Цифровая гигиена. Том 2 - Владимир Федорович Безмалый

Через два дня газета N разразилась статьей о том, что они сомневаются в правдивости записи. Да еще и неясно, кто дал разрешение на прослушивание.

И в СМИ началась истерия. С одной стороны – голословные утверждения о том, что разговор был и запись подлинная, с другой – что запись фальшивая. Нужно бы сделать экспертизу, но кто будет ее делать? Представители президента или представители прокуратуры? А главное, кто возьмется утверждать беспристрастность экспертизы? Доверять же такую экспертизу представителям международных органов – значит выставить себя на посмешище.

Споры продолжались долго. В конце концов собрали представительскую комиссию, куда вошли обе стороны.

Каково же было их удивление, когда после месяца работы комиссия заявила, что с вероятностью 60% эта запись все же подделка. Ведь на Голубой планете большое распространение получила технология подделки голосов. Для подделки нужен был всего лишь 5-минутный ролик с записью голоса жертвы, который потом используется в качестве образца для имитации. Доказать потом, что это не фальшивка, долго и дорого.

Но кто выиграл от этой шумихи в прессе?

Выиграли СМИ. Ведь тиражи поднялись втрое. Постепенно о скандале забыли. А умные люди, боявшиеся за свою честь и достоинство, стали даже в быту использовать шифрование.

А главное – люди, надеюсь, задумались о том, что выбор в сущности невелик. Либо шифрование трафика и голосовых переговоров, либо потеря чести и достоинства, да и возможно просто тюрьма.

Единственным недостатком для всех стало лишь то, что шифраторы, увы, стоили не дешево. Но безопасность дешевой не бывает, верно?

Сказки о безопасности: Операция «Утечка»

На далекой Голубой планете мирно или относительно мирно после последней мировой войны существовали разные государства. Расцвела эпоха Интернета. Все было бы вроде и ничего. На большинстве компьютеров в мире использовалась одна и та же операционная система, произведенная в республике А. Этот фактор активно использовала радиоэлектронная разведка этого государства, естественно, не афишируя свои инструменты.

Огромное беспокойство пользователям доставляла необходимость периодически обновлять операционные системы на своих компьютерах. Поскольку при этом требовалось еще и обновление аппаратуры, огромное количество пользователей просто вообще не занимались обновлениями ОС. Причины назывались разные, однако результат был один.

– Мануэль, мы будем устанавливать сегодняшнее обновление?

– Нет, мало ли что произойдет, а вдруг наше программное обеспечение не будет работать? Нет, не будем!

– Но говорят, требуется?

– Ну поставь себе как на тестовый ПК, будем проверять.

А тут еще участились статьи в Интернете о том, как отключить надоедливые обновления и даже уведомления о них. Вал таких или подобных статей просто захлестнул Интернет. Все чаще можно было встретить заголовки «Обновление мешает работать!», «Я из-за обновления не смог работать!» и так далее.

И грянул гром!

Вдруг более 200 тыс. компьютеров на планете оказались зашифрованными. Выяснилось, что соответствующая дыра была закрыта обновлением еще три месяца назад. Но кто ж его ставил?

Настало утро следующего дня.

Компания-производитель операционной системы заявила о срочном выпуске еще одного обновления. Даже для тех ОС, которые уже официально не поддерживались.

– Срочно установить!

– Мы ж его еще не тестировали.

– Срочно!!! – голос руководителя перешел в ультразвуковой визг – Спасаем данные!

Все срочно кинулись ставить. На радиоэлектронную разведку государства А были вылиты тонны грязи, мол, из-за вас все это! Вы виноваты!

А в это время в кабинете руководителя разведки подводили итоги операции «Утечка».

– Ну что ж, подводя итоги я могу сказать, что вы, Майкл, были правы. Все дружно ставят обновления! А в этих обновлениях уже сидит установленный нами бекдор! Я вас поздравляю! Доступ к любому компьютеру с этого дня для нас осуществляется гораздо проще! Еще раз поздравляю!

Мораль сказки весьма проста. Ставить ли обновления? Ставить! Тестировать? Тестировать! Но делать это быстро!

