Сказки о безопасности: Говорящий мусор

15/12/2017

http://www.itweek.ru/themes/detail.php?ID=199062

Это утро в полицейском участке началось с того, что капитан собрал детективов и задал им вопрос.

— Коллеги, доброе утро! У нас проблема. Нам нужно как можно быстрее собрать максимально полную информацию о жителях дома 17 на 5-й улице. Это частный одноэтажный коттедж. Мы не знаем, сколько в нем проживает людей. Мы не знаем, мужчины это или женщины. Фактически мы ничего не знаем. Ваши предложения?

— Попробовать поискать что-то в социальных сетях?

— Поговорить с соседями?

— Оба предложения не подходят. В социальных сетях люди не пишут свой почтовый адрес. Говорить с соседями — нельзя, мы вспугнем их. Думайте, коллеги, думайте!

— Поговорить с провайдером, который предоставляет Интернет в этот дом? И заодно с представителями энергетической компании. Так мы сможем приблизительно понять, сколько людей там проживает (по среднему потреблению электроэнергии).

— Запросить у мобильного провайдера данные о мобильных телефонах по этому адресу?

— Отлично! Итак, что еще?

— Шеф, а почему мы не думаем о самом полном источнике информации? О мусоре! Под видом мусорщиков пришлем туда наших ребят и проанализируем их мусор!

— Гениально, стажер! Вот этим и займитесь вместе с Карлом и Дином. Вывоз мусора у них сегодня вечером. Жду результаты.

Наступил вечер. Анализ мусора занял половину ночи.

Утром пришло время очередного доклада.

— Шеф, в доме живут трое. Судя по найденным в мусоре чекам из магазина и пиццерии, едоков там трое. Кроме того, мобильный провайдер указывает на минимум три мобильных телефона. Кстати, самое интересное. В дом заказали товары бытовой химии, которые применяются для изготовления взрывчатых веществ, а также три недорогих мобильных телефона. Значит они собираются создать минимум три бомбы с мобильными взрывателями.

— Погоди, может они уже собрали эти бомбы?

— Нет. Один из компонентов заказан только на завтра. А без него эти штуки не взорвутся.

— Вызывайте спецназ. Будем штурмовать здание. Они внутри?

— По сведениям мобильной компании — да. Но сейчас проверим.

— Как?

— Сын соседки регулярно запускает квадрокоптер. А сегодня вместо него коптер запустит наш специалист. А мы посмотрим картинку. В том числе в тепловом диапазоне. И точно будем знать, что происходит.

— Стажер, вы получите от нас наилучшие рекомендации! Все же хорошо вас учат в Академии!

А вы всегда смотрите, что выбрасываете в мусор?

Реклама

Сказки о безопасности: От слежки не спрятаться

12/12/2017

http://www.itweek.ru/themes/detail.php?ID=199000

Когда же наконец-то на улице будет светить солнце? Снова тучи, снова темно. Вот уже скоро 9 утра, а в кабинете снова приходится включать свет. Черные тучи заволокли небо. Пошел снег.

Иоганн не любил такую погоду. Когда на улице рано темнело, у него портилось настроение. В такое время хорошо сидеть в кресле у камина, укрывшись пледом и читать книгу, изредка попивая чай со смородиновым бальзамом. Но служба есть служба, и тут не выбирают.

— Доброе утро, шеф! Вам звонят из департамента внутренней безопасности.

— С утра? Интересно что у них произошло. Соединяйте.

— Доброе утро, Иоганн! Сейчас к вам приедет наш курьер, посмотрите, сможете ли вы помочь.

Прошло полчаса. Каково же было удивление Иоганна, когда вместо простого курьера он увидел перед собой заместителя директора департамента внутренней безопасности.

— Здравствуйте, Иоганн! Не удивляйтесь, проблема настолько серьезная, что я просто не смог ее доверить обычному курьеру. Да и кофе у вас замечательный. Придется к вам мою секретаршу отправить на стажировку. А теперь о серьезном.

