Угрозы 3.0
Alexey Kachalin
COO @ Advanced Monitoring
Умные автомобили?
Интересно!
«Зарядка аккумулятора
будет завершена к 2:15
утра. Это нормально.
Увидимся завтра ?»
Вместо в...
Они говорили – контур
управления изолирован
2 -11: Клиренс электромобилей T e s l a
увеличен пуш-обновлением прошивки
Авто+4
• Всегда онлайн (4G)
• Магазин авто-приложений
• Уже стандартные угрозы
– Мультимедиа сеть
– Сеть инфраструктуры
– ...
Фантастические
Повсеместные Технологии
Мотивация атакующего 3.0
• Хищение ресурсов – стало выгодней! Не только деньги
• Хулиганство/Любопытство,
месть соседям – ...
Неожиданные данные в
Интересных местах
• Холодильник, который сам может заказать необходимые
продукты в супермаркете
• Кро...
Каких угроз ожидать от
…Это вообще что?
Отпирай @ Запирай
• Выдать ключи (20шт)
• Управление через smart-app iOS/android
• Подключение по WiFi
• Отпирание - Bluet...
Новая услуга на рынке:
Простуди конкурента
А что если изобретут атаку
на IOS/Android/… которая…
… LEAKS
Приоритеты модели угроз для
систем управления физическими
объектами (АСУ ТП, ИВ, …):
– Безотказность/Непрерывность...
W e b c a m… l e a k s
S m a r t… l e a k s
S m a r t m e t e r s… LEAKS!
Береги животных, %
I T F R O MY O U ?
“Screw passwords!
Soon you log in with
electronic tattoos, or pills”
“Алло, Галочка?
Ты сейчас
умрёшь!;smartgrid
reboot now;rm –rf /”
Угрозы 3.0
Alexey Kachalin
COO @ Advanced Monitoring
 1. Augmenting Humans With Technology
 2. Machines Replacing Humans
 3. Humans and Machines Working Alongside Each Othe...
Threats 3.0
Threats 3.0
Upcoming SlideShare
Loading in …5
×

Threats 3.0

1,280 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,280
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
45
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • http://www.phdays.ru/program/business/37688/
    Угрозы 3.0
    Модератор: Алексей Качалин
    Привычные границы информационных систем размываются... Как это повлияет на нашу повседневную жизнь? Какие новые опасности готовят нам «умный дом» и другие «умные» технологии? В этой секции докладов речь пойдет об угрозах, которые может вызвать все более и более глубокое проникновение цифровых технологий в наш быт. Как спрогнозировать эти опасности? Что делать, чтобы они не застали нас врасплох? Какие средства использовать для минимизации возможного ущерба?  На эти вопросы попытаются ответить участники секции  Андрей Москвитин (Cisco), Андрей Петухов (ВМК МГУ) и Артем Чайкин (Positive Technologies).
    Язык доклада
    Русский
    Модератор секции — Алексей Качалин, руководитель исследовательской компании «Перспективный мониторинг», специализирующейся на анализе информационной безопасности программных продуктов и систем. Сфера интересов Алексея охватывает разработку программных систем сбора и анализа данных в информационных системах, моделирование информационных систем, анализ систем и процессов на моделях. Как руководитель исследовательского коллектива он развивает методики исследований защищенности ПО и информационных систем. Постоянный участник практических конференций по ИБ.

