Цифровая гигиена. Том 3 - Владимир Федорович Безмалый

– Ага, лучше. Такими темпами еще лет 300 и будет «123456789».

– А если серьезно?

– А если серьезно, то понимаю, что наша профессия с одной стороны – вечна, потому как всегда, будет полно тех, кому придется оказывать помощь, а с другой понимаю, что мы всегда будем несчастны, потому как придется наблюдать несовершенство пользователей.

– Ты прав. Увы, это так. Разработчику всегда нужны только деньги. Продукты всегда содержали и будут содержать уязвимости. Разрабатывать безопасные продукты – сложно, долго и дорого. А значит вас всегда могут обойти конкуренты, выпустив может и менее безопасный, но зато более удобный продукт. И тут уж точно мы ничего не сделаем. Но мы должны бороться. Даже если и не верим в выигрыш. Вот такая грустная получается история.

А вы верите в то, что продукты могут быть безопасны, а пользователи ответственны? Я, увы, нет!

Сказки о безопасности: Трекер-шпион

Второй день продолжается вьюга. Ветер завывает за окном, снег горстями летит в лицо. Движение автомобилей в столице практически замерло. Да и кто будет ездить в такую погоду.

Но нужно ехать на службу. Иоганн оделся потеплее, запахнул куртку, закутался в шарф, натянул капюшон и шагнул за порог. Хорошо все же быть директором департамента. Можно вызвать служебный джип и не заботиться о том, как добраться до работы.

А на работе уже готов горячий чай и можно немного расслабиться. Лицо горит от ветра. Но утро разорвал телефонный звонок.

– Доброе утро, Иоганн! У нас, увы, как обычно проблема. Сейчас к вам приедет наш начальник отдела и все подробно пояснит.

– Хорошо, господин комиссар! Мы ждем.

– Шеф, к вам посетитель из столичной полиции. Говорит, что вы его ждете.

– Да. Пригласите его, пожалуйста! И дайте нам кофе со сливками. Уж очень мерзкая погода на улице.

– Иоганн, нам очень нужно отследить передвижения господина Д. Но проблема в том, что он ездит на раритетном автомобиле фирмы F. И не возит с собой смартфон. Да и телефон оставляет дома. Мы не понимаем, как это сделать.

– Думаю, что мы сможем вам помочь.

– Рита, зайдите к нам, пожалуйста!

– Рита, у нас есть вот такая проблема. Сможем помочь?

– Конечно! Только мне нужен специалист. Нет-нет, ничего угонять не нужно. Мне нужно подклеить вот такой прибор (он совсем маленький) под днище автомобиля. Так, чтобы он не бросался в глаза. А мы будем его отслеживать. Батарейки хватит на полтора года эксплуатации.

– А как мы его отследим?

– Мы сможем отслеживать его на экране вот этого смартфона, который любезно подарим полиции. Вот и все.

– И все?

– Да. Эти приборы появились в продаже месяц назад. Я и заказала на всякий случай для нас.

– Молодец!

Такое устройство уже существует. Его стоимость составляет всего 29 долл. Подготовка к работе занимает менее 5 минут. Оно сопрягается с смартфоном (Android и iOS) и отслеживается через бесплатное приложение.

Сказки о безопасности: Bluetooth-cейф

– Доброе утро, Иоганн!

– Доброе утро, Мари! Что случилось?

– Вам звонили из столичной полиции, просили как можно скорее перезвонить.

– Спасибо!

– Привет, Вилли! Что случилось на этот раз?

– У нас новое уголовное дело. Взломали оружейный сейф в квартире господина Д. Сейф не простой, а с дистанционной разблокировкой. Разберетесь?

– Конечно, Вили, постараемся!

Прошла неделя

– Шеф, думаю проблема в том, что сейф позволяет пользователям ввести PIN-код как с панели на самом сейфе, так и через приложение на смартфоне. Перед разблокировкой сейфа приложение должно быть сопряжено с ним по протоколу Bluetooth, причем допускается неограниченное количество попыток сопряжения. Код сопряжения совпадает с кодом разблокировки сейфа. Таким образом, злоумышленник может подключиться к сейфу с помощью стороннего ПО и взломать его посредством брутфорс-атаки.

