Сказки о безопасности: Социальная сеть пять лет спустя, или как закрыть ящик Пандоры

http://www.pcweek.ru/themes/detail.php?ID=182341

После создания социальной сети на Изумрудной планете прошло пять лет. Вслед за первой появились и другие соцсети. Но тут оказалось, что не все так просто.

После доклада начальника контрразведки император понял, что после создания социальных сетей они открыли ящик Пандоры. И собственно неприятности только начинаются. Ведь пользователи социальных сетей не думая размещали о себе материалы, которые при внимательном просмотре можно было отнести к категории «Секретно» и даже «Особой важности. Сжечь по прочтении».

Так военнослужащие зачастую сообщали номера и размещение своих воинских частей, фотографии с военных полигонов, на которых они были изображены на фоне совершенно секретной техники. Не лучше обстояли дела и у инженеров и ученых. Зачастую ума хватало обсуждать достоинства и недостатки тех или иных проектов. Более того, даже сотрудники службы государственной безопасности не отличались наличием ума и внимательности!

В ходе развития социальной сети появились банды, использующие материалы социальных сетей для проведения phishing и даже spear phishing атак. То есть уже не только обычное мошенничество пошло в ход, а даже направленные мошеннические атаки. И джина загнать назад в бутылку не представлялось возможным.

Что делать? Как быть?

Император принял решение обучать пользователей методам информационной безопасности прямо со школьной скамьи. Никто не знал, поможет это или нет, но делать что-то надо было.

Задумайтесь, о чем вы пишете в социальных сетях, какие фото выставляете. Ведь вся эта информация — путь к созданию целевой атаки на вас.

Что делать? Запретить социальные сети совсем? Но ведь во многих случаях это несомненная польза. Как быть?

Ответа на этот вопрос у меня нет. Думаю, что польза социальных сетей несомненна. Но и вред тоже налицо. Потому просто прошу вас думать. Почаще и побольше. Джин выпущен из бутылки и назад его загнать нельзя!

 

И все же главная уязвимость мобильных устройств — это пользователь!

http://www.pcweek.ru/security/blog/security/8204.php

своих заметках о обновлении операционных систем мобильных устройств я уже писал о проблемах при обновлении Android и Apple. И если в случае обновлений Android основная проблема — это огромное количество всевозможных устройств и производителей, то основной проблемой для обновления iPhone и Windows Phone являются пользователи этих устройств.
Рассмотрим данные из отчета рекламной сети AdDuplex Windows Phone Statistics Report (октябрь 2015 ). Отчет составлен на базе 5422 приложений Windows Phone использующих AdDuplex SDK v2 и выше.

Рисунок 1 Версии Windows Phone
В декабре 2015 картинка изменилась

Рисунок 2 Декабрь 2015
Безусловно, пользователи обновляют свои устройства, однако это очень медленный процесс.
Вместе с тем стоит учесть, что переход с Windows Phone 8.0 на версию 8.1 осуществлялся уже давно и был абсолютно бесплатным, более того, версия 8.0 уже не поддерживается. Что мы наблюдаем? Почти 10% пользователей так и не обновили свою ОС. Как это пояснить кроме наплевательского отношения к собственной безопасности? Я не знаю.

Apple может читать шифрованные End-to-End Encrypted iMessages

http://www.pcweek.ru/themes/detail.php?ID=181996

Вы используете шифрованные End-to-End Encrypted iMessages? И уверены в том, что это безопасно? Хочу вас огорчить. Ведь если вы используете резервное копирование iCloud, то ваши сообщения могу быть прочитаны Apple.

В своем конфликте с американским правительством по поводу шифрования Apple заявила, что будет стоять на страже конфиденциальности, отказавшись обеспечивать backdoor в своих продуктах, но все далеко не так однозначно.

В случае, когда речь заходит до службы iMessage, компания утверждает, что никто не может читать сообщения, отправляемые пользователями, ведь они используют сквозное шифрование. И, мол, если власти запросят у Apple содержимое такой переписки, то компания ничего не сможет им предоставить, поскольку она зашифрована и у нее нет ключей. Однако это совсем не так, если пользователь хранит свои данные в составе резервных копий iCloud.

Если вы включили резервное копирование iCloud на своих устройствах Apple, то копии ваших сообщений, фотографий и иных важных данных, хранящихся на вашем устройстве, будут храниться в зашифрованном виде на iCloud, но ключом шифрования будет управлять компания Apple, а не вы сами. Следовательно, и Apple, и любой, кто взломает вашу учетную запись, увидят ваши персональные и конфиденциальные данные. В прошлом уже были такие инциденты, как Fappening, когда хакеры взломали iCloud-хранилища более сотни знаменитостей, выкрали их обнаженные снимки и распространили их в Интернете.

