пятница, 29 июля 2016 г.

СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 2

Вводную часть вынес в отдельную статью чтобы не загружать читателей прописными истинами.

Часть 2. К сути
Так получилось, что каждая неожиданно опубликованная уязвимость в сертифицированном СЗИ обходится производителю достаточно дорого:
·         Если новая версия СЗИ находилась на сертификации (а это продолжительный процесс от 0.5 до 2х лет. Можно сказать, что у крупных производителей СЗИ всегда находятся на сертификации) и эта версия подвержена опубликованной уязвимости, то СЗИ автоматически снимается с сертификации и отправляется на доработку и потом на повторные испытания. В зависимости от сложности проблемы — это может отложить на 2-6 месяцев выход новой версии СЗИ на рынок. И время тут - деньги
·         Если СЗИ уже было сертифицировано, всё равно, после выпуска патча его надо отправить на инспекционный контроль, это дополнительные пара месяцев ожиданий и оплата услуг испытательной лаборатории от 100 до 500 тыс. руб.
·         Любое изменение в контрольных суммах сертифицированного СКЗИ – это уже новое СКЗИ, его запускаем на сертификацию как новое СКЗИ, а это уже подороже чем просто инспекционный контроль.
·         Дальше интереснее. Без бумажки сертифицированное СЗИ – не СЗИ. Изменение СЗИ влекут за собой изменения формуляра, ТУ, эксплуатационной документации. Все эти документы нужно донести до Заказчиков. Расходится бумажная волна.
·         А ещё есть большое количество заказчиков (особенно Госы) которые производили установку СЗИ с привлечением лицензиатов. Пока обновления СЗИ достаточно нетривиальные им приходится повторно привлекать лицензиата на каждое обновление. Если уязвимости начнут появляться каждый месяц – заказчики будут в расстройстве и могут даже захотеть поменять СЗИ.

И вот тут складывается ситуация, когда исследователь российского СЗИ может диктовать свои условия – получать вознаграждение за свою работу, получать благодарность от производителя и регулятора (популярность, поклонники…) а в ответ идти на уступки и не публиковать информацию об уязвимости сразу в открытый доступ.

Проблема с отсутствием дистрибутивов в открытом доступе – вполне решаемая: обращайтесь к сообществу – наверняка найдется заказчик, пользователь СЗИ которому будет интересно наличие уязвимостей, и он предоставит вам дистрибутив во временное пользование.

Что в такой ситуации предпринять производителям сертифицированных СЗИ? Не ждать пока вас поставят в неудобную позицию:
·         больше внимания уделять внутреннему тестированию безопасности СЗИ
·         публиковать программы поиска уязвимостей bug bounty
·         публиковать правила по обращению при обнаружении уязвимостей – указывайте там условия, которые будут и вас и исследователей (взаимная выгода)
·         возможно стоит сообществом производителей СЗИ совместно с регуляторами и представителями исследователей ИБ разработать политику ответственного разглашения информации об уязвимостях, которая будет компромиссом для всех. Выложить её на БДУ

 Как предложил в твиттере Артем Агеев – на БДУ нужно сделать Hall of Fame, раздел с благодарностями и отчетами, по которым можно будет оценить вклад отдельных исследователей ИБ и исследовательских организаций. Это позволит добавить нефинансовую мотивацию исследователям.  

И ещё такой момент. Все знают вендоров, у которых нашли уязвимость. Но ещё за проверку сертифицированных СЗИ несут ответственность испытательная лаборатория и орган по сертификации. Надо чтобы они тоже отвечали за пропущенные баги. Ну хотя бы так:
·         в случае с Secret Net – уязвимость при испытаниях не обнаружила - ЗАО "НПО "Эшелон"
·         в случае с Dallas Lock “отличились” ЗАО "Лаборатория ППШ" совместно с ЗАО "НПО "Эшелон"


СОИБ. Анализ. Хорошие времена для исследователей безопасности российских СЗИ. Часть 1

Часть 1. Вводная (вынес сюда прописные истины, всем известные)

