Цифровая гигиена. Том 4

Сказки о безопасности: Дактилоскопический развод

– Привет, Потапыч!

– Привет, Хрюша. Что случилось? Опять проблемы?

– Ага, да вот только не у меня, а у Хрюнделя. Ты ж знаешь, мы купили ему смартфон. С тех пор он целыми днями играет на нем, я уже говорила тетушке, что так нельзя делать, но он нас не слушает.

– И что произошло на этот раз?

– В этот раз он непонятно куда просадил свои деньги. Клянется, что ничего не делал, но на счету денег нет. Думаю, что его элементарно обманули. Но вот доказать я не могу ничего.

– У него Android на смартфоне?

– Нет, мы специально купили ему iPhone, чтобы не думать о вирусах. Тетушка была этим сильно напугана и даже специально решила, что заплатит дороже, но, чтобы у Хрюнделя было все лучшее.

– Тем более странно. А какие приложения он устанавливал в последнее время?

– Я не знаю, какие-то игрушки, впрочем, если это важно, я пришлю к тебе Хрюнделя завтра с утра вместе со смартфоном.

– Договорились. Жду его с утра. Я позову своего знакомого, он специалист по смартфонам.

Настало утро.

– Хрюндель, что ты устанавливал на свой смартфон перед тем, как у тебя пропали деньги?

– Игрушку.

– Какую? Мне из тебя клещами тянуть все?

– Вот эту. А что?

– Что необычного было во время установки?

– Меня попросили все время держать пальцем по домашней кнопке своего iPhone, чтобы отсканировать мой отпечаток пальца для использования в игре.

– А ты, естественно, так и сделал?

– Да!

– Что скажешь, Ворон?

– Да что сказать? Его просто и элементарно обманули. Пока происходит сканирование, приложение запускает покупку в приложении, которая затем аутентифицируется с помощью Touch ID и завершается до того, как пользователь даже поймет, что происходит.

– Лихо! То есть он сам за все заплатил?

– Ну да. Причем ни один банк никогда не вернет ему деньги, ведь он сам все сделал. Нужно писать в компанию, чтобы удаляли приложение.

– А что ему посоветовать?

– Да что! Поменьше играть и быть умнее. Хотя, поможет ли? Не уверен!

Согласно данным аналитической фирмы Sensor Tower, «дактилоскопическая» тактика злоумышленников оказалась чрезвычайно успешной. Приложение Calories Tracker в ноябре привлекло 60 тыс. долл., а Fitness Balance – 10 тыс. Они уже удалены из App Store.

Сказки о безопасности: Слежка за автомобилями

– Иоганн, нам нужна ваша консультация. Что вы думаете по поводу электромобилей?

– Думаю, что при наличии определенной воли со стороны императора мы можем получить дополнительно новое средство наблюдения за гражданами страны. Да, у нас сегодня есть системы распознавания лиц, множество камер на дорогах, авторизация в мессенджерах и веб-сервисах – все это позволяет полиции знать, что делает гражданин в конкретный момент времени. А теперь к числу этих инструментов мы можем добавить еще и электромобили.

– Да, но как мы это поясним гражданам?

– А зачем им что-то пояснять? Единственные, кому придется что-то пояснять, это производители электромобилей. Но им-то как раз пояснить все достаточно просто.

– Как?

– Заботой о покупателе, естественно. Ведь если все производители такого рода транспортных средств будут встраивать системы, которые каждые 30 с отправляют властям информацию о местонахождении машины, ее скорости и направления движения, то они всегда смогут оказать помощь покупателю за минимальное время. Ведь лучше производителя эту помощь никто не окажет. Ну а покупателю достаточно знать, что его координаты в случае чего будут передаваться на ближайшую станцию техобслуживания.

– Но тогда нужно будет договариваться не только с нашими, но и зарубежными производителями электромобилей.

– А куда они денутся, иначе не будем импортировать. И все.

– Отлично. Так и сделаем.

Прошло несколько лет. Чиновники говорили, что они используют данные для того, чтобы усилить безопасность пешеходов и автомобилистов, оптимизировать промышленное производство и инфраструктурное планирование, избежать возможности обмана со стороны автопроизводителей, которые получают льготы со стороны государства.

И все было хорошо. Правда никто не знал, что вся эта информация с легкостью может использоваться и для других целей – например, установления местонахождения конкретного человека. А в перспективе электромобили следующего поколения будут отсылать властям и более персонализированные данные – например, что человек искал в навигационной системе, с кем он встречается, какие локации посещает.

