среда, 28. јун 2017.

Hakovanje auotomobila


Razvoj u auto industriji je u poslednje vreme polako krenuo ka autonomnim automobilima koji sami mogu da se kreću dok vozač za to vreme može da čita mailove, gleda vesti ili radi nešto drugo na svom tabletu ili računaru koji je ugrađen u automobil a sve to pokrenuto je strujom to jest elektromotorom koji ne zagađuje životnu sredinu. Međutim potrebno je analizirati još jednu stvar koja se javila pre ovakvih automobila a to je uvođenje sve više elektronike i u obične automobile. Ako pogledate automobile iz 90-tih videcete da tu nema preterano elektronike za razliku od savremenijih automobila koji su proizvedeni posle 1996-te godine. To je sa jedne strane izuzetno dobra stvar jer auto servisi mogu lako za par minuta da očitaju sve parametre i da utvrde da li postoji neki problem sa automobilom. Ovo se radi preko standardnog OBD konektora koji je univerzalan za sva vozila koja se prodaju u EU. Potreban je samo odgovarajući kabal za povezivanje i softver instaliran na laptop računaru da bi ovo mogli i sami da uradite na svom automobilu što autor ovog posta povremeno radi. Na ovaj način možete i obrisati neke greške koje se uočavaju kroz svetlenje određene lampice na instrument tabli, naravno ako nije neki kvar u pitanju.
Pored ovih veoma pozitivnih stavki pojavila se kao nuspojava još jedna negativna stvar a to je da sva ta elektronika omogućava hakerima da hakuju ovakav automobil i da izazovu određene probleme u vožnji ili da pogase sve zaštite koje je proizvođač ugradio najčešće, imobilajzer kontakt brave, poznatije kao kodiran ključ i na taj način ukradu automobil.

Kakva je stvarno situacija?
Tokom 2015 godine problem sigurnosti softvera u vozilima je postao gorući. Sredinom 2015 godine FCA je povukao 1,4 miliona vozila zbog problema sa softverom. Konkretno bio je problem sa računarskim sistemom modela Jeep Cherokee koji je dozvolio "upad" hakerima koji su gotovo potpuno preuzeli kontrolu nad vozilom. Iako je ovaj događaj izuzetno medijski propraćen treba zanti da ovo nije najveće hakovanje automobila.
Sistemi konekcije u vozilima imaju sposobnost da se povezuju na internet, što ih čini ranjivim u odnosu na spoljne pretnje. Upravo ovo je dovelo do kardinalnog propusta koji je otkriven u BMW-ovom Connected Drive servisu, koji je omogućio istražiteljima da daljinskim putem zaključavaju i otključavaju vrata automobila, čime je potencijalno bilo pogođeno 2,2 miliona automobila. Pored ovoga veoma izuzetan slučaj vezan je za uspešno hakovanje koje je izveo četrnaestogodišnjak, i to sa opremom iz „Radio Shacka“, vrednom tek petnaestak dolara.