До недавнего времени добропорядочные исследователи безопасности (white hat) фактически не занимались исследованиями безопасности российских средств защиты информации. Связано это было с рядом факторов:
·         важная часть нормативных документов (например, недавние требования к МЭ), требований регуляторов к СЗИ недоступна широкому кругу исследователей – доступ получают только разработчики СЗИ – лицензиаты ФСТЭК и ФСБ; а значит не заинтересованы в привлечении широкого круга лиц

·         испытательные лаборатории – только выполняют формальную проверку соответствия функций СЗИ – требованиям регулятора и в лучшем случае проходят сканнером уязвимостей. В детальном ручном поиске уязвимостей они не заинтересованы, так как основной показатель и критерий их работы (почему производители обращаются к данным ИЛ) это: быстрые сроки испытаний, качественно подготовленная документация (которая точно устроит орган сертификации) и выполнение всех формальных процедур. В ручном поиске уязвимостей, в поиске нестандартных уязвимостей ИЛ не заинтересованы

·         производители СЗИ не заинтересованы в привлечении сторонних экспертов для поиска уязвимостей:
o   ни один российский производитель СЗИ не проводил программ bug bounty
o   ну у одного производителя нет четкой программы работы с обращениями об уязвимостях
o   большинство производителей не предоставляет тестовые или финальные дистрибутивы СЗИ (только платные дистрибутивы для действующих заказчиков)
o   если производитель и предоставляет СЗИ на тестирование, то под подписку о неразглашении информации (NDA)
o   даже если уязвимость в СЗИ обнаруживалась, информация об этом передавалась на техподдержку производителя, то уходили годы прежде чем она была исправлена

В результате большинство российских исследователей, не видя возможности получить хоть какую-то выгоду от тестирования безопасности СЗИ, уходили заниматься иностранными производителями, участвовали в зарубежных программах bug bounty, публиковались и зарабатывали репутацию на иностранных CVE. Сложилось общественное мнение что в российских СЗИ имеется большое количество багов и уязвимостей, стоит только копнуть и сразу найдешь пачку, да только вот копать никому не хочется.

Но последние год-два ситуация стала меняться:
·         в основном силами ФСТЭК России, которые запустили гос. Банк данных угроз, на мероприятиях по ИБ регулярно призывают исследователей к сотрудничеству

·         ФСТЭК России показали, что эти призывы – не пустые слова: по всем случаям добавления в БДУ информации об уязвимостях в российских СЗИ было обеспечена оперативная реакция со стороны производителя, выпущены обновления, отправлены на контроль эффективности в ИЛ, вносятся изменения в документацию сертифицированных СЗИ, опубликована информация об уязвимости как на сайте производителя, так и на сайте ФСТЭК России – вспомним прошлые про Cisco и Secret Net и недавнее про Dallas Lock.

·         Появились заказчики, которые заинтересованы в отсутствии уязвимостей в СЗИ которые составляют их систему защиты.


Продолжение в части 2.

среда, 20 июля 2016 г.

СОИБ. Анализ. Сертифицированные средства криптозащиты / кодирования не сертифицированные

Вчерашнее Извещение ФСБ России «об использовании несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно- телекоммуникационной сети «Интернет» понаделало немало шума. Высказывались даже идеи об отсутствии необходимости сертификации СКЗИ вообще.

В свою очередь недавно я сталкивался с большим количеством проверок ФСБ России и хотел бы процитировать некоторые моменты из них по теме сертифицированных СКЗИ:


Тут мы видим, что применение не прошедших оценку соответствия в форме сертификации СКЗИ ФСБ России определяет, как нарушение требований по защите ПДн (ст.19 152-ФЗ и пункт 13 ПП 1119).


В следующем примере просроченные сертификаты на СКЗИ также приводят к нарушениям (ст. 19 152-ФЗ и п.10 ПКЗ 2005 – оба пункта про оценку соответствия СЗИ) и административному правонарушению по статье 13.12 ч.2 КоАП РФ. Плюс ещё пришлось приостановить эксплуатацию двух ИС.


В следующем примере ФСБ России обнаружили уже отсутствующие сертификаты ФСТЭК на МЭ и антивирус и определили это как не реализацию в полном объеме технических мер защиты.