У нас проблема. Прибывает курьер наркоторговцев. Увы, мы знаем только его номер мобильного телефона. Нам нужно понять с кем он будет встречаться в нашей стране. Проблема в том, что мы не знаем ни кто это, ни через какую границу он прибудет.

— Думаю, что мы сможем вам помочь. Марк, подойди, пожалуйста. У нас есть интересная задача.

— Шеф, на самом деле задача с одной стороны интересная, а с другой — тривиальная. Нам нужно отследить, какие телефоны будут рядом с искомым и при этом будут переходить с ним из соты в соту. Задача не сложная, но требует больших вычислений. Сделаем! Мы как раз работали над такой задачей.

Прошла неделя.

— Ну что, Марк? Порадуешь наших «смежников».

— Конечно. Вот два номера, которые сопровождали нашего курьера. Более того, я могу сказать, где конкретно они встречались. Мало того, кто еще был на встрече и куда потом они отправились.

— Умница! Твои ребята сумеют отслеживать их дальнейшее передвижение?

— Безусловно. Причем в любой стране и с любыми сим-картами и даже без таковых. Ведь у нас широко распространены бесплатные точки Wi-Fi. А кто мешает отслеживать их?

— Молодцы! Думаю, что нам пора отслеживать таким образом телефоны. Естественно, это необходимо делать в тайне.

— Но как же приватность?

— А разве она существует? Ты еще в это веришь?

— Я? Нет давно.

Такой способ отслеживания телефонов существует достаточно давно. Издание The Washington Post раскрыло информацию о программе слежения за абонентами сотовых операторов по всему миру. Как следует из оказавшихся в распоряжении редакции документов Эдварда Сноудена, АНБ США создало программу CO-TRAVELER, анализирующую информацию о совместных перемещениях мобильных устройств.


Разработчик виртуальной клавиатуры слил в Интернет 31 миллион записей о клиентах

08/12/2017

https://www.devicelock.com/ru/blog/3119.html

Исследователи смогли получить доступ к персональным данным пользователей, хранившимся в неправильно сконфигурированной базе данных, принадлежащей разработчику виртуальной клавиатуры для телефонов и планшетов под управлением Android и iOS.

Компания Ai.Type случайно оставила открытым для всех доступ к базе данных MongoDB, объемом 577 Гб, которая содержала данные 31 293 959 пользователей, установивших виртуальную клавиатуру. Эта конфиденциальная информация содержала номера телефонов, полные имена владельцев устройств, названия и модели устройств, названия мобильных сетей, номера IMSI (международный идентификатор мобильного абонента, используемый для межсетевого соединения), номера IMEI (уникальный номер для каждого мобильного телефона), данные о местоположении и многое другое.

Пользователи оставляют все больше данных в обмен на использование сервисов и приложений. Самое страшное заключается в том, что компании собирают и используют персональные данные, не предупреждая об этом. Однако, как только пользователи отдают эти данные, они не знают, что на самом деле происходит с ними далее.

Автор: Владимир Безмалый


Сказки о безопасности: Игроки за рулем

05/12/2017

https://www.itweek.ru/security/article/detail.php?ID=198940

Вчера лежал снег, а сегодня на улице снова грязь, ветер, дождь. Осень и зима никак не могли договориться. Мокрые ветки царапали стекла и снова шел дождь. Выходить на улицу в такую погоду никак не хотелось. Но служба есть служба, и идти все равно нужно. Тем более на этой неделе предстоял визит в канцелярию императора. И хотя совещание вроде бы никак не касалось департамента интеллектуальных преступлений, все же что-то не давало покоя.

Выглянув в окно, Иоганн понял, что идти пешком ну никак не хочется и вызвал дежурную машину.

— Шеф, у вас через два дня совещание в канцелярии императора. Вы не забыли?