Šta je sa poslednjim generacijama automobila?
Ovde je situacija mnogo ozbiljnija iz osnovnog razloga što ove poslednje generacije automobila osim što idu uglavnom na električni pogon imaju i opciju autonomne vožnje. Zamislite šta se sve može desiti ako hakeri hakuju takav automobil. To bi izazvalo mnogo veće probleme od toga da ne možete da startujete motor ili da vam se pale i gase brisači ili podižu i spuštaju stakla u toku vožnje što je dokazano da se lako može uraditi ali moguće je takođe i gašenje i paljenje motora, isključivanje ili uključivanje kočnica i svetala što je malo opasnije. U ovom slučaju autonomnih vozila scenario bi mogao da bude takav da ovakav automobil izazove saobraćajnu nesreću gde bi moglo biti ljudskih žrtava i veće materijalne štete. U pravnim krugovima se postavlja pitanje ko je odgovoran za ovakav događaj, proizvođač ili vlasnik automobila i ko bi trebalo da snosi trošak za nastalu štetu.
Proizvođači ovakvih automobila se trude da na svaki mogući način povećaju bezbednost svojih proizvoda. Ovde prednjači kompanije Tesla koja je još 2014 godine organizovala takmičenje u Pekingu sa nagradom od 10.000$ za uspešno hakovanje Tesla Modela S. Pored tesle velike napore ulaže i Volvo u bezbednost svojih autonomnim automobila a pošto smo ranije videli da ova kompanije uvodi mnogo inovacija vezanih za bezbednost vozila pre svih ostalih možemo očekivati da će oni ponuditi neke rešenja i za ovakva vozila.
Još jedan od proizvođača jeste Google koji razvija svoje vozila koje se može samo kretati. Ovde se javlja veliki problem što ovo vozilo pokreće Android operativni sistem zajedno sa google mapama što može predstavljati ozbiljan bezbenosni problem koji će se morati rešiti jer je ovaj sistem poznat hakerima i znaju kako ga lako mogu hakovati na mobilnim uređajima što će se najverovatnije preslikati i ovde. Čekamo da vidimo šta će google uraditi, trenutno je sve u fazi razvoja i google je za sada radio na pilot projektu sa Toyota hibridnim vozilom ali je najavljeno da će sami proizvoditi svoju marku automobila.

Može li se hakovanje automobila uopšte sprečiti?
Proizvođači aktivno rade na rešavanju problema. Verovali ili ne Mercedes-Benz, BMW i Audi koriste kodiranu konekciju i „firewall“ radi prevencije hakovanja automobila. U SAD su čak predlagani odgovarajući zakoni, koji bi naterali proizvođače automobila da zaštite svoje sisteme sa jedne strane a sa druge vrlo rigorozne mere za one koji se bave hakovanjem automobila. Pošto mi na tržištu Srbije još uvek nemamo autonomne automobile a i veoma je mali broj električnih automobila onda ću na kraju ovog posta dati predlog kako da zaštitimo svoje automobile koje uglavnom svi imamo. Moj predlog jeste izmeštanje odnosno zamena OBD konektora tj. džeka koji možete uraditi kod većine auto električara ili kod specijalizovanih servisa koji se bave sistemima zaštite.

Ovim dobijamo to da potencijalni lopov neće moći da se nakači sa svojim  laptop računarom jer je ovaj konektor uklonjen i nije odgovarajući tj. sasvim drugačije izgleda. Još jedna zanimljiva stvar jeste da su ovi zamenski konektori tako napravljeni da je raspored žica nasumičan što izuzeto otežava mogućnost da neko pogodi tačan raspored žica a čak i ako bi to pokušao da uradi bilo bi mu potrebno više desetina minuta što je u takvim situacijama nemoguće jer treba da ima vezu na minimum 5 žica da bi mogao bilo šta da uradi. Vi dobijate nastavak koji ne držite u automobilu i koji nosite jedino kada vozite automobil u servis i koji vraća ulaz na standardni OBD konektor. Autor bloga je na svom automobilu odmah dan nakon kupovine promenio ovaj konektor i preporuka svim čitaocima da to urade što pre kako bi eventulano sprečili hakovanje i krađu svog automobila, ovo posebno važi za popularne modele za krađu kod nas u Srbiji kao što su Golf, Passat, svi modeli Audi i veliki broj modela grupe Renault. Ono što ovde treba još naglasiti ukoliko se radi o vozilu Fiat Punto koji je takođe često na meti lopova u Beogradu ovo neće biti od pomoći jer za njega postoji drugi način i elektronika nije nešto što to može sprečiti.

среда, 21. јун 2017.

Ozloglašena jeziva igra Plavi kit ili nešto više od toga


Internet je nesumnjivo dobra stvar koja nam je donela mnogo dobrih stvari i napredovanja u svakom smislu te reči. Međutim postoje i neke stvari koje su se pojavile kao negativne stvari interneta i društvenih mreža. Jedna od takvih jeste i igrica poznata pod nazivom "Plavi kit" zbog koje je po navodima novinara samoubistvo izvršilo više od 100 dece. Zabrinutost o igri izazvao je članak objavljen u maju u listu “Novaya Gazeta” koji je, između ostalog, naizgled bez opravdanja tvrdio da je “velika većina” od oko 130 samoubistava maloletnika u Rusiji između novembra 2015. i aprila 2016. godine povezani s fenomenom “Plavi kit”. Ovim postom želim da malo demistifikujem priču i da dam osvrt na neke stvari vezane na online bezbednost.

