Цифровая гигиена. Том 2 - Владимир Федорович Безмалый

– Погоди, дай я продолжу. Шифровальщик? Зашифрованы и компьютеры, и облачные копии?

– Да! Шеф, с вами не интересно говорить. Вы все знаете.

– Нет. Просто я сегодня хотел рассказать, что может произойти в случае такого резервного копирования.

– Мало того, шеф! У них почти половина рабочего парка настольных ПК работает под устаревшей ОС, на которую производитель уже не выпускает обновления.

– Боюсь, мы тут бессильны. Мы ж не можем заставить их обновить компьютерный парк.

– Думаю, что теперь наши усилия уже и не потребуются. Вряд ли банк это переживет.

– Вы предупредили их, что оплачивать выкуп вымогателям бессмысленно?

– Безусловно.

– Ну а теперь пусть расплачиваются за свою беспечность!

Вот такая грустная история случилась. Хорошо, что она придуманная, верно? Надеюсь, вы то умнее. Верно?

Сказки о безопасности: Опасные метаданные

– Добрый день, Иоганн!

– Добрый день, господин комиссар! Что произошло?

– Нам нужно получить сведения о перемещениях господина А. Причем проблема в том, что он находился в это время довольно далеко отсюда и было это два месяца тому. Причем его смартфон в это время использовал другую сим-карту, номер которой мы не знаем.

– А что мы знаем?

– Господин А страстный любитель фотографий. На его телефоне их сотни, если не тысячи.

– А он просматривает фото?

– Конечно, причем обожает ними хвастаться.

– Отлично! Приходите через неделю. Я, естественно, ничего не гарантирую. Но попробую вам помочь.

Прошла неделя.

– Вот вам история его передвижений за последний год. Безусловно, это не непрерывные маршруты, увы, но мы сделали все что смогли. Хорошо, что он любит фотографировать и фотографироваться.

– Но как?

– Да все оказалось просто. С помощью приложений для фотографий можно отследить историю перемещений владельца устройства с помощью метаданных, которые содержатся в фотографиях.

– И что это нам дает?

– Если приложение имеет доступ к галерее изображений на устройстве, оно может получить и проанализировать все метаданные в фотографиях, включая дату и время, точные сведения о месте, где был сделан снимок, а также скорость съемки и модель фотоаппарата.

– И вы сумели получить доступ к этим данным?

– Да! Ну а маршруты на карту, я уверен, смогут нанести уже и ваши подчиненные, ведь у вас есть свой ИТ-отдел?

– Конечно, огромное спасибо!

Существует угроза для конфиденциальности пользователей, так как сторонние приложения для камеры, которые сохраняют фотографию, сделанную с помощью смартфона, также получают полный доступ к метаданным всех изображений устройства.

Сказки о безопасности: Нехитрое проникновение

– Добрый день, Иоганн!

– Добрый день, господин директор! Чем обязан?

– У нас есть проблема. Нам нужно проникнуть в дом известного наркодельца, чтобы установить там аппаратуру. Но проблема в том, что это «умный» дом со специальными замками, которые мы пока вскрыть не можем, а ломать, сами понимаете, нам нельзя. Нужно сделать так, как будто нас там не было.

– Понимаю. А что вы можете сказать нам о жителях этого дома? У кого из них есть ключи?

– В доме живет сам дон Ансельмо, его жена и сын. Прислуга приходящая. Охранник. Но ни у охранника, ни у прислуги ключей от дома нет.

– Ну, охранник – это ваша забота.

– Безусловно.

– Чем открывается дом?

– Приложением со смартфона.

– Как часто жена выезжает в город? Бывает ли она в женских спа-салонах?

– Да. Еженедельно. Проводит на процедурах от часа до двух. А что?

– Нам потребуется хороший карманник. Женщина. У вас есть такие?

– Безусловно. Но для чего? Цель?

– Нам нужен смартфон супруги дона Ансельмо. На полчаса. Потом его нужно незаметно вернуть на место. Сможете?

– Легко. Что еще?

– Да больше, скорее всего, ничего.

Прошла неделя.

– Господин директор, вот вам ключи от дома. Кроме того, здесь же ключи от сигнализации, гаража, главных ворот и запасных ворот, отсюда же вы можете управлять освещением и много еще чем, мы сами до конца пока не понимаем. Но главное – вас нет и не было в доме.

