Цифровая гигиена. Том 2 - Владимир Федорович Безмалый

Об этих уязвимостях стало известно еще в 2014 г., и с тех пор они активно используются владельцами Mazda для кастомизации информационно-развлекательной системы, установки новых настроек и приложений.

Сказки о безопасности: Как начинаются стандарты

Снова вторник, снова совещание у императора. Вроде бы все хорошо, но что-то гложет с утра, не дает покоя. Вот и канцлер это заметил.

– Иоганн, что у вас случилось? Надеюсь, дома все здоровы? Все хорошо?

– Да, спасибо, господин канцлер. Я задумался не о доме. Проблема в том, что специалисты моего департамента все время занимаются расследованием, то есть мы все время заняты реактивной защитой.

– Безусловно, ведь вы департамент интеллектуальных преступлений.

– Да вот в том и проблема. Каждый защищается по-своему. Мы даем рекомендации исключительно государственным органам, а коммерсанты – каждый сам по себе. Это и внушает мне опасения.

– Вы что-то можете им рекомендовать?

– Думаю, да. Но на самом деле нам нужно принимать государственные стандарты. Вначале рекомендованные, а затем и обязательные к исполнению. Думаю, что первым здесь сможет выступить наш Имперский банк. Ведь его стандарты обязательны для всех банков империи, верно?

– Да. Вы правы. Идея весьма интересна.

– А потом на базе банковских стандартов можно делать вначале рекомендательные, а затем и обязательные стандарты.

– Да. Но как заставить коммерсантов им соответствовать?

– А вот здесь все просто. Во-первых, обязать всех сотрудников ИБ проходить в обязательном порядке курсы повышения квалификации с выдачей государственных дипломов. А у кого сотрудники не пройдут такие – наказывать! А во-вторых, давать определенные налоговые льготы тем, кто будет соответствовать принятым стандартам. А для этого использовать подготовленных аудиторов безопасности.

– Идея интересная. Безусловно, она нуждается в проработке. Как вы считаете, господин управляющий Имперского банка?

– Мы давно готовы. Нам бы еще самим немного подучиться.

– Иоганн, вы и Академия возьметесь учить банковских специалистов?

– Надо, значит возьмемся!

Вот так в империи была решена проблема стандартов. Со временем она распространилась на всю планету.

Сказки о безопасности: Медицинское оборудование под угрозой

– Иоганн, вам срочный пакет из канцелярии императора. Просят разобраться как можно быстрее и доложить лично императору.

– Да… Давненько у нас не было таких пакетов. Давайте его сюда.

Прошло пять минут.

– Срочно ко мне руководителей подразделений. СРОЧНО!

– Господа, как вы знаете, в империи любой гражданин империи может обратиться напрямую к императору, если считает, что дело касается имперской безопасности. Так вот. В канцелярию прошло письмо от Жозе Фернандеса. Он специалист по информационной безопасности и занимается изучением безопасности медицинского оборудования производства компании H. В частности, он проводил исследования системы управления инфузионными помпами этой фирмы, 400 тыс. которых установлено в больницах по всему миру.

Более года назад он сообщил в департамент здравоохранения, департамент внутренней безопасности и управление по санитарному надзору за качеством пищевых продуктов и медикаментов о ряде уязвимостей в системе управления инфузионной помпой производства H. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств.

Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.

В апреле этого года другой независимый исследователь огласил некоторые из этих уязвимостей широкой публике, после чего поднялся переполох.

Более того, уязвимости были найдены и в другом оборудовании

Среди уязвимостей – возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей).

Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через Интернет, если злоумышленнику удастся войти в больничную локальную сеть.

– Шеф, но это практически лицензия на убийство!

– Все верно, Рита! Вот поэтому у нас создается сверхсекретный проект и возглавите его скорее всего вы с Марком. Вы можете отбирать себе любых людей из состава нашего департамента, а также студентов выпускных курсов Академии. Если же вы знаете кого-то из выпускников, кто сейчас работает в других местах (неважно, это государственные или частные компании), пишите и они будут по приказу императора призваны на службу. Цель проекта – тестирование на проникновение во всех госпиталях и клиниках. Естественно, о проведенном тестировании вы докладываете мне лично. Будем наводить порядок.

– А какие у нас полномочия?

– Любые! Приказ императора уже готовится, и я жду, когда его привезут. Пора наводить порядок!

– А что будет с компанией H?

– Думаю, что руководство компании горько жалеет о том, что не прислушалось к проблеме по-хорошему. Проверкой медицинского оборудования (и не только этой компании) займется Карл. Я предлагаю подключить к вашей группе как консультанта г-на Фернандеса. Но, Карл, учти, старший в группе ты. Жду доклады еженедельно! Дело на контроле императора.

Думаете это фантастика? Увы, нет. Проблемы с помпами обнаружены еще в 2015 г. Исправили ли их? Неизвестно!

Сказки о безопасности: Интернет-ограбление

– Алло! Это полиция?

– Да, это дежурный, сержант Вильямс. Слушаю вас. Что случилось?

– Ограбление ресторана на 5-й авеню.

– Экипаж уже выехал

Прошло два часа.

– Инспектор Кларк? Я по поводу ограбления на 5-й. Типичный сценарий. Снова ворвались грабители. Драгоценности не брали. Забрали только банковские карты, наличные и мобильные телефоны. Все ограбление продолжалось не более пяти минут. Грабители уехали на темном внедорожнике.

– Непонятно, зачем им карты?

– А что тут непонятного? Они с помощью карт быстро оплачивают товары в интернет-магазинах, своих же, а потом закрывают эти магазины. К следующему ограблению магазины будут другими. А когда банки начинают искать магазины, выясняется, что их уже нет, а соответствующие фирмы, открытые на подставных лиц, давно банкроты. Деньги с их счетов перечисляются на подставные счета в офшорные зоны. Результат? Деньги вернуть нельзя. Банки несут убытки.

– И что будем делать? Постараемся понять, где нанесут следующий удар?

– Да. Но кроме того желательно бы понять, что объединяет эти магазины.

– Придется обращаться в департамент интеллектуальных преступлений.

– Иоганн, мы к вам. Сможете нам помочь?

– Что могу сказать? Попробуем!

– Рита, посмотрите статистику по фирмам-банкротам, имевшим свои интернет-магазины и работавшим весьма небольшой срок.

– Хорошо! Но это часа на 3—4 работы.

– Сможете завтра доложить?

– Безусловно.

На следующее утро.

– Шеф, вот что объединяет все эти компании. Они все размещали свои интернет-магазины на серверах провайдера Т. Все магазины действовали 3—4 дня, потом закрывались. Одновременно их было не более десяти. Мы уже предупредили провайдера о возможном открытии новых магазинов. Более того, мы узнали, что перед открытием всегда звонили и заказывали дизайн магазинов их программистам. Мы поставили телефон их менеджера на прослушку. Звонил всегда один и тот же голос, но с разных телефонов.

– Понятно, придется подключать Карла. Если у нас будет образец голоса, то мы сможем найти телефон, с которого будет говорить этот человек. А установив номер, сможем понять, кто это.

– Отличный план. Действуйте.

Прошло три дня.

– Шеф, мы установили звонившего. Это М, студент местного университета. Мы установили за ним слежку и поняли, что ограбление состоится в ближайшую среду. Сам он не грабит. Он только помогает в создании магазинов. Но проанализировав записи его телефонных переговоров, мы нашли подельника.

– Он что, звонил боссу по сотовому?

– Нет. Он воспользовался мессенджером, считая, что так безопаснее.

– А на самом деле?

– А на самом деле мессенджер