ISM

Niebezpieczne prezenty

Napisał 21 grudnia 20150 komentarzy

Na święta sporo ludzi kupuje prezenty dla swoich bliskich, nie zawsze zwracając uwagę na zagrożenia. Zabawki dla dzieci mogą zawierać wbudowane elementy socjotechniczne mające na celu pozyskanie informacji o rodzinie. Jak wygląda w praktyce szpiegowanie rodziny?

Smartwatche

Tzw. inteligentne zegarki cieszą się coraz większym powodzeniem na rynku. Smartwatche często są zaprojektowane w taki sposób aby wymieniać dane z innymi urządzeniami, np. ze smartfonem. Badanie podatności smartwatchy przez firmę HP   wskazało, że wiele z tych zegarków stanowi łatwe cele dla przestępców. Wszystkie smartwatche mają zaimplementowane szyfrowanie komunikacji, niestety zawierającej podatność Poodle, więcej w analizie HP.

Niestety większość urządzeń korzysta z nie szyfrowanej komunikacji podczas ściągania plików z aktualizacją firmware smartwatchy. Użytkownicy gromadzą w smartfonach sporo wrażliwych informacji: E-mail, dane osobowe, płeć, zdjęcia, waga, często zapisy pracy serca, ciśnienia krwi, lokalizację (GPS). Smartwatche narażone są również infekcję wirusami i malware. Utrata danych osobowych może prowadzić do wielu problemów dla użytkownika smartwatcha i jego rodziny. Takie zaawansowane technicznie urządzenie jak smartwatch wymaga odpowiednio wysokiej świadomości zagrożeń, czy dzieci są na nie gotowe?

Tablety

Popularne tablety korzystają z systemu operacyjnego Android, który może być specjalnie przygotowany przez producenta urządzenia. Inne tablety wykorzystują systemy operacyjne Microsoft, Apple. Warto wziąć pod uwagę, że większość urządzeń ma prekonfigurowane ustawienia w systemie, które niekoniecznie mają na celu zachowanie prywatności użytkownika. Większość współczesnych tabletów łączy jedno – dostęp do chmury (Cloud Computing) oferowany w różnych aplikacjach dostępnych na urządzeniu. Użytkownik jest kuszony promocjami – zarejestruj się, a dostaniesz darmowe XX GB w chmurze na swoje dane (np. zdjęcia). Nieświadomy użytkownik wyraża zgodę na warunki użytkowania, rejestruje się podając dane osobowe, datę urodzenia i adres E-mail, często dodatkowe dane w postaci adresu zamieszkania, daty urodzenia, zajęcia. Dane są przesyłane do zdalnych serwerów na których są magazynowane przez firmę producenta urządzenia lub innego dostawcę odpowiedniej usługi.

W wielu przypadkach z urządzenia do chmury są przesyłane również dane dostępowe do skrzynki E-mail lub innych usług, które o dane zostały zapisane na stałe w ustawieniach urządzenia. Warto mieć świadomość, że w chmurze mogą być również zapisane inne dane: adres IP (umożliwia lokalizację), oznaczenie daty danych, replikacji danych, ustawienia języka, unikalny identyfikator urządzenia. W/w działania użytkownika są bardzo ułatwione dzięki odpowiednio zaprojektowanemu interfejsowi użytkownika, który ułatwia podawania danych. Takie zachowanie użytkowników tabletów staje się normą, która zagraża prywatności całej rodziny. Utrata prywatnych danych Internautów z chmury przez producenta tabletów  może nastąpić na wskutek włamania dokonanego przez przestępców  lub wskutek wycieku wewnątrz firmy. Dlatego warto przejrzeć konfigurację tableta i wspólnie z domownikami zastanowić się nad danymi, które mogą być przechowywane w pamięci tego urządzenia (zdjęcia, muzyka, dane dostępowe do poczty E-mail). Podobne zagrożenia dotyczą smartfonów.

