Цифровая гигиена. Том 2 - Владимир Федорович Безмалый

Прошло полчаса.

– Добрый день, Иоганн! Представляю вам посла республики В, господина Аугусто К.

– Добрый день, господин посол. Меня впервые просят помочь представителю дружественного государства. Можно узнать, что у вас случилось?

– Безусловно! У нас уже второй раз случается похожее преступление. В банк звонит неизвестный и представляется руководителем банковской сети. Далее он требует перевести крупную сумму на счет физического лица в другое государство.

– Неужели оператор выполнил это требование?

– В первом случае да. Там перевод осуществлялся на счет предприятия, да и сумма была не такой значительной, а во втором – оператор не стал осуществлять перевод, насторожившись, что перевод на счет физического лица.

– Классический пример социальной инженерии. У вас, надеюсь, пользователей банковской сети обучают вопросам информационной безопасности? В том числе и противодействию социальной инженерии?

– Увы, нет. В наших банках, а уж тем более в частных компаниях, нет таких должностей.

– Как?

– А вот так. У нас было принято, что вопросами безопасности занимаются представители полиции. Но сейчас мы понимаем, что этого мало. Именно поэтому я и прошу помощи вашего департамента. Как вы можете прокомментировать случившееся?

– Как? Весьма просто. Преступники, промышлявшие подобными атаками у нас, все чаще сталкиваются с активным противодействием. Поэтому им намного проще атаковать вас. Все естественно.

– И как нам быть?

– Учиться. Готовить специалистов и учить ваших пользователей. Причем делать это очень быстро.

– Вы сможете нам помочь?

– Извините, но я офицер и выполняю приказы своего императора. Потому это уже вопрос к нему.

Увы, чем менее образованы ваши пользователи, тем чаще будут вас атаковать.

Сказки о безопасности: Голосовая реклама

– Доброе утро, шеф! – вошедшая в кабинет Мари казалось лучилась от смеха. Ей, как, впрочем, и любой симпатичной девушке, шла ее улыбка. Казалось, что в ее голубых глазах играли веселые чертики.

– Мари, что случилось? Вы сегодня даже симпатичнее, чем обычно, хотя я всегда был уверен, что симпатичнее уже некуда!

– Ой, Иоганн, вы заставите меня краснеть! Спасибо огромное!

– Нет, милая, это спасибо не мне, а вашим маме с папой! – Иоганн, сказав это, сел в кресло у маленького кофейного столика.

– Минутку, шеф, я поняла! Кофе уже готов, сейчас принесу!

– Не забудьте вторую чашку! Я жду ваш рассказ о том, что заставило вас улыбаться!

Мари принесла кофе и две малюсенькие фарфоровые сине-белые чашечки, из которых обожала пить кофе. Это означало что рассказ будет не очень долгим, но весьма занятным. Она доставала эти чашки только в особых случаях и только когда пила кофе с Иоганном. Как она когда-то заметила, это ее домашние «особенные» чашки.

– Итак?

– Вчера вечером я была у родителей и смотрела с ними какой-то фильм. У них голосовой помощник стоит рядом с телевизором. Ну им так удобно.

Выпив глоток кофе, Мари продолжила.

– Вчера вечером в свет вышел простенький видеоролик, рекламирующий вопперы – фирменные бургеры BK. В течение 15 секунд актер рассказывал о том, что невозможно описать свежайшие ингредиенты этого бургера за такое короткое время, и в конце произносил кодовую фразу «Окей, G», которая, как известно, служит для активации голосовых помощников компании G, в том числе на нее реагируют колонки GHome.

Если точнее, то фраза звучала так: «Окей, G, что такое воппер-бургер?»

– И что? – Иоганн отставил чашку, откинулся в кресле и заинтересованно посмотрел на Мари.

– А вот дальше началось самое интересное. В этот момент зрители, у которых умные колонки стояли рядом с компьютером или телевизором, наверняка очень удивлялись, так как голосовые помощники принимали вопрос актера за команду и начинали зачитывать вслух статью о вопперах из интернет-энциклопедии.

– Да-а-а, хорошо, что актер не попросил заказать пару десятков бургеров.