Заметим, что компания настаивает, чтобы пользователи устанавливали учетную запись iCloud при активировании своего нового iPhone или iPad. И не предупреждает пользователей о возможной опасности.

Если вы захотите отключить доступ Apple к вашим данным, сделайте следующее:

· Сделайте локальную копию ваших персональных данных через iTunes.

· Отключите резервное копирование iCloud в Настройки — iCloud — Хранение и резервное копирование — Резервное копирование iCloud.

И, безусловно, можно делать шифрованные локальные резервные копии, хотя для пользователей это не так очевидно.

Автор статьи — Microsoft Security Trusted Advisor, MVP Consumer Security.

Интернет вещей — мина замедленного действия?

http://www.pcweek.ru/security/article/detail.php?ID=174415

Автор: Владимир Безмалый

12.05.2015
Интернет вещей (IoT) — без сомнения удобно. Это очень удобно, но безопасно ли? Ой, не уверен!

Для меня переломным моментом в безопасности IoT было появление трояна для кофеварки, работающей через Интернет. У кого-то беспокойство мог вызвать холодильник, осуществляющий заказы в ближайшем интернет-супермаркете. Но троян, написанный для кофеварки, превзошел все мои ожидания!

Еще одним переломным моментом было появление чайника с Wi-Fi. Устройство, само существование которого перевернуло мои представления с ног на голову и над которым мы подшучивали с коллегами.

Конечно, интернет-устройства открывают массу новых возможностей, это радует. Но одновременно появляются и причины бояться прогресса. Я не думаю, что производители целых классов интернет-вещей сильно задумываются о безопасности. Ведь большинство поставщиков такой продукции на данном этапе озабочено лишь удобством для пользователей, дружелюбным интерфейсом, скоростью вывода продукта на рынок.

Действительность состоит в том, что компании торопятся как можно скорее заставить нас купить эти вещи. В результате защита вашего дома превращается в минное поле. И что дальше? Каждое устройство будет иметь все более сложное программное обеспечение и сетевые права доступа?

Увеличение количества векторов атаки уже подтверждается широким диапазоном тематических исследований. Скомпрометированная электронная подпись фотоаппаратов Nikon и Canon сулит потерей доверия тысячам экспертных заключений, сделанных эти фотоаппаратами. Также рискованно доверять радионяням, снабженным двусторонним аудио, а также двусторонним видеоканалам.

Существует весьма превозносимый термостат Nest от Google — экологически чистое умное решение для обогрева. В прошлом августе взлом этого устройства занял целых… 15 секунд.

Думаете, это все? Как бы не так! Умные светодиодные лампы были взломаны, позволив хакеру управлять системой освещения. Умные дверные звонки, системы видеозаписи также оказались уязвимыми, что без сомнения весьма интересно для потенциальных воров.

Но самое страшное, что Интернет вещей не ограничивается уязвимостями. Самое страшное, что функции, которые должны выполнять эти вещи, также могут быть использованы против нас.

Вспомним телевизоры Samsung, которые, как выяснилось, могут быть записывать, собирать и передавать все что слышат их микрофоны, отправляя эту информацию третьим лицам.

На самом деле вовсе неважно, что за вещь взламывается. Это может быть ваш холодильник, ваша дверь, ваш автомобиль, более того, медицинский робот в медицинском центре. Все эти устройства могут использоваться для продолжения взлома в мире роботов, упрощая дальнейшие взломы.

Еще интереснее соединить полученные обрывки информации для получения целостной картины. Например, насколько будет упрощено применение социальной инженерии, если знать ваши предпочтения в еде, напитках, какая температура дома вам нравится, когда вы приходите (уходите), какие телепередачи смотрите, как вы называете своего ребенка (супруга). Ваш вес? Давление? Ваши медицинские показания?

Устройства, использующие Интернет вещей, должны защищаться так же, как ваши компьютеры, телефоны или планшеты, если не строже. Они не должны хранить пароли в виде простого текста, им нельзя позволять собирать данные о вас в коммерческих целях. Потребители должны понимать потенциальные опасности.

Пора признать, что эти вопросы нужно решать, пользователей нужно учить, и чем быстрее, тем лучше. Время разговоров давно прошло!

Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.

Ура!

Ура! Сдал экзамен
KLE 002.10. Kaspersky Endpoint Security and Management. Базовый курс
Это первый из трех экзаменов, которые хочу сдать!

