IBM представила технологию защиты пользователей от кражи персональных данных

IBM представила технологию защиты пользователей от кражи личных данных

Корпорация IBM представила программное решение с открытым исходным кодом Identity Mixer, призванное помочь людям защитить их персональные данные от возможных утечек и краж — часто имеющих место тогда, когда эти данные хранятся на серверах компаний, услугами которых они пользуются.

Примечательно, что в разработке решения приняли участие две женщины-криптографа — россиянка Мария Дубовицкая и Анна Лисянская родом из Украины.

Мария Дубовицкая занимается непосредственной разработкой и внедрением Identity Mixer, а также разработкой новых криптографических алгоритмов и систем, использующих Identity Mixer. Сейчас она руководит проектом по интеграции Identity Mixer в платформу IBM Bluemix.

Дубовицкая окончила Московский инженерно-физический институт, завершала работу над диссертацией в научном центре IBM в Цюрихе, где сейчас занимает должность исследователя в области информационной безопасности и защиты персональных данных, пишет safe.cnews.ru.

Ее коллега Анна Лисянская - одна из изобретательниц криптографического алгоритма Identity Mixer. Она окончила Массачусетский технологический институт, где получила докторскую степень (Ph.D.) в области электротехники и компьютерных наук, и сейчас она работает профессором департамента компьютерных наук в Университете Брауна в США. Часть своих исследований она провела во время стажировки в лаборатории IBM в Цюрихе.

Identity Mixer - это предложенное IBM облачное решение по защите персональных данных.

Многие компании требуют от пользователей указывать разнообразные личные данные, например, дату рождения, адрес, номер и срок действия банковской карты. Хакеры могут взломать серверы и получить доступ к этим данным, что нежелательно для пользователя. Кроме того, компания может халатно отнестись к сохранности данных, в результате чего они могут оказаться открытыми третьим лицам.

Решение Identity Mixer помогает избежать таких ситуаций за счет того, что пользователь попросту не передает компании своих персональных данных и поэтому на ее серверах этих данных нет.

Например, университет выпускает электронные студенческие билеты, которые содержат персональные данные своих владельцев. Однако когда электронный билет используется для получения скидки, то для выполнения этой операции сведения о персональных данных не нужны. Разработанные в Цюрихской лаборатории IBM специальные криптографические алгоритмы позволяют пользователю лишь подтвердить тот факт, что он является студентом, не разглашая при этом имени, даты рождения и т. д., пояснили в IBM

IBM демонстрирует другой пример использования технологии Identity Mixer: онлайн-библиотеку художественных фильмов. Чтобы скачать фильм с этого сайта, пользователю нужно подтвердить, что его возраст соответствует возрастной категории, указанной для выбранного им фильма. Сейчас пользователю пришлось бы предъявить документ, удостоверяющий его возраст, что означало бы автоматическую передачу всех персональных данных из этого документа. Однако если этот видеосервис использует Identity Mixer, то сторонний сайт получить только криптографическое доказательство того, что пользователь достиг требуемого возраста, а никакой другой информации о пользователе разглашено не будет.

Электронные удостоверения, поддерживающие технологию Identity Mixer, могут выпускаться как третьей стороной (например, электронным правительством в случае паспорта или университетом в случае со студенческим билетом), так и самим поставщиком услуг — например, выдача подписки на использование сервисом. Выпускающая сторона гарантирует подлинность персональных данных в заверенном ею документе. В отличие от провайдеров социальных сетей, она не участвует в проверке криптографических доказательств о выданных ею электронных удостоверениях — для этого необходим лишь ее открытый ключ. Это является еще одним преимуществом Identity Mixer, так как действия пользователей никем не отслеживаются, рассказывают в IBM.

Identity Mixer подходит не только в этом случае, но и когда пользователю необходимо передать сервису данные банковской карты. Решение позволяет передавать тому же видеосервису вместо этих данных аналогичное криптографическое доказательство платежеспособности клиента, которое может быть использовано для получения денег непосредственно от банка клиента.

