Полная версия
Цифровая гигиена. Том 4
А ведь это не совсем сказка. Проверка показала огромное количество недостатков в информационной безопасности баз ПРО США. И что с этим делать, пока никто не знает!
Сказки о безопасности: Взлом новогоднего праздника
По сообщению собственного корреспондента «Эльф Таймс» из штаб-квартиры «Мастерской Санты», корпорация перенесла взлом и фишинговую атаку. В данный момент все последствия атаки устраняются.
«Мастерская Санты», мировой производитель игрушек со штаб-квартирой на Северном полюсе, насчитывает более 80 000 эльфов-сотрудников. Большая часть производства приходится на декабрь, но практически все работники заняты 364 дня в году, чтобы спроектировать, создать и упаковать более двух миллиардов игр и игрушек, которые потребуются для рождественского утра и Нового года.
Первый признак беды
Отдел жалоб «Мастерской» гордится своим положительным рейтингом удовлетворенности клиентов. Очень редко звонки в департамент поступают вне напряженного декабрьского периода. Поэтому, когда в ноябре эльф Грамблс из службы поддержки клиентов получил звонок от обеспокоенного родителя, это вызвало у него крайнее удивление.
«В тот момент, когда эльф Грамблс сообщил мне о звонке одного из родителей, я понял, что это срочный вопрос и решать его нужно очень быстро. Маленький Джонни плакал и не мог спать, но после долгих уговоров он признался своему отцу, что Санта требует с него выкуп! Малыш получил электронное письмо с сообщением о том, что Санта заметил, что он плохо себя ведет, и поэтому решил его переместить из списка „хороших“ в список „непослушных“, если Джонни не заплатит ему 1400 долл. в биткоинах, – рассказал Эльф Бернар, руководитель „Мастерской“. – Отец Джонни был возмущен, но, подавив гнев стаканом чего-то достаточно крепкого, понял, что что-то тут не так! Поэтому он позвонил в службу поддержки, чтобы узнать, сможет ли он заставить Санту пересмотреть приговор Джонни или договориться о более разумной плате».
Поиск компромисса
Эльф Бернар был очень взволнован. Как это могло произойти? Неужели кто-то получил доступ к базе данных «Хорошие и плохие» и выдает себя за Санту? Он понял, что нужно срочно звонить в эльфийское агентство безопасности, его главе, чтобы срочно сообщить о развитии событий и своем страхе перед взломом базы данных. К его удивлению, эльфийский агент X ответил, что подозревает возможный источник нарушения.
«Эльфийский агент X сказал мне, что в начале года эльф Глиттерпантс подал жалобу в службу поддержки, когда внезапно перестал работать его десктоп», – рассказал эльф Бернар. При осмотре эльф Гик из ИТ-отдела определил, что эльф Глиттерпантс получил электронное письмо, пересланное эльфом Уэлли из отдела упаковки. В электронном письме была ссылка, предлагающая 75% скидочный код на блестящие банты, поэтому эльф Глиттерпантс нажал на нее. После того, как он заполнил свою личную информацию на веб-сайте, он получил всплывающее окно с просьбой ввести свое имя пользователя и пароль, чтобы обновить флэш и распечатать ваучер. Он так и сделал, и запустил скачанный файл. Через несколько секунд его экран погас, и он позвонил в службу поддержки.
Эльф Гик восстановил десктоп, провел антивирусное сканирование и решил, что все хорошо. В соответствии с процедурой он уведомил эльфийского агента X об инциденте. Агент X принял заверения эльфа Гика в том, что машина была чистой. В то время он рекомендовал эльфам Глиттерпантс и Уэлли посетить тренинг по безопасности. Но, оглядываясь назад, эльфийский агент Х признал, что должен был понять опасность веб-сайта, запрашивающего имя пользователя и пароль.
Сканирование и защита системы
Эльф Бернар и агент Х приступили к работе. Они рассмотрели все роли и полномочия пользователей и провели полную проверку своих систем. Сканирование выявило 100 867 незащищенных уязвимостей, сгруппированных и расставленных по приоритетам.
«Мы очень благодарны агенту Х и его команде безопасности. Они не только помогли нам защитить нашу критически важную базу данных клиентов, но и предотвратили крупный инцидент. Мы защитили все ключевые системы и внедрили программу управления исправлениями. Я знаю, что многие люди говорят, что Санта – волшебник, но в этом году агент Х проделал тяжелую работу, следя за тем, чтобы все милые девочки и мальчики получили подарки в это Рождество», – резюмировал эльф Бернар.
