Наверное ни для кого не секрет, что многие китайские производители наплевательски относятся к приватности своих потребителей, своей репутации и не стесняются забивать трояны прямо в свои прошивки.

Ниже небольшой опыт столкновения с одним таким представителем китайского прома. Телефоном DEXP Ixion M545.

Тут не будет ресерчей, просто небольшая заметка. Заранее извиняюсь за качество фоток, переснимал на другой телефон.

Как известно в России предприниматели в связи с ФЗ-54 спешно выводят в онлайн свои кассовые аппараты и подключают к операторам фискальных данных через интернет.

Часть этих предпринимателей представляют малые предприятия и точки обслуживания, которые не обладают ни техническим штатом ИТ специалистов, ни собственными знаниями в области ИТ.

Обязали? Значит подключаем.

Заблокировать подозрительное поведение программы? Смягчить последствия от эксплуатации уязвимостей? Исключить выполнение несанкционированного кода?
TOMOYO Linux — реализация мандатного управления доступом для операционной системы Linux. Встроена в ядро по умолчанию. Позволяет взять под контроль поведение системы и жестко ограничить в рамках заданной политики.

Сканеры уязвимостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости. (Википедия).
Известными коммерческими сканерами являются Nessus, GFI LANguard, XSpider.

В отличии от прочих, OpenVAS бесплатен, работает без каких либо ограничений и может пригодится как сетевым администраторам, так и специалистам ИБ для выявления актуальных проблем своей инфраструктуры.

Одним прекрасным днем раздался звонок бабушки и голос в трубке поведал страшную историю о пожаре в микроволновке. Выяснилось следующее, решив помыть СВЧ печь, бабушке пришла идея быстренько просушить ее, для этого микроволновка была включена на всю мощность – пустой.
Результат – закопчённое нутро и паника.
Поначалу была мысль просто выкинуть агрегат и поставить новый, благо цены простые модели не дорогие, но потом любопытство взяло верх, ибо залазить внутрь микроволновки еще не приходилось, стало интересно, как оно там внутри устроено и можно ли оживить несчастный девайс.

Одним прекрасным днем возникла идея поставить на лестничной клетке небольшую камеру и контролировать входную дверь квартиры.
Основным требованием к системе являлось бюджетность решения. Итоговый вариант вышел не совсем такой, какой хотелось, в силу некоторых совершенных ошибок при задумке и реализации системы.

Здесь не будет историй о проникновении кибер террористов на ядерные объекты и массовом применении кибер оружия для уничтожения инфраструктуры неприятеля. А будет несколько обыденных примеров из личной практики, по модному ныне тренду безопасности АСУТП на типичном среднем Российском производстве.

Маленькое лирическое вступление.

По моему скромному опыту. Люди занимающиеся в ИТ безопасностью данных, делятся (помимо прочего) на две большие группы. С хорошим финансированием своей деятельности и не очень. Я имею в виду, прежде всего техническое оснащение и специализированное программное обеспечение.
В контексте контроля слива данных от внутренних нарушителей – инсайдеров, ситуация выглядит примерно следующим образом. Имеются специализированные системы контроля данных, Data Leak Prevention системы. Бизнес хочет защитить данные, но когда видит ценник в несколько миллионов для обеспечения такой защиты, энтузиазм резко гаснет.
Еще больше он гаснет, когда выясняется, что 100% надежного контроля данных система обеспечить не может. Умный пользователь сумеет обмануть систему. Бизнес вопрошает: «За что плотим, то тогда? Давай ка батенька, крутись как хочешь, но чтоб и овцы были целы и волки сыты.»
В результате ИТ безопасник с силовыми корнями, выпускает кучу запретительных бумаг, проникновенно грозит народу кулачищем, мол только попробуйте слить. А безопасник технарь, вчерашний админ, начинает изобретать велосипед с квадратными колесами с целью, хоть как-то контролировать информацию. (А сочетание обоих подходов, вообще хорошо :)
Об одной системе, которую можно встроить в велосипед, речь и пойдет.

Так получилось, что будучи часто в разъездах и имея зарплатную карту Сбербанка, мне приходилось пользоваться разными банкоматами, в разных ненадежных местах. Соответственно, был высокий шанс напороться на скиммер. (Скиммер – незаконное устройство для считывания данных с пластикой карты, с целью изготовления дубляжа).

Недолго думая, я решил использовать следующий выход из ситуации. Завести в Сбербанке некий вклад на котором держать деньги, а на карту скидывать наличность в виде небольших порций, по мере необходимости.

Таким образом, даже если карту «отксерят», снимут с нее только тот остаток, который я начислил из вклада. Перевод между картой и счетом вклада беспроцентный, что делало идею еще более заманчивой.

Но не тут-то было.