Šta je "Plavi kit"?
Novinari ovu igricu nazivaju jezivom igricom na internetu zbog koje se samoubilo na stotine dece i obično pišu da nema povratka kada neko počne da je igra, posle svakog zadatka slede sve teži a sav napredak u igrici se dokumentuje. Kada igraju igricu deca u roku od 50 dana dobijaju različite zadatke kao što su gledanje horor filmova, a zatim samopovređivanje tako što treba da urežu kita na rukama, a sve se završava pozivom administratora igrice na samoubistvo.

Kako instalirati igricu?
Igru je napravio 21 jednogodišnji programer Filipp Budeykin koji boluje od bipolarnog poremećaja ličnosti i koji je uhapšen početkom maja meseca u Rusiji. U početku ova igrica je bila dostupna na Google prodavnici aplikacija kao i na Apple prodavnici aplikacija i korisnici su mogli da je instaliraju kao i bilo koju drugu aplikaciju (ovde napominjem da se i danas može naći igra pod istim imenom koja nema veze sa pravom igrom). Posle nekog vremena i događaja koji su usledili igrica je skinuta sa oba mesta i sada je nemoguće je instalirati na legalan način. Naravno i dalje postoji mogućnost doći do ove igrice ali mnogo teže.

Da li je ovo samo igrica?
Na ovo pitanje odgovor je NE. Radi se o tome da je ovo mnogo više od igrice. Ovde se radi o fenomenu za čije širenje je direktno odgovorna javnost jer se stvorila velika fama oko ovoga i na većini medija je pričano o tome. Samim tim se povećala drastično popularnost igrice u javnosti i strepnja roditelja od navedenog fenomena. Iako je igrica vrlo brzo uklonjena sa svim legalnih prodavnica aplikacija ostala je da živi kao fenomen na društvenim mrežama. Postoji popularan heštag #The Blue Whale kao i još nekoliko hiljada varijanti koji upućuju na istu igricu što je veoma opasno.

Kako sve to funkcioniše?
Pošto igra više nije dostupna u potpunosti se prešlo na društvene mreže. Prvo što je potrebno uraditi jeste da sa svog profila kažete da želite da igrate igru gde dobijate povratnu informaciju “Jesi li siguran/na? Nema povratka”, od takozvanog voditelja igre. Ovo nema povratka odnosi se na to da ne možete napustiti igru kad jednom započnete. Ukoliko želite da izađete pretiće vam i reći će vam  “Imam sve informacije o tebi. Oni će doći po tebe.”
Pošto su igrači uglavnom tinejdžeri uzrasta 11-16 godina oni su veoma laki za manipulaciju i uglavnom nemaju dobru komunikaciju sa roditeljima tako da se plaše da prekinu igru kako se njima ili njihovoj porodici ne bi nešto loše desilo što se u ovom slučaju koristi kao veliki adut prinude nad adolescentima. Ono što je ovde još veoma opasno jeste što se za upustva za izvršavanje zadataka koristi Youtube dok zadaci mogu stići i kada niste online preko SMS poruka. Zadaci su različiti i uglavnom deca treba da ustanu noću u 4:20 i da izvršavaju zadatke koje dobijaju. Sve počinje sa manje zahtevnim zadacima kao što su gledanje navedenih horor filmova, šetanje po opasnim mestima, različite vrste samopovređivanja i crtanja po telu oštrim predmetima pa sve do samoubistva na različite načine na kraju igre.

