Перейти к содержанию

Можно ли доверять свои данные сотрудникам ремонтных сервисов? | Блог Касперского


Рекомендуемые сообщения

Наверное, в жизни каждого из нас хотя бы раз случалась поломка, так сказать, очень личного цифрового устройства — смартфона, планшета или ноутбука. В поломке может быть виноват сам пользователь — бесчисленные миллиарды долларов заработаны на замене разбитых экранов смартфонов. Но чаще всего это просто случайная неисправность: вышел из строя аккумулятор, умер жесткий диск, отвалилась клавиша на клавиатуре и так далее. Как говорится, с кем не бывает.

Увы, сейчас электроника устроена таким образом, что чинить ее самостоятельно часто не под силу даже самым рукастым ты-ж-программистам. Ремонтопригодность тех же смартфонов неуклонно снижается из года в год, и для починки современных моделей нужны уже не только прямые руки и общее понимание того, как устроены всякие цифровые штуковины, но еще и экзотические инструменты, специфические навыки, а также доступ к документации и запчастям.

Поэтому в момент, когда сломался смартфон или ноутбук, чаще всего у пользователя нет никакого выбора — придется обратиться в сервисный центр. Обычно даже выбросить, забыть и купить новый девайс — не вариант, потому что как минимум хочется спасти всю ту информацию, которая осталась на устройстве. Проблема в том, что вместе с самим пострадавшим устройством в руки совершенно постороннего человека придется отдать, собственно, и все личные данные, на нем хранящиеся. Фотографии и видео, переписка и история звонков, документы и финансовая информация — все вот это может оказаться в прямом доступе у незнакомого вам человека. И тут возникает вопрос: а можно ли этому человеку доверять?

Рабочий кинозал с домашним порно

Лично я очень серьезно задумалась над этим вопросом после рассказа моего знакомого, которому как-то довелось в частном порядке пообщаться с сотрудниками одного небольшого сервисного центра, занимавшегося ремонтом ноутбуков. Ремонтники совершенно не смущаясь рассказывали, что в этом сервисном центре для сотрудников и их друзей периодически проводятся «закрытые показы» домашнего порно, обнаруженного на попавших им в руки устройствах.

Подобные инциденты время от времени мелькают и в новостях: то в одном сервис-центре обнаружится сотрудник, ворующий приватные фотографии клиентов, то в другом. Иногда всплывают более масштабные истории — например, о сотрудниках сервисных центров, которые годами не просто воровали фотографии клиентов-женщин. Из них они собирали целые коллекции и даже обменивались ими.

Но ведь эти случаи — исключения из общей практики? Cовсем не в каждом сервисном центре сотрудники жаждут наложить руки на личные данные клиентов, правда? Исследование, которое недавно попалось мне на глаза, к сожалению, говорит об обратном. Из его результатов следует, что нарушение приватности клиентов работниками сервисов по ремонту электроники — гораздо более распространенная проблема, чем всем нам хотелось бы думать. Собственно, очень похоже на то, что излишнее любопытство ремонтников — скорее принятая в индустрии практика, чем какие-то отдельные вопиющие инциденты. Но не буду забегать вперед и расскажу обо всем по порядку.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

А вот интересно, если перед отправкой системника на техобслуживание (чистка от пыли, замена термопасты), вынуть все диски, то в сервисе примут такой компьютер? Или тоже скажут, что не смогут включить и проверить качество выполненной работы (типо, греется или нет)?

Ссылка на комментарий
Поделиться на другие сайты

думаю в сервисе есть свои "тестовые" диски, подобные случае не редки когда накопитель либо отсутствует либо неисправен

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Сдавал телефон в ремонт несколько лет назад. Попросили пароль. Я ответил, что не дам, ведь я не просто так его поставил. Никаких проблем не возникло - отремонтировали. Многие просят пароль "по привычке". Да и на приёмке может сидеть вообще сторонний человек, задача которого только данные клиента внести и технику принять. Он понятия не имеет, что нужно будет для ремонта. И по умолчанию предполагается, что пользователь тоже понятия не имеет. Так что вопросы задают просто по списку. Не хочешь отвечать - не отвечаешь, в чём проблема?