  • Вернуться назад
    Архив
    Удалить
    Избранное
    Поделиться
    Настройки текста
    2Материалы добавлены
    Клиренс электромобилей Tesla увеличен обновлением прошивки
    By Jeston, habrahabr.ru
    Посмотреть оригинал
    Будущее совсем уже близко — обновление прошивок «по воздуху» могут получать не только гаджеты.Некоторое представление о том, что на самом деле представляют из себя современные высокотехнологичные электромобили можно получить из записи в блоге Элона Маска, в которой он рассуждает на тему ряда инцидентов, случившихся некоторое время назад в США с Tesla Model S. Вкратце история с ними примерно такова: водители наезжали на некий предмет на дороге (есть мнение, что отвалившийся от трейлера кусок корпуса в одном из случаев), который пробивал защитные листы батарейного отсека (он находится под днищем авто) — в итоге машина загоралась, а сам процесс пожара почти во всех случаях не замедлил появляться на YouTube. При том, что бортовой компьютер предупреждал о проблеме, останавливал машину и горящий капот снимали чуть ли не сами водители. Всё это, вкупе с общественным мнением, привело к тому, что акции компании Tesla потеряли значительную долю стоимости вследствие потенциальной проблемы: Tesla S способны сгорать при столкновении с металлическим мусором на дороге. Харизматичный Элон Маск в ответ на общественный резонанс привёл статистику о том, что его электромобили всё равно безопасней бензиновых собратьев — почти в пять раз. Чуть более конкретно — в США в третьем квартале в результате более чем 1200 серьёзных аварий погибло около 400 человек, тогда как за всё время эксплуатации Tesla (а на дорогах США ездит около 19 000 машин) смертельных инцидентов не было и, собственно, аварий, связанных напрямую с электромобилем.
    Слова словами, однако Маск говорит и о практических шагах, которые были предприняты его компанией. Помимо того, что было выполнено обращение в Национальное управление по безопасности движения США (National Highway Traffic Safety Administration) с требованием тщательно расследовать все случаи, все модели Tesla S в ближайшем будущем получат обновление прошивки, что называется, «по воздуху», которая увеличит клиренс электромобиля путём изменения параметров пневматической подвески. Это должно теоретически уменьшить вероятность столкновения с посторонними предметами и потенциально предотвратит будущие инциденты, похожие на те, с которыми столкнулись владельцы авто в случаях, описанных выше. Кроме того, в январе следующего года водители Tesla S получат больше свободы — новая прошивка позволит полностью регулировать высоту подвески по своему усмотрению.
    Также заслуживает внимания и другой момент. Маск говорит о том, что условия использования Tesla S будут обновлены с тем, чтобы инциденты с пожарами электромобиля покрыты страховой компанией, даже если возгорание произойдёт по вине самого водителя. Таким образом легко сделать вывод, что уровень уверенности в надёжности своих электромобилей у главы компании действительно очень высокий.
    [Источник]
  • Apps by the Dashboard Light http://m.technologyreview.com/news/525486/apps-by-the-dashboard-light/
    New cars will soon come with high-bandwidth connections and app stores.
    David Talbot
    Advertisement
    Dashboard apps: The screen for GM’s forthcoming 4G-connected cars will include icons for radio, weather, and other services, plus a GM vehicle-monitoring tool.
    Starting next month, many car buyers will be getting a novel feature: Internet connections with speeds similar to those on the fastest smartphones—and even a few early dashboard-based apps, engineered to be as dumbed-down as possible.
    Backseat passengers could get streaming movies and fast Wi-Fi connections to smart watches and tablets in (and near) the car. For drivers, high-resolution navigation maps would load quickly, and high-fidelity audio could stream from Internet radio services. But the first dashboard apps will be limited, spare versions of familiar ones like the Weather Channel, Pandora, and Priceline.
    The first U.S. model with the fast wireless connection—known as 4G LTE, around 10 times faster than 3G connections—is expected to be the 2015 Audi A3, which goes on sale next month for a starting price of $29,900. Data plans will cost extra—an average of around $16 a month.
    GM says it expects to sell 4G-equipped 2015 Chevrolets and other models starting in June. Many other carmakers, including Ford and Toyota, are following suit, both in the U.S. and worldwide, using partnerships with wireless carriers to deliver the connectivity.
    By providing apps, carmakers see an opportunity for product differentiation and steady revenue streams. They also suggest that connectivity can lead to new safety features, and that using these onboard services will be safer than furtively glancing at phones.
    But when drivers browse the GM AppShop, they shouldn’t expect what they get on an iPhone or a Galaxy phone. GM expects to provide just 10 apps initially, most of them mapping, news, and radio services.
    That’s partly because the automaker’s screening process for apps is brutal, says Greg Ross, director of product strategy and infotainment for GM vehicles. “They go through rigorous safety and security standards,” he says. “And since it’s pulling data from the car, it’s locked down before it ever gets into the vehicle.”
    As a result, the technology and interface need to be almost as simple as an analog radio knob, says Bruce Hopkins, cofounder of BT Software, based in San Diego. He is one of a very few developers whose apps will be available in GM cars.
    Called Kaliki, BT Software’s app provides audio readings of stories—done by humans, not text-to-speech software—pulled from mainstream publications such as USA Today and TV Guide, as well as podcasts from radio and TV stations. (Its advantage over the radio? “Radio has been around for the last eight decades, and you still can’t pause it,” he says.)
    Hopkins followed detailed rules from GM—no pinch-zoom controls or tiny icons allowed, for example—and spent two years developing the app, including time in a test facility in Detroit. “One of the terms GM talks a lot about is driver workload,” he says. “You cannot have anything that would require the driver to have several different things they have to think about. At the end of the day, they want something that works as simple as the regular radio.”
    The apps know if you are driving. Drivers will never be able to open a “terms and conditions” screen—or play a game, assuming games ever come—unless the vehicle’s transmission is in “park.”
    Despite the hurdles, 4,000 developers have registered with GM’s app store, because the payoff could be large for them: getting their apps included in a car could help them market versions that work on smartphones. And apps in cars command much more attention if they are among just a few that a driver can choose from while sitting behind the wheel for an hour or two every day.
    In the longer term, apps will emerge that draw on data generated by the car, says GM’s Ross. This could be useful for maintenance or driving efficiency—or to generate data for insurance discounts. Apps tapping information from many cars could alert drivers to accidents; signals indicating hard braking or slipping wheels in other cars could warn of slick roads ahead. Sensors can ultimately help bring about semi-autonomous or fully autonomous cars (see “Data Show’s Google’s Robot Cars Are Smoother, Safer Drivers Than You or I”).
    Henry Tirri, CTO of Nokia, says the potential for apps in cars is vast, given the amount of data vehicles produce. “The car is already probably the densest sensor hub that an individual owns right now,” he says. (See “After Microsoft Deal, What’s Left of Nokia Will Bet on Internet of Things.”)
    In Audi’s case, the service will cost $100 for up to five gigabytes of data over six months, or $500 for 30 gigabytes over 30 months. GM has not announced pricing except to say that customers can get various plans combining service to their homes, phones, and cars. Both GM and Audi are using AT&T to provide service (see “GM and AT&T Blur Line Between Car and Smartphone”).
  • http://www.wired.com/gadgetlab/2013/05/august-smart-lock/