В общем не стоит относится к применению несертифицированных СКЗИ в общем случае так легкомысленно…

PS: по поводу Извещения хотелось бы отметить следующие моменты:
1) извещение выпущено в разъяснение одного пункта 3 статьи 11 № 374-ФЗ, вносящем изменения в статью 13.6 КоАП РФ
“Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям
1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц - от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.”

2) в Извещении несколько раз используется полный термин “средства кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет”. Сложилось впечатление ФСБ России логически отделяет такие средства от СКЗИ.

3) Констатируется тот факт, что нет федеральных законов, которые бы требовали обязательную сертификацию СЗИ, за исключением ФЗ о гостайне.
"Законодательством Российской Федерации обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну"

Действительно, в других ФЗ нет требований обязательной сертификации СЗИ...

Но о требованиях о подзаконных актов или требованиях по оценке соответствия СЗИ в общем случае - ничего не сказано. Такие требования есть, просто не рассматриваются в данном Извещении.


пятница, 15 июля 2016 г.

Общее. Результаты ИБ конкурса

Когда задумывал конкурс розыгрыша билетов на Код ИБ Онлайн идея была следующая: беру в основном вопросы из истории ИБ, тогда опытные, но более ленивые ИБ специалисты могут на них легко ответить, ведь они начинали с этих тем, а молодые ИБ специалисты должны быть более прокачаны в поиске информации (гуглении) и для них тоже не составит найти нужный ответ.

К моему удивлению, многие знакомые признались, что не смогли ответить и поэтому не стали участвовать. Другие сказали, что решили сразу купить билетик и не парится.  Но были и те которые ответили и победили. Краткий обзор ниже.
1.       Назовите самый старый из действующих федеральных законов в котором упомянута необходимость защиты информации, данных или тайн
Тут я загадал ФЗ о Банках от 1990 г. Он действующий. В нем упомянута защита банковской тайны. И он самый старый из вариантов приведенных в ответе. Закон СССР не считаю, так как он не федеральный. 


2.       Назовите единственный тип межсетевых экранов, который не может быть программным в соответствии с новыми (от 2016г.) требованиями ФСТЭК России к межсетевым экранам
Тут все просто. Информация находится за пару минут, в том числе в моем блоге. Но сам факт интересный, и мне хотелось обратить на него внимание “межсетевой экран, применяемый на физической границе (периметре) информационной системы” (Тип А) – не может быть программным

3.       Назовите исторически первое средство защиты информации в РФ, доступное по сей день (с точки зрения регуляторов)
Самое старое из СЗИ, на которые есть действующий сертификат ФСТЭК, ФСБ или МО (а значит это средство защиты с точки зрения регуляторов) – им оказался СЗИ от НСД Снег 2.0.  Сертификат на него получен в 1996 году, продлевался и всё ещё действует.  (самое стабильное СЗИ от НСД)

4.       Назовите название и год проведения первых соревнований ИБ в РФ по правилам CTF о которых известно публично (между ВУЗами)
Кто играл в CTF должен был знать, а кто не играл можно было легко нагуглить – это был Ural CTF 2006 г., причем первая игра проходила в Екатеринбурге, а вторая в Челябинске.


5.       Одна из ранних известных Российских хакерских псевдо-команд, выпустившая 27-4 журналов (ezine) лозунгом которой было - вступай и компелируй. Укажите название команды, имя основателя этой команды
В 2006 году BHC меня прилично позабавила. Некая пародия на существующие хакерские тимы и езины, которая на удивление долго продержалась. Видимо идея понравилась народу, он вступал и компелировал. По лозунгу на их сленге с легко можно было найти блог. Ну а ТУТ например можно почитать обзор на эту тиму.   


6.       Исторически один из первых подпольных форумов по информационной безопасности РФ ныне действующий. Укажите URL
Так как вопрос был – укажите “один из”, то засчитал несколько правильных ответов – античат, багтрак и вапббс, все они заработали в 2001-2002 году и были условно подпольными (с регистрацией, обсуждением взломов, призывами взломать, раздачей угнанной е-собственности и т.п.). У хакера нет форума, а секюритилаб исторически был скорее местом общения ИТ-спецов и администраторов.


Победителями определены 2 участника, назвавшиеся Сергей и Станислав. Ждите писем от Код ИБ Онлайн

понедельник, 11 июля 2016 г.