Разумеется, был построен центр сбора и анализа информации. Он разместился в неприметном здании. Незачем привлекать лишнее внимание. Основной же офис располагается в подвале.

В офисе есть огромный экран, на котором отображается местоположение электромобилей – и картинка не статичная, все это постоянно изменяется, в соответствии с изменением местоположения машин. Если кликнуть на одну из точек-автомобилей, то можно получить все необходимые данные о транспортном средстве, включая модель, скорость, пробег и остаток заряда батареи.

– Иоганн, нам нужно отследить машину господина Д. Он использует электромобиль. Вот его госномер, марка, номер двигателя и кузова.

– Да, это все что нам нужно. Можем найти его прямо сейчас. Нам нужно буквально минуту. Господин комиссар, он едет по 5-й улице. Продолжить наблюдение?

– Наша машина будет там через 5 минут. А мы можем его остановить?

– Безусловно.

Через 5 минут господин Д. был задержан полицией.

Вы думаете это сказка? Совсем нет. Сегодня электромобили уже отслеживаются в Китае.

Сказки о безопасности: Загадочное уведомление

– Привет, Потапыч!

– Привет, Заяц! Что хотел?

– Да ерунда какая-то. Не могу понять. Поможешь?

– Не знаю, но попробую. А что случилось?

– Да вчера сидели с соседкой, вдруг ей приходит push-уведомление от Google Maps «Вы получили бесплатный приз от Google» и ссылка.

– Странно, конечно. Зачем Google рассылать какие-то призы? Им и так хорошо. И что дальше?

– Когда она нажала на ссылку, оказалось, что оно от пользователя по имени You Have Received a Free Prize, и Карты предложили обменяться с ним местоположением. Я предложил заблокировать, и все на этом закончилось. Ты не сталкивался с таким? Интересно, а что произойдет, если доверчивый пользователь все же продолжит?

– Хороший вопрос. Не знаю. Думаю, что большинство пользователей отказываются предоставлять свои данные. Тем не менее, найдутся и те, кто согласятся указать местоположение. В основном, видимо, те, кто решат, что уведомления рассылают близлежащие магазины в рекламных целях. Я пока не понимаю, кто и зачем это рассылает, однако думаю, что ты дал правильный совет.

– Спасибо, Потапыч! Я помню, как ты нам рассказывал, что ничего не бывает бесплатным. Уж лучше и я моя подружка обойдемся.

– Ты прав. Лучше обойтись!

Сказки о безопасности: Опасные куклы для взрослых

– Иоганн! Срочно приезжайте! За вами и вашими сотрудниками уже выслан транспорт! За Марком и Ритой, как наиболее далеко живущими сотрудниками, я выслал вертолет транспортной полиции.

– Да что случилось?

– Приедете, расскажу. Уж больно неприятная история. Прямо скажем, с душком.

– Еду.

– Итак, господин комиссар, что произошло?

– Вчера нашему секретарю имперской канцелярии пришло письмо от неизвестного злоумышленника. Он угрожает опубликовать некоторые компрометирующие фотографии и видеозаписи и требует предоставить ему копии секретных документов.

– А можно понять, где сделаны эти фотографии и видео.

– Можно. Сделаны они в новом салоне интимных услуг Robo-Dolls. Там вместо обычного персонала – роботы. Последнее поколение секс-кукол связывается с управляющим сервером, запоминает данные своего «пользователя», чтобы обеспечить более «индивидуальный подход». Ведь пользователи всегда хотят чего-то большего от своих гаджетов.

– Та-а-к, кажется, кто-то взломал эти куклы. Вы правы, это действительно дело нашего департамента. Посмотрим, что там такое.

– Макс, езжайте туда вы. Думаю, что Рите там будет не совсем приятно.

– Шеф, да какая разница? Куклы они и есть куклы, тем более мы туда работать едем.

– Хорошо, берите ее с собой. Сам понимаешь, дело строго секретное.

– Еще бы.

Прошел день

– Шеф, а ведь действительно, кукол взломали. Вернее даже не кукол, а канал связи между ними и сервером. Вообще, разработчикам хочется сломать руки и запихать их вместо ног. Идиоты! Как можно было сделать шифрованный канал и назначить вместо ключа шифрования серийный номер куклы, который пишется прямо на ее коробке. Я даже не знаю, как это назвать!