Da li je igra prisutna u Srbiji?
Odgovor je da još uvek nismo sigurni. Bilo je više slučajeva koji su u medijima dovođeni u vezu sa samom igricom ali je prva zvanična meta igrice dečak od 11 godina iz mesta u blizini Velike Plane. On se smatra prvom zvaničnom "žrtvom" igrice "Plavi kit" u Srbiji, koji se zahvaljujući brzoj reakciji roditelja i prijatelja izvukao. Drugi slučaj se vezuje za devojčicu od 12 godina iz Bečeja za koju se smatralo da ima veze sa igricom jer je na njenom telu uočen crtež u obliku kita koji učesnici u internet igrici crtaju na svom telu. Iako su postojale sumnje policijskom istragom nije utvrđeno da se igra "Plavi kit", čiji je konačni zadatak poziv na samoubistvo, pojavila u Srbiji kažu iz Odeljenje za visokotehnološki kriminal.

Šta možemo da uradimo?
Ono što bi bilo na kraju potrebno reći pogotovo roditeljima jeste da ne treba da paniče. Jedna od bitnih stvari o kojima se u medijima nije mnogo pisalo jeste da većina dece koja igra ovu igricu je u takvom mentalnom stanju da su prijemčivi za ovako nešto. To su uglavnom deca koja imaju problema u školi, sa roditeljima, zdravstvenih problema i koja su sama po sebi suicidna. Veoma je teško naterati normalno dete da igra ovakvu igricu ako nema predispozicije za to. Naime, u inostranstvu je princip da ovu igricu može da igra samo onaj ko dobije određeni link na mejl ili neku od društvenih mreža. Klikom na taj link oni bi započinjali igru opasnu po život. Dobijali su zadatke koje treba da ispune, i svaki je bio opasniji od drugog... Neki od zadataka su bili toliko opasni i mlade navodili na samoubistvo.
Ono što je preporuka za roditelje jeste da pričaju sa svojom decom i da prate njihovo online prisustvo na društvenim mrežama. Pored toga na uređajima je moguće uključiti opciju Parental control gde možete kontrolisati uređaj sa kog vaše dete pristupa internetu. Još jedna stvar koju možete uraditi jeste da povremeno kontrolišete šta od aplikacija vaše dete ima instalirano na svom uređaju. Veoma teško je direktno nadzirati profile dece na društvenim mrežama ali takozvani “Social Media Trackers” pruža mogućnost zaštite interakcije na društvenim mrežama s adresama koje sadrže reči ili fraze koje mogu upućivati na neprikladan razgovor ili post što se može koristiti. Takođe ako roditelji primete da je dete postalo čudno, da je stalno neraspoloženo i pod stresom i još ako crta po rukama određene oblike trebalo bi hitno konsultovati neko stručno lice koje se bavi ovom problematikom i zna o čemu se radi.

Želim da na kraju napomenem da igra pod istim imenom postoji na Google play prodavnici kao i na Apple App Store prodavnici ali za sada niko nije uspeo da pronađe vezu sa stvarnom igricom pod istim imenom. "Osnovna razlika je pre svega što vi tu igricu koja je opasna ne možete da nađete na 'Gugl pleju', ovo je igrica koja je ozloglašena nalazi se na dark vebu. Reč je o grupi koja se stvara, u koju se ulazi pod određnim uslovima. Nadam se da ovim postom nisam uneo nepotrebnu paniku kod roditelja i da sam uspeo da objasnim o čemu se radi u fenomenu zvanom "Plavi kit" koji se na različite načine interpretira u medijima.

среда, 14. јун 2017.

Bezbednost mobilnih uređaja


Svedoci smo da su mobilni uređaji preuzeli primat u odnosu na klasične vidove komunikacije preko računara ili fiksnog telefona. Činjenica je da se mobilni uređaji danas prodaju mnogo bolje nego PC radne stanice. Kada pričamo o mobilnim uređajima mislimo primarno na pametne telefone, tablete i laptop računare. Upravo ovi uređaji su najslabija karika bezbednosti pa sam zbog toga odlučio da njima posvetim ovaj post.

Šta se sve može naći na mobilnom uređaju?