Smartfony

Wielofunkcyjne telefony, w zasadzie małe komputery, które są wykorzystywane przez użytkowników do różnych celów. Obecnie smartfony zawierają sporo informacji osobistych, często firmowych, jeśli brak w firmie polityki bezpieczeństwa (BYOD Policy) odnoszącej się do prywatnych urządzeń. Pamięci smartfonów dla wielu użytkowników często są za małe (16, 32, 64GB), dlatego wielu z nich decyduje się na zapisywanie danych w chmurze. Podobnie jak w przypadku tabletów, do replikacji danych są wykorzystywane chmury pamięci (Cloud Storage) producenta smartfona (w takich krajach jak USA, Korea Południowa, Chiny, inne). Niekiedy posiadacze smartfonów decydują się na skorzystanie z dedykowanych usług chmurowych typu Dropbox, Zdjęcia Google, iCloud do których przesyłają dane zgromadzone w smartfonie.

Kolejne zagrożenia dla informacji zapisanych w smartfonie mają związek z firmware smartfona (nie aktualizowane), zainstalowanymi aplikacjami (dowolne programy? trojany bankowe?), aktualnym systemem operacyjnym smartfona. Zagrożenie dla informacji nie tylko w smartfonie stanowi nie szyfrowana komunikacja z serwerem E-mail, z którego posiadacz smartfona pobiera i wysyła pocztę. Kolejne naruszenia prywatności mają związek z ustawieniami lokalizacji oraz ustawieniami prywatności w wykorzystywanych sieciach społecznościowych. Może warto aby każdy posiadacz smartfona postępował zgodnie z uprzednio przygotowaną polityką bezpieczeństwa uwzględniającej ryzyko utraty zawartych w nim informacji?

Zabawki z kamerami

Stare pluszowe misie stanowiły podporę w ciężkich chwilach dla wielu dzieci, lalki Barbie dla wielu dziewczynek były wzorem do naśladowania (?). Obecne zabawki zawierają mikrofony, kamery i bezprzewodowe karty sieciowe (WiFi). Firma Google opracowała odpowiednie rozwiązania i zastrzegła w postaci patentów.

Rodzice na świecie protestują przeciwko komercyjnym rozwiązaniom w zabawkach, które mogą służyć do szpiegowania rodziny. Zabawki za pomocą mikrofonów mogą nagrywać głosy domowników, kamery w zabawkach mogą filmować wnętrza domów i mieszkań. Współczesny pluszowy miś poprzez wbudowaną kartę WiFi  może wysyłać informacje o domownikach do zdalnych serwerów (Cloud Storage). Światowe tendencje do miniaturyzacji i informatyzacji wszelkiego rodzaju urządzeń oraz zastosowania ich w sprzęcie domowym (IoT – Internet of Things) ciągle się rozwijają. Włamania na serwery dostawców zabawek stają się codziennością. Świadomość zagrożeń ze strony zabawek, lalek wśród rodziców może zdeterminować przyszłość prywatności całej rodziny na długi lata.

Firmowe polityki bezpieczeństwa również powinny uwzględniać w/w zagrożenia. Łatwo sobie wyobrazić sytuację, gdy na biurku pracownicy pojawia się miś, który nagrywa i filmuje wydarzenia w biurze. Dane z firmy pozyskane dzięki „niewinnemu” misiowi mogą być przesyłane przez pracownicę za pomocą jej prywatnego hotspota (router WiFi wielkości paczki papierosów) wykorzystującego usługę LTE operatora sieci komórkowej. Tego typu sytuacje mogą się wydarzyć  każdej firmie, dlatego dział bezpieczeństwa wspólnie z kierownictwem firmy powinien się zastanowić nad aktualną architekturą procesów biznesowych. Kontrolowany dostęp do informacji, uprawnienia adekwatne do stanowiska pomogą zminimalizować ryzyko zagrożenia utraty informacji firmowej.
Czy znasz politykę bezpieczeństwa swojej firmy?
Czy stosujesz polityki bezpieczeństwa dla domowników?

Etykiety:, , ,
Notka o 
Strona internetowa
W zamierzeniu autora blog ma pełnić funkcję notatnika podczas zgłębiania różnych obszarów ICT, szczególnie w zakresie architektury i ochrony informacji. Poruszana tematyka ma źródło w zainteresowaniach autora. Skomentuj i dodaj swoją opinię! Dziękuję za Twój czas.

0 komentarzy

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

 
© 2024 ISMAll Right Reserved.
ISM