Предустановленное вредоносное ПО на устройствах Android

Сегодня операционная система Android очень популярна в Китае. Устройства на базе этой ОС составляют почти 90% мобильного парка страны. Однако, очень немногие из этих устройств имеют сертификат подлинности Google, удостоверяющий версию Android.

Этот факт приводит к следующим последствиям:

• Во-первых, это означает, что данные устройства не могут пользоваться Google Play Store.
• Во-вторых, устройства не проходят одобренный набор тестов Google до начала выпуска.
• В-третьих, устройства могут быть выпущены с известными уязвимостями безопасности (которые уже были исправлены в известных, лицензированных Google, версиях Android).

Фактически это значит, что вы рискуете, доверяя свои персональные данные этим устройствам.

Растущие темпы использования устройств на базе Android от китайской компании Xiaomi вынудили специалистов компании Bluebox Labs внимательнее протестировать эти продукты.

В Китае было закуплено популярное устройство Xiaomi Mi 4 LTE, чтобы оценить его надежность и возможные риски использования устройства.

Предварительно установленное вредоносное программное обеспечение

С помощью нескольких антивирусных сканеров установленное на устройстве программное обеспечение было проверено на наличие вредоносов. Использование нескольких сканеров было обусловлено желанием получить наиболее объективные результаты.

В конечном счете было обнаружено шесть (!) подозрительных приложений

Вредоносное ПО включало знаменитый PhoneGuardService классифицированное как троян (com.egame.tonyCore.feicheng), AppStats (org.zxl.appstats) — riskware и SMSreg — вредоносное программное обеспечение

Операционная система Android

Операционная система Android, используемая на Xiaomi Mi4, в основном основана на ROM MIUI. MIUI – широко используемая версия, основанная на не лицензируемой версии Android и не содержащая сервисов Google. У Mi4 есть свой собственный App Store, Store Mi, как альтернатива Google Play (вспомните, что сервисы Google не доступны на этом устройстве). В то время как операционная система идентифицирует себя себя Android KitKat 4.4.4, есть некоторые сервисы, которые заставляют думать, что используется гибридная версия на основе более старой версии Android с некоторыми частями текущей версии (4.4.4).

Таким образом, стоит сделать вывод, что покупатель рискует в вопросах безопасности, покупая данное устройство.

По материалам https://bluebox.com/

Управление показом презентации с помощью Microsoft Office Remote PC

Очень часто при показе презентации возникает вопрос – с помощью какого устройства выступающий может управлять показом презентации. Для этого, как правило, используют специальные устройства-презентеры. В данной статье мы с вами покажем, как для этого можно использовать смартфон под управлением Windows Phone 8.1. Для этого вам необходимо загрузить Microsoft Office Remote PC Setup http://www.microsoft.com/en-us/download/details.aspx?id=41149 . Данное приложение позволяет с помощью смартфона управлять приложениями из Office 2013 (Office RT 2013 не поддерживается) на компьютерах с Windows 8 или Windows 7. Для связи используется Bluetooth-соединение. Для того чтобы управлять приложениями необходимо установить приложение Microsoft Office Remote PC Setup на ваш ПК. Фактически это плагин к Microsoft Office 2013. После этого установить приложение Office Remote в ваш Windows Phone (http://www.windowsphone.com/ru-ru/store/app/office-remote/01f53e5a-7870-49cb-8afc-d6fab6d7a3cd ). Учтите, что оба приложения реализованы на английском языке. В версии 1.1 реализованы новые функции управления PowerPoint:

1. Показ текущего слайда и лазерной указки в нем без изменения ориентации вашего смартфона
2. Показ следующего (предыдущего) слайда
3. Запуск и пауза включенного видео (аудио) файла.

Весьма удачным, на мой взгляд (просто мне этого всегда не хватало во время выступления) является номер слайда и количество слайдов, а также отсчет времени. Рисунок 1 Показ слайдов Набор функций Office Remote

• PowerPoint: переход на следующий, предыдущий или последний слайд презентации; просмотр эскизов и переход к выбранному слайду; просмотр заметок на телефоне; просмотр таймера и номера слайда на телефоне; имитация лазерной указки с помощью сенсорного экрана телефона
• Excel: переходы между листами книги; использование сводных таблиц и фильтров; переход к любому объекту книги; скроллинг книги; изменение масштаба
• Word: переход к заголовку; переход к комментариям; скроллинг на страницу; скроллинг на строчку; изменение масштаба.