Savremena poslovna komunikacija gotovo da se ne može ni zamisliti bez mobilnih uređaja. Mobilni telefon se može koristi i kao pomoćno sredstvo za proveru identiteta (autentikaciju), kao novčanik za mobilna plaćanja, sredstvo za lociranje i navigaciju, pristup različitim lokacijski baziranim uslugama uz pomoć GPS sistema koji je u njega ugrađen.
Na samom uređaju se između ostalog može naći:
- Telefonski imenik
- Informacije o pozivima (Call detail)
- Kalendar sa događajima
- E-mail
- SMS/MMS
- Slike, audio i video zapisi
- Internet History
- Dokumenta preuzeta sa interneta
- GPS lokacije
Kako zaštititi mobilni uređaj?

Slede saveti koje možete primeniti na svojim uređajima:
- Obavezno aktivirajte opciju za traženje PIN koda svaki put kada se telefon uključuje jer ćete na taj način onemogućiti nekome da uključi uređaj bez dodatnih napora
- Aktivirajte automatsko zaključavanje tastature posle određenog vremenskog intervala što je veoma korisno ako se nalazite na nekom javnom mestu i ostavite telefon na punjaču van vašeg domašaja
- Postavite opciju za daljinsko brisanje kompletnog sadržaja telefona (remote wipe) koja će omogućiti da ukoliko izgubite telefon ili vam ga neko ukrade možete uništiti važne podatke na samom uređaju
- Šifrujte podatke na dodatnim karticama na telefonu, ali i u glavnoj memoriji samog uređaja, uključite šifrovanje čitavog uređaja Full Device Encryption (FDE)
- Aplikacije pažljivo birajte prilikom instalacije i instalirajte ih samo iz proverenih izvora odnosno sa zvaničnog marketa
- Instalirajte najnovija ažuriranja operativnog sistema i aplikacija jer ćete na taj način uvek imati i najnovija bezbednosna ažuriranja.
- Instalirajte antivirusni softver na svom telefonu, veliki broj korisnika nema na telefonu ili tabletu ovakvu aplikaciju što je velika greška
- Isključite bluetooth, NFC i WiFi konekciju kada ih ne koristite odnosno kada nemate potrebu za njima (više informacija o ovome u prethodnom postu vezanom za hakerske konferencije)
- Redovno pravite rezervnu kopiju (backup) važnih podataka sa mobilnog telefona tako da ukoliko ga izgubite ili se nešto dogodi samom uređaju sva šteta do koje može doći jeste da ostanete bez samog uređaja dok podatke lako možete migrirati na drugi uređaj.
- Ukoliko uređaj koji imate podržava biometrijsku metodu provere identiteta kao što je očitavanje otiska prsta ili irisa na oku obavezno uključite takve metode bez obzira što postoje propusti oni su ipak dodatna mera zaštite
- Nikada ne koristite ne proverene punjače za uređaj jer se može desiti da se priključivanjem uređaja na ovakav punjač uređaj automatski zarazi nekim malverom koji je prethodno pripremljen
- I na kraju ali ne i najmanje važno, obavezno uključite sinhronizaciju telefona sa gmail ako je android ili nekim drugim mail nalogom za iPhone uređaje kako bi se sinhronizovala lista kontakata i još mnogo stvari pa ako slučajno dođe do nekog problema sa samim uređajem sačuvaćete svoje kontakte

Ovo je kratak spisak stvari koje možete uraditi kako bi vaš uređaj bio koliko toliko bezbedan. Ukoliko ste zainteresovani više za navedenu temu možete se prijaviti za seminar u organizaciji PKS gde ćete čuti u jednodnevnom predavanju još dosta stvari vezanih za ovu temu. Naravno nikada ne možete predvideti šta se sve može desiti sa samim uređajima pa zato hajde da onda brinemo o samim podacima koji se nalaze na uređaju. Nadam se da sam ovim postom uspeo da bar malo utičem na to da primenite bar nešto ako ne sve od prikazanih mera zaštite i da ćemo u budućnosti zbog toga biti bar malo bezbedniji.