Технически Identity Mixer представляет собой набор Java-библиотек. Клиент, решивший внедрить новое решение, может сделать это бесплатно, загрузив исходный код с сайта GitHub и развернув решение на собственных серверах.

IBM предлагает облегчить задачу и воспользоваться Identity Mixer в рамках облачной платформы Bluemix. То есть, разместив сайт в облаке IBM, заказчик сможет подключить Identity Mixer в виде сервиса, не беспокоясь о технических деталях запуска в собственном дата-центре. Как сообщили CNews в IBM, запуск бесплатной тестовой версии Identity Mixer на платформе Bluemix запланирован на апрель-май 2015 г.

70% мобильных игр небезопасны: эксперты нашли сотни уязвимостей

Казалось бы, что может быть безобиднее мобильных игр? Пару уровней в дороге, быстрый матч перед сном — и никаких рисков. Но на практике всё не так радужно. По данным AppSec Solutions, семь из десяти игровых приложений для смартфонов содержат уязвимости, а каждая седьмая из них может быть потенциально опасной.

Специалисты компании проанализировали около 50 популярных мобильных игр с помощью инструмента AppSec.Sting и обнаружили порядка 700 уязвимостей. Из них 90 получили высокий или критический уровень опасности.

Самые тревожные находки — это банальные, но оттого не менее опасные ошибки. Так, в 12 приложениях пароли и токены хранились прямо в исходном коде, фактически в открытом виде. Для злоумышленников это настоящий подарок — такие данные легко извлекаются и могут использоваться для взлома.

Ещё 13 игр не имели проверки целостности, что позволяет без особых усилий модифицировать сборку и менять логику приложения.

«Это серьёзно упрощает вмешательство в работу игры — от читов до более опасных сценариев», — пояснил руководитель отдела анализа защищённости AppSec.Sting компании AppSec Solutions Никита Пинаев.

Эксперт выделил три ключевые проблемы, которые встречаются в мобильных играх особенно часто.

Во многих играх критически важные механики — расчёт наград, прогресса и внутриигровых ресурсов — реализованы на стороне клиента. Без полноценной серверной проверки это открывает дорогу к подмене данных, повторному воспроизведению запросов и манипуляциям с игровой экономикой. Итог — читы, перекос баланса, падение честности и доверия игроков.

Небезопасное хранение данных и слабая защита сетевого взаимодействия. Конфиденциальная информация нередко хранится локально без шифрования и контроля целостности. К этому добавляются проблемы с сетевой защитой — отсутствие проверок подлинности запросов и защиты от повторного воспроизведения. Всё это создаёт условия для утечек данных и автоматизации мошеннических сценариев.

Многие приложения поставляются без обфускации кода и базовых механизмов защиты. В результате бизнес-логика легко анализируется, конфиденциальные параметры извлекаются, а модифицированные клиенты распространяются быстрее, чем разработчики успевают реагировать.

На первый взгляд проблемы выглядят «внутриигровыми», но на деле они оборачиваются вполне реальными рисками — финансовыми потерями, ростом мошенничества и репутационными издержками. И страдают от этого не только студии, но и обычные пользователи.

Эксперты AppSec Solutions напоминают простые, но эффективные правила цифровой гигиены:

  1. Скачивайте игры только из официальных магазинов.
    Сторонние источники — главный канал распространения модифицированных и вредоносных версий.
  2. Осторожнее с модами и «взломами».
    Читы — это не только риск бана, но и реальная угроза утечки данных или заражения устройства.
  3. Следите за разрешениями.
    Давайте игре только то, что действительно нужно для работы, и периодически пересматривайте доступы.
  4. Обновляйте приложения и ОС.
    Апдейты часто закрывают уязвимости, о которых вы даже не подозреваете.
  5. Используйте уникальные пароли.
    Для игровых аккаунтов — свои учётные данные и, по возможности, дополнительные механизмы защиты.

Мобильные игры давно перестали быть просто развлечением — вокруг них крутятся деньги, данные и целые цифровые экосистемы. А значит, относиться к их безопасности стоит не менее серьёзно, чем к банковским приложениям.

RSS: Новости на портале Anti-Malware.ru