Общее. Как получить качественный ИБ контент - Код ИБ онлайн (конкурс)

После череды ИБ мероприятий регулярно поднимается обсуждение о том, как же слушателям получить качественный контент?

В случае, когда ИБ мероприятие организуется одной компанией – все доклады и выступления привязаны к области интереса / услуг этой компании. Если мероприятие проводится за деньги спонсоров, то не обойтись без прямой рекламы в большинстве докладов. Если же мероприятия проводится за деньги слушателей, то как правило стоимость получается весьма приличной (аренда помещений, питание, развлечения, конкурсы, оплата работы организаторов и т.п.)

Ребята из Экспо-линк пытаются найти новый вариант – провести онлайн мероприятие с качественными докладами без рекламы, на за небольшую стоимость. Сокращение стоимости за счет онлайн и массовости участников.

Как заявили организаторы “со спикеров требуем экспертный (то есть не рекламный) и уникальный (то есть не звучавший в таком виде на других мероприятиях) контент”. Идея довольно интересная - мы скидываемся, а эксперты в ответ выделяют достаточно времени из своего рабочего или личного времени и готовят для нас качественные доклады.  

Я думаю у многих возникала мысль поддержать любимого автора / эксперта копеечкой. Но ни один ИБ блогер не разместил у себя реквизиты для перечисления. В этот раз мы можем оказать такую поддержку путем участия в Код ИБ онлайн. Думаю, что часть этого получат приглашенные эксперты и в любом случае это будет сигналом – стоит ли проводить подобные мероприятия в дальнейшем.

Ну а меня организаторы попросили для привлечения внимания провести небольшой    КОНКУРС       и разыграть 2 бесплатных билета. Конкурс проводится до 23.59 13.07.2016. Победителями выбираются 2 участника быстрее всех ответивших правильно на все вопросы. Если не будет правильно ответивших на все вопросы, тогда победитель выбирается из числа ответивших правильно на максимальное количество вопросов.
Вопросы в основном из истории ИБ для разминки ума и удовольствия.

Если вы хотите и выйграть конкурс и поддержать экспертов - покупайте билет, а выигранный дарите друзьям. 


пятница, 8 июля 2016 г.

СОИБ. Анализ. (UPDATE) Пакет изменений в законодательство от Яровой “антитеррористический” и ИБ


Возможно многие уже слышали о ФЗ Яровой вносящем изменения в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности.  Текст тут. Рекомендую ознакомится самостоятельно.

Так как данные поправки касаются операторов связи и других ИТ компаний, а также вносят изменения в 149-ФЗ об информации, информатизации и защиты информации, то они всколыхнули ИТ сообщество и продвинутых пользователей. Была очень большая волна критики со стороны операторов связи, облачных операторов и западных диссидентов. Цитировать большого смысла не вижу.

Видео ответ на эту критику от самой Ирины Яровой можно посмотреть тут 
                                                

Далее кратко разберу пункты / требования, которые могут быть интересны и касаться информационной безопасности: 
а) ФСБ России и СВР РФ имеет право запрашивать доступ (в том числе) к ИС и БД госорганов [с 20 июля 2016]
б) правительство РФ должно установить требования к автоматизированной информационной системе оформления воздушных перевозок (сейчас используются в основном западные системы) - в том числе меры по защите таких систем (и возможно требования разместить на территории РФ) [с 20 июля 2016]
в) поправки в КОАП РФ ст. 13.6  - использование несертифицированных СКЗИ (когда они требуются законодательством - ПДн или другие случаи) - штраф до 300 тыс. рублей и конфискация СКЗИ [с 20 июля 2016]
г) поправки в КОАП РФ ст 13.15 - разглашение охраняемой законом информации (ГТ или, например, ПДн) через СМИ или сеть Интернет - штраф до 1 млн. рублей [с 20 июля 2016]

КоАП РФ, Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законодательством предусмотрена их обязательная сертификация, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц - от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.

КоАП РФ, Статья 13.15. Злоупотребление свободой массовой информации                             7. Использование средств массовой информации, а также информационно-телекоммуникационных сетей для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, –
влечет наложение административного штрафа на юридических лиц в размере от четырехсот тысяч до одного миллиона рублей.