– Спасибо, Макс! Куклы нужно отозвать, пока не исправят программное обеспечение. И в дальнейшем разрешать их продажу только после того, как они пройдут сертификацию в нашем департаменте!

– Ну да, мы секс-роботов еще не сертифицировали.

– А что ты предлагаешь, Макс? Оставить как есть?

– Нет, конечно.

– А что со злоумышленником? Мы что-то знаем о нем?

– Да. Ребята уже связались с его провайдером, установили его место жительства. Вы не представляете, шеф! Этот идиот работал прямо из дома. Туда уже уехал наряд полиции, думаю они его уже привезли.

– Отлично! Давайте его сюда! Нам интересно, откуда он узнал о дефекте шифрования.

– Что вы можете сказать? Ведь вы же не программист. Откуда вы это знаете?

– Мой брат работает в компании-производителе кукол. Он говорил об этом дефекте, но руководство компании сочло, что вносить изменения слишком дорого. А через месяц моего брата просто уволили по сокращению. Он рассказал мне обо всем, и я просто украл у него это программное обеспечение. Он даже не знает об этом.

– Понятно, вы просто подставили его.

– Да! Но мне нужны были деньги.

– Ну а теперь вместо денег вы получите тюремный срок.

Вот так закончилась эта история. Думаю, что очень скоро подобное станет реальностью.

Сказки о безопасности: Цифровой апокалипсис

– Иоганн! Срочно приезжайте! За вами и вашими сотрудниками уже выслан транспорт! В столице и вообще по империи – коллапс. В первую очередь транспортный. Все подробности по приезду.

– Да что случилось?

– Приедете, расскажу. Операция строго секретна. Всем перейти на использование шифрованной связи.

Прошло полчаса.

– Все в сборе?

– Да, шеф!

– Пригласите комиссара полиции. Он доложит, что произошло.

Сегодня утром, а точнее 1 час и 45 минут назад более 30 млн. граждан империи, использующих мобильный Интернет, сообщили что они остались без доступа к Интернету. Мало того, о подобном сообщили наши посольства еще из трех стран. Мы не знаем, что это. Возможна массовая террористическая атака. Вам предстоит разобраться, что случилось.

– Н-да, еще три-пять лет назад это было бы просто небольшим раздражением, а тут чуть ли не угроза терроризма.

– Рита, ты, безусловно, права. Однако ты забываешь, что за это время среднемесячное использование мобильных данных в нашей стране выросло в двадцать раз, и владельцы телефонов используют их для всего – от потоковой передачи музыки до заказа такси и навигации.

– Согласна. Сегодня это цифровой апокалипсис.

– Именно так! Курьеры не могут доставить вовремя грузы. Заказать элементарную пиццу проблема. Таксисты не могут работать, ведь они опираются на навигационную систему, а она тоже не работает! Информационная система на столичных автобусных остановках вышла из строя. Мало того, остановлена работа многих небольших компаний, работавших через Интернет. Это катастрофа! Люди блокированы от жизни, социальных сетей, банков, данных. В некоторых торговых центрах невозможно расплатиться карточками, а так как мы уже привыкли не иметь в руках наличных, то люди просто не понимают, что им делать!

– А что говорят операторы мобильного Интернета?

– А что они могут сказать? Обвиняют неназванного стороннего поставщика программного обеспечения.

– Иоганн, нам нужно получить доступ к сетям операторов мобильного интернета и связаться с этим «неназванным» поставщиком.

– Все уже готово, документы выписаны. Работайте!

Прошло четыре часа.

– Шеф, мы нашли причину. Она проста до банальности.

– А можно подробнее?

– Этим «неназванным» поставщиком оказалась фирма Е. Она уже принесла свои извинения и дала поразительное признание, что проблемой стал истекший сертификат клиентского ПО. А ведь чего проще было бы просто следить за сроком окончания сертификата!

– Проблема решена?

– Да. Они сейчас распространяют новый сертификат. Но, боюсь, на решение уйдет порядка 24 часов.

– Ну что ж, это лишнее свидетельство того, насколько мы зависим сегодня от Интернета.

Сказки о безопасности: Рекламный путеводитель

– Иоганн, у нас проблема.

– Что, опять? Так надеялся хоть под Новый Год отдохнуть. Что случилось?

