны? К здоровью?

— Шеф, вы просили рассказывать вам о новинках наших разработчиков?

— Да, я помню об этом, спасибо, Мишель!

— Так вот. Компания А, производитель смартфонов, решила на базе своих устройств сделать единую базу данных, в которой будут храниться наиболее полные данные о здоровье человека. В электронную медицинскую карту будет записываться не только фитнес-статистика, но и списки аллергенов, выписанные рецепты и данные лабораторных анализов.

Пользователи смогут распоряжаться этими данными как угодно: делиться с докторами, предоставлять больницам, разработчикам медицинских программ и другим третьим лицам.

— Это та доблестная компания, которую в последнее время часто уличают в том, что они хранят официально удаленные данные? И хотя они, безусловно, безопаснее чем их конкуренты, я бы им не доверил подобное. Интересно, а почему не разрабатываются специализированные устройства, а все это лепят сверху на обычный смартфон?

— Шеф, вы смешной человек, ей-богу. Причина проста и банальна. Так дешевле! Причем намного дешевле.

— Согласен, но ведь все те ошибки, которые есть сегодня, банально будут вылезать и в этой системе, ведь представьте, насколько интересна такая информация злоумышленникам! Насколько проще будет контролировать персонал, отказывая в приеме на работу тем, кто имеет хронические заболевания, да и просто болеет чаще других?

— Шеф, это еще не все! Представьте, если человек дает список своих аллергенов, который потом можно просто использовать для покушения на него же? Именно это и произошло в нашем случае. Они собирали данные о здоровье с помощью смартфонов. А троян отсылал эти данные не только врачу, но и злоумышленникам.

— Спасибо, Мишель! Придется мне снова выступать на коллегии императора и запрещать подобное ПО пока не будут исправлены ошибки.

Вы считаете подобное фантастикой? Совершенно зря! Проектом собирать данные о вашем здоровье, которыми вы потом сможете поделиться как с врачами, так и с любыми близкими сегодня явно озабочен Apple. Идея, безусловно, интересная, да вот только о безопасности пока молчат! А зря!

https://www.itweek.ru/security/article/detail.php?ID=196022


Сказки о безопасности: Как начинаются стандарты

13/06/2017

Снова вторник, снова совещание у императора. Вроде бы все хорошо, но что-то гложет с утра, не дает покоя. Вот и канцлер это заметил.

— Иоганн, что у вас случилось? Надеюсь, дома все здоровы? Все хорошо?

— Да, спасибо, господин канцлер. Я задумался не о доме. Проблема в том, что специалисты моего департамента все время занимаются расследованием, то есть мы все время заняты реактивной защитой.

— Безусловно, ведь вы департамент интеллектуальных преступлений.

— Да вот в том и проблема. Каждый защищается по-своему. Мы даем рекомендации исключительно государственным органам, а коммерсанты — каждый сам по себе. Это и внушает мне опасения.

— Вы что-то можете им рекомендовать?

— Думаю, да. Но на самом деле нам нужно принимать государственные стандарты. Вначале рекомендованные, а затем и обязательные к исполнению. Думаю, что первым здесь сможет выступить наш Имперский банк. Ведь его стандарты обязательны для всех банков империи, верно?

— Да. Вы правы. Идея весьма интересна.

— А потом на базе банковских стандартов можно делать вначале рекомендательные, а затем и обязательные стандарты.

— Да. Но как заставить коммерсантов им соответствовать?

— А вот здесь все просто. Во-первых, обязать всех сотрудников ИБ проходить в обязательном порядке курсы повышения квалификации с выдачей государственных дипломов. А у кого сотрудники не пройдут такие — наказывать! А во-вторых, давать определенные налоговые льготы тем, кто будет соответствовать принятым стандартам. А для этого использовать подготовленных аудиторов безопасности.

— Идея интересная. Безусловно, она нуждается в проработке. Как вы считаете, господин управляющий Имперского банка?

— Мы давно готовы. Нам бы еще самим немного подучиться.

— Иоганн, вы и Академия возьметесь учить банковских специалистов?

— Надо, значит возьмемся!

Вот так в империи была решена проблема стандартов. Со временем она распространилась на всю планету.

https://www.weekit.ru/security/article/detail_print.php?ID=195938&print=Y


Сказки о безопасности: Мобильный банк

05/06/2017

 

— Доброе утро, шеф! Есть интересная новость. Вчера в приложении «Мобильный банк» банка NT появилось подтверждение транзакций по отпечатку пальца. Клиенты смогут использовать дактилоскопический сканер смартфона не только для входа в мобильное приложение, но и для подтверждения операций в нем.

— Спасибо, Мишель! Думаю, теперь множество способов хищения денег со счетов клиентов данного банка существенно увеличилось.

— Вы так считаете?

— Да. Мы в этом еще убедимся. Возьмите происшествия, связанные с данным банком, на особый контроль.

Прошел месяц.

— Иоганн, я поражена. Вы заранее знали, что так произойдет?