– Как?

– Господин директор, мы ж не спрашиваем, как работает ваш карманник, верно?

– А если серьезно, чтобы самим так не впутаться?

– А если серьезно, я уже запретил в своем ведомстве «умные» замки и «умные» дома для всех сотрудников. В крайнем случае можно использовать лишь те, которые одобрены нашим департаментом и то с использованием регулярной проверки. Мы проанализировали, какой именно контроллер управления стоит в этом доме. И выяснили, что приложение хранит данные конфигурации в незашифрованном виде. Потом при помощи вашего специалиста получили смартфон в свои руки и дублировали эти данные. Мало того, сгенерировали свои ключи.

– Да, но разве при этом старые ключи не затираются?

– Увы, нет. Они остаются рабочими. Так что даже если и выяснится, что кто-то входил, то неясно кто. Скорее всего решат, что это тестовые ключи компании.

– Никогда не буду пользоваться «умным» домом.

– Ну… Никогда это слишком долго. Но пока не пользуйтесь!

Увы, такая история – не фантастика. Исследователи безопасности из компании Rapid7 проанализировали Android-приложения для управления IoT-устройствами Wink Hub 2 и Insteon Hub. В ходе исследования было выявлено, что оба приложения хранят конфиденциальные учетные данные в файлах конфигурации в незашифрованном виде. Данные приложений могут быть легко извлечены из утерянных или украденных телефонов, не имеющих сильной парольной защиты или не использующих шифрование. По словам исследователей из Rapid7, для этого не требуются особые навыки – только Google и 45 минут времени.

Сказки о безопасности: Бессмысленное шифрование

– Добрый день, Иоганн!

– Добрый день, господин директор!

– Ну что вы, Иоганн, мы ж договорились по имени.

– Нет, господин директор, вот заедете к нам с женой на чашку кофе с коньяком, тогда по имени, а сейчас ведь вы звоните по другому поводу? Не так ли?

– Совершенно верно! Увы, но вы снова правы. Нам нужно прослушать смартфон некоего дона Игнасио. Но проблема в том, что он пользуется для переговоров шифрованием. И также использует шифрованный мессенджер.

– А вы не знаете, это программное или аппаратное шифрование?

– Знаю. Программное. Он использует смартфон фирмы G и средства программного шифрования.

– Тогда это проблема, но не такая, чтобы у вас или у меня болела голова. Думаю, мы справимся.

– Но как?

– Приедете в гости – поговорим. Договорились?

– Конечно!

Прошла неделя.

– Марк, что с прослушкой дона Игнасио?

– Готово, шеф! И прослушка, и мессенджер. Мы обошли шифрование. То есть перехватываем голос прямо с микрофона и динамика, а сообщения получаем в расшифрованном виде.

– Молодцы. Как удалось?

– Да все просто. Они ведь установили шифрование поверх дырявой ОС, а мы использовали эти дыры и заразили его смартфон. Вот если бы он использовал аппаратный шифратор, мы были бы бессильны. Но он решил сэкономить.

– Иоганн, вас не затруднит выступить на коллегии императора по поводу средств шифрования для коммерческого применения?

– Хорошо.

Прошла еще неделя.

– Господа, наш департамент предлагает разрешить коммерческое применение шифрования. Почему? Да потому что пока есть возможность использовать дыры в операционных системах, мы будем их использовать и соответственно читать, и слушать то, что нам нужно. А народ будет успокоен тем, что переговоры зашифрованы. Ну а самим нам нужно использовать аппаратные средства шифрования. Правда стоит это куда дороже, но и надежнее на порядок.

А вы как думаете? Ведь фактически любое шифрование – это надстройка над вашей ОС. А если ОС дырявая? Вам поможет безупречное шифрование? Не думаю!!! Ведь взлом шифрования не цель, верно? Цель – получить информацию. А перехватить ее можно до шифрования.

Сказки о безопасности: Поспешная сигнализация

– Доброе утро, Иоганн!

– Доброе, господин канцлер! Что произошло?

– Пожалуйста, возьмите с собой команду ваших специалистов, вас ждут во дворце.