– Нам нужно отследить место встречи наркокурьера с покупателем.

– А что там такого сверхъестественного? Неужели ваши люди справиться не могут? Вы меня удивляете!

– Проблема в том, что явно мы не можем его вести, слишком велика вероятность обнаружения слежки. А не явно у нас не получается. Он ныряет в метро и все.

– Он не пользуется навигаторами?

– Нет!

– А что вы о нем знаете?

– Он договаривается о месте встречи через социальную сеть, приходит и ему там дают следующие координаты. И так несколько раз.

– Отследите его через сотовую связь.

– Ха! Мы так и хотели. Не получается. Он для связи использует мессенджеры и только общедоступные точки Wi-Fi, а по городу их полно. Не знаю, что и делать. Потому и пришли к вам на поклон. Думаете, нам так легко расписаться в собственном бессилии?

– Не думаю. Ладно. Что у нас на него есть?

– Есть MAC-адрес его смартфона.

– Ну, это уже кое-что. А какой социальной сетью он пользуется?

– Сетью F.

– Так это ж в корне меняет дело. Все гораздо проще, чем я думал. Помните, мы организовали рекламную компанию Т? Вы еще говорили, что это глупая трата денег. Помните?

– Я и сейчас так думаю.

– А зря! Совершенно зря! Социальная сеть F уже умеет прогнозировать «траекторию местоположения» пользователя, другими словами, определять место, куда он, вероятно, движется. Чтобы подсунуть соответствующую рекламу.

– И что нам это даст?

– Можно, например, сообщить ему, что кафе, куда он, скорее всего, направляется, закрыто на ремонт и предложить альтернативу. Если он примет это предложение, мы будем знать куда он идет, будем там раньше и перехватим его общение по Wi-Fi. Таким образом мы сможем его перехватить и в конечной точке.

– А кто ему даст эту рекламу?

– Комиссар, вы меня удивляете! Конечно, компания Т. Собственно, для этого мы ее и создавали!

– Иоганн, вы и ваши сотрудники настоящие маги! Я, кажется, всерьез понял, почему вашего департамента боятся в полиции. Вы умеете найти выход, причем таким образом, который нам даже в голову не приходит. Поздравляю! И спасибо огромное, что вы играете на нашей стороне. Я беру свои слова обратно о компании Т. И вообще, если вам нужна любая, я подчеркиваю, любая помощь от нас – обращайтесь! И вам и вашим сотрудникам!

– Спасибо! Ловлю на слове!

Сказки о безопасности: Распознать лицо

– Иоганн, у нас проблема.

– Что, опять? Так надеялся хоть под Новый год отдохнуть. Что случилось?

– Вы уже слышали о стрельбе на 21-й улице? В баре «Под липой».

– Да, я прочел об этом утром, а что?

– Да там банда каких-то отморозков пристрелила мужчину. Но самое интересное не это. При нем найден смартфон. Мы вели этого курьера от самой границы и так бездарно потеряли. Проблема в том, что смартфон использует аутентификацию по Face ID. У нас нет времени ждать, пока вскроют этот смартфон, да и гарантии, что его вскроют, нет. Сможете помочь?

– Думаю да. Ирина, пригласите сюда Марка.

– Марк, нужно вскрыть телефон. Проблема в том, что мы ничего о нем не знаем. Он требует Face ID. А у хозяина выстрелом снесло полголовы. Сможем помочь?

– Думаю, да. У нас есть фотографии этого человека? Причем чем больше, тем лучше.

– Комиссар?

– Есть, конечно, причем сделаны разными камерами и с разных сторон. Я распоряжусь, и их вам немедленно доставят.

Прошло полчаса.

– Марк, вам пришло электронное письмо. Направлено на секретариат с пометкой «Марку, срочно!». От комиссара.

– Отлично, я его жду.

– Александра, будьте добры. Вы сможете сделать мне 3D-снимок головы по этим фото? В цвете.

– Безусловно. Пять минут.

– Марк, вот ваш снимок. Что сделать дальше?

– Распечатайте в натуральную величину на нашем 3D-принтере. Только в цвете.

– Понятно! А зачем, если не секрет?

– Будем подставлять эту голову смартфону. Попробуем его открыть.

Прошел еще час.

– Иоганн, с комиссара хороший кофе. С коньяком. И печенье, миндальное! Мы все сделали. Открыли смартфон, данные скачали. И знаем, куда направлялся курьер.