Сказки о безопасности: Атака под Новый год
– Светлана Ивановна, мы получили из прокуратуры e-mail. В нем написано: «Вам необходимо провести аудит соответствия вашей компании требованиям по защите КИИ в соответствии с Федеральным законом… В случае отказа к вам могут применяться статьи…» Куда его?
– Перешлите мне, распечатайте, учтите во входящих. И да, перешлите безопасникам, юристам и… Что такое КИИ?
– Судя по ФЗ это критическая инфраструктура
– О! Тогда разошлите членам Совета.
– Хорошо!
Все получившие письмо открыли его. Ну а как же, письмо-то из прокуратуры! Перешли по ссылке. А в это время где-то отославший его злоумышленник улыбался, потирая руки. Атака удалась! Злонамеренное программное обеспечение получил не только секретарь директора. На такую удачу никто и не рассчитывал. Запустить? Нет, не стоит, запустим позже, а пока… пока пусть спит зловред. Запустим на выходных или после Нового года, когда у всех голова будет болеть после праздников.
В типичной переписке между подразделениями начали появляться сотрудники и руководители компании, и всем стало казаться, что работа уже ведется… Сотрудники стали выдавать всякие перечни, отчеты и данные в «прокуратуру». Атака удалась!
А вы проверяете получаемые письма? И даже под праздники? Неужели?
Сказки о безопасности: Как дети чуть не остались без новогодних подарков
Перед наступлением Нового года в резиденции Деда Мороза царила предновогодняя суета. Нужно было окончательно расфасовать подарки, определить, что кому, разобрать все новогодние письма. Все бегали как на иголках. В такое время канцелярия Деда Мороза всегда нанимала временных сотрудников, молоденьких неопытных эльфов. Самое сложное было обучить молодежь не путаться в переписке. С недавнего времени канцелярия перешла на электронную почту. Так было куда удобнее.
Однако до сих пор никто не уделял серьезное внимание паролям. Как-то работали и ладно.
Этим решили воспользоваться давние враги эльфов – злобные орки. Они решили, что если уж не могут помешать Деду Морозу доставить подарки, то хотя бы постараются перепутать их назначение. Но как это сделать?
– Рэй, что ты задумал?
– Да есть у меня гадкая идея. Там на приеме писем и сортировке сидит невнимательный эльф. Жутко невнимательный и ленивый.
– И что?
– На домашнем компьютере, который недавно взломали мои подчиненные, он использует пароль «123456». Уверен, что и на рабочем то же самое.
– Он что, совсем бестолковый?
– Ага!
– Это хорошая идея!
Решили и сделали. Пароль почты оказался действительно таким.
– Ура, давайте поменяем подарки и на этого придурка спишем.
Так бы все и получилось, но старый Снеговик, долго работавший в службе безопасности Деда Мороза, заподозрил неладное. Он запустил программу проверки паролей и выяснил, что пароль молодого эльфа не отвечал требованиям безопасности. Проверив письма, Снеговик обнаружил несоответствие и исправил все с помощью резервной копии.
Долго благодарил Снеговика Дед Мороз. А эльфа просто с позором выгнали с работы и заявили, что теперь перед началом работы пользователям будут разъяснять требования безопасности.
Так закончилась эта история.
А вы используете сложные пароли? Точно?
Сказки о безопасности: Проверка мобильных устройств
– Иоганн, у меня к вам просьба! Личная. Ваши ребята смогут помочь?
– Ну что вы, Густав! Мы всегда помогаем тем, кто помогает нам. Что вы хотели?
– Мы вводим у себя мобильные устройства. Пользовательские, для менеджеров, работающих «в полях».
– И что тут плохого?
– Боюсь, чтобы не утекли персональные данные наших клиентов.
– Хорошо! К вам на работу будут отправлены два моих сотрудника, Таня и Пауль. Они попробуют разобраться. Их поддерживать будет подразделение Риты. Естественно, у вас никто ничего не будет знать. Хорошо?
– Спасибо огромное, Иоганн! Я ваш должник!
Прошло две недели.
– Иоганн, вы были правы, у них серьезные проблемы.
– Что вам удалось найти?
– Не мне, Тане.
– Докладывайте!
– Шеф, несмотря на то, что инциденты с нарушением сохранности данных могут показаться незначительными по сравнению с теми, в которые вовлечены настольные компьютеры, все же они могут представлять серьезный риск по другой причине: чем чаще не хватает памяти у таких устройств, тем больше пользователей хранят некоторые свои приложения и файлы с данными в публичном облаке, а оно чаще всего не подконтрольно компании.
– Все верно, а если учесть, что в прошлом публичные облака, используемые пользователями мобильных устройств, уже пострадали от многочисленных атак, то такой сценарий вполне может иметь место.
