Новостная лента
Как 2FA с помощью голосовых звонков может быть использована для наживы
Вы думали, что все хакеры плохие? Это не так: в IT-среде уже давно существует деление на “черных” и “белых” взломщиков кода. С первыми все понятно: они при помощи своих умений лишают пользователей и компании денег, а также охотятся на другую ценную информацию с целью кражи личности. Но есть и те, кто занимается взломом не ради обогащения, а по гуманистическим и научным побуждениям. Таких “хороших парней” называют white hat (”белые” хакеры). Основное направление их работы — поиск уязвимостей ПО, сайтов и сервисов, о которых затем оповещается администрация соответствующих ресурсов. С подачи “белых” хакеров устраняется много багов, а защита данных в сетевом пространстве становится более надежной. Порой специалистам удается отыскать “дыру” даже в тех функциях, которые изначально предназначены как раз для защиты от взлома. Так произошло и с двухфакторной аутентификацией (two-factor authentication). Бельгийский white hat хакер А. Свиннен обнаружил оригинальный способ “заработка” при помощи голосовых звонков от сервиса или банка, применяемых в 2FA. Как такое может быть возможно? Одной из главных задач ИБ является установление легитимности человека, запрашивающего доступ к учетной записи на сайте, в онлайн-банке или платежной системе. Для ее решения разработаны многочисленные (часто довольно экзотические) способы аутентификации пользователей. Наиболее надежным среди них на сегодняшний день признана двухфакторная аутентификация с помощью одноразовых паролей. Чаще всего в качестве средства доставки одноразовых паролей применяется аутентификация СМС, но некоторые компании пользуются ее модифицированным вариантом — голосовыми звонками на номер, привязанный к аккаунту. Вот эту опцию и использовал А. Свиннен. Он “прикрепил” к созданным для эксперимента учетным записям в Instagram, Microsoft Office 365 и Google не обычные телефонные номера, а такие, звонки и отправка СМС на которые являются платными. К сожалению, то, что это не “простые”, а платные номера, системы этих сервисов определить не смогли. В результате, после каждого такого звонка, компаниям выставлялся счет. Исследователь нашел способ заставить роботов Google, Microsoft и Instagram совершать звонки на платные номера с максимально возможной частотой. Свиннен подсчитал, что за год он смог бы получить таким образом от 2 000 до 670 000 долларов, в зависимости от ресурса (меньше всего — Instagram, больше всего — Microsoft). О найденных проблемах white hat хакер сообщил разработчикам еще в конце 2015 года. И, надо признать, все три компании приняли меры и устранили выявленные баги, которые имела двухфакторная авторизация их сервисов. Стоит отметить, что подобных проблем можно было бы избежать, если бы двойная аутентификация чуть было не пострадавших компаний использовала вместо СМС и телефонных звонков более надежные и современные средства. Одним из таких решений может быть аппаратный или программный ОТР токен (token), который автономно генерирует одноразовые пароли. Это устройство не использует открытые телефонные сети или интернет для передачи временных паролей, что исключает возможность не только телефонного мошенничества, но и перехвата. Компаниям, которые используют в работе с клиентами двухфакторную аутентификацию, стоит помнить, что это прекрасное средство само по себе не является панацеей от любых угроз. Чтобы 2FA была по-настоящему эффективной, ее применение должно быть хорошо продумано и учитывать все возможные риски, которые часто скрываются в самых неожиданных местах. Не хотите кусать локти когда мошенники найдут очередную лазейку в вашей системе аутентификации? Тогда обращайтесь к...
