Цифровая гигиена. Том 4 - Владимир Федорович Безмалый

Итог? Мы смогли не только узнать пароль использовавшегося Wi-Fi, но и управлять аналогичными лампами.

– А что это дает злоумышленникам, кроме пароля?

– Очень многое. Ведь, в общем-то, проблема не только в лампочках. Аналогичным образом данные хранятся в разного рода «умных» гаджетах иного рода, включая камеры, колонки, холодильники, чайники, скороварки и т. п. Благодаря слабой защищенности подобных устройств взломщики без проблем формируют ботнеты, размер которых может достигать многих тысяч или даже миллионов устройств. Для этого используются зловреды, которые, в отличие от защиты смарт-девайсов, становятся все более совершенными и опасными.

– Н-да… Интересное будущее нам описала Рита… Спасибо огромное! Ну что же, коллеги! Будущее конечно мрачное, но ведь приходя на эту работу никто из нас не думал, что у нас светлое и безоблачное будущее, верно? Так что работы у нас с вами только прибавится, увы…

Описанный сценарий уже применяется на практике. Ну и разработчики подобных систем, увы, озабоченны не вашей безопасность, а лишь своей прибылью. Помните об этом!

Сказки о безопасности: Защита от дурака

– Доброе утро, Софи! Что у нас нового?

– Звонила Рита, просила ее извинить. Она опаздывает. Что-то с автомобилем.

– Ты ей сказала, что, если нужно, она может вызвать такси за счет департамента? Или ей нужен эвакуатор?

– Она сказала, что приедет, только опоздает на час или чуть больше. У нее все в порядке. И просила обязательно ее дождаться, не начинать совещание без нее. У нее что-то очень интересное.

– Хорошо. Перезвони об переносе совещания. Ждем Риту.

Прошло полтора часа.

– Добрый день, Иоганн! Извините! Но зато у меня очень интересное сообщение.

– Собираем совещание?

– Да.

Прошло полчаса.

– Добрый день! Сегодня мы собрались, чтобы послушать о приключении Риты. Даю ей слово.

– Добрый день, коллеги! Рассказываю о своем сегодняшнем приключении, или «Включите защиту от дурака!». Увы, в роли дурака сегодня оказалась я сама.

Как вы знаете, я недавно для езды по городу купила электромобиль фирмы N. Все устраивает. Более того, больше всего порадовали регулярные обновления ПО. Но сегодня произошел курьезный случай. Я оказалась заперта в машине, у меня не открывались двери и окна! Я не могла не только выйти из машины, но даже позвать на помощь.

– Что случилось?

– Да сама дура! Я во время движения увидела оповещение системы о том, что для установки доступно обновление ПО. И недолго думая, запустила процесс обновления.

– Погоди, ты даже не остановилась?

– Да в том-то и дело! Говорю ж, дура! Я ж думала, что оно запустится после остановки. Ну логично же? Но оказалось, разработчики считали иначе. В процессе обновления автомобиль полностью выключился. Хорошо, что полицейские заметили подозрительно стоящий посреди трассы автомобиль.

Но и это не всё. Процесс обновления занял больше часа, что серьёзно усугубило ситуацию. Правда, обошлось без дополнительных проблем, но они могли бы быть.

– Рита, срочно напиши в компанию! Это халатность! Ведь это могло привести к жертвам.

– Уже. Время было!

– И что?

– Я получила изумительный ответ в стиле «сам дурак!». Ведь перед запуском обновления система предупреждает водителя о том, что машина будет полностью отключена.

– Н-да… Что такое «защита от дурака» в N, похоже, не знали или не вспомнили, т. к. предупреждения явно мало. Машина попросту не должна давать водителю возможность запустить обновление в процессе движения.

– Согласна. Думаю, стоит им написать об этом.

– Да. Причем на официальном бланке департамента, и если они не обновят ПО, им придется отозвать все автомобили. Пусть думают!

Похожая история произошла с автомобилем компании Nio в Пекине. Боюсь только, там решение будет принято не так быстро.

Сказки о безопасности: Утечка в аэропорту

– Иоганн, у нас чрезвычайное происшествие!

– Что на этот раз?

– Нам позвонили из редакции известной столичной газеты Day и попросили дать комментарий к их статье.

– А что, собственно, случилось?