д) поправки в КОАП РФ ст 13.31 - повышение ответственности операторов связи (соцсети, е-почты) до 1 млн. руб.  за нарушение требований о хранении информации пользователей, и непредоставление в ФСБ России криптоключей для расшифровки данных [с 20 июля 2016]
е) операторы связи и организаторы распространения информации в сети Интернет (соцсети, блогинговые платформы, публичные электронные почты, файловые обменники, форумы и т.п.) обязаны хранить на территории РФ - логи и сам контент (сообщения, голос, видео) и предоставлять её по запросам ФСБ и МВД. Но сроки и порядок хранения контента ещё установит правительство РФ [по хранению логово – уже вступили в силу, по хранению контента - вступают в силу с 1 июля 2018 года]
ж) сервисы, которые предоставляют возможность зашифрованного взаимодействия пользователей (whatsup, telegram, …) обязаны предоставлять в ФСБ России ключи для расшифровки [с 20 июля 2016]


Кроме этого, вчера был опубликован перечень поручений президента РФ в рамках выполнения данного законодательства:
1) Правительству РФ при участии ФСБ России разработать подзаконные НПА в срок до 1 ноября 2016 года
2) Минпромторгу России и Минкомсвязи России – провести анализ возможности производства отечественного оборудования и ПО необходимого для хранения контента – до 1 сентября 2016
3) ФСБ России утвердить порядок передачи ключей шифрования и сертификации средств шифрования до 20 июля 2016


Краткие выводы:
1) как видно, не всё так гладко в видео ответе Ирины Яровой. Большинство требований вступило в силу уже сейчас. По части уже вступивших в силу обязанностей, требования будут уточнятся подзаконными актами в ближайшие месяцы, но это не отменят того что статьи КОАП с 20 июля вступают в действие и штрафовать за непредставление ключей шифрования или несертифицированную криптографию можно очень скоро  

2) появилось несколько дорогих статей КОАП РФ которые касаются всех организаций.
Особенно интересует пикантная статья про применение несертифицированных средств кодирования (шифрования). Ситуации с просроченными сертификатами, отсутствием сертификатов или оценкой соответствия в форме отличной от сертификации может караться существенной суммой штрафа.  

3) большая часть новых требований касается операторов связи и организаторов распространения информации в сети Интернет (соцсети, блогинговые платформы, публичные электронные почты, файловые обменники, форумы и т.п.) - им предстоит большая работа по переносу хранилищ на территорию РФ, корректировка процессов логирования и шифрования данных пользователей

Но наиболее затратная часть (про хранение контента) вступит в силу через 2 года. До этого Правительство РФ и ФСБ России должны разработать детальные требования к срокам и порядку хранения

В самих требованиях по хранению логов, контента, ключей шифрования - чего то неожиданного не вижу. СОРМ и раньше работал. Просто он не охватывал некоторые каналы и часть операторов по преступной халатности хранила данные в западных ЦОДах, которые прослушиваются местными спецслужбами



вторник, 5 июля 2016 г.

СОИБ. Анализ. Безопасность NFC

NFC технологии последнее время активно продвигаются в массы. Ещё бы, ведь это удобно -  использовать какую-нибудь одну маленькую штучку типа браслета, карты или даже телефона как универсальное платежное средство или средство идентификации, которые не нужно никуда вставлять, набирать пароли и тому подобное: поднес к считывателю, получил что нужно и идешь дальше: на крупных мероприятиях, в транспорте, отеле, на горнолыжном курорте, в банкоматах, машинах и т.п.
Давайте посмотрим подробнее.

Near field communication, NFC («коммуникация ближнего поля», «ближняя бесконтактная связь») — технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 15 сантиметров. В отличие от такой технологии как Bluetooth позволяет быстрее обмениваться маленькими объемами информации и поддерживает пассивные устройства (метки, карты), дешевле в реализации – что существенно увеличивает область применения.

Изначально технология активно применялась в беспроводных смарт-картах и беспроводных метках, сейчас же область активно расширяется за счет эмуляции смарт-карт или меток в устройствах:
·         Телефон
·         Планшет
·         Браслет
·         Брелок
·         Кольцо
·         Беспроводная карта для контроля доступа
·         Универсальные карты
·         Пассивные метки
·         Считыватели и т.п.


