Corporate ICT   Net Guru Link   Reseller Channel Link

  • Pikantní bezpečnostní skandál s vibrátory

    Bezpečnost a především zachování soukromí při používání takzvaných "IoT = Internet of Things" je důležitou součástí ICT bezpečnosti. Jako houby po dešti pak rostou různé šmírovací skandály, a to v odvětvích, kde to zní sice úsměvně, ale může to být závažné.

    Bezpečnost v prostředí ICT se dotýká i docela pikantních oblastí. Na jednu stranu úsměvný, na druhou stranu ale nesmírně závažný, tak lze charakterizovat začínající spor týkající se bezpečnosti a zachování soukromí v souvislosti s chytrými vibrátory. Ano, i tady se řeší kybernetická bezpečnost.

    Šmírující vibrátor?

    We-Vibe je jedním z nejprodávanějších chytrých vibrátorů. Chytrá zařízení jsou dnes už celkem běžná, IOT se dostává ale i do odvětví, kde ICT dosud kralovalo jen jako kanál přenášející obsah. Dnes už existuje několik "chytrých" erotických pomůcek, mezi to nejlepší a nejvybavenější pak patří právě tento už docela známý inteligentní vibrátor. Je ovládaný mobilní aplikací, kde si lze nastavit předdefinované programy, i v reálném čase reagovat na - ehm - momentální potřeby. Navíc jej lze ovládat na dálku, stačí pouze, aby "ten druhý" měl aplikaci v telefonu a dostal od uživatelky oprávnění.

    Uživatelky chytrého vibrátoru We-Vibe si nyní stěžují na to, že aplikace posílá na internetové servery výrobce údaje o tom, "kdy a jak" se vibrátor používal. Spolu s podrobnými informacemi o používání této pomůcky, podle některých prý udávají i místo dle GPS (což se zatím nepodařilo dokázat). Posílají se ale informace o uživatelce, včetně její e-mailové adresy. Aplikace navíc umožňuje svěřit ovládání svého vibrátoru i partnerovi (či komukoliv jinému), ten musí mít jen nainstalovanou aplikaci a e-mailem se mu zašle přístup. I tyto páry e-mailových adres se ale na server posílají.

    Minimálně výrobce má tak docela dobrý přehled o tom, kdo, kdy, jak a odkud vibrátor zrovna ovládal, což zejména milenky a milence asi moc nepotěší. Uživatelky navíc tvrdí, že na takové chování nebyly dostatečně upozorněny, a že tedy údaje týkající se jejich soukromých aktivit jsou na server odesílány a tam zpravovány bez jejich vědomí a svolení.

    Společnost Standard Innovation, jež je výrobcem této pomůcky se k celé kauze nechce vyjadřovat. Celá věc ale začala zajímat úřady v USA i Kanadě, kde výrobce sídlí. Působí to úsměvně, ale představa, že jsou někde na cizím serveru informace o tom s kým, kdy a kde si užíváte, zejména zákaznicím úsměvná asi moc nepřišla.

    Tak trochu se to dalo čekat

    Chytrá zařízení s sebou přinášejí i poněkud nové otázky bezpečnosti. Plnohodnotná funkcionalita některých chytrých zařízení je totiž přímo závislá na tom, že zařízení samo poskytuje pouze základní rozhraní pro funkce, ale za tím je zpracovávání údajů někde mimo zařízení, a to většinou právě na serverech jeho výrobce, či poskytovatele příslušné služby. Pochopitelně je možné postavit například inteligentní vibrátor tak, aby nezasílal údaje o svém používání na server výrobce, ale pak by asi nebylo možné nabídnout zákaznici například jeho vzdálené ovládání jinou osobou. Navíc existuje celá řada zařízení, která potřebují pro svoji správnou funkci vzdálené zpracovávání údajů. A zde se zpracování údajů na vzdálených serverech výrobců a poskytovatelů přímo nabízí.

    Bude jistě zajímavé nejen tento spor sledovat. Na druhou stranu je ale nutné si postupně začít uvědomovat, a především si zvykat na to, že za využívání chytrých krabiček budeme muset zaplatit určitou daň. To pochopitelně nezbavuje poskytovatele a výrobce jejich zodpovědnosti za zachování soukromí a za tak bezpečné zpracování údajů, které by v nás nevzbuzovalo negativní pocity ohrožení.

    Ale se vzrůstající inteligencí různých zařízení si prostě na zasílání a zpracování údajů někde jinde budeme muset asi zvyknout.