далееЧто следует знать о безопасности корпоративных Wi-Fi сетей
В недалеком прошлом корпоративная сеть предприятия могла быть только проводной — и никаких вольностей с Wi-Fi. Любые попытки сотрудников “протащить” на территорию источники беспроводного интернета жестко пресекались. Но от прогресса уйти невозможно: всеобщая мобильность и постепенное, но неуклонное проникновение в офисы концепции BYOD, потребовали перехода на корпоративный Wi-Fi. Однако, организация корпоративной сети с беспроводным подключением требует применения некоторых методов, способных предотвратить взлом вай фай. Способы, позволяющие обеспечить безопасность Wi-Fi вытекают из уязвимостей, которые имеет этот вид соединения. Главной из них является крайняя доступность беспроводной сети для случайного или намеренного постороннего подключения. А это может повлечь за собой довольно неприятные последствия: Отказ в обслуживании. Целенаправленное выведение сети из строя посредством атаки на Wi-Fi оборудование. Злоумышленник не пытается войти в сеть, а просто блокирует помехами частоты, на которых она работает. Что-то вроде » глушилок», которые во времена «железного занавеса» использовались для пресечения работы западных «голосов». Уничтожение или модификация служебной информации. Может нарушить и даже полностью парализовать работу компании. Показателен инцидент с Hollywood Presbyterian Medical Center, когда в результате хакерской атаки в больнице перестали работать не только компьютеры, но и управляемое ими медицинской оборудование. Атака “человек посередине”. Злоумышленник способен перехватывать любые транзакции, исходящие из скомпрометированной сети, им может даже осуществляться аутентификация в вай фай сети от имени сотрудников компании. Пассивное наблюдение. Похитив ключи шифрования, преступники в состоянии беспрепятственно просматривать весь трафик. Пожалуй, данный вариант самый опасный именно из-за того, что слежка может длиться сколь угодно долго, при этом пострадавшие не будут об этом даже подозревать. Можно ли организовать построение корпоративной сети так, чтобы была обеспечена надлежащая защита Wi-Fi соединения и при этом сохранились все преимущества такого вида передачи данных? Специалисты по IT-безопасности рекомендуют предпринять следующие упреждающие шаги: Изменение настроек по умолчанию. Когда корпоративная сеть передачи данных на основе Wi-Fi только формируется, лучше сразу поменять некоторые настройки. Прежде всего, это пароль администратора роутера. Дело в том, что пароли по умолчанию для разных марок и моделей маршрутизаторов легко найти в интернете. Также замене подлежат уникальное имя сети (SSID) и пароль для входа в нее. Нежелательно выбирать такой SSID, по которому можно определить название и сферу деятельности компании. Следует помнить, что любое осмысленное слово может быть обнаружено хакерами путем подбора. Только длинная и абстрактная комбинация не поддается расшифровке. Настроить мощность сигнала. Если радиус действия Wi-Fi слишком сильно выходит за периметр компании, то его лучше уменьшить. Этой элементарной мерой часто пренебрегают, но она способна отсечь некоторую часть посторонних подключений. Своевременное обновление. Обновлять нужно не только ОС и приложения на компьютере, а и прошивку роутера. Это не только повышает его производительность, но и лечит уязвимости в защите. Гостевая сеть. Во многих компаниях возникает ситуация, когда корпоративная сеть используется не только сотрудниками, но также клиентами и гостями офиса. В таком случае лучше создать отдельную локальную подсеть для таких пользователей. И, естественно, пароль к ней должен отличаться от основного. Оптимальный протокол шифрования. Если общедоступные сети Wi-Fi могут позволить себе применять такой “аскетический” вариант криптозащиты как устаревший протокол WEP, то в корпоративном сегменте это недопустимо. WPA2 шифрование обеспечивает отдельный уникальный ключ безопасности Wi-Fi для каждого передаваемого пакета информации, который гораздо надежнее, чем статические ключи шифрования WEP. Двойная аутентификация Wi-Fi. Обычно вход в закрытую беспроводную сеть происходит по “предъявлении” SSID и пароля. Но этого явно недостаточно для того, чтобы Wi-Fi защита соответствовала требованиям корпоративного сектора. Безопасность Wi-Fi сетей компании может усилить двухфакторная Wi-Fi аутентификация. Реализовать ее удобно с использованием протокола RADIUS....
далееРифы и мели Pokemon GO
Этим летом мир “сошел с ума” от покемонов. Персонажи прославившегося в начале 2000-х мультсериала с триумфом вернулись и снова покорили миллионы. Теперь в виде игрового приложения Pokemon GO. Его популярность столь велика, что даже серьезные интернет-издания, пишущие на темы IT-технологий, печатают статьи с правилами игры и советы о том, как ее скачать и установить. Однако, не только хвалебные отзывы о новой игрушке встречаются в сети. Несмотря на то, что история Pokemon GO только начинается, приложение уже стало поводом для нескольких скандалов. В некоторых оно выступает в роли “пострадавшего”, а в некоторых — “злого гения”. Так, на Google Play были обнаружены три вируса, маскирующиеся под Покемон ГО. Особенно опасным среди них оказался блокировщик экрана Pokemon GO Ultimate. Это “произведение” хакеров обещало доступ к игре в тех странах, где она еще официально не запущена, но на деле полностью парализовало работу смартфона, часто не давая возможности его перезагрузить. Даже после “жесткой” перезагрузки путем извлечения аккумулятора, вирус