Цифровая гигиена. Том 3 - Владимир Федорович Безмалый

– Погоди, но ты же говорил, что это невозможно. Он применяет шифрование.

– Все верно, было невозможно! А теперь мы получили его пароли от почты и мессенджеров и слушаем все его переговоры, как шифрованные, так и нет. Мы имеем все доказательства для его ареста.

– Как удалось?

– Я воспользовался недавно обнаруженной уязвимостью!

Вот так и закончилась карьера дона Ромеро, а вместе с тем на юге империи была разгромлена крупнейшая нарколаборатория.

Сказки о безопасности: Незапертый замок

– Рита, к вам на стажировку прикрепляются два новых курсанта Академии. Татьяна и Поль. Судя по отзывам из Академии, они хорошо образованы и могут вполне неплохо влиться в ваш коллектив.

– Спасибо, Иоганн, я как раз хотела попросить у вас двух новых «незасвеченных» людей для проведения оперативного мероприятия.

– В чем суть операции?

– Нужно проверить систему физической безопасности в банке на 18-й улице. Они давно нас просят. Но надо провести проверку негласно, чтобы о ней знал только руководитель банка.

– То есть служба безопасности знать об этом ничего не будет?

– Да. Проблема в том, что именно служба безопасности участвовала в проектировании здания изначально и поэтому привлекать их на данном этапе считаю недопустимым.

– Что смущает вас в проекте?

– Блокировка дверей с помощью RFID-карты.

– Ну вот с этого и начнем, тем более Поль и Татьяна писали на эту тему курсовые проекты. Пусть и покажут, чему их научили в Академии. А для начала Татьяна идет в экономический отдел, а Поль в техподдержку банка. Дадим им пару недель.

Прошло две недели.

– Шеф, ваша идея принесла плоды. Я в очередной раз хочу отметить высокий уровень наших курсантов. Поль обнаружил уязвимости в системе офисных контроллеров для управления физической безопасностью. Он заметил, что зашифрованные сообщения, рассылаемые устройствами по внутренней сети банка, не были случайными. А при надлежащей защите зашифрованные сообщения всегда должны выглядеть как случайный набор символов.

Он также обнаружил вшитый ключ шифрования, используемый для всех устройств. Ему удалось успешно скопировать ключ и подделать команды, в том числе для разблокировки дверей. С тем же успехом он мог просто заново воспроизвести команды для разблокировки дверей, что имело бы аналогичный эффект. Он смог блокировать замки и не впускать других сотрудников офиса. Более того, все его действия не регистрировались системой.

– И как это восприняли в банке?

– Как маленькое землетрясение! Ох сколько было крику, когда глава службы безопасности смог попасть к себе в кабинет только с четвертого раза. Причем его ключ то срабатывал, то нет.

– А что компания-производитель? Меры приняты?

– Меры-то приняты, да потребителям не легче, ведь фактически нужно заново покупать новые замки, починить-то их невозможно!

– Думаю, что стоит обязать компанию заменить все замки старого образца на новые бесплатно.

– Но ведь это может привести к банкротству компании?

– А лучше, чтобы за их разгильдяйство платили добросовестные покупатели? Думаю, нет!

Не так давно в офисе Google своим же сотрудником была выявлена уязвимость в дверных замках, благодаря наличию которой он смог открывать и блокировать все двери в офисе. Так что это, увы, не сказка.

Сказки о безопасности: Мошеннический запрос

– Ой, Потапыч, беда!

– Что опять случилось, Хрюша?!

– Ты ж банке работаешь?

– Ну да!

– В службе безопасности?

– Да говори ты толком, что случилось?

– Я ж у вас деньги свои держу!

– И что? Банк вроде надежный, я ж сам тебе рекомендовал. Что случилось-то?

– Да сегодня мне пришло SMS от имени банка, а в нем предупреждение о блокировке моей банковской карты из-за подозрительной операции.

– Правильно, что позвонила мне. А что было в сообщении?

– Для подтверждения транзакции мне предлагают позвонить по указанному номеру телефона, однако, когда я перезвонила, меня попросили назвать данные карты. Я испугалась, бросила трубку и позвонила тебе.

