Цифровая гигиена. Том 3

Сказки о безопасности: Личная безопасность на поверку – 2

После успешного преодоления первой линии обороны компании в лице администратора Питер и Джейсон получили пластиковые пропуска в здание и поехали на 24-й этаж, в отдел г-на Грина. Пропуска напоминали обычные пластиковые карты, и Питер решил, что на обратном пути они их оставят себе, а в машинку для сдачи временных пропусков выбросят самодельные заготовки. В результате у них останутся нормальные временные пропуски. Тем более что в большинстве бизнес-центров служба безопасности их не обнуляет ежедневно, а просто достает из машины и снова пускает в оборот.

Надеюсь, ваша служба безопасности обнуляет карточки временных пропусков? Вы проверяли?

В отделе Грина, как это часто бывает, особого порядка на столах не было. То тут, то там на столах валялись мобильники и даже кем-то успешно забытый кошелек. Короче, вору было бы, где разгуляться. По просьбе Питера Джейсон все фиксировал на миниатюрную камеру, которая в виде ручки торчала из его кармана. Но вот и кабинет Грина. Он отделен от общего зала стеклянной дверью. Но она открыта. На столе Грина лежат ключи от машины. Питер забрал их себе в карман. А вот и копировальная машина. Рядом как обычно валяется гора каких-то документов, но сегодня они не цель. Целью является жесткий диск, установленный в копировальной машине и содержащий копии откопированных материалов. Минута работы и жесткий диск заменили на новый.

– Питер, нам пора.

– Действительно пора. Давай переставим его автомобиль на соседнее парковочное место. Интересно, заметит ли он перестановку?

– Ага. А кроме того, я хочу подложить ему в машину старенький смартфон, чтобы отследить его маршруты. Интересно, куда он ездит и где бывает.

– Не забудь вернуть администратору ключи от его машины, скажем что увидели их на парковке рядом с автомобилем.

Так и сделали.

Как ни странно, но Грин не заметил, что его автомобиль переставляли. А вот мобильник в его автомобиле позволил отследить его маршрут и увидеть, что Грин почему-то не поехал после работы домой, а свернул на улицу, которая вела на другой конец города к дому 15 на 18-й улице. Там он пробыл два часа и вернулся домой. В доме 15 размещался маленький отель, который часто использовали влюбленные парочки.

– Питер, а вот это уже интересно. Что еще вы сможете узнать?

– Шеф, пока мы были в компании, мы успели скопировать его токен безопасности от панели управления облачным хранилищем смартфона. Давайте пороемся там.

– Да. И не забудьте порыться у него в мусоре. Мусорные баки стоят на неохраняемой территории. Там, увы, обычно, можно найти массу интересного.

Утром Питер нашел в баке несколько чеков из ресторана, предложение банка и даже чеки из гостиницы с 18-й улицы.

А вы знаете простейший способ уничтожения бумаг? А ведь все просто. Достаточно использовать воду, отбеливатель и строительный миксер. Поместите бумагу в воду, дождитесь пока бумага намокнет и включите миксер на 5—10 минут. Если хотите полностью избавиться от любых надписей, добавьте отбеливатель и снова включите миксер на несколько минут.

– Джейсон, ты видишь?

– Что? Клавиатуру его домашней сигнализации?

– Да!

– А давай установим видеокамеру и отследим нажатия на клавиатуру.

– Давай!

Так и сделали, замаскировав видеокамеру.

К вечеру после анализа облачной копии смартфона в распоряжении Питера были пароли Грина к его домашнему и рабочему Wi-Fi и даже к его банковскому счету.

Но самое интересное обнаружилось после внимательно анализа жесткого диска. На нем обнаружилась копия водительских прав Грина, его номер социального страхования, копия свидетельства о рождении, копия диплома и других его документов. С этими данными уже можно было смело говорить о хищении и подмене личности.

– Джейсон, не забудь уничтожить те данные, которые нам не нужны.

Прошла неделя.

– Увы, г-н Грин! Как выяснилось, вы абсолютно открыты. Вот код вашей домашней сигнализации, пропуск от вашей работы, ваши маршруты передвижения, чеки из ресторана и даже чеки от гостиницы, в которой вы встречаетесь с милой Мери. Приятная у вас знакомая! Увы, все это можно использовать для шантажа, не так ли? Ведь ваша жена по контракту имеет право на большую часть вашего имущества, если заметит вас в измене? А вот копии ваших документов! Короче, будьте внимательнее!