    You can grant keyless access to friends, family and visitors by inviting them through the accompanying app. You can also customize which days a person has access to your home, even during which hours, and revoke access whenever needed.
  • Who wants smart meter data?
    How could the data be used?
    Utilities To monitor electricity usage and load; to determine bills
    Electricity usage advisory companies To promote energy conservation and awareness
    Insurance companies To determine health care premiums based on unusual behaviors that might indicate illness
    Marketers To profile customers for targeted advertisements
    Law enforcers To identify suspicious or illegal activity*
    Civil litigators To identify property boundaries and activities on premises
    Landlords To verify lease compliance
    Private investigators To monitor specific events
    The press To get information about famous people
    Creditors To determine behavior that might indicate creditworthiness
    Criminals To identify the best times for a burglary or to identify high-priced appliances to steal


    http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-7628
    https://sites.google.com/site/nocelltowerinourneighborhood/home/wireless-smart-meter-concerns/privacy-and-security-concerns-still-unresolved
    http://www.forbes.com/sites/williampentland/2010/12/10/why-smart-people-are-suspicious-of-smart-meters/
    http://www.ece.cmu.edu/~electriconf/slides_2014/Shenoy_Prashant_20140204084139_shenoy-cmu-conf.pdf
    http://www.ece.cmu.edu/~electriconf/slides_2014/Shenoy_Prashant_20140204084139_shenoy-cmu-conf.pdf

    Privacy Preserving Smart Metering
    ! Spectrum of approaches with different tradeoffs
    ! Never send data, instead take send verifiable proofs
    of actions (total usage, DR,...) [Buildsys’10]
    • Needs smart meters to be enhanced with crypto protocols
    ! Send all data, but obfuscate [Percom’14]
    • Privacy enhancing applicances (water heater) obfuscate data
    to prevent analytics
    ! Controllable privacy
    • Reveal select data with appropriate loss of privacy


    Smart meters reveal human activity data
    • When are occupants away or on vacation?
    • Do occupants eat out on weekends?
    • Do they have an infant in the home?
    ! Can mine information through side-channel attacks
    ! Challenge: how to preserve privacy of individuals
    while enabling smart meter functionality?