продолжал работать в фоновом режиме. Трафик при этом перенаправлялся на порносайты. Еще два обнаруженных вредоноса выводили на экраны пострадавших устройств рекламу, или угрозами заставляли владельцев смартфонов оформить подписку на платные сервисы. Поддельные приложения были обнаружены и удалены из магазина, но множество пользователей (более 50 тысяч) уже успели их скачать и “заразить” свои гаджеты. Если подобное случилось в официальном Google Play, то что говорить о разнообразных “складах” нелегального софта, где практически отсутствует проверка загружаемых программ! Как оказалось, это еще не все проблемы, которые может принести повальное увлечение Pokemon GO. Все чаще в сети появляются заявления о том, что игра способна “шпионить” за геймерами и передавать их данные третьим лицам. Пожалуй, еще ни одно приложение не вызывало столько обвинений в нарушении конфиденциальности пользователей. Кто-то говорит о “черном” пиаре самой компании — для привлечения интереса к продукту, кто-то толкует о заговоре “мирового закулисья” или прямом участии спецслужб в создании игры. Верить или не верить в эти экстремальные версии — личное дело каждого. Однако, есть совершенно официальный источник, позволяющий узнать, какая информация действительно собирается. На сайте компании Niantic в разделе, посвященном Pokemon GO, размещено соглашение о конфиденциальности, где каждый может с ним ознакомиться. Жаль, что люди редко читают “хелпы” и условия использования продуктов. Подобные документы не всегда так скучны и бесполезны, как может показаться. Обратимся к первоисточнику При написании статьи были использованы данные последнего обновления Политики конфиденциальности для Pokemon GO от 1 июля. Если кратко сформулировать содержание этого документа, то обрисовывается следующая картина: Зарегистрироваться в игре, помимо прямого обращения в сервис, можно через аккаунт Google или Facebook. В любом случае, требуется адрес электронной почты. Также нужно указать возраст и имя (не обязательно настоящее). Для участия в игре детей до 13 лет родители или опекуны обязаны дать на это свое согласие. Если ребенок завел аккаунт без разрешения взрослых и об этом стало известно, то учетная запись аннулируется.Сервисы провайдера игры фиксируют не только IP-адрес, тип браузера и операционной системы пользователя, но и те веб-страницы, которые посещались перед входом в приложение. Фиксируется также время, проведенное на этих страницах и посещенные ссылки. Даже в случае закрытия аккаунта или удаления по требованию клиента информации о нем, часть ее все равно останется в архиве компании. Все личные сообщения, которыми игрок обменивается с другими участниками, тоже собираются и хранятся провайдером. Как утверждается, защита данных от этого не пострадает, а личность пользователя не будет раскрыта. Собранные сведения планируется использовать только для таргетированной рекламы, демографического профилирования и улучшения обслуживания.Оговорено...
далееVisa повышает ответственность банков перед клиентами
С 1 августа 2016 года все украинские банки, выпускающие карты с поддержкой международной платежной системы Visa, обязаны возвращать деньги, потерянные вкладчиками в результате несанкционированных списаний и других мошеннических действий. Новость не может не радовать владельцев карт, но способна добавить хлопот банкам: тем из них, которые не будут осуществлять возврат денег, обещаны санкции от Visa. В какой форме это будет происходить, пока не разглашается. Где инициатива Visa может принести реальные плоды — так это в интернет-банкинге, который с каждым днем все популярнее у вкладчиков. В этом случае ответственность за защиту данных в решающей степени лежит на финансовом учреждении. От пользователя требуется только не хранить пароль для входа в банковское приложение в “доверенном” телефоне, на который приходят ОТР подтверждения транзакции, чтобы в случае утраты гаджета он не попал в руки мошенников. Все остальные меры, которых требует защита информации в банке, полностью зависят от поставщика услуг. До недавних пор далеко не у всех украинских банков существовала надежная система защиты данных (о некоторых проблемах можно прочесть тут). Что и не удивительно: несанкционированный отток средств со счетов был личной проблемой клиентов. Банк же часто оставался в стороне. С внедрением системы “нулевой ответственности” от Visa появилась надежда на то, что защита персональных данных вкладчиков станет более важной для администрации банков, чем это было прежде. Ведь теперь любой взлом компьютерной финансовой системы и проникновение в нее посторонних станут не только “головной болью” IT-специалистов банка, но и повлекут необходимость компенсировать материальные убытки пострадавшим. Учитывая, что свои деньги банкиры считать умеют, есть вероятность серьезного повышения безопасности банковских операций. Если же говорить о традиционном использовании кредиток для снятия денег через банкоматы и оплаты покупок, то здесь программа “нулевой ответственности” Visa может рассматриваться скорее как маркетинговый ход в борьбе за клиента. Никаких серьезных изменений она не обещает — кроме, пожалуй, репутационных потерь для уклоняющихся от возмещения ущерба. Ведь возможность возврата украденных с клиентских счетов денег существовала давно. Однако, на практике банковские учреждения всеми правдами и неправдами старались избежать выплат. Без соответствующего расследования всех обстоятельств и теперь никто ничего возвращать не станет. Обратное