– Комиссар, примите мои поздравления. Мы вскрыли смартфон. Порядок!

– Мои поздравления вашим ребятам. А курьер с кофе, коньяком и печеньем уже в пути! Я сам приеду чуть позже.

Это уже совсем не фантастика. С помощью гипсового слепка головы такие смартфоны уже вскрывали.

Сказки о безопасности: Дырявая оборона

– Иоганн, император приказал провести аудит наших систем противоракетной обороны.

– Хм, господин канцлер, я понимаю, что это необходимо. Однако, простите, мы-то тут причем? Это дело департамента обороны!

– Согласен, однако возникли проблемы. Нужен именно ИТ-аудит, причем независимый. Но сами понимаете, кого попало мы не можем пустить, это ведь совершенно секретные объекты. Так что придется поработать вашим сотрудникам.

– Согласен, но работать им придется в военной форме. Никто не должен знать, что это не специальное подразделение департамента обороны.

– Понимаю. Проверке подлежат как технические, так и организационные аспекты.

– А почему вообще встал этот вопрос?

– После запроса из канцелярии императора. Адмирал С., курирующий направление противоракетной обороны, выразил обеспокоенность состоянием критической инфраструктуры, обрабатывающей данные систем ПРО. А ведь эта информация включает, помимо прочего, результаты военно-космических исследований, инженерно-техническую документацию, спецификации и исходный код различных программ на службе вооруженных сил империи.

– Понятно.

Прошел месяц.

– Господин канцлер, аудиторы изучили ситуацию на пяти случайно выбранных объектах ПРО и выпустили два доклада с выводами.

– Ваши впечатления?

– Откровенно? Сказать бардак – это просто ничего не сказать! Серьезнейшие проблемы! Подрядчики не справились с контролем доступа, учетом и устранением уязвимостей. Армия не смогла защитить сети и системы, хранящие, обрабатывающие и передающие технические данные систем ПРО.

– А можно подробнее?

– Легко, я пригласил сюда руководителей аудиторских команд. Прошу, Франц!

– Господин канцлер, Франц Игл! Руководитель аудиторской команды ВМС империи. Проверкой, проведенной на базе в Штромм, выяснено следующее. Персонал не использует многофакторную аутентификацию. Политика безопасности предписывает сотрудникам использовать для доступа к ИТ-инфраструктуре не только пароль, но и ключ, который нужно активировать в течение определенного срока после приема на работу. На практике этот период растягивается до бесконечности. Нам удалось найти сотрудника, который авторизуется только по паролю на протяжении последних семи лет. На одном объекте многофакторная аутентификация в сети оказалась вообще не предусмотрена. Таким образом, система уязвима перед фишинговыми атаками и хищением пароля.

– А может это только одна такая база?

– Увы, господин канцлер. Мы обнаружили незакрытые уязвимости ПО на трех из пяти объектов. Причем это уязвимости, патчи к которым выпущены от пяти до двадцати (!) лет назад! Как минимум на одной базе ИТ-служба не установила антивирус.

– Господин канцлер, позвольте и мне? Эдвард Трауб, аудиторская команда ВВС. При проверке выявлено, что сотрудники трех баз ПРО не шифровали данные при копировании на съемные носители. По их словам, выполнить требование безопасности было невозможно из-за технической отсталости используемых систем – они не обладали необходимыми мощностями для шифрования, а на новое ПО у летчиков не было денег. Кроме того, руководители технически не могли контролировать соблюдение установленных правил.

И последнее, но самое удивительное. В дополнение к проблемам ПО на многих объектах обнаружились проблемы физической безопасности. В двух случаях посторонние лица могли проникнуть в серверные комнаты, где стояли открытые стойки с оборудованием, что позволяло потенциальным злоумышленникам подключить к нему вредоносные устройства. Руководитель одной из этих баз не знал о необходимости закрывать стойки. В свое оправдание он заявил, что у них не бывает случайных посетителей. На втором объекте требование запирать серверы было размещено прямо на оборудовании, однако персонал игнорировал указание.

– А что говорят руководители?

– Они никак не прокомментировали наши выводы. Просто отказались!

– Да-а-а-а! Теперь я понимаю, что адмирал обрисовал положение еще в розовых красках. Прошу всех руководителей аудиторских команд быть на императорском совете. Докладывать будете лично!