    What kind of analytics are possible?
    ! Utility-scale analytics
    • Break-down a customer usage by load types
    • Flag higher than average categories
    • Disaggregation: what appliances are present in a home?
    • ROI analysis: should an inefficient appliance be replaced?
    • Will a transformer overload during a summer heat wave?
    ! On-premise customer analytics
    • Notify when laundry cycle has finished
    • Notify when energy spent in heating the home > threshold
    • Analyze usage to decide when to defer elastic loads
    ! Benefit: Deep insights without deep instrumentation!
  • 1. Teeth. Toothbrushes that will measure fluoride, remember cavities and discoloration, and notify you of bad breath.
    2. Eyes. Glasses that will monitor your eyesight and advise correction.
    3. Hair. Combs that will screen the follicles, report on dandruff density, scan for fungus or lice, and count the hairs (hair loss).
    4. Bottom. Toilets that will test excrements, both liquid and solid. Feces will be graded following the Bristol Stool scale.
    5. Chest. Airport scanners that will broadcast their results to your phone.
    6. Body. Clothes that will be intelligent because the fibers will compute, and that will visualize your body language.
    7. Underbelly. A new field of underwearables that will integrate markers for early detection of cancers or other anomalies.
    8. Forearms. Shirts that will screen the microbiome on your forearms (40x more than our own cells).
    9. Neck. Collars that will chemically analyse your sweat.
    10. Ear. Earphones that will measure your hearing and analyze the emotional level of people you are listening to (sound analysis already allows that!), interesting for total communication (i.e. beyond words and including body language).
    11. Heart. Pacemakers and stents that will broadcast data to the cardiologist plus ECG
    (CORVENTIS).
    12. Nose. Tissues that will examine snot and mucus when you blow your nose.
    13. Chin. Razors that will plot the surface of the skin looking for acne.
    14. Lips. Balm that will scan for cold sores.
    15. Tongue. Tongue scrapers that will screen salivary microbes (the oral microbiome).
    16. Back. Chairs that will plot your posture and broadcast data for your spine.
    17. Nails. Nail cutters that will determine the quality of your nails and count the ridges.
    18. Feet. Step counters (FITBIT).
    19. Pulse. Heart rate monitors (GARMIN).
    20. Brain. Headsets that will measure electrical activity in the form of alpha, beta, delta and theta waves (Emotiv’s EPOC).

    Thanks Walter!

    Read more: http://www.digitaltrends.com/mobile/log-in-password-with-electronic-tattoos-or-pills/#ixzz2wtCn5rCD  Follow us: @digitaltrends on Twitter | digitaltrendsftw on Facebook

    http://newsfeed.time.com/2012/03/21/vibrating-tattoo-could-send-text-alerts-straight-to-your-skin/
    http://appft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF&p=1&u=%2Fnetahtml%2FPTO%2Fsearch-bool.html&r=10&f=G&l=50&co1=AND&d=PG01&s1=Nokia.AS.&OS=AN/Nokia&RS=AN/Nokia?fvrewsd

    http://www.digitaltrends.com/mobile/motorola-google-patents-throat-tattoo-microphone/#!A8gEQ



  • Table of Contents
    Analysis
    What You Need to Know
    The Hype Cycle
    1. Augmenting Humans With Technology
    2. Machines Replacing Humans
    3. Humans and Machines Working Alongside Each Other
    4. Machines Better Understanding Humans and the Environment
    5. Humans Better Understanding Machines
    6. Machines and Humans Becoming Smarter
    Other Relevant Hype Cycles
    New on the 2013 Hype Cycle for Emerging Technologies
    The Priority Matrix
    Off The Hype Cycle
    On the Rise
    Bioacoustic Sensing
    Smart Dust
    Quantum Computing
    Quantified Self
    3D Bioprinting
    Brain-Computer Interface
    Human Augmentation
    Volumetric and Holographic Displays
    Electrovibration
    Affective Computing
    Prescriptive Analytics
    Autonomous Vehicles
    Biochips
    Neurobusiness
    At the Peak
    3D Scanners
    Mobile Robots
    Speech-to-Speech Translation
    Internet of Things
    Natural-Language Question Answering
    Big Data
    Consumer 3D Printing
    Gamification
    Wearable User Interfaces
    Complex-Event Processing
    Content Analytics
    In-Memory Database Management Systems
    Virtual Assistants
    Sliding Into the Trough
    Augmented Reality
    Machine-to-Machine Communication Services
    Mobile Health Monitoring
    NFC
    Mesh Networks: Sensor
    Cloud Computing
    Virtual Reality
    In-Memory Analytics
    Gesture Control
    Climbing the Slope
    Activity Streams
    Enterprise 3D Printing
    Biometric Authentication Methods
    Consumer Telematics
    Location Intelligence
    Entering the Plateau
    Speech Recognition
    Predictive Analytics
    Appendixes
    Hype Cycle Phases, Benefit Ratings and Maturity Levels