    Autor: Michal Rada

  • Tvůrci virových mailů dostávají stále nové nápady, teď to zkouší s DHL

    Po dlouhé době jsem zaznamenal promyšlený a takřka dokonale propracovaný, a hlavně chytrý mail se zavirovanou přílohou. Teď využívá nejistoty lidí, co si objednali u DHL. Má své chyby, ale vypadá to, že tentokrát se jeho tvůrci opravdu zamysleli.

     

    Znáte ten pocit? Něco jste si objednali a netrpělivě na to čekáte. Ať už jde o superlevnou ledkovou žárovku z čínského obchodu, která vám dojde za tři měsíce a stejně nebude svítit, nebo o drahý kuchyňský robot. No a teď čekáte, kdy to konečně přijde. Nebo jste si nic neobjednali?

    Tak přesně takové dilema zneužívá nová kampaň e-mailů se zavirovanými přílohami, která dorazila i do Česka. Využívá právě té nejistoty, jestli vám kdokoliv má nebo nemá něco doručit.

    Maily se tváří, že jsou od DHL a mají v předmětu poměrně důvěryhodně znějící “DHL eDelivery: DB0001169302/17AA (Final Notification)”, což vypadá na první pohled docela jasně. Pochází od adresy “DHL Customer Service CZ <Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.>”, což také zní důvěryhodně, autoři si dokonce dali tu práci a posílají tyto e-maily z Indických serverů, což mimochodem v globálním světě důvěru spíš zvyšuje, protože přece “každý ví, že všechny firmy mají IT v Indii :-)”.

    Obsah mailu vám pak sděluje, že vám DHL chtělo hrozně moc doručit vaši požadovanou očekávanou zásilku, ale na vaší adrese nikoho nezastihli, a tak byl zaslán tento notifikační e-mail. Informují vás i o novém datumu doručení s tím, že víc informací je v příloze. Ta se pak sice tváří jako PDF, ale důležitá je ona koncovka “.JAR” na úplném konci strašně dlouhého názvu. Ano, ve skutečnosti se jedná o Java applet, který zavolá vzdálený server a otevře mu kanál pro posílání instrukcí přímo přes Javu. Primitivní, ale účinné, protože Java má problémů s bezpečností sama o sobě více než dost.

    Mail je v angličtině a až na občasná nesmyslná data (jako že vás nezastihli 13.4 v 11 a budou doručovat 13.4. v 18, přičemž vám mail přišel 4 dny poté - no i když to je u takových společností vlastně taky docela normální :-) - vypadá opravdu profesionálně. Potenciálního paranoika pak uklidní informace, že: “This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean.”. To nás všechny jistě uklidnilo, a tak hurá na spouštění onoho Java appletu. Ale vážně, otevřením a přečtením textu si neublížíte, ale za žádných okolností nespouštějte přílohu!

    Tato nová a docela propracovaná kampaň využívá neznalosti naší situace. Představte si manžela, kterému se dostane takový e-mail do rukou. A hned volá manželce: “Ty sis něco objednala? Protože já vo tom nevim. A navíc jsi v úterý nebyla doma?”  No, a ještě horší je to v prostředí korporátu, kdy vlastně nikdo neví, co si objednal. Také proto na tyto maily dost lidí kliká.

    Tato kampaň se tváří už docela profesionálně a těží z toho, jakou nejistotu dnes při čtení takových mailů máme. Každý chce přece svoji zásilku? A ten nápad se mi na tom pomyslně líbí. Tedy popravdě nelíbí, ale dokážu ho ocenit. Je to hezká ukázka aplikace sociálního inženýrství při podobných kampaních a ukazuje to, že dnes už těmhle lidem nestačí jen rozeslat pět milionů mailů a ono to něco udělá. Ale musí se už víc snažit. A to je pro nás, poškozené, vlastně docela špatná zpráva, protože řešení budou propracovanější.

    Před takovými maily od DHL jednoznačně varujeme. Nebyly by psány v angličtině, a i podle malých problematických míst, jako jsou datumy doručení a opakovaného doručení se dá podvod odhalit. Navíc de facto není vůbec nutné, aby u takové notifikace byl jakýkoliv dokument v příloze a je to tedy opravdu jen pokus donutit někoho spustit přílohu. Sama příloha, respektive prostředí Javy, vás pak opakovaně varuje a vy tak musíte tento skript několikrát potvrdit, což třeba u indocových nákaz v PDF souborech není.

    Takových chytřejších kampaní přibývá. Nedávno jsme pocítili první velký dopad někdejšího úniku databáze uživatelů Dropboxu, kdy některým uživatelům začaly chodit maily od Dropboxu s fakturou a odkazem pro zaplacení platební kartou. Pochopitelně také falešné. Ale jistě se několik lidí také nachytalo.

    Autor: Michal Rada