– Интересно, а как ваши сотрудники относятся к безопасности своих персональных данных? Мы проверим это на следующей неделе.

Так, под громкие крики и возмущения в департаменте был создан новый отдел по проверке защищенности персональных данных.

Сказки о безопасности: Личная безопасность на поверку – 3

После успешного взлома личных данных г-на Грина настала очередь его сотрудников.

– Питер, а не попробовать ли нам развернуть фальшивую точку доступа в закусочной напротив офиса г-на Грина? В обеденный перерыв там бывает много народа.

– Отличная мысль. Завтра сделаем.

Учтите, когда вы работаете через открытую точку доступа, все ваши письма, запросы, фактически все ваше общение можно легко отследить. Вы готовы поделиться вашими данными?

На следующий день Питер сидел в закусочной, притворившись что работает за своим ноутбуком. Фактически он развернул бесплатную точку доступа беспроводной сети и собирал данные посетителей. Те, обрадовавшись, что в кафе наконец-то появился бесплатный Wi-Fi, активно его использовали. Так прошел день.

На следующий день у Питера и Джейсона была масса работы. В перехваченном трафике нужно было выделить пароли от почты, работы, социальных сетей. Прочесть массу писем и вообще переварить полученную информацию. Особенно интересны были пароли, ведь очень часто пароли люди используют одни и те же и на работе, и для домашней почты, и в социальной сети.

А вы знаете, как обезопасить себя от хищения вашей информации при использовании бесплатного Wi-Fi? Для этого используйте два подхода:

1. Двухэтапная аутентификация. Все чаще это становится стандартом. На первом этапе вы используете пароль, а вторым фактором может быть SMS, которая присылается вам сайтом, или генератор кодов, установленный на вашем смартфоне. Учтите, если вы остановитесь на SMS, желательно использовать для этого отдельную SIM-карту, вставленную в простой мобильный телефон. Вы никогда не должны использовать эту карту для других целей. Еще один вариант – электронный ключ-токен, но это дороже.

2. Используйте VPN. Тогда весь обмен трафиком осуществляется по шифрованным каналам.

В результате атаки было собрано достаточно данных для последующих атак направленной социальной инженерии.

– Г-н Грин, вот пароли ваших сотрудников и данные о них. Учтите, они отдали это все добровольно!

– Что вы посоветуете сделать?

– В первую очередь позаботиться об осведомленности пользователей. Учите их! Ведь большинство атак сегодня происходит именно через ваших сотрудников. Делайте это регулярно, поощряйте желание учиться!

На этом проверка Грина была закончена, а отдел доказал свою незаменимость. Это было первое дело в истории отдела. Следующим, как уже решило руководство, будет атака на членов семьи. Кто-то скажет, что это некрасиво, может даже подло. Но! Шантажировать вас преступники могут и через ваших близких, подумайте об этом.

– Вы согласны, г-н Грин?

– Безусловно! Более того, предлагаю включить не только мою семью, а и семьи моих ведущих сотрудников.

Так начался следующий этап проверки.

Сказки о безопасности: Личная безопасность на поверку – 4

После успешной атаки на персональные данные г-на Грина было решено продолжить проверку того, насколько ответственно его сотрудники относятся к защите своих данных.

– Доброе утро, Иоганн! У нас идея!

– Доброе утро, Роберт! Что вы предлагаете?

– Мы предлагаем проверить сотрудников компании N, чтобы оценить, насколько они понимают, с какой информацией они работают и как ответственно относятся к ее защите.

– Что вы предлагаете?

– Как вы помните, напротив бизнес-центра, в котором расположена компания Грина, есть закусочная. Фактически это кафе, в котором обедают сотрудники этой компании. Сейчас она закрыта на ремонт. Мы предлагаем установить там передвижную закусочную, оборудовав ее подслушивающими устройствами, а потом проанализировать разговоры. Стоимость такой операции – копеечная. Но нужно сделать так, чтобы возле нее всегда была очередь, в которой и будут вестись нужные разговоры.

– Мысль интересная, но мне нужно согласовать это с представителями контрразведки. Ведь это их дело. Но мне это нравится.