– Понятно, Рита! Думаете, злоумышленник получил доступ таким образом?

– Мало того, Иоганн! Мы обнаружили уязвимость в процессе разблокировки сейфа с помощью мобильного приложения. Когда мобильное приложение отправляет сообщение о разблокировке вместе с PIN-кодом сейф не проверяет правильность кода и снимает блокировку, если сообщение поступает с сопряженного телефона.

– И что вам удалось выяснить?

– В сейфе также отсутствует какое-либо шифрование при обмене данными с мобильным приложением, несмотря на то, что производитель заявляет о наличии шифрования с длиной ключа 128. В результате приложение передает PIN-код сейфа в незашифрованном виде, позволяя находящемуся в непосредственной близости злоумышленнику перехватить трафик Bluetooth и извлечь код. Затем он может подключиться к сейфу и разблокировать устройство даже после того, как владелец изменил PIN-код, так как сейф не проверяет код.

– Ого! И это оружейный сейф?

– Да! Мало того, именно в таких сейфах рекомендуется хранить оружие.

– Вили, вы все поняли?

– Спасибо, Иоганн! Мы подозревали что вы можете нам помочь, но не думали, что так быстро!

Исследователям кибербезопасности из компании Two Six Labs удалось взломать оружейный сейф VT2oi компании Vaultek с поддержкой соединения по Bluetooth.

Сказки о безопасности: Очки-детективы

Утро понедельника выдалось солнечным, да и по всему было видно, что скоро весна. Иоганн медленно шел по парку, любуясь снегом. Было понятно, что скоро все это растает и начнутся весенние дождики. Все вокруг дышало весной.

Вдруг, как всегда некстати, зазвонил мобильный телефон.

– Иоганн, вы как обычно идете через парк? Машина ждет вас у выхода из парка.

– Что случилось?

– Приедете, расскажу.

Вот и кончилось доброе утро. Началась работа.

Через полчаса Иоганн уже заходил в здание департамента по борьбе с наркотиками.

– Доброе утро, Иоганн!

– Знаете, если утро начинается с того, что вы звоните мне еще до работы, то, наверное, оно не сильно доброе. Или в крайнем случае, ближайшая неделя будет сильно хлопотной. Так что случилось?

– К нам едет наркокурьер. Вернее, двое. Приедут поездом. Фотографии их у нас есть, а имен нет. Знаем только, что приедут на центральный железнодорожный вокзал. Несмотря на то, что на вокзале полно видеокамер, но средствами распознавания лиц оборудованы далеко не все. Очень боимся упустить. Может поможете?

– Сколько у нас времени на подготовку?

– Пара недель.

– Хорошо. Попробуем.

Прошло два часа.

– Макс, что-то посоветуешь?

– Конечно. Компания G выпустила «умные» очки. Для быстрой проверки личностей ими можно вооружить полицейских. Данные будут передаваться на их смартфоны, где они будут обрабатываться и сопоставляться с правительственными записями для проверки. Кроме того, камера очков может записывать видео в разрешении 1080p.

– Кажется, это именно то что нужно. Теперь нам нужно получить такие очки, но под это еще нужно выбить бюджет.

– Шеф, все просто до безобразия. Составляем договор о тестовом применении и говорим, что по результатам испытаний будем принимать решение о закупке таких очков для всех транспортных подразделений империи.

– Так и сделаем.

Прошла неделя.

– Господин канцлер, тестовое применение очков показало изумительные результаты. Только за первые два дня нами были задержаны семеро находящихся в розыске.

– Ваш департамент, Иоганн, начинает мне казаться волшебниками. Что у вас не попроси, тут же оказывается возможным. Передайте благодарность императора вашим сотрудникам!

Вы думаете, такие очки – это вопрос отдаленного будущего? Вы не правы. Уже сегодня подобные устройства применяет китайская полиция!

Сказки о безопасности: Острый глаз

– Доброе утро, Иоганн!

– Доброе утро! Что у вас произошло?

– Почему вы так считаете?

– Да потому что я привык, что, если мне звонят из управления полиции, опять что-то нужно. Что на этот раз?

– Как ни странно, я звоню, чтобы сказать вам спасибо и пригласить вас