– Случайный прохожий нашел на улице флэшку и сразу же пошел открыть ее в одной из ближайших городских библиотек. На ней оказалось множество конфиденциальных данных столичного аэропорта, включая график патрулирования территории, маршруты и меры обеспечения безопасности членов кабинета министров и высокопоставленных зарубежных гостей, а также схему передвижения императора.

– Ого!!! Надеюсь, ему хватило ума не распространяться?

– Нет, не хватило. Он продал эти данные в редакцию Day. А вот у главного редактора хватило ума сразу же позвонить нам.

– Молодец! Вы сказали, чтобы они прислали флешку нам? Без этого мы не можем комментировать ничего!

– Конечно. Думаю, что ее вот-вот привезут.

Прошло полчаса.

– Иоганн, вот курьер из газеты. Он привез флэшку.

– Марк, разберитесь, что здесь.

Прошло еще два часа.

– Иоганн, здесь повод серьезно наказать руководителя службы безопасности аэропорта, а руководителя по информационной безопасности просто уволить. Хотя я вообще-то считаю, что его нужно посадить в тюрьму за разгильдяйство и пожизненно запретить заниматься вопросами безопасности. Большего раздолбая я не видел.

– А что там?

– На флэшке записаны данные, утечка которых подвергает серьезному риску систему национальной безопасности. Там более 1000 файлов, разложенных по 76 папкам.

– Готовьтесь провести внеплановый аудит аэропорта!

Прошла неделя.

– Ну, чем порадуете, Марк?

– Уж порадую, так порадую! Только 2% из 6500 сотрудников столичного аэропорта прошли обучение в области защиты данных. Кроме того, в ходе расследования выяснилось, что сотрудники грубо нарушают собственные политики безопасности, широко используя несертифицированные носители и незашифрованные данные.

– А откуда взялась флешка и почему данные не были зашифрованы?

– Флэшка была утеряна одним из тренеров по безопасности во время поездки на работу или с нее.

– Но почему она не была зашифрована?

– Да потому что у них вообще нет политики шифрования и политики использования USB-накопителей. Кто хочешь может скопировать данные на флэшку и вынести ее за пределы территории.

– Бардак! Вы правы. Компанию необходимо штрафовать, а соответствующего руководителя уволить и отдать под суд!

Сказки о безопасности: Происшествие на дороге

– Джек, что у нас по наезду на 19-й улице? Что удалось выяснить?

– Да там ерунда какая-то. Судя по всему, водитель автомобиля не виноват. Ну не мог он отреагировать, когда этот сумасшедший на электроскутере выскочил на дорогу. Там расстояние было метра три. Даже если б он затормозил, остановить машину он просто не мог. Да и ехал он на зеленый. Есть масса свидетелей, да и его видеорегистратор это подтверждает. Водитель был трезвым, тест на наркотики отрицательный. А скутерист выскочил совершенно внезапно. Причем, судя по всему, он сам этого не ожидал.

– А скутер у нас?

– У нас. В лаборатории предположили, что он сам вдруг начал движение!

– Погоди, я ни черта не понимаю. Кто сам начал движение? Этот пацан на скутере?

– Нет! Сам скутер.

– А что, такое возможно?

– Ну не знаю. Давай пригласим наших спецов из департамента интеллектуальных преступлений. Ну не зря ж они деньги получают.

– Уговорил. Прикажи у скутера выставить охрану, завтра пригласим их сотрудника.

На следующее утро у ворот полицейского управления остановился автомобиль департамента интеллектуальных преступлений.

– Доброе утро, господа! Мы забираем ваш скутер на обследование.

Прошла неделя.

– Рита, что со скутером?

– Шеф, увы, как я и думала, это убийство. Электроскутеры данной модели уязвимы. Я думаю, что придется даже отзывать их по всей стране. Эксперт M из компании Z, занимающейся продажей эксплойтов, обнаружил, что брешь в безопасности позволяет атакующему удаленно управлять такими устройствами. В том числе тормозить или разгонять транспортное средство. По его словам, проблема кроется в способе аутентификации пользователей.

– Даже так? С ним можно поговорить подробнее?

– Шеф, я уже пригласила его к нам, чтобы провести экспертизу. Он пообещал завтра прийти вместе со своими выкладками и видео эксперимента.

Прошел еще