— Помню. Софи, напомните мне тему совещания.

— Оно будет посвящено дорожному движению в столице. Резко выросло количество аварий на дорогах. Дорожная полиция пока не может понять причины. Водители вдруг стали совершенно не внимательны.

— Стоп. А позовите ко мне нашего аналитика. Роберт на работе?

— Да, безусловно. Сейчас приглашу.

— И сами заходите. Как мне помнится, вы были одним из лучших аналитиков во время учебы в Академии.

— Спасибо!

— Это ко не мне. Это ректору Академии. Он вас так охарактеризовал.

— Роберт, Софи! Вам предстоит помочь мне понять, что же случилось с водителями? Что у нас такого произошло за последние три месяца, что они стали невнимательны?

— За последние три месяца? Думаю, что невнимательными стали не только водители, а и пешеходы. Вспомните появление массового сумасшествия — игры «Поймай дракона».

— Ах да, толпы бродящих зомби по улицам со смартфонами в руках, пытающиеся поймать виртуальных дракончиков… Ажиотаж прошел довольно быстро, и данная игра уже не фигурирует на первых полосах в СМИ. Вместе с тем она показала, как легко и сильно можно влиять на поведение и привычки людей.

— Да. Эта игра показала, насколько быстро у людей отключается мозг в погоне за целью. Даже если цель виртуальна.

— А никто не пытался оценить ущерб от этой игры?

— Ну почему же. Наши преподаватели провели весьма любопытный анализ по столице. Ущерб составил порядка нескольких миллионов империалов.

— А вы могли бы найти мне результаты этого анализа?

— Легко. Ведь там одним из ведущих аналитиков была Софи. Да-да, шеф, вы недооцениваете вашего прекрасного секретаря. Эта милая девушка хоть сегодня могла бы стать руководителем нашего аналитического бюро, которое давно пора создать.

— Спасибо за подсказку. Софи! Вам поручение. Поищите мне на выпускном курсе студентку, которая могла бы заменить вас на должности секретаря и готовьтесь к новой работе. Думаю, указ императора о создании аналитического отдела не заставит себя долго ждать. Роберт! Жду отчет.

Через два часа отчет Академии был на столе Иоганна. Там были приведены конкретные цифры, касающиеся аварий, которые произошли как по вине водителей, игравших за рулем, так и по вине пешеходов-игроков. Когда эти цифры сравнили с общим числом аварий, оказалось, что более 25% всех аварий можно объяснить именно игрой.

Выступление Иоганна на совещании поразило присутствующих. Никто и подумать не мог, что даже такая обыденная тема, как количество аварий в столице, может быть настолько связана с информационными технологиями.

По окончании совещания император издал два указа, одним из которых создавался аналитический отдел в департаменте Иоганна, а вторым — вносились изменения в правила дорожного движения. Отныне под угрозой огромного штрафа запрещалось использование смартфонов за рулем.

Исследователи Университета Пердью попытались оценить ущерб, нанесённый игрой Pokemon GO. Согласно их исследованию, за первые 148 дней после появления игры в США только лишь автомобилистами было нанесено ущерба на сумму 2,0-7,3 млрд. долларов. Сюда включили все аварии, которые, согласно официальным отчётам, произошли по вине играющих в Pokemon GO за рулём. Более того, по этой же причине два человека расстались с жизнью.


Сказки о безопасности: Атака детей

04/12/2017

http://www.itweek.ru/themes/detail.php?ID=198920

— Шеф! У нас проблема! Вернее, не у нас, но пришли к нам.

— Софи, будьте добры, подробнее и без паники. Давайте с начала.

— К нам обратился директор одной известной компании. Он пожаловался на утечку данных. Его специалисты обнаружить утечку не смогли.

— И что тут трагического?

— Да только пришла на работу, даже не успела пальто снять, а тут звонок… Крик, шум! Короче, как обычно. Вот я и разволновалась, извините, пожалуйста.