– Правильно сделала. Мы никому такие SMS не отправляли. Молодец, Хрюша! Умничка что позвонила сразу. Извини, я позже перезвоню, нужно предупредить нашу службу безопасности и наших вкладчиков! Спасибо!!!

– Так я все правильно сделала? А то думаю, вдруг я не права?

– Да правильно, правильно! Успокойся! Молодец что перезвонила! И запомни, не знаешь – перезвони сразу или мне, или на горячую линию банка, она у тебя на карточке написана. И не волнуйся! Никого ты не напрягаешь, горячая линия для того и создана, чтобы помогать.

Вот так закончилась эта история.

Увы, хорошо заканчиваются такие истории только в сказках. Гораздо чаще владельцы карточек идут на поводу у мошенников и сами отдают им свои деньги. Исследователи безопасности из компании Zecurion рассказали о новой мошеннической схеме, в ходе которой злоумышленники отправляют гражданам SMS-сообщения, якобы предупреждающее о блокировке банковской карты из-за подозрительной операции. Для подтверждения транзакции мошенники предлагают позвонить по указанному номеру телефона, однако, когда человек связывается со злоумышленниками, его просят назвать данные карты. Затем, с помощью полученной информации, хакеры выводят средства на свои счета. Пострадавших уже около сотни, а ущерб насчитывает порядка 2 млн. рублей.

Сказки о безопасности: Расшифровка автомобиля

– Добрый день, Иоганн!

– Добрый день, господин комиссар! Что привело вас к нам в такую рань? Ведь явно же не просто так вы пришли. А выпить чашку хорошего кофе вы могли бы и у себя в кабинете. Тем более в такую мерзкую погоду.

А за окном вовсю хлестал дождь. Осень в империи началась вдруг резким похолоданием и дождями. Ветер и дождь, дождь и ветер. Казалось вода хлынула с небес сплошным потоком.

– Иоганн, вы же понимаете, что в такую погоду хорошая собака пожалеет хозяина и не будет проситься на прогулку. Значит меня привела очень важная причина. На самом деле у нас проблема. Нам нужно поставить прослушку в автомобиль Длинного Дэна. Он, как правило, проводит свои короткие совещания прямо в своем автомобиле.

– Ну так вскройте автомобиль и сделайте это.

– Ключевым является слово «вскройте». Мы не можем этого сделать. Он применяет электронный замок. А вскрыть его мы не можем.

– Понятно. Я поговорю с Ритой. Подумаем, чем мы можем вам помочь. Но, сами понимаете, это, увы, не мгновенно.

Прошло две недели.

– Иоганн, мы нашли решение.

– Какое?

– Автомобиль Длинного Дэна применяет беспроводную систему, которая использует относительно слабые алгоритмы шифрования для ключей. Наши исследователи разработали таблицу объемом в 6 Тб с возможными комбинациями кода – это примерно 216 возможный ключей. Помимо таблицы нужны еще радио-донгл, дубликатор и эмулятор RFID-меток, а также мини-компьютер. В общей сложности все оборудование стоит приблизительно 600 империалов.

– Погоди, но это же совсем не дорого!

– Более того, данный метод подходит для всех автомобилей, использующих беспроводные брелки, поскольку принцип работы таких систем одинаков: при нажатии на кнопку разблокировки брелок отправляет зашифрованный код, открывающий двери и запускающий бортовой компьютер. Оборудование способно удаленно считать сигнал с находящегося поблизости брелока, причем процесс получения криптографического ключа занимает менее 2 с.

– Ну что ж, Рита, получается мы можем порадовать комиссара?

– Да. И более того, мы продемонстрируем это на его собственном автомобиле.

– Господин комиссар, приезжайте к нам завтра с утра на вашем новом авто. Мы вам кое-что покажем.

Настало утро.

– Доброе утро, Иоганн, что вы хотели мне показать?

– Давайте подойдем к вашему автомобилю.

– Погодите, Иоганн, но я не оставлял на водительском сидении этот журнал. И тем более этот конверт. Что это?

– Откройте конверт, господин комиссар.

«Господин комиссар, мы успешно вскрыли ваш автомобиль, а значит и проблема Длинного Дэна успешно решена!»

– Иоганн, передайте мое восхищение вашим исследователям. Проблема действительно решена.