Цифровая гигиена. Том 3 - Владимир Безмалый


Цифровая гигиена

Том 3


Владимир Безмалый

© Владимир Безмалый, 2018


Сказки о безопасности: Слабое звено


Солнечное утро манило гулять, а не идти на работу. Так и хотелось просто пройтись по парку, не думая ни о чем, просто шуршать листьями под ногами, стучать орехами, маня местных белок, выйти к пруду, расположенному в центре парка, покормить лебедей, которые еще не улетели на юг Много чего хотелось. Главное, чего не хотелось  это идти на работу. Но ведь сегодня пятница, а значит впереди выходные. Так что на работу идти нужно!

 Софи, что у нас интересного с утра, кроме изумительного кофе с миндальными пирожными?

 Ой, шеф! Тут такое Даже не знаю, как сказать. Я понимаю, что люди бывают глупые и беспечные. Но я даже представить не могла, что они могут работать в управлении ИТ нашего департамента безопасности. Ну вроде бы туда дураков не принимают. Как выяснилось, я ошибалась!

 Так, Софи, приглашай ко мне Марка, Риту, Курта и сама заходи. Будем слушать твой рассказ.

Прошло минут пятнадцать.

 Шеф, вот что произошло. Злоумышленник взломал защиту сети департамента юстиции и украл более 200 Гб данных, в том числе имена, фамилии, номера телефонов, адреса электронной почты 20 тыс. сотрудников департамента полиции и 10 тыс. сотрудников департамента внутренней безопасности.

 Ого!

 Мало того. Данные были им опубликованы в открытом доступе на веб-сайте.

 И как это произошло?

 Злоумышленнику удалось взломать аккаунт сотрудника департамента полиции, после чего он связался с оператором департамента внутренней безопасности и, выдавая себя за легитимного пользователя, получил доступ к инфраструктуре департамента полиции.

 Погодите, но как он получил доступ?

 А вот это самое интересное. Тут нам помогло то, что все внешние телефонные звонки записываются. Злоумышленник сказал, что не так давно устроился на работу. Оператор задал вопрос, а есть ли у него код доступа к данным. Злоумышленник ответил, что нет, тогда оператор посоветовал ему воспользоваться их кодом!

 Интересно, чем думал оператор?

 Ну не знаю, чем он думал, но теперь у него есть время подумать. Его явно уволят с работы. По крайней мере я посоветую сделать именно так.

Как ни странно, но именно такая история с утечкой данных министерства юстиции США произошла в феврале 2016 г. Только код доступа передал оператор ФБР. И снова мы сталкиваемся с тем, что самое слабое звено  человек, а не техника.

Сказки о безопасности: Перехват дрона


Утро выдалось серым и туманным. После вчерашнего легкого мороза термометр показывал плюс два. Сыро, холодно, противно. Но на работу идти нужно. Гулять в такую погоду по парку удовольствие небольшое. Поэтому Иоганн решил вызвать дежурную машину.

Но только он собрался это сделать, как раздался резкий телефонный звонок.

 Иоганн, я выслал за вами машину. И за вашими ведущими специалистами тоже.

 Что случилось?

 Не по телефону. Приезжайте!

Голос начальника дворцовой охраны, господина Кранца, звенел от возбуждения.

Ну вот и все. Утро началось!

Прошло 20 минут.

 Что случилось? Кого вы вызвали?

 Как обычно. Вас, Риту, Мари и Курта. Естественно, операция, как и все что относится к безопасности императора, совершенно секретно.

 Как обычно. Мы были, но нас не было.

 Совершенно верно. Прошу за мной. Расскажу в кабинете. Да, коллеги, прошу сдать ваши смартфоны дежурному, он положит их в сейф. Никаких записей. Все записи, сделанные в ходе расследования, сдать мне лично под роспись.

 Понятно. А все же, что случилось?

 Неделю назад над дворцовым комплексом мы засекли квадрокоптер. Охрана отреагировала мгновенно, и он был сбит. Квадрокоптер стандартный, гражданского образца. Мало ли. Заблудился. Но два дня назад атака повторилась. И снова объект был сбит. Нас интересует, кто за этим стоит. Идеально не только перехватить следующий объект, а и вычислить оператора, а лучше бы того, кто за ним стоит.

 Н-да Веселая задача. Но как?

 Шеф, я тут читала, наши приборостроители презентовали на последней выставке вооружений комплекс, способный перехватывать управление беспилотниками и определять местонахождение его оператора.