Ссылка на комментарий
Поделиться на другие сайты

Цитата

На Android-смартфоне стоит использовать функцию блокировки приложений, которая есть в нашем Kaspersky Internet Security для Android, — она позволяет «запереть» все ваши приложения на отдельный ПИН-код, никак не связанный с тем, который используется для разблокировки смартфона.

Где-то я читал, что защита эта пропадает, если удалить или отключить приложение КИС для андроид. При этом защиты от удаления самого КИС для андроид нет никакой. В итоге при необходимости запустить защищённое приложение, удаляй КИС, запускай приложение. Может быть сейчас этот недостаток исправили, тогда смысл в блокировки приложений с помощью КИС появится вновь. 

Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, Umnik сказал:

Сдавал телефон в ремонт несколько лет назад

Была аппаратная проблема? Обычно первым делом все "лечат" полной перепрошивкой/сбросом устройства

Ссылка на комментарий
Поделиться на другие сайты

11 hours ago, Friend said:

Была аппаратная проблема?

Да. У Nexus 5 была родовая травма - порт зарядки отваливался. Вот его перепаивали.

11 hours ago, kmscom said:

1. Нажать кнопку Питания, чтобы появилось меню выключения

2. Удерживать палец на кнопке отключения (на экране) пару секунд

3. Согласиться на запуск в безопасном режиме

 

Такие дела.

  • Like (+1) 1
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

14 минут назад, Umnik сказал:

3. Согласиться на запуск в безопасном режиме

В этом режиме пароль не спросят и можно удалить КИС, открыв доступ к защищённым пин-кодом КИС приложениям?

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, Mrak сказал:

В этом режиме пароль не спросят и можно удалить КИС, открыв доступ к защищённым пин-кодом КИС приложениям?

В этом режиме просто не будет запрашиваться код, так как KISa не запустится и блокировки приложений не будет. Можно запустить интересующее приложение и все посмотреть, главное не запускать KISa  принудительно.

Если попытаться удалить KISa, то он полностью заблокирует устройство, если была включена защита от удаления, по умолчанию функция отключена

  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Friend сказал:

В этом режиме просто не будет запрашиваться код, так как KISa не запустится и блокировки приложений не будет. Можно запустить интересующее приложение и все посмотреть, главное не запускать KISa  принудительно.

Значит мои впечатления с давних времён всё ещё правильные и защита от КИСы по блокировке приложений - это вещь против дилетантов.

 

Samsung Knox гораздо эффективнее с созданием защищённой папки. Я ещё ни разу не слышал, чтобы лежащие в ней приложения или данные получили злодеи без пароля, рисунка, пин-кода, обойдя эту защиту. 

Цитата

Еще до запуска Android Verified Boot в устройствах с защитой Knox включается система безопасной загрузки. Она в несколько этапов проверяет, пытались ли установить на устройство неофициальную версию программного обеспечения или получить доступ к правам суперпользователя root, с помощью которых хакеры взламывают смартфоны. Если что-то не так, Knox блокирует доступ к защищенным данным: устройство можно включить, но информация будет недоступна.

 

Ссылка на комментарий
Поделиться на другие сайты

Другими словами, если вам нужно защищать данные на устройстве - шифруйте их, а не ставьте замочки в приложениях

Knox однозначно лучше. Вообще можно получить похожий уровень на любом Android (похожий, потому что для ТАКОГО ЖЕ нужна аппаратная поддержка, которой просто нет в дешмане), но это будет требовать сброса устройства в ноль и ни один производитель ПО для домашнего пользователя не будет это делать.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Umnik сказал:

Другими словами, если вам нужно защищать данные на устройстве - шифруйте их, а не ставьте замочки в приложениях

Скажи пожалуйста, а если для меня ценные только банковские приложения, хватит встроенной в них защиты пин-кодом или её можно обойти? Мне вот лень с кноксом заморачиться, если у банков и так защита нормальная. 

Ссылка на комментарий
Поделиться на другие сайты

Только что, Mrak сказал:

это вещь против дилетантов.

Да, если Android устройство попадется @Umnikу , то все пиши пропало :rolleyes:

3 минуты назад, Mrak сказал:

Я ещё ни разу не слышал

Была вот такая статья ранее, хотя у этого софта вроде еще было много конфликтов с другими приложениями защиты.