было бы явным поощрением неосмотрительности и даже мошенничества со стороны самих владельцев карт. Для возмещения украденных средств, как и прежде, потребуется выполнение довольно строгих условий пользования кредиткой, которые оговаривает политика безопасности банка. Вот некоторые из них: На карте должна быть подпись ее владельца, чтобы в спорных случаях при оплате в магазине можно было сличить ее с подписью на чеке. Кредитка и PIN-код не должны храниться вместе. Если при снятии с украденной или потерянной карты был с первого раза введен правильный код, возврата денег не последует. Пароль для входа в интернет-банкинг, как и одноразовый пароль подтверждения транзакции, не подлежат разглашению посторонним. Это же относится и к некоторым данным карты: CVV-коду, сроку ее действия. Чеки после снятия денег в банкомате или покупки в магазине нужно уничтожать, а не выбрасывать в мусорную корзину в общественных местах: на них есть масса информации, которой могут воспользоваться злоумышленники. Если соблюдать все эти требования, то у мошенников останется мало шансов завладеть деньгами. Правда, существуют некоторые методы, позволяющие преступникам узнать данные карты без содействия ее хозяина — о них мы уже писали. Но даже этой опасности можно избежать при должной осторожности и бдительности — а значит, возврат денег не потребуется. В том же случае, когда одно или несколько правил безопасности нарушены, рассчитывать не компенсацию не...
далееИщем безопасный мессенджер
В прошлый раз мы попытались разобраться, каким должен быть безопасный мессенджер. Теперь настало время оценить уровень защищенности, который предлагают несколько наиболее популярных приложений для обмена сообщениями. Facebook Messenger и Google Hangouts Данные приложения встроены в соответствующие социальные сети. И именно этим объясняется то, что ни одно из них не может претендовать на звание “самый безопасный мессенджер 2016”. Ведь львиная доля доходов соцсетей базируется на рекламе, соответствующей предпочтениям пользователя. Собрать как можно больше информации о последнем — одна из основных целей “социалок”. Наивно предполагать, что они не используют для этого контроль над “родными” мессенджерами. Не стоит обмениваться со знакомыми деловой и конфиденциальной информацией через мессенджер Фейсбук или Google. Viber Пожалуй, самый популярный на просторах бывшего СССР. (В мире лидирует WhatsApp, но он до последнего времени был платным, что не очень привлекательно для нашего человека.) Мессенджер Viber имеет богатый функционал — помимо привычных всем опций, он даже позволяет осуществлять перевод денег через систему Western Union. Раньше Viber “хромал” по части безопасности, но в последнее время разработчики хорошо потрудились, чтобы сделать из него действительно безопасный мессенджер — например, добавили скрытые чаты и сквозное шифрование. Правда, последнее работает еще не во всех странах. Из имеющихся недостатков можно отметить то, что сообщения хранятся на сервере компании (что дает возможность их чтения не только отправителем и адресатом), а также отсутствие пароля при входе в приложение. Skype Репутацию этого горячо любимого многими и по-настоящему мощного средства обмена мгновенными сообщениями несколько компрометирует его принадлежность компании Microsoft. Которая, естественно, собирает данные своих пользователей. Старожилы интернета еще помнят те времена, когда Skype был независимой разработкой и представлял собой если и не самый безопасный мессенджер, то уж один из них. Telegram Проект Павла Дурова был просто обречен на популярность: он появился в то время, когда мир взорвали разоблачения Э.Сноудена и многие чуть ли не впервые осознали, что приватность в сети — не роскошь, а необходимость. Телеграм мессенджер с самого начала поддерживает сквозное шифрование, но почему-то по умолчанию эта функция не установлена. Ее можно подключить, только создав секретный чат. В нем же есть возможность настроить самоуничтожение сообщений. Переписка, которая не была уничтожена, хранится на серверах в зашифрованном виде. Каждый кластер кодируется отдельным ключом. Правда, у многих специалистов вызывает вопросы протокол шифрования этого продукта: он разработан в самой компании и никем другим не используется. Кто знает, так ли он совершенен? Signal Защищенные мессенджеры для iOS — уже давно не новость. В компании Apple безопасности всегда придавалось огромное, а с точки зрения пользователя часто и чрезмерное, значение. Вот и этот безопасный мессенджер вначале был создан для айфонов и айпадов. Теперь есть его версия и на Android. Самой лучшей рекламой Signal служит то, что именно его предпочитает Э.Сноуден — о чем он даже писал в своем Twitter. Все, как положено: сквозное шифрование, невозможность прочтения на сервере, открытый код. Не хватает только, пожалуй, самоуничтожения сообщений после прочтения адресатом. WhatsApp Самый популярный в мире мессенджер. И для этого есть много причин. В том числе, и по уровню безопасности. Несмотря на то, что “Ватсап” мессенджер принадлежит компании Facebook, его разработка ведется отдельным независимым подразделением. Он построен на основе открытого кода, с этого года поддерживает полное сквозное шифрование и не дает возможности прочтения сообщений со стороны сервис-провайдера. Для шифрования используется тот же протокол, что и в Signal — Open Whisper Systems. Можно сказать, что это по-настоящему безопасный мессенджер. Threema Приложение мало известное, но очень интересное. Если судить по...