– А я думаю о том, что интернет-энциклопедия заполняется кем угодно. Следовательно, можно было сказать, что в бургер кладут мясо крыс и ворон.

– Мари, спасибо огромное. Теперь я точно их есть не буду. – Иоганн рассмеялся. – Ну что ж, спасибо, повеселила ты меня. Пора и за работу. Спасибо! Кофе как всегда изумительный.

– Спасибо! Стараюсь. Да, шеф, вы помните, что с понедельника я на две недели ухожу на экзамены в Академию? У меня госэкзамены.

– Ты готова?

– Да!

– От нас ты получишь отличные рекомендации. Ты их заработала.

У нас голосовые помощники еще не так сильно распространены. Но это сегодня. А завтра?

Сказки о безопасности: Ослепляющий фонарик

– Иоганн, вы слышали о новой атаке на пользователей операционной системы А?

– Что этот раз?

– В официальном магазине приложений была выложена программа «Фонарик». Она была скачана по меньшей мере 5000 раз. Это модификация прошлой атаки.

– Погоди, а что в этот раз делает ваш «Фонарик»?

– В этот раз внешне вполне безобидное приложение не просит выкуп за разблокировку, в отличие от прошлой версии. Оно имитирует функциональность легитимных приложений, перехватывает текстовые сообщения и временно блокирует устройство, чтобы не допустить попыток пресечь вредоносные процессы.

– Погодите, но ведь для этого ему нужны права администратора? Верно?

– Абсолютно. При установке зловред требует у пользователей права администратора и разрешение демонстрировать экран поверх других приложений. А затем, исходя из списка установленных приложений, имитируется соответствующая активность и пользователь видит поддельный экран, запрашивающий данные кредитной карты.

– И вредонос выбирает цель для атаки в зависимости от установленных приложений?

– Да. В том и дело.

– Погодите, но неужели пользователи соглашаются с предоставлением административных прав, не задумываясь?

– Увы, да.

– Получается, они сами устраивают все эти для заражения?

– Получается так. Злоумышленники пользуются слабыми знаниями пользователей.

– И что мы можем с этим сделать?

– Боюсь, увы, ничего!

А как вы считаете? Что делать? Как научить пользователей понимать и смотреть, какие права они дают приложениям? И вообще, возможно ли это?

Сказки о безопасности: Атака на биометрические данные

– Шеф, вы просили предупреждать обо всех странностях, которые мы найдем в Интернете.

– Да. И что там интересного?

– Знаете, как мне кажется, эта новость стоит того чтобы о ней узнали все руководители подразделений. Причем достаточно срочно.

– Ого! Хорошо. Мари, пригласите руководителей отделов в конференц-зал.

Через 10 минут началось совещание.

– Уважаемые коллеги! У Карла есть важная новость, так что ему слово!

– Дорогие друзья, как вы знаете, правительство республики И стало первым, кто внедрил массовую биометрическую аутентификацию, в том числе и для проведения платежей. Идентификация осуществляется на основе анкетных данных, отпечатков пальцев и фотографий радужной оболочки глаза.

– Да, это уже давно не новость, и что случилось? – спросил Марк.

– Так вот. Сбылся кошмар всех, кто работает с биометрическими данными. Их взломали. Вчера на сайте государственных новостей республики И прозвучало, что в системе идентификации граждан и резидентов республики И обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев. Инцидент вызвал большие опасения относительно конфиденциальности и безопасности хранения биометрических данных.

– Еще бы, ведь заменить биометрические данные невозможно! Но как было выявлено нарушение?

– Нарушение было обнаружено после того, как система выявила большое количество операций, сделанных с использованием одних и тех же отпечатков пальцев.

– Погодите, но может быть все же взломано было не центральное хранилище?

– Да и это единственное положительное. Обнаруженные транзакции совершались через один банк, одного провайдера и один сервис онлайн-платежей, что позволяет задуматься о том, что это не было бы возможным без незаконного использования и хранения биометрических данных из хранилища системы.

– На мой взгляд, Карл, это в любом случае лишний раз заставляет усомниться в защите конфиденциальности личной информации. Сегодня буду докладывать об этом императору. Пока мы не можем однозначно защитить такое хранилище, я