— Все нормально! Постарайтесь сохранять спокойствие. Для дела полезнее.

— Хорошо! Я постараюсь.

— Попросите их перезвонить мне.

Прошло полчаса.

— Иоганн, если вы не против, мы с моим руководителем службы безопасности приедем к вам в гости?

— Я не против, но, наверное, куда полезнее, если мы приедем к вам сами. Как думаете?

— Приезжайте, мы вас ждем.

— Карл, Рита, на выезд. Нас ждут. Думаю, в ближайшую неделю вы будете работать в этой компании.

Прошла неделя.

— Шеф, все куда интереснее. Данные были похищены с помощью учетных записей директора компании и их коммерческого директора.

— Ого! Это интересно, но как?

— Оказывается, все просто. Атака была осуществлена с помощью их любимых детей.

— Погодите. С этого момента подробнее.

— Учетную запись директора исследовала Рита, а я занимался коммерческим директором.

— Вы выяснили, что у них общего?

— Да. У обоих дети 12-13 лет. Сыновья. Оба очень любят играть на ПК. И обоим это запрещают родители.

— То есть?

— Разрешают играть лишь с 18 до 20 в присутствии родителей.

— У них уже были проблемы?

— Да. Оба запустили учебу, чересчур увлекались играми.

— Как это произошло?

— Проблема оказалась простой как дрова. Для ребенка не создавалась отдельная учетная запись. Он играл под учетной записью родителя. Соответственно, ему кто-то (сейчас разбираются кто), дал флэшку с кодами для игр. Он запустил программу с флэшки и … все! Троян на ноутбуке директора.

— А что с коммерческим? Так же?

— Там похоже. Только там заразили смартфон. Загрузили по совету друга игру, а в игре троян. Учетной записи для ребенка тоже нет.

— Понятно. Таким образом, оба нарушили одно и то же правило. Для детей нужно создавать отдельные ограниченные учетные записи. А на смартфоне, кроме того, нужно запретить загрузку программ из посторонних источников! Это сделано не было. Вот и поплатились.

А вы разрешаете детям играть на вашем компьютере под своей учетной записью? Она имеет административные права?


Сказки о безопасности: Компрометация биометрии

29/11/2017

Утро выдалось солнечным, но холодным. Видимо ночью был мороз. Впрочем, такая погода нравится Иоганну куда больше, чем бесконечный дождь с ветром. Прогулка до офиса не заняла много времени. Хотя даже эти 15 минут помогли ему собраться с мыслями. А подумать было о чем. Вчерашний звонок из департамента иностранных дел никак не выходил из головы. Это ж надо было такому произойти. По приказу Иоганна Макс и Рита сегодня вылетают в дружественную республику И. Там произошло серьезное нарушение в системе идентификации граждан и резидентов республики. Обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев.

Итак, скорее всего скомпрометирована база отпечатков пальцев. А значит те пользователи, чьи данные скомпрометированы, больше не смогут использовать свои биометрические данные.

— Рита, что там у вас? Как долетели? Как вас встретили?

— Да все хорошо, спасибо! Здесь нас встретил выпускник нашей же Академии. Он до сих пор помнит ваши лекции. Просил передать привет и заявил, что обязательно передаст с нами ящик какого-то особого ликера из слоновьей ягоды. Говорит, что до сих пор помнит, что вам понравилось!

— Вы поосторожнее, а то обвинят в контрабанде!

— Он тоже так сказал и добавил, что передаст с нами пару бутылок, а остальное — дипломатической почтой!

— Спасибо! И все же давайте по делу.

— Итак, по делу. Нарушение было обнаружено после выявления большого количества операций, сделанных за короткий период с использованием одних и тех же отпечатков пальцев. По словам местных чиновников, это было бы невозможно без незаконного использования биометрических данных.

— Проверьте, кто имел доступ к биометрическим данным? Где они хранились? Короче, все проверьте! И держите меня в курсе.