Прошла неделя.

– Роберт, мы получили добро на проведение операции. Но вместе с вами в группу будет включен и представитель контрразведки. Мешать он не будет, его дело – анализ речевых данных.

Прошло две недели.

Результаты проверки были настолько плачевны, что в компанию в срочном порядке были отправлены сотрудники контрразведки. Как оказалось, персонал компании в обеденный перерыв обсуждал производственные процессы, вопросы оплаты и т. п. совершенно открыто. Но самое печальное было то, что часть этих вопросов относилась к государственной тайне.

Обсуждались не только производственные вопросы, а и сведения, которые можно было бы отнести к персональным данным и которые можно было бы использовать для шантажа тех или иных сотрудников.

Интересно, а если бы такой эксперимент поставили в вашей компании, то многое бы вы услышали? Ваши сотрудники в курсе, что производственные дела нужно обсуждать только на территории компании?

Сказки о безопасности: Личная безопасность на поверку – 5

Прошло две недели с момента организации мобильной точки сбора информации о сотрудниках компании г-на Грина. Закусочная уже работала в нормальном режиме, а Питер придумал новую атаку на сотрудников и, в частности, на самого Грина.

За пару дней вместе с Джейсоном они прослушали домашнюю Wi-Fi точку Грина и убедились, что она надежно защищена. Но ломать ее никто и не собирался. Нужно было лишь получить ее идентификатор. После этого на территории компании мистера Грина была развернута фальшивая точка доступа с тем же идентификатором, что и домашняя, но без пароля. Смартфон Грина находил знакомую точку и цеплялся к ней. В результате Питер получил пароль Грина к социальной сети и домашней и служебной почте.

– Роберт, вот ваши пароли. Вот домашний, вот рабочий, вот пароль от социальной сети.

– Ребята, а скрыть от вас что-то можно?

– Безусловно! Есть два способа. И первый – это применение везде, где можно двухэтапной аутентификации.

– Это когда вы предъявляете пароль, а вам приходит SMS с кодом? И вторым шагом является ввод кода?

– Да! Это гораздо надежнее, чем просто пароль.

– Я знаю. Но иногда, насколько я понимаю, SMS приходит поздно, а это неудобно, верно?

– Конечно! Но для этого есть еще два способа. Первый – вы устанавливаете себе генератор одноразовых паролей на смартфон, а второй – вы распечатываете порядка десяти кодов с сайта заранее, а потом распечатываете следующие 10.

– Впрочем есть и еще один способ. Кода вы входите на сайт вашей почты, вы указываете что работаете в недоверенной среде. Например, на чужом ПК. В этом случае вы можете ввести только вторую часть пароля. Без первой вообще. А так как каждые 30 секунд она меняется, то пусть перехватывают эту информацию. Это называется OTP (One Time Password).

– Здорово. Но как быть, если почтовый клиент не понимает двухэтапную аутентификацию?

– На самом деле и это не страшно. Вы можете заранее сгенерировать себе пароль для этого приложения. Даже если его и перехватят, он будет работать только на этом ПК и только в этом приложении. А вы после работы в недоверенной среде его просто измените. Вот и все! Есть еще и аутентификация вашей Wi-Fi точки по сертификату. Тогда вообще атака точки будет невозможна.

– Спасибо! Я никогда не подозревал, что нужно столько знать.

– Знать нужно намного больше. Увы, атаки совершенствуются ежедневно! Учиться и учиться вот что нужно! Г-н Грин, заведите себе за правило, что ваш специалист по информационной безопасности должен регулярно обучать ваших сотрудников! Да и сам учиться у нас в Академии.

А вы готовы к таким атакам? Точно?

Сказки о безопасности: Атака на целостность и доступность

Маленький Зайка пришел из школы хмурым и на все вопросы, мол, как у него дела, отвечал односложно, что все хорошо. На самом деле все было не так хорошо, как он говорил, но зачем об этом знать маме? Вчера он с друзьями так набегался и наигрался, что просто забыл выучить домашнее задание. А сегодня, как назло, его вызвали к доске. Вот и получил плохую оценку.

И тогда Зайка решил схитрить, просто вырвав страницу из дневника. И теперь очень волновался по этому поводу. Как это примет мама? Решил он ничего не говорить. А рассказать потом, когда исправит плохую отметку.