далееКаким должен быть безопасный мессенджер
Темп современной жизни не оставляет времени на длинные, вдумчивые послания. А потому эпистолярный жанр в нынешнем понимании — это диалоги, которые ведутся с помощью программ обмена мгновенными сообщениями (мессенджеров). У каждого на смартфоне установлен хотя бы один мессенджер, а часто мы пользуемся сразу несколькими. Но по каким же параметрам люди выбирают любимый мессенджер для Андроид или iOS и учитывают ли они при этом параметр безопасности? Недавно объединенная группа экспертов, ядро которой составили сотрудники Google, опросила более 1500 пользователей, чтобы выяснить, чем они руководствуются, устанавливая то или иное приложение. Как ни печально, вопрос о том, какой мессенджер безопаснее, встает при выборе в последнюю очередь. Самым главным критерием оказалось то, сколько друзей и знакомых используют приложение. Также опрошенные отмечали, что их больше привлекают бесплатные мессенджеры — особенно те, которые предустановлены на устройствах производителем. И лишь немногие упомянули, что предпочитают безопасные мессенджеры. Между тем, проблема приватности и защиты данных в интернете является одной из самых актуальных. Она предельно обострилась с массовым распространением смартфонов, которые сильнее подвержены взлому, чем стационарные компьютеры и ноутбуки. Особенно известны большим количеством уязвимостей гаджеты под управлением операционной системы Android. Хотя владельцам айфонов тоже не стоит расслабляться — хакеры не забывают и о них. Учитывая то, что мессенджеры широко используются для передачи конфиденциальных данных, как в личном, так и в корпоративном общении, получив доступ к мессенджеру, злоумышленник обязательно найдет информацию, которая будут ему интересна. Мы привыкли считать, что хакеров интересуют только логины, пароли и номера банковсних карт. На самом же деле любая информация о нас может быть использована мошенником, как минимум, для фишинга или социальной инженерии. Не стоит также забывать о спецслужбах, которые стремятся контролировать всех и вся. Громкий скандал с попыткой взлома iPhone сотрудниками ФБР — яркое тому доказательство. Но какие же признаки свидетельствуют о том, что та или другая программа обмена мгновенными сообщениями действительно может обеспечить приватность общения в интернете? Специалисты выделяют несколько основных функций, на наличие или отсутствие которых следует обращать внимание при выборе «своего» мессенджера. Сквозное шифрование Ясно, что защищенный мессенджер не может обойтись без шифрования передаваемых данных. Но и шифрование может быть разным. Обычно мессенджеры пересылают сообщения в зашифрованном виде, чтобы избежать их перехвата в момент прохождения через каналы связи. Сквозное же шифрование подразумевает, что кодируется не только переписка, но и вся прочая информация, которой обмениваются в процессе общения пользователи: документы, фотографии, видео и музыка. Открытый код Большинство популярных программ для обмена сообщениями имеют закрытую, проприетарную архитектуру. Поэтому даже разбирающимся в программировании пользователям трудно проверить, действительно ли с шифрованием и безопасностью дело обстоит именно так, как утверждают авторы программы. Доступ к сообщениям со стороны сервис-провайдера Всем памятен февральский скандал между Apple и ФБР, когда силовики потребовали от компании открыть доступ к телефону подозреваемого в преступлении. Но для того, чтобы попасть в зону их внимания, не обязательно быть преступником. Информация об обычных, вполне законопослушных гражданах тоже может быть интересна спецслужбам по разным причинам. За ней представители силовых ведомств прежде всего обращаются к сервис-провайдеру приложения. И далеко не каждый может оказать такое упорное сопротивление, как культовый IT-гигант Apple. Поэтому гораздо легче, если компания, владеющая мессенджером, не будет иметь доступа к сообщениям пользователей. Для этого они должны быть либо зашифрованы алгоритмами, недоступными для расшифровки с сервера, либо просто там не храниться. Первый подход использует WhatsApp мессенджер, а второй применяют такие приложения как Wickr и Threema. Данные, необходимые для регистрации Для того, чтобы создать учетную запись, мессенджер обычно...