Рисунок 2 Скачать в Windows Phone Store Таким образом, последовательность действий такова:

1. Загрузить и установить приложение на ваш Windows Phone 8.1 смартфон
2. Загрузить плагин к Microsoft Office 2013 (Microsoft Office 2013 RT не поддерживается)
3. Установить связь между ваши ПК и смартфоном по Bluetooth
4. Запустить приложение на Windows Phone 8.1
5. Открыть презентацию на вашем ПК
6. Запустить из появившейся вкладки Microsoft Office Remote
7. Показать презентацию.

Это ж как же вашу мать, извиняюсь, понимать?

Есть такой сайт http://popolniaybalans.com.ua

Типа прием платежей. Но… я так и не увидел что обмен идет по защищенному каналу.

Мне кто-то пояснит где я не прав?

И снова о защите ваших смартфонов

Мы  часто говорим о защите и частной жизни. Как правило, пользователи или не слушают или не слышат. К чему это приводит – есть масса примеров. Большинство же до сих пор почему-то считает, что воровать у них нечего, поэтому и защищаться особо не за чем. Тем более что большинство людей, использующих мобильные устройства – молодые люди в возрасте до 25 лет, считающие что они самые умные, самые продвинутые и их ничему учить не нужно. А ведь отследить нашу жизнь по нашим устройствам весьма и весьма просто. Фотографии наших последних путешествий, наших любимых, детей. Все это и есть наша с вами жизнь. И утрата или даже просто попадание этой информации к злоумышленнику может весьма и весьма осложнить жизнь любому.

Поэтому, на мой взгляд, стоит уделить немного времени для того чтобы защитить вашу информацию и избавиться от головной боли в будущем.

• Установите ПИН-код для доступа к вашему смартфону (планшету).

Вы же не оставляете дверь в вашу квартиру открытой, не правда ли? А почему вы не используете ПИН-код для телефона? Ведь с помощью ПИН-кода вы предотвращаете легкий доступ к вашему телефону. Учтите, что использование графического пароля менее безопасно, но это куда лучше, чем вообще ничего.

• Будьте внимательнее, набирая ПИН-код. Скрывайте это от окружающих.

Вы же, наверное, прикрываете клавиатуру, набирая ПИН-код на банкомате? Не любите, когда люди при этом стоят у вас за спиной и смотрят что вы делаете? Я тоже. А с телефоном? Вокруг вас полно «любопытных», норовящих заглянуть к вам через плечо и увидеть, что вы делаете.

Настройте ваш телефон таким образом, чтобы любые вводимые пароли по умолчанию не отображались. В Android это Параметры настройки> безопасность> Сделать пароли видимыми.

• Защитите ваши приложения

Не все приложения одинаково влияют на вашу безопасность. Прогноз погоды или калькулятор вряд ли будут особо влиять на безопасность, хотя прогноз будет опираться на ваши геолокационные данные, которые без сомнения, на безопасность влияют. Но вот банковские приложения, кошелек, в котором вы храните ПИН-коды и номера ваших платежных карт, без сомнения, заслуживают дополнительной защиты отдельным ПИН-кодом. Не забывайте об этом, пожалуйста. Естественно, пароль к телефону и пароль к кошельку должны быть разными.

• Запретите установку ПО из неизвестных источников

Запретите установку ПО из неизвестных источников. Большинство malware под Android является поддельными приложениями https://blog.avast.com/2013/01/24/fake-google-play-apps/ замаскированными под законные приложения.

• Не забудьте предварительно установить антивирусное ПО.

Об установке антивирусного ПО написано много. Несмотря на то что многие предпочитают устанавливать бесплатно такое ПО, я рекомендую платить. Это совсем не дорого по сравнению со стоимостью самого устройства и позволяет себя чувствовать куда более защищенным. Естественно, если вы по какой-то причине не можете заплатить, то используйте хотя бы бесплатное.

• Запретите режим отладки USB  

Режим отладки USB используется разработчиками и вам, как обычному пользователю, это просто не нужно.

• Не забудьте об установке обновлений

Регулярно устанавливайте обновления. Причем не только ОС, но и приложений. Я уже неоднократно писал об этом, например, https://bezmaly.wordpress.com/2013/10/08/psi-android/

Заключение

Естественно, это далеко не все, что вы можете сделать для защиты вашего смартфона. Но сделайте хотя бы это!

Платить или не платить?

Ежегодно, когда приходит пора обновить лицензию антивируса, перед миллионами пользователей встает один и тот же вопрос. Платить или не платить за лицензию? Этот вопрос не в том, найти ли ворованный ключ. Этот вопрос — принципиальный. Бесплатный или платный антивирус использовать?

MirPC_12_2014_My

Статья опубликована в №12 2014 «Мир ПК» (Москва)