— Мишель, вы о чем?

— Неделю назад произошло хищение со счета клиента банка NT именно с помощью приложения «Мобильный банк». При этом клиент клянется, что операцию не производил. Сейчас он пытается судиться с банком. Сумма не столь велика, но дело принципа.

— А что произошло?

— Со счета клиента произведена оплата виртуального персонажа известной компьютерной игры. Но клиент утверждает, что этого не делал и, более того, в это время спал после бурной вечеринки в баре, где обмывал удачную сделку.

— У него есть ребенок?

— Да, но вы откуда знаете? У него сын.

— А сколько ему лет?

— 13, а что?

— Привезите его вместе с родителями к нам, я думаю, что мы нашли злоумышленника.

Прошел час.

— Добрый день! У меня есть вопросы к вашему сыну, и я хотел бы, чтобы вы присутствовали при этом разговоре.

— Конечно!

— Молодой человек, может вы все же расскажете родителям, как оплатили виртуального персонажа в своей любимой игре? И не будете утверждать, что не знаете, как со счета отца пропали деньги?

— Я не брал! У него же телефон блокирован отпечатком пальца.

— Ну что же, тогда это придется рассказать мне. Вы увидели, что отец вернулся с вечеринки прилично пьян и упал спать, не раздеваясь, прямо на диван. Вы взяли телефон у него из кармана, приложили его палец к датчику на смартфоне, разблокировали и осуществили платеж. Так было?

— Да. Но вы откуда знаете?

— Да все просто. Мы проверили вашу учетную запись в игре. Убедились, что платеж произведен с телефона вашего отца.

— Так что вы можете отзывать ваше заявление из банка. И, пожалуйста, будьте внимательнее с вашим смартфоном.

Эта история вам может показаться фантастикой? Увы, нет. Банк ВТБ внедрил технологию Touch ID для приложения «Мобильный банк» для физических лиц. Клиенты смогут использовать сканер отпечатка пальца смартфона не только для входа в мобильное приложение, но и для подтверждения операций в нем. Технология доступна для устройств на платформе iOS.

https://www.weekit.ru/security/article/detail.php?ID=195782


Сказки о безопасности: Интеллектуальное ограбление

26/05/2017


В полиции города Т расследовалось дело о серии грабежей квартир. При этом похищались исключительно антикварные изделия. Проблемой стало то, что полицейские не могли найти связь между жертвами.

— Макс, что связывает жертв?

— Не могу понять. В том и проблема.

— А может они страховали свои ценности в одной страховой компании?

— Нет, в разных.

— А давайте обратимся к нашим коллегам из имперской службы безопасности. Не буду отрицать, ведь аналитики у них куда серьезнее.

— Попробуйте, шеф. Мы, увы, бессильны.

Прошло три дня.

— Макс, мое предложение обратиться в СБ дало свои плоды. Они обнаружили, что все страховые компании перестраховывали свои риски в одной и той же страховой компании N. Таким образом, кто-то из сотрудников N получал все данные о владельцах антиквариата. Фамилии, имена, номера социального страхования и номера телефонов. Остается понять, как они искали домашние адреса.

— А давайте обратимся в департамент интеллектуальных преступлений. Их шеф недавно нам лекции читал. Умный мужик.

— Макс, ты ж понимаешь, что у нас как в армии, инициатива наказуема. Ты высказал, тебе и делать!

— Понимаю.

— Итак, коллеги, к нам поступила просьба из полиции города Т. Как установить домашние адреса, зная только номера мобильных.

— Иоганн, это довольно просто. Нужно либо иметь кого-то в мобильных компаниях, либо заразить телефон трояном.

— Карл, ты забыл еще одну возможность. Нужно установить на телефоны жертв антивирусное ПО известного производителя и периодически в ночное время посылать запрос на координаты. Там, где телефон находится ночью, там и дом.

— Ты права, Эрика, я об этом не подумал.

— Все жертвы пользовались разными провайдерами связи. Но! Телефоны покупались в одной сети связи. На них в качестве бонуса устанавливалось одно и то же антивирусное ПО, которое настраивалось единообразно. Вывод. Тот, кто создавал методику настройки, нам и нужен. Выясните, кто это.

Через два часа.

— Методика создавалась специалистом М. Именно он и предложил данную услугу для компании, за что получил премию.

— Вот он и нужен полиции. Пусть выяснят его связи.

Начальник полиции Т снова вызвал Макса.

— Макс, а поглядите, кто из связей М работает в страховой компании N.

— Там работают его брат и его одноклассник.

— Установите наблюдение за ними.

Через три дня.

— Шеф, это те, кто нам нужен. Высылаем наряд для задержания.

Какой вывод можно сделать? Если вам предлагают какое-то дополнительное ПО в качестве бонуса, обязательно сами его настраивайте или просто удалите. Увы, сегодня вы можете доверять только сами себе.

https://www.weekit.ru/security/article/detail.php?ID=195602