далееРешение 2FA Protectimus совместимо с Citrix NetScaler Gateway
Команда Protectimus Solutions LLP рада сообщить об успешной интеграции решения двухфакторной аутентификации Protectimus c Citrix NetScaler Gateway и получении статуса Citrix Ready Partner. Программа Citrix Ready создана для того, чтобы подтверждать совместимость программных решений сторонних компаний с продуктами Citrix. Так, выбирая дополнительное программное обеспечение для своей системы, пользователи Citrix могут быть уверенными в надежности и полной совместимости этих решений с их системой. Решение двухфакторной аутентификации Protectimus доказало свою совместимость с такими продуктами как Citrix NetScaler Gateway 10.1, NetScaler Gateway 10.5 и NetScaler Gateway 11.0. Программное обеспечение Citrix Access Gateway используется для безопасного удаленного доступа к ключевым приложениям и данным и осуществления детализированного контроля над этими приложениями. Чаще всего подобное программное обеспечение используется в крупных компаниях с большим штатом сотрудников, а иногда и с множеством филиалов. Важно понимать, что такие компании хранят большие объемы данных. Это и документация, и важная корпоративная информация, и персональные данные пользователей. Потому они нуждаются в усилении систем безопасности в первую очередь. Один из ключевых элементов продвинутой и надежной системы защиты данных — двухфакторная аутентификация. Protectimus является экспертом в этой области, предлагая комплексное решение 2FA, доступное как в виде облачного сервиса, так и в виде платформы, а также возможность кастомизации решения под нужды клиента. Генерировать одноразовые пароли Protectimus предлагает посредством программных или аппаратных токенов, доступна также функция отправки OTP паролей посредством SMS или электронной почты. В ассортименте компании есть аппаратные токены, которые работают по алгоритму TOTP и OCRA, а также перепрограммируемые TOTP токены с поддержкой технологии NFC. Интересны также дополнительные функции, которые предлагает своим клиентам Protectimus: подпись данных транзакций или CWYS (Confirm What You See), временные и географические фильтры, интеллектуальная идентификация. Эти современные возможности позволяют добиться еще большей надежности решения и защищают систему безопасности от большинства из известных на сегодняшний день угроз: фишинга, троянских вирусов, автозаливов, подмен данных, атак “человек...
далееБеспилотные автомобили: новый вызов кибербезопасности
Порой возникает ощущение, что мы живем в научно-фантастическом романе: кухонная техника готовит обед к нашему возвращению с работы; телевизор запоминает зрительские предпочтения; умный автомобиль способен подсказать путь в объезд пробок и отрегулировать температуру в салоне… Пока еще человеку есть место в этой высокотехнологичной цепочке. Он управляет умными устройствами — отдает приказы, контролирует выполнение. Но очень скоро смарт-техника, похоже, сможет обойтись без нашего участия. И одной из первых сфер, где это произойдет, вероятнее всего, станет транспорт — беспилотные автомобили уже проходят «полевые» испытания. Нельзя сказать, что беспилотный транспорт — новая идея. Тот же Google представил первые работающие экземпляры еще в 2009 году. А с 2014-го самоуправляемый автомобиль Google тестируется в реальных городских условиях. Было зафиксировано несколько дорожно-транспортных происшествий с участием “гугломобилей”. Но виноватыми в них по результатам расследования обычно оказывались машины, управляемые человеком, а не беспилотные автомобили. Что свидетельствует о довольно высоком уровне, достигнутом разработчиками умных машин. Другие компании-флагманы тоже не отстают. Причем, созданием авто, полностью управляемых компьютером, вплотную занимаются не только традиционные лидеры автопрома, но и крупные фирмы из области IT-технологий. Наряду с такими компаниями как Volvo и Daimler, свои беспилотные автомобили готовят восточноазиатские гиганты Samsung и Baidu. Учитывая скорость экономического и технологического развития стран Азии, еще неизвестно, кто первым выпустит на дороги полностью работоспособный самоуправляемый автомобиль. Похоже, что первой областью применения машин без водителя станет система грузоперевозок. Беспилотные автомобили смогут естественно встроиться в производственную цепочку отгрузки и перемещения товаров от склада к заказчику. Многие звенья этой цепи уже автоматизированы: отпуском товара руководят складские программы, погрузочные машины во многих компаниях тоже управляются компьютером, а не человеком. Если добавить в эту систему еще и беспилотные грузовики, подключенные к некой общей централизованной сети, то получится полностью автоматизированный производственный цикл. Такая организация работы может значительно снизить издержки на перевозку товара, упростить доставку и расчеты. В США над практической реализацией этих идей уже работает транспортный концерн Daimler. Движение его грузовиков с полностью компьютерным управлением недавно законодательно разрешили в штате Невада. В России эту же тему разрабатывает КамАЗ: специалисты компании обещают выпустить серийный вариант беспилотного грузовика к 2020 году. Однако, преимущества от использования самоуправляемых автомобилей могут быть сведены на нет теми рисками, которые несет эта умная техника. И речь идет не только о безопасности движения. Она — лишь один из уязвимых моментов. Другим важнейшим поводом для беспокойства может стать защита данных. В управлении современным автомобилем (пока еще не беспилотным) задействованы не только управляющая компьютерная система самого авто, но и всевозможные радары, бортовые компьютеры, мультимедийные центры, системы GPS, стереокамеры. Особую опасность представляет то, что обмен информацией осуществляется с использованием существующих платформ и каналов связи (Wi-Fi, сотовые сети и т.