 Мари, я понимаю, что знания твои разносторонни, но что тебя занесло на выставку вооружений?

 Да брат пригласил. Он же помешан на авиации, вы ж помните.

 Господин Кранц, нам срочно нужен такой комплекс. И инженеры по его настройке и обслуживанию. А лучше полностью подготовленный расчет обслуживания такого комплекса.

 Хорошо. Я вызову их.

 Им нужно подготовить комнату во дворце. И нам тоже. Кроме того, здесь рядом должна дежурить группа захвата. Круглосуточно!

 Безусловно!

 Мари, а что вы можете рассказать об этом комплексе?

 Система предназначена не только для борьбы с беспилотными летательными аппаратами  с ее помощью можно подавлять вещательные станции, командные пункты связи, сигналы сотовых сетей, сети Wi-Fi, WiMax и DECT. От обнаружения беспилотника до подавления сигнала управления уходит порядка 25 с, а если частоты известны заранее, то порядка 700 мкс.

 Допустим, мы подавим управление, но как вычислить оператора?

 Шеф, вы меня поражаете. Дроны автоматически возвращаются в точку запуска при глушении сигнала управления. Но мы также можем посадить его в любом месте.

 Каким образом?

 Система создает ложное навигационное поле, меняя динамические координаты, в результате чего беспилотник уводится в сторону и в конечном счете приземлится там, где необходимо нам, а не оператору.

 Спасибо, Мари! Думаю, нам всем пора снова организовывать наши внутренние семинары по пятницам. Чтобы все могли делиться знаниями. Увы, информации столько, что физически не успеваешь прочесть. Согласны, коллеги?

 Безусловно!

Оператора дрона задержали через несколько дней. Он признался, что наблюдение проводилось по заказу террористической организации. Дальше уже следствие проводилось силами департамента внутренней безопасности.

Такое решение не фантастика и уже создано в России для нужд Вооруженных Сил

Сказки о безопасности: Атака детей


 Шеф! У нас проблема! Вернее, не у нас, но пришли к нам.

 Софи, будьте добры, подробнее и без паники. Давайте с начала.

 К нам обратился директор одной известной компании. Он пожаловался на утечку данных. Его специалисты обнаружить утечку не смогли.

 И что тут трагического?

 Да только пришла на работу, даже не успела пальто снять, а тут звонок Крик, шум! Короче, как обычно. Вот я и разволновалась, извините, пожалуйста.

 Все нормально! Постарайтесь сохранять спокойствие. Для дела полезнее.

 Хорошо! Я постараюсь.

 Попросите их перезвонить мне.

Прошло полчаса.

 Иоганн, если вы не против, мы с моим руководителем службы безопасности приедем к вам в гости?

 Я не против, но, наверное, куда полезнее, если мы приедем к вам сами. Как думаете?

 Приезжайте, мы вас ждем.

 Карл, Рита, на выезд. Нас ждут. Думаю, в ближайшую неделю вы будете работать в этой компании.

Прошла неделя.

 Шеф, все куда интереснее. Данные были похищены с помощью учетных записей директора компании и их коммерческого директора.

 Ого! Это интересно, но как?

 Оказывается, все просто. Атака была осуществлена с помощью их любимых детей.

 Погодите. С этого момента подробнее.

 Учетную запись директора исследовала Рита, а я занимался коммерческим директором.

 Вы выяснили, что у них общего?

 Да. У обоих дети 1213 лет. Сыновья. Оба очень любят играть на ПК. И обоим это запрещают родители.

 То есть?

 Разрешают играть лишь с 18 до 20 в присутствии родителей.

 У них уже были проблемы?

 Да. Оба запустили учебу, чересчур увлекались играми.

 Как это произошло?

 Проблема оказалась простой как дрова. Для ребенка не создавалась отдельная учетная запись. Он играл под учетной записью родителя. Соответственно, ему кто-то (сейчас разбираются кто), дал флэшку с кодами для игр. Он запустил программу с флэшки и все! Троян на ноутбуке директора.

 А что с коммерческим? Так же?

 Там похоже. Только там заразили смартфон. Загрузили по совету друга игру, а в игре троян. Учетной записи для ребенка тоже нет.

 Понятно. Таким образом, оба нарушили одно и то же правило. Для детей нужно создавать отдельные ограниченные учетные записи. А на смартфоне, кроме того, нужно запретить загрузку программ из посторонних источников! Это сделано не было. Вот и поплатились.

Дальше