– Зайка, что случилось? Почему ты такой хмурый? Если из-за плохой отметки по физике в школе, то не отчаивайся, исправишь! Я ведь знаю, что ты не выучил уроки.

– Откуда? Я ведь тебе ничего не говорил!

– Да-да, конечно, не говорил! И даже страницу вырвал из дневника! Я знаю.

– Но откуда?

– Да все просто. Знаешь, как папа называет такие действия на своем взрослом непонятном языке? Ты ведь помнишь, кем он работает?

– Да, конечно, помню. Наш папа – руководитель департамента информационной безопасности.

– Да-да. Так вот! Он говорит, что это атака на целостность и доступность информации и что это очень плохо!

– А ты откуда знаешь, что я страницу вырвал?

– Да потому что я, опять-таки, в папиных терминах, всегда перепроверяю полученную информацию по нескольким независимым каналам. Я просто позвонила тетушке Сове, твоей учительнице, и она мне все рассказала. Если хочешь, чтобы тебя впредь не могли атаковать так, как ты меня сегодня, всегда пользуйся несколькими независимыми каналами связи. Тогда ты сможешь получать объективную информацию. Понял?

– Да, мама! Хорошо, что у нас папа такой умный, а ты такая добрая. Я исправлюсь!

А вы тоже пользуетесь несколькими независимыми каналами связи? Или нет? Подумайте!

Сказки о безопасности: Чудо-фонарь

Вот и прошел Новый Год. Праздники позади, снова пора на службу. В последнее время Иоганн все чаще понимал, что империи нужны новые технологии. Увы, но все чаще и чаще полиция и служба безопасности обращались к нему за помощью в поисках тех или иных людей. Как просто пропавших, так и преступников. Он понимал, что сил его сотрудников катастрофически не хватает, как и техники на дорогах. Но что делать? Не вешать же камеры на каждом столбе? Мысль неплохая, но кто ж это будет делать? Ведь тогда нужны и микрофоны с динамиками, включаемые выборочно по команде. Да и датчики оружия пригодились бы. Ах, эти мечты-мечты…

Придя на службу, Иоганн первым делом поздоровался с дежурным, прослушал доклад о том, что ночью все прошло спокойно и поднялся к себе в кабинет.

– Доброе утро, шеф! Вам кофе принести?

– Я только пришел. Откуда ты знаешь, когда меня ждать? Меня это постоянно удивляет!

– Ха! Чего проще? Я попросила наших техников вывести мне датчик с видеокамеры на воротах. Как только в воротах появляется ваш автомобиль или камера фиксирует ваше лицо, мне сразу же приходит сигнал, что пора ставить кофе J Все просто!

– Софи, вы гений! Я всегда знал, что наша Академия воспитывает гениев!

– А если серьезно, шеф?

– А если серьезно, то берите чашку и расписание на сегодня. Что там у нас? Надеюсь, нет скучных совещаний ни о чем?

– Да нет. К вам просилась с утра Рита с какими-то молодыми людьми. Говорила, что у них очень интересный проект, а сами они никак не могут пробиться в департамент финансов для получения финансирования. Нужна ваша помощь.

– А ребята уже здесь?

– Да. Ждут вашего разрешения.

– Пригласите их в комнату для переговоров.

– Доброе утро, шеф!

– Доброе утро, Рита!

– Доброе утро, коллеги! Что вас привело ко мне?

– Мы разработали и хотим представить на выставке «Безопасность» модульные светодиодные уличные фонари, которые станут частью концепции «умного» города. Они не только могут оповещать об опасности, меняя цвет, а также раздавать Интернет, но и следить за прохожими и записывать их разговоры.

– Так! Где можно посмотреть образец?

– Пока только у нас в лаборатории. Мы еще не показывали его никому. Простите, у нас просто нет денег на производство, а попасть в департамент финансов нет связей.

– Рита, с этого дня эти молодые люди до окончания проекта становятся членами нашей спецлаборатории. А вы привезите нам опытный образец для тестирования. Учтите, с этого дня проект проходит под грифом «Секретно». Что еще может ваш фонарь?

Конец ознакомительного фрагмента.

Текст предоставлен ООО «ЛитРес».

Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.

Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.