д.). Любой из этих компонентов поддается взлому и может быть скомпрометирован. Уже сегодня есть прецеденты успешных кибератак, которым подвергается система защиты данных автомобилей с элементами компьютерного управления. Широкую известность получил проведенный в экспериментальных целях взлом компьютерной системы внедорожника Jeep Cherokee. Он лишний раз продемонстрировал, насколько уязвима защита данных пользователя в таких сложных устройствах как автомобиль. А ведь это была обыкновенная управляемая человеком машина, в которой компьютер «заведовал» только некоторыми функциями! Автомобиль, полностью руководимый компьютером, безусловно будет требовать постоянного подключения к сети, через которую машины смогут обмениваться информацией о дорожно-транспортной ситуации, передавать системе данные телеметрии и геолокации. И в этой ситуации взлом бортового компьютера любого автомобиля поставит под угрозу безопасность всей сети, элементом которой он является. Хотя по прогнозам экспертов широкое распространение беспилотные автомобили приобретут не ранее 2020...
далееСоциальная инженерия против 2FA: новые уловки хакеров
В эпоху цифровых технологий защита данных актуальна для каждого пользователя интернета, ведь сегодня люди доверяют сети слишком много важных сведений: паспортные данные, электронные и физические адреса, номера платежных карт и социального страхования. Для защиты конфиденциальной информации в сетевом пространстве существуют различные способы аутентификации пользователей. И одним из самых надежных признана двухфакторная аутентификация (two-factor authentication). Абсолютно все специалисты по ИБ, и Protectimus в том числе, настоятельно рекомендуют подключать 2FA в тех аккаунтах, где это возможно. Но хакеры изобретают все новые уловки, чтобы обойти имеющиеся средства защиты данных. Недавно в сети появились сообщения об еще одном приеме, с помощью которого может быть скомпрометирована двойная аутентификация. На сей раз их жертвой стала SMS-аутентификация — наиболее распространенный сегодня вариант 2FA. Новизна этого способа в том, что для его применения не нужно внедрять на компьютер или смартфон жертвы троянский вирус, умеющий перехватывать одноразовые пароли (one time passwords), как это делалось раньше. Чтобы узнать временный пароль для 2FA, оказалось достаточно некоторой доли хитрости и использования социальной инженерии. Вспомним, как работает двухэтапная аутентификация на большинстве ресурсов. Часто для повышения удобства пользования к сервису подключается функция интеллектуальной идентификации. Так, одноразовый пароль запрашивается только тогда, когда запрос на авторизацию поступает не с того устройства или браузера, которым обычно пользуется владелец аккаунта. Тут-то и отыскали возможную лазейку хакеры. Вначале потенциальная жертва получает фишинговое сообщение от имени того или иного сервиса (в данном случае речь идет о Google, но то же самое вполне можно осуществить на любом другом сайте, поддерживающем 2FA) о попытке несанкционированного доступа к ее/его аккаунту. В SMS также сообщается, что в ближайшее время пользователю будет выслан временный пароль, который он должен отправить в ответном сообщении, если хочет, чтобы его аккаунт был временно заблокирован. Be warned, there's a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC — Alex MacCaw (@maccaw) 4 июня 2016 г. Параллельно мошенники пытаются войти в аккаунт жертвы (естественно, с другого компьютера), и система присылает настоящему хозяину учетной записи временный пароль для подтверждения. После чего наивный пользователь передает его прямо в алчные руки взломщиков — по указанному ими фишинговому адресу. Можно ли избежать подобной угрозы? Вполне, и помочь в этом способна все та же 2FA. Достигнуть более высокого уровня безопасности данных можно, если использовать для генерации временных паролей аппаратные токены. О преимуществах аппаратных OTP-токенов мы уже писали ранее, прочитать о том, какой ОТР-токен для 2FA лучше — аппаратный, программный или SMS, вы можете в этой статье — “Аппаратный или программный токен — какой выбрать”. Такие OTP-токены не подключаются к какой-либо сети (интернет, GSM и т.д.), потому временные пароли, сгенерированные аппаратным токеном, невозможно перехватить. К тому же, пользователю, который отдал предпочтение аппаратному токену, не нужно переживать о социальной инженерии подобного рода. Ведь злоумышленнику попросту будет неизвестен его номер телефона. И отправить туда SMS не получится. Как видим, 2FA есть чем ответить на происки...