Прошла неделя.

— Шеф! Кажется, мы нашли причину.

— И в чем она?

— Причина банальна до жути. Сторонний подрядчик имел доступ к части баз и хранил данные в облаке. Причем в открытом виде. Но хорошо то, что это были всего несколько сотен записей, да к тому же там были не все биометрические данные, а только отпечатки пальцев.

— Ну что ж. Жду вас дома. Прилетайте!

Вот так закончилась эта история.

В марте 2017 г. было выявлено нарушение в области информационной безопасности после того, как в системе идентификации граждан и резидентов Индии UIDAI обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев. Инцидент вызвал большие опасения относительно конфиденциальности и безопасности хранения биометрических данных.

 

http://www.itweek.ru/themes/detail.php?ID=198856


Сказки о безопасности: Машина времени

27/11/2017

Утро в столице было, как обычно в это время года, хмурым. Низкие, темно-серые, практически черные тучи медленно наползали на город. Казалось, что на улице не утро, а вечер, причем поздний вечер.

В такое время не хочется никуда вылезать из теплого кресла. Но работа есть работа.

Иоганн медленно шел по темному парку. Он любил такие одинокие прогулки, когда можно было подумать, медленно гуляя и шурша опавшими листьями. До работы всего 15 минут пешком. Это драгоценное время можно было посвятить только себе и своим мыслям. Вот и сегодня в голове крутилась мысль, как сделать машину времени.

Да-да, именно машину времени. Ведь как иначе назвать то, о чем его просил начальник департамента личной безопасности императора? А просьба и вправду была нестандартной. Нужно восстановить маршруты передвижения одного из имперских высокопоставленных чиновников. Причем за последние пару месяцев.

Следовало также учесть, что на своем смартфоне господин Д отключал данные геолокации и потому восстановить что-либо с его телефона было невозможно. Но вот и знакомые ворота департамента интеллектуальных преступлений.

— Привет, Софи! Ты сегодня, впрочем, как и всегда, очаровательна! Пригласи ко мне Макса.

— Шеф, кофе готовить? На двоих или на троих?

— А разве вы с нами кофе не пьете? На троих, конечно! И прошу присутствовать при разговоре.

— Спасибо, шеф!

— Привет, Макс! У нас проблема! Нужно построить машину времени.

— Н-да, были разные задания, но такое впервые. А что нам нужно в будущем?

— Не в будущем, Макс! В прошлом! Нужно восстановить маршруты передвижения одного из имперских высокопоставленных чиновников. Причем за последние пару месяцев.

— А что мы о нем знаем?

— Он отключает службы геолокации на своем смартфоне.

— А какой смартфон?

— От компании G.

— Тогда я вообще не вижу проблем. Ведь все смартфоны этой компании передают данные о расположении независимо от того, включены ли службы или нет. А получить мы можем их довольно просто.

— Я бы не хотел, чтобы о том, что мы ищем, стало известно кому-либо.

— А в чем проблема? Руководитель службы ИБ этой компании в прошлом выпускник нашей Академии, мы с ним вместе учились. Да и не стоит забывать, что 30% акций компании принадлежит лично императору. Еще раз повторю, я не вижу проблем. Правда я не хочу звонить туда, придется пригласить его поужинать вместе.

— Безусловно. За все платит департамент.

— Вот и славно. Думаю, нам завтра привезут эти данные. Так что ничего страшного, машину времени за нас уже построили.

На любом смартфоне с ОС Android при желании можно полностью отключить геолокацию и запретить устройству отслеживать ваше местоположение. Однако даже с отключенной службой геолокации все без исключения устройства на Android продолжают собирать данные о местоположении пользователей и отправляют их на серверы Google при наличии интернет-соединения. Об этом сообщает американское издание Quartz, ссылаясь на результаты собственного исследования.

https://www.itweek.ru/security/article/detail.php?ID=198814