    This is where Evrythng joins the the party. A startup that wants to provide the identity management to enable smart new applications to live on the infrastructure we call the internet/web of things/objects/everything.
    The central piece of technology to the Evrythng approach is the smartphone. End users will use their device to interact with a object using NFC for example. This allows for interaction with things that aren’t necessarily always connected to the internet.
    Evrything also supplies analytics and APIs for businesses that want to track individual items and add data to them as they pass through the distribution chain. Check out this case study with beverages giant Diageo, where people buying their dad a bottle of whisky for his birthday could add a “personalized film tribute”.
    From the study:
    EVRYTHNG helped Diageo build a strategic technology platform running on the EVRYTHNG Engine called +More, which makes all Diageo’s products smart by connecting them to the Web. This allows the company to use digital interaction with physical products to deliver the information and experiences consumers want, in the time and place of their choosing. +More allows digital interaction with retailers and other supply partners, based on how products are made, sold and used.
    Diageo are deploying a range of applications which let them track products in the supply chain and deliver invaluable interaction analytics. Plus create consumer marketing experiences to personalize products as gifts, share products in social networking streams, and ‘check-in’ to products for frictionless loyalty rewards.
    I think the idea of a things identity isn’t as weird as it might sound, I can imagine a Facebook like newsfeed where all of my connected devices provide me with their status updates. It’s seems like a natural way of interacting with these objects in a familiar fashion to most end-users.




  • Threats 3.0

    1. 1. Угрозы 3.0 Alexey Kachalin COO @ Advanced Monitoring
    2. 2. Умные автомобили? Интересно! «Зарядка аккумулятора будет завершена к 2:15 утра. Это нормально. Увидимся завтра ?» Вместо вступления и представления
    3. 3. Они говорили – контур управления изолирован 2 -11: Клиренс электромобилей T e s l a увеличен пуш-обновлением прошивки
    4. 4. Авто+4 • Всегда онлайн (4G) • Магазин авто-приложений • Уже стандартные угрозы – Мультимедиа сеть – Сеть инфраструктуры – Шина управления CAN BUS • «The apps know if you are driving» • «Apps tapping information from many cars could alert drivers to accidents»
    5. 5. Фантастические Повсеместные Технологии
    6. 6. Мотивация атакующего 3.0 • Хищение ресурсов – стало выгодней! Не только деньги • Хулиганство/Любопытство, месть соседям – больше возможностей • Бизнес реализует новые возможности – Накопление маркетинговой информации – Навязывание услуг, вызов отказа оборудования – Изменение маршрутизации обращений за услугами • Сбор информации – гео- мета- соц- … – Точечный – по субъекту – Массовый – по технологии • Тех. обеспечение «обычных» преступлений – Получение физического доступа, отвлечение – Канал сбора информации (шантаж, выбор времени) – Выбор квартиры с дорогим оборудованием • Кибервойны? Нет права не участвовать Низкая вероятность наказания, низкая степень ответственности
    7. 7. Неожиданные данные в Интересных местах • Холодильник, который сам может заказать необходимые продукты в супермаркете • Кроссовки, пересылающие данные об успехах бегуна • Датчик затопления - отправят SMS, если затопило подвал, дом, квартиру • Одежда с микрочипом на ребенке автоматически сообщит родителям, если он окажется слишком далеко от дома • Датчики на теле животных • Мебель, анализирующая осанку • «умная» зубная щетка сообщит зубному врачу и страховой компании • «Умная» вилка, которая знает, что ешь и с какой скоростью • Микросхемы на таблетке передает данные из желудка
    8. 8. Каких угроз ожидать от …Это вообще что?
    9. 9. Отпирай @ Запирай • Выдать ключи (20шт) • Управление через smart-app iOS/android • Подключение по WiFi • Отпирание - Bluetooth и NFC • Удалённое отпирание и запирание • Отозвать ключи • Контроль использования ключей • Видео-камера (!!!)
    10. 10. Новая услуга на рынке: Простуди конкурента
    11. 11. А что если изобретут атаку на IOS/Android/… которая…
    12. 12. … LEAKS Приоритеты модели угроз для систем управления физическими объектами (АСУ ТП, ИВ, …): – Безотказность/Непрерывность работы – Неизменяемость – Конфиденциальность (может быть, если надо)
    13. 13. W e b c a m… l e a k s
    14. 14. S m a r t… l e a k s
    15. 15. S m a r t m e t e r s… LEAKS!
    16. 16. Береги животных, %
    17. 17. I T F R O MY O U ? “Screw passwords! Soon you log in with electronic tattoos, or pills”
    18. 18. “Алло, Галочка? Ты сейчас умрёшь!;smartgrid reboot now;rm –rf /”
    19. 19. Угрозы 3.0 Alexey Kachalin COO @ Advanced Monitoring
    20. 20.  1. Augmenting Humans With Technology  2. Machines Replacing Humans  3. Humans and Machines Working Alongside Each Other  4. Machines Better Understanding Humans and the Environment http://vint.sogeti.com/wp- content/uploads/2013/08/hy pecycle-2013-600x375.png Будет ещё веселей

    ×