далееНужна ли в соцсетях усиленная аутентификация?
С необходимостью двухфакторной аутентификации (two-factor authentication) для важных служебных и личных аккаунтов — особенно, связанных с оборотом финансовых средств — уже никто не спорит. Но усиленная аутентификация клиента в социальных сетях многим кажется чрезмерной предосторожностью. Ведь соцсети, как правило, служат только для развлечения, общения с друзьями, просмотра новостей. Денежные средства в них не “крутятся”, корпоративные секреты не хранятся. Что там может заинтересовать хакеров? Однако, для сетевых мошенников интересен буквально каждый пользователь интернета. И события последнего времени как нельзя лучше подтверждают эту истину. С начала этого года бушует настоящая эпидемия разглашения конфиденциальной информации частных пользователей. Причем, от утечек пострадала система защиты данных сразу нескольких крупнейших социальных сетей. Мы уже писали о скандале с LinkedIn. А буквально через пару недель после случившегося хакер под ником Peace_of_mind, который ранее продавал данные с LinkedIn, Tumblr и MySpace на «черном рынке” интернета, обнародовал новые “коммерческие предложения”: более 100 млн. учетных записей социальной сети ВКонтакте, а вслед за ними — 379 млн. аккаунтов Twitter. (По статистике, каждый месяц Twitter имеет 310 млн. активных пользователей. Но, видимо, в базу попали и те, кто уже давно не заходит на свою страничку в Twitter.) Агрегатор утечек LeakedSourse получил от анонимного доброжелателя дамп выставленных на продажу баз и сообщил, что в них содержатся ФИО, адреса электронной почты, пароли и телефоны, привязанные к аккаунтам. На сайте LeakedSourse можно проверить, попал ли тот или иной аккаунт в число скомпрометированных. Правда, процедура эта не бесплатная. У всех последних инцидентов есть одна общая черта: утечки данных произошли не сегодня. Большинство из них случилось в промежутке между 2011-2013 годами. Казалось бы, можно облегченно перевести дух: за такое продолжительное время старые секреты утратили актуальность, пароли к аккаунтам и другие регистрационные данные давно сменились. Реальность же оказалась не столь утешительной. Специалистами были проверены 100 случайных e-mail из числа скомпрометированных и выяснилось, что 92 до сих пор привязаны к ученым записям пользователей. От взломов соцсетей пострадал сам отец-основатель Facebook Марк Цукерберг. Хакеры завладели его аккаунтами в Twitter и Pinterest, в доказательство чего даже опубликовали обращение к Цукербергу на его странице. Утверждалось также, что был получен доступ и к учетной записи Марка в Instagram. (Ирония в том, что сервис этот принадлежит Facebook.) Правда, это заявление не подтвердилось. Взлом стал возможен из-за того, что среди похищенных паролей LinkedIn оказался и принадлежащий Цукербергу. Тот же самый пароль использовался им в Twitter, что помогло взломщикам скомпрометировать и эту учетную запись. Правда, выяснилось, что аккаунт Цукерберга в сети микроблогов не используется еще с 2012 года. Возможно, именно этим объясняется то, что хозяин не заботился о регулярном изменении пароля и прочих мерах, которые предусматривают правила защиты данных пользователя. Как видим, создателю Facebook оказались свойственны те же ошибки, что и обычным людям: один пароль для нескольких учетных записей и отсутствие двухфакторной аутентификации. Выводы, которые можно сделать из череды взломов крупнейших социальных сетей, не новы, но по-прежнему актуальны. Больше внимания паролям Рейтинги самых плохих и предсказуемых паролей опубликованы во многих источниках — и в нашем блоге тоже. Стоит ознакомиться с ними и избегать применения этих “шедевров” для защиты своих аккаунтов. Но даже самые сложные пароли нуждаются в периодической замене — хотя бы раз в несколько месяцев. Логина и пароля недостаточно Все больше сайтов (и социальные сети относятся к их числу) предоставляют своим пользователям возможность подключения к учетной записи двухэтапной аутентификации. К сожалению, до сих пор не все понимают важность 2FA и не хотят тратить время на эту...
далее