 
 





Существует 2 режима передачи данных: пассивный – когда одно из не создает своего поля, а только отвечает на поле другого устройства и активный – когда оба взаимодействующих устройства создают свои поля. Наиболее универсальны в этой части телефоны и планшеты с поддержкой NFC – они могут выступать как пассивные NFC устройства, как считыватели для пассивных устройств, а также участвовать в активном взаимодействии двух устройств. 

Технологию предлагают применять все шире. Из того что я слышал или видел это:
·         Контроль доступа в помещения, на территорию (крупные объекты – заводы, гостиницы, отели, аквапарки, публичные мероприятия – концерты, выставки, саммиты в том числе мероприятия по ИБ, горнолыжные курорты, олимпиады и другие спортивные мероприятия)
·         Доступ в автомобиль, доступ к управлению авто, управление умным домом
·         Банковские платежи
·         Мобильные платежи
·         Оплата транспорта (транспортные карты, электронные билеты)
·         Получение произвольных услуг
·         Оплата товаров
·         Отслеживание перемещения товаров
·         Удостоверение личности
·         Получение информации (NFC визитка / аналог QR кодов)




В перспективе все сведется к тому что мы не будем носить с собой связку ключей, кошелек, паспорт и прочие удостоверения, кучу карточек – все заменит какой-нибудь удобный браслет или даже вживленный чип. Махнул рукой, получил что надо и идешь дальше.

Не удивительно что у NFC как у любой активно развиваемой технологии находятся уязвимости и слабости. Есть и ошибки в конкретных реализациях. Достаточно много на эту тему говорили на недавнем форуме PHDays. Рекомендую посмотреть записи:
·         Псевдобезопасность NFC-сервисов, Лев Денисов, Fast Track

·         Пентест NFC —вот что я люблю,    Маттео Беккаро,  Технический доклад

·         Безопасность электронных систем контроля доступа, Маттео Беккаро, Hands-on Labs

Если кратко: 
Утилиты (устройства) для аудита NFC которыми пользуется Маттео в пентестах:
·         HydraNFC
·         Proxmark3
·         Chameleonmini
·         NFCulT (ПО)

С точки зрения ИБ основные слабости и недостатки NFC связаны с тем что стек протоколов NFC не предусматривает криптографии при передаче. Стандарты хранения данных в метках и картах, а также их эмуляции – не предусматривают криптографической защиты при хранении. В реализациях многих карт, смарт-карт и их эмуляции применяются слабые криптографические алгоритмы. 
В NFC сервисах традиционно закладывается излишнее доверие к информации, хранящейся на картах и метках, в результате фактически не выполняется фильтрация данных. Раньше, когда пользовательские устройства для считывания и записи информации на карты были не так распространены это можно было понять. Сейчас же в большом количестве NFC смартфонов можно легко создать эмуляцию карты и записать туда произвольные данные (SQL инъекции, выполнение команд на стороне сервиса и т.п.)

Хорошо проработаны такие атаки на NFC как:
·         Прослушивание информации при передаче по NFC
·         Несанкционированное (скрытое / не заметное для пользователя) считывание информации с NFC устройств
·         Lock Attack (перевод эмулированной карты/метки в режим только чтение и блокирование записи информации считывателем)
·         Time Attack (в случае если срок действия карты или услуг прописан на самой карте, можно поменять эту дату)
·         Reply Attack (перехват информации и многократное её повторение или применение – позволяет получать услуги, товары, получать доступ от имени другого лица) 
Схожая с приведенной выше атака clone attack (клонирование NFC устройств)
·         Relay attack (злоумышленник использует 2 NFC устройства, одно из которых считывает данные с устройства жертвы, передает данные на второе, а второе устройство выдает полученные данные считывателю и получаем услугу от имени жертвы)
·         Классические атаки на серверную и инфраструктурную часть NFC сервисов

Разработчикам NFC сервисов и организациям, активно их применяющим нужно внимательно относится к обеспечению безопасности данных сервисов.  


PS: небольшая фото загадка по мотивам отпуска тут