4 минуты назад, Umnik сказал:

нужно защищать данные на устройстве - шифруйте их

Устройство должно быть с хорошей аппаратной начинкой и батарей, все-таки процесс шифрования и расшифровки не быстрый, к сожалению, и порой доставляет некоторые неудобства. 
В одно время я некоторые данные упаковал в архивы с шифрованием и паролем, долго не пользовался, забыл пароль и данных нет :coffee:

Ссылка на комментарий
Поделиться на другие сайты

11 minutes ago, Mrak said:

хватит встроенной в них защиты пин-кодом или её можно обойти?

Зависит исключительно от того, как реализовал банк. В целом в России банковские приложения обычно нормальные, мне кажется. Суть в том, что пин, который ты вводишь, это не пин для приложения, а ключ, на котором зашифрован токен, который приложение использует для общения с бэкэндом банка. Нет токена - нельзя общаться, т.к. бэк будет отвергать тех, кто ходит к нему без токена. То есть даже если рутануть устройство и извлечь токен, то это не поможет, т.к. он зашифрован на ключе, который известен только пользователю. Впрочем, можно перебирать, конечно. Только перебор быстро поймает антифрод система банка и заблокирует пользователя до выяснения. А токен будет сброшен и даже если его уже подобрать, то при обращении с этим токеном в БД будет сказано "кто вы такие, я вас не звал".

14 minutes ago, Friend said:

Устройство должно быть с хорошей аппаратной начинкой

Разумеется. Железо должно поддерживает нужные инструкции. А ещё генератор рандома должен быть честный. Потому и говорю, что дешман из Китая за 5 рублей кило - можно и не пытаться.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      До Нового года и Рождества остаются считаные дни, а перегруженные службы доставки могут опоздать и не привезти нужные подарки вовремя. Конечно, тем, кому вы еще не купили подарок, можно преподнести цифровой подарочный сертификат или подписку. Но придумать интересный и полезный вариант подписки тоже нелегко, ведь уже почти все желающие обзавелись «Яндекс.Плюсом», «VK Музыкой» и аналогами, а дарить Telegram Premium уже даже как-то неудобно.
      Выход есть! Мы предлагаем подарить один из сервисов, который день за днем будет повышать уровень конфиденциальности получателя подарка. Ведь позаботиться о приватности хотят многие, но мало у кого хватает времени и сил сделать для этого необходимые шаги, и такой подарок станет одновременно необычным — и полезным.
      За редким исключением, сервисы, акцентирующие приватность, — платные. Ведь за серверы, хранящие данные, и разработку устойчивого к взлому софта нужно платить. А если не брать с подписчиков денег, то придется продавать информацию о них рекламодателям, как это делают Google и Meta*. Поэтому годовая подписка на сервис, повышающий приватность, может стать ценным подарком и в денежном выражении.
      С нашими рекомендациями получатель подарка сможет избавиться от небезопасных офисных приложений, сервисов заметок и мессенджеров, которые пользуются хранящейся информацией не по назначению, заменив их на приватные альтернативы.
      Но перед покупкой обдумайте два неоднозначных момента.
      Во-первых, сервисы, где важна коммуникация с людьми или совместная работа, бессмысленно дарить одному человеку — так, от зашифрованного мессенджера нет толку, если в нем нет хотя бы нескольких друзей. Возможно, такой подарок нужно сделать целой команде?
      Во-вторых, удобство и функциональность приватных инструментов иногда уступают «общепринятым» аналогам, не столь уважающим конфиденциальность. Насколько это критично — зависит от нужд и привычек одариваемого.
      Сделав эти оговорки, давайте посмотрим, какие качественные приватные альтернативы популярным сервисам достойны стать рождественским или новогодним подарком.
      Офисные приложения
      Личные дневники, черновики научных работ и финансовые расчеты все сложней уберечь от посторонних глаз. Сервисы типа Google Docs всегда были полностью онлайновыми, что порождало как проблемы утечек, так и споры о том, как Google обрабатывает хранящиеся там данные. Microsoft в последние годы стремится наверстать упущенное, включая даже в офлайновый Office целый набор спорных функций: автосохранение в OneDrive, «необязательные сетевые функции«, «функции LinkedIn». Само по себе хранение данных в облаке, возможно, не вызывало бы особой тревоги, если бы не опасения, что документы будут использовать для таргетинга рекламы, тренировки ИИ или еще каких-то посторонних целей.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Подписки на услуги и товары стали так распространены, что обычному человеку становится все труднее удержать в голове все свои подписки. И в большинстве случаев мы значительно — больше чем в два с половиной раза — недооцениваем ежемесячные траты на них, поскольку списания небольших сумм «размазаны» во времени и не складываются в общую картину. А по статистике*, в развитых странах подписчики тратят в год на подписки сумму, сопоставимую со среднемесячным заработком.
      Согласно нашему исследованию*, в среднем по миру подписчик тратит в год $938 на 12 подписок. На первом месте жители США — у них в среднем по 18 подписок общей стоимостью $2349 в год. Жители Бразилии, Индии и России имеют в среднем по 10 подписок и тратят на них $732 в год, а дешевле всего подписки обходятся жителям Турции — $478 за 12 подписок.
      Почему такой разброс? Дело в том, что средняя стоимость одной подписки в США, Германии и Великобритании ($12 в месяц) аж в три раза выше средней стоимости подписки в России ($4).
      В среднем на подписки в год уходит сумма, сопоставимая со среднемесячной зарплатой
      Проблемой управления подписками даже озаботилось правительство США: недавно анонсированная инициатива призвана упростить отказ от ненужных подписок. Как получилось, что подписки проникли во все сферы жизни, и всегда ли это оправдано?
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Накануне каждого праздника активизируются мошенники. И делают они это, кстати, довольно-таки примитивно. Готовитесь к Новому году? Ждите фейковые рождественские скидки. Впереди Международный женский день? Значит — быть фейковым подаркам. Скоро крупный футбольный турнир? Фейковые билеты тут как тут.
      Больше всего фейкового появляется за неделю до «черной пятницы» — так называют день старта масштабной распродажи, в которой участвуют все, от мала до велика: и магазины бытовой техники, и местечковые лавки по изготовлению мыла и, конечно же, мошенники! Сегодня расскажем про актуальные уловки киберпреступников в канун всемирного дня распродаж и способы противостояния им.
      Скидки! Скидки? Скидки…
      Именно это слово переживает всплеск популярности каждый конец ноября. Всеобщее помешательство на низких ценах только на руку мошенникам: их рассылки, купоны и фишинговые ссылки легко растворяются в массе реальных предложений. Разберем на примере. Walmart, крупнейшая в мире сеть по оптовой и розничной торговле, якобы предлагает клиентам подарочную карту номиналом $750.
      Выполните всего четыре простых шага и (не) получите подарочную карту
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мы уже писали о том, что делать, когда вам неожиданно приходит сообщение с одноразовым кодом для входа в принадлежащий вам аккаунт, который вы не запрашивали (спойлер: скорее всего, это попытка взлома, и пора задуматься о надежной защите всех своих устройств).
      Но иногда бывает и иначе: вам приходит сообщение с кодом двухфакторной аутентификации от некоего сервиса… вот только аккаунта в этом сервисе у вас нет и никогда не было. В этом посте поговорим о том, из-за чего так может получиться, а также о том, как на подобные сообщения следует реагировать.
      Откуда берутся SMS с кодами для входа в сервисы, в которых вы не регистрировались
      Есть два базовых объяснения того факта, что вам приходят одноразовые коды для входа в аккаунт, который вам совершенно точно не принадлежит.
      Первое, оно же наиболее вероятное объяснение: до того, как вы приобрели данный номер телефона, он уже кому-то принадлежал, но был отключен после прекращения контракта телеком-оператора с данным абонентом. Это называется «переиспользование телефонных номеров» — совершенно нормальная практика у поставщиков сотовой связи.
      Соответственно, предыдущий владелец номера когда-то действительно зарегистрировал на него аккаунт. И теперь либо он сам пытается в него войти, либо какой-то злоумышленник пытается этот аккаунт взломать. Попытки входа приводят к тому, что на номер телефона, который теперь уже принадлежит вам, приходят SMS с одноразовыми кодами.
      Второе объяснение: кто-то непреднамеренно пытается зарегистрировать учетную запись на ваш номер телефона. Возможно, этот кто-то «ошибся номером», то есть вводил другие цифры, но опечатался. А может быть, этот кто-то ввел случайный набор цифр, который, так уж вышло, оказался вашим номером телефона.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
      Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
      Оценка потока информации
      По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
       
      View the full article
×
×
  • Создать...