– Мы также смоделировали атаку, использовав для этого поддельную точку Wi-Fi. Так как мобильные устройства компании находятся в постоянном движении, то взаимодействуют со многими сетями, не контролируемыми компанией. Самый распространенный случай – это открытые небезопасные Wi-Fi соединения в общественных местах. Кибер-преступники могут использовать такие сети для кражи с устройства конфиденциальной информации или даже для получения контроля над ним. Мы установили поддельную точку Wi-Fi с таким же значением SSID, как и подлинная точка доступа, в результате чего пользователь ошибочно подключался к поддельной сети, что позволило нам похитить конфиденциальную информацию.
– Что вы можете посоветовать для минимизации ущерба?
– Прежде всего сведение к минимуму рисков работы с данными на мобильных устройствах – это, как всегда, профилактика и, конечно же, уверенность в том, что сотрудники осторожны при обработке информации. Ну и использование специальных решений, отслеживающих все конечные устройства для того, чтобы обнаруживать аномальное поведение при управлении файлами, содержащим данные.
– А что вы посоветуете в случае поддельных Wi-Fi сетей?
– Да в принципе то же самое. Повышение осведомленности сотрудников о рисках информационной безопасности для мобильных устройств – это, опять же, запрет подключаться к подозрительным Wi-Fi сетям и передавать конфиденциальную информацию и финансовые данные в общественных Wi-Fi. Но также нужно иметь решения безопасности, которые незамедлительно будут предупреждать пользователей в том случае, если сеть является подозрительной, еще до того, как они подключатся к ней. Ну а конкретные решения им должны посоветовать их специалисты по информационной безопасности. Мы ж не можем за них работать!
Насколько серьезно вы относитесь к безопасности мобильных устройств? Или решили, что пока не до того?
Сказки о безопасности: Телевизор-соглядатай
Совещание у президента корпорации NCTV шло второй час. Речь шла о резком снижении прибыли.
– Что вы предлагаете? Мы и так внедрили огромное количество новых технологий, но наши конкуренты делают то же самое. И цены у всех практически одинаковы. Наши телевизоры ничем не отличаются от их. Да и не можем мы каждый квартал выкидывать на рынок что-то новое! Прибыль составляет менее 5%. Еще немного и заводы придется закрывать! Что делать?
На столе президента пискнул телефон.
– Господин Джонс, к вам просятся срочно руководитель ИТ и руководитель службы информационной безопасности. Говорят, это очень срочно!
– Что нужно этим дармоедам? У меня совещание по вопросам продаж.
– Сэр, они говорят, что именно по этому вопросу им и нужно к вам, тем более что все ведущие менеджеры у вас. Просят уделить им 10 минут.
– Если снова будут просить деньги, то у меня их нет. Пусть зайдут!
– Добрый день, господа!
– Да какой к чертям добрый! Мы решаем, будет ли завтра существовать корпорация или нам закрывать продажи этих проклятых телевизоров. Где прибыль? А тут еще вы!
– Именно по этому поводу мы и решили вас побеспокоить! Мы подумали, что прибыль от продаж телевизоров может достигнуть 30—35%.
– Как это? У коммерческого директора идей нет, а у вас есть, а?
– Все дело в том, что мы айтишники, а он нет. А если серьезно, то мы готовы озвучить наши идеи и, если они принесут прибыль, а они принесут, вы делаете нас акционерами вашей компании, и мы получаем 10% от прибыли. Озвучивать?
– Вы грабители!
– Увы, да. Но ведь мы решили озвучить идею вам, а не идем к конкурентам. Так как? 10 или 15%?
– Вначале 10, а там посмотрим!
– Хорошо. Ради чего телекомпании транслируют свой контент?
– Идиотский вопрос. Ради рекламы.
– Второй идиотский. А как считается эффективность рекламы?
– Весьма приблизительно.
– Ну а теперь подумайте. Наши телевизоры, в сущности, это компьютеры. Мы можем собрать информацию о том, кто именно смотрит тот или иной канал, какие передачи, какой провайдер это передает, в какое время, сколько времени зритель проводит на том или ином канале, его возраст, пол и т. д. Причем весьма точно.
– Но кто будет собирать эти данные?
– Как кто??? Наш телевизор! Причем весьма точно! Мы сможем собрать эти данные и продавать их как рекламодателям, так и провайдерам. Это огромный рынок! А телевизоры… Да кому нужно это железо? Продавать его можно по демпинговым ценам. Хоть по себестоимости, хоть даже ниже. Ведь основная прибыль у нас будет от продажи данных!
– Коммерческий директор, а вы куда смотрите?