среда, 7. јун 2017.

Kako ostati bezbedan na hakerskoj konferenciji

Posle prošlonedeljne ICT security 2017 konferencije u organizaciji Udruženja eSigurnost gde se sakupilo preko 180 učesnika i to uglavnom iz oblasti IT bezbednosti došao sam na ideju da napišem post o tome kako ostati siguran na konferenciji gde je prisutan veliki broj hakera i gde je izloženost njihovim napadima povećana. U nastavku teksta možete pročitati praktična uputstva koja možete primeniti kada se nalazite na takvim događajima kao što je DefCon ili neka od sličnih konferencija.

Slede saveti kako ostati bezbedan:
- Na samom početku treba početi od osiguravanja mobilnog telefona što podrazumeva na početku isključivanje WiFi, Bluetooth i NFC funkcionalnosti. Jedino sto bi se od bežičnih protokola kao izuzetak smelo koristiti jeste 4g i to samo pod određenim uslovima. Druga stvar jeste da je potrebno obavezno koristiti šifru za otključavanje ekrana nikako običan klizač i postaviti vreme automatskog zaključavanja na 30 sekundi ili manje. Takođe kompletan telefon bilo da se radio o Android ili iPhone uređaju bi trebalo da bude šifrovan. I za kraj dela o telefonu bitno je napomenuti da nikada ne dajete svoj telefon nikome kao i da se na odvajate od njega i ostavljate ga van svog vidokruga.

- Druga stvar na koju je potrebno posebno obratiti pažnju jeste vaš laptop računar. Kao i kod telefona i ovde važi ista stvar da se laptop nikako ne ostavlja bez prismotre, da se koristi zaključavanje ekrana i šifra za pristup kao i da svi podaci moraju biti kriptovani. Ovo važi i za to da nikada ne ostavljate svoj laptop u sobi gde ste smešteni dok traju prezentacije. Takođe nikada ali baš nikada ne ubacujte USB,SD Card ili neki sličan uređaj u svoj laptop.

- Treća stvar jeste pristup internetu. Jedini internet koji bi trebalo koristiti na ovakvim mestima jeste 4G i to sa ograničenim pristupom osetljivim informacijama. Sto se tice društvenih mreža i mail naloga pristupajte im samo ukoliko imate uključenu 2-faktor autentifikaciju u suprotnom bi trebalo izbegavati pristup. Nikada ne idite na URL adrese koje vam neko kaže ili vam pošalje u poruci. Ovo podrazumeva i da nikada ne klikćete na 3d barkod i na taj način idete na adresu sajta.
Ovde ću navesti još nekoliko stvari koje bi trebalo uzeti u razmatranje:
- Jedna od stvari o kojima bi trebalo strogo voditi računa jeste da nikada na uključujete svoje uređaje kao što su telefon, tablet ili laptop u bilo šta. Takođe povedite računa da ne punite svoje uređaje na javnim USB punjačima kao i to da se laptop nikada ne kači na Ethernet port bilo gde. Ukoliko je potrebno dopuniti uređaj obavezno nosite sa sobom eksternu bateriju.

- Nikada ne koristite ATM ili bilo šta gde se koristi kreditna ili platna kartica. Takođe ako vaša kartica ima RFID i nosite je sa sobom obavezno je čuvajte u posebnim futrolama koje blokiraju sve vrste radio komunikacija.

- Ukoliko je potrebno razmenjivati tekstualne poruke obavezno koristiti Signal.

- Na svim uređajima koje nosite sa sobom vodite računa da su svi programi up-to-date, ovo važi i za IOS i Android OS kao i na sve instalirane aplikacije.

Nadam se da sam ovim postom uspeo da bar malo pokrenem vašu maštu i da vas upozorim šta se sve može dogoditi priliko prisustva na ovakvim događajima. Ukoliko ste ovo pročitali sada ste spremni da se dobro pripremite pre odlaska na ovakve događaje i da budete koliko toliko bezbedni dok ste tamo što mi i jeste bio cilj prilikom pisanja ovog posta.