Сказки о безопасности: Как обманули вымогателя-шифровальщика

Потапыч, работая в компании N, неожиданно столкнулся с проблемой. Данные его компании оказались зашифрованы. Безусловно, не он был тому причиной. Кто-то из коллег, несмотря на неоднократные предупреждения и семинары, открыл файл, приложенный к очередному «письму сверху».

Потапыч поступил совершенно верно: крепко и неоднократно помянул раззяву и всех его родственников до седьмого колена, отключил зашифрованный компьютер от корпоративной сети и сел разбираться и чесать затылок.

Увы, критически важные для бизнеса данные были-таки зашифрованы. И руководство поставило естественную, но практически невыполнимую задачу – вернуть данные любой ценой.

Потапыч полез в Интернет, изучил вопрос и понял, что алгоритм, который применили в данном троянце, практически неуязвим при современных технологиях подбора пароля. Заразившие сеть злоумышленники на примере нескольких файлов показали, что могут ее расшифровать, и запросили цену в несколько десятков тысяч рублей.

Сумма была вполне адекватной. Но где взять деньги? Любые расходы должны быть обоснованы документально. Не попросишь же вымогателей выписать счет!

Но тут же услужливая контекстная реклама начинает показывать баннеры «Расшифровываем файлы, 100% гарантия,%имятроянца%».

Потапыч пришел к руководителю, мол, есть вот такое решение. Скорее всего, развод, но выхода-то нет, давайте попробуем выслать образцы.

– Михалыч, а ведь действительно расшифровали, да вот только за расшифровку хотят вдвое больше.

– Погоди, Потапыч, мы имеем классическую схему. Нам предлагают заплатить за расшифровку вполне легально, а они сами заплатят за расшифровку злоумышленникам.

– Ага, если это вообще не одни и те же злодеи. Но зато у нас нет проблем с налоговой, платим-то официально по счету.

– Да. А иначе выхода у нас нет. Придется договариваться.

– Грабители! Связывайся и договорись о встрече.

Прошло 20 минут.

– Михалыч, встреча назначена на завтра. На лавочке в торговом центре. Безусловно, это показывает их серьезность, адекватность и надежность J.

«Специалист» честно пришел, взяв с собой флэшку с дешифровщиком. Потапыч принес ноутбук с файлами и деньги, но договорился, что отдаст их и подпишет бумаги только после того, как данные будут восстановлены.

Процесс расшифровки – дело не быстрое. Может и полдня занять, может и больше. Решили они расшифровывать в ближайшем кафе. Все ж веселее, чем на лавочке. Решили пива выпить. А где пиво, там и туалет требуется. Вот и пришлось «специалисту» отлучиться в туалет. А Потапыч подумал, что флэшка с ключом у него, деньги тоже, чего ждать? И быстро рванул как на стометровке к стоянке такси. Забрав и ноутбук с работающим дешифровальщиком, и деньги.

Что потом писали Потапычу «специалисты»! Однако ни единой попытки решить конфликт законным путем не предприняли.

А на работе Потапычу за находчивость премию выписали. Вот так счастливо закончилась эта история. Увы, такие истории редко бывают счастливыми!

Сказки о безопасности: Флэш-взлом автомобиля

– Доброе утро, Иоганн!

– Привет, Карл!

– Шеф, как вы знаете, я недавно купил себе новый автомобиль. Он оборудован компьютерной информационно-развлекательной системой. Но вы ж меня знаете, я буду не я, если не буду ковыряться в любой попавшей мне в руки компьютерной железке.

– И что?

– Шеф, вы не поверите, я хакнул свой автомобиль!

– И что теперь ты можешь делать со своим авто?

– Да, в принципе, что угодно!

– Ты понимаешь, что теоретически теперь можно создать ботнет из подобных машин или установить троян для удаленного доступа.

– Понимаю, потому и решил вначале рассказать вам. По-моему, стоит сообщить об этом автомобильной компании, а если они не захотят принять меры, то необходимо докладывать императору.

– Все верно!

Автомобили Mazda с информационно-развлекательной системой MZD Connect нового поколения можно взломать, подключив к приборной панели USB-флэшку. Поскольку MZD Connect базируется на ОС Unix, кто угодно может написать вредоносный скрипт и осуществить серьезную атаку. Утешает лишь то, что атаки возможны только при включенной нейтральной передаче или запущенном двигателе. То есть, уязвимости в информационно-развлекательной системе