– Но, сэр, я ж не айтишник!
– А надо! Пора!
Смарт-телевизоры могут собирать о зрителях такую информацию, как время просмотра, просматриваемые телепередачи, реакция на рекламу и пр. А в период недавних зимних праздников стоимость 65-дюймовых моделей таких телевизоров (например, Vizio и TCL) с тонкими рамками, поддержкой сервисов потокового видео и форматов 4K и HDR составляла в США всего-то порядка 500 долл. Технический директор Vizio Билл Бакстер объяснил столь низкую цену тем, что некоторые производители телевизоров собирают данные о своих пользователях и продают их сторонним компаниям.
Сказки о безопасности: Опасный перезвон
– Потапыч, ты дома?
– Хрюша, ну если я трубку взял, то, где я? Конечно, дома! Что ты хотела? Как обычно неприятности? Приходи!
– Иду, Потапыч, бегу!
Прошло полчаса.
– Потапыч, привет! А вот и я! Ставь самовар. Я медку принесла и пирожков с творожком сладким.
– Та-а-ак, значит проблема серьезнее, чем я думал. Жалуйся!
– Да у меня ж есть племянник, Свин. Деньги у него со счета ушли. Позвонил ему кто-то неизвестный. Номер чужой, но его же оператора. Ну, Свин и решил перезвонить. Перезвонил, а деньги со счета ушли.
– Это известное мошенничество. Звонок на платный номер. Номер-то известен?
– Да, а что?
– Давай попробуем позвонить в службу безопасности вашего телефонного провайдера, может помогут чем.
– Давай.
– Алло, у нас проблема. При звонке на вот такой номер у нас ушли деньги со счета. Сможете помочь?
– Нет. Это официально платный номер. Это официальная услуга, вы ж сами перезванивали.
– Да, но почему вы не предупредили, что это платный номер?
– А мы не предупреждаем, извините, это ваши неприятности. Удачного дня.
– Ну что, Хрюша, слышала? Могу только одно сказать. Не знаешь, кто это, не перезванивай. Нужно будет – еще раз позвонят.
– Ой, Потапыч, смотри. Мне SMS пришло. Предлагают посмотреть мои фотографии с корпоратива.
– Не вздумай открывать ссылку. Ты знаешь этот номер?
– Нет, а что?
– Не знаешь – не переходи! И даже если знаешь, перезвони владельцу номера, спроси вначале. Мало ли, вдруг его смартфон взломали. Будь умнее. А то останешься без денег.
– Ой, спасибо, Потапыч! Выручил меня! Буду помнить и Свину расскажу.
Вот такая история может случиться и с вами. Будьте внимательнее. Эпидемия ссылок в SMS не так давно прошла в Молдове. Хотелось бы, чтобы вы только читали об этом, но не стали сами жертвой такого мошенничества.
Сказки о безопасности: Несчастный блогер
Линда считалась самой хорошенькой девушкой их небольшого городка. Впрочем, и не только городка. Она успешно вела свой блог в инстаграме и зарабатывала на этом деньги путем показа рекламы известных брендов. Ведь у нее было более 40 тыс. подписчиков во всем мире. Однако все шло хорошо до тех пор, пока ее учетную запись не взломали. Хакер получил доступ к странице девушки, ее электронной почте и банковскому счету. Она три дня пыталась добиться помощи от службы поддержки соцсети, но у нее ничего не вышло.
– Джо, я не знаю, что делать? Я написала и позвонила им раз сто, но они мне так и не помогли. Что мне делать??? Ведь это годы работы и единственный мой источник существования.
– Что я могу сказать, Линда, я позвонил своему брату, он работает в крупной компании-разработчике средств информационной безопасности, он попробует помочь. Ты ж читала, что в последнее время хакеры поняли, насколько для популярных блогеров важны их страницы в инстаграме? Тем более для некоторых реклама в этой соцсети – единственный источник дохода. Именно поэтому вас и стали все чаще взламывать.
– Но как?
– Брат говорит, что обычно все происходит так. Хакер присылает блогеру письмо, в котором представляется рекламодателем, предлагает сотрудничество и оставляет ссылку на свой профиль. Ссылка на самом деле фишинговая и ведет на фейковую стартовую страницу инстаграма. Как только жертва фишинга вводит логин и пароль, их сразу видит хакер. Он входит в аккаунт популярного блогера, меняет адрес электронной почты и пароль, закрывая доступ к странице. Затем требует выкуп – обычно около 300 долл. в биткоинах.
– Именно так у меня и было. Только попросили 400 долл. Но я читала, что даже оплата не гарантирует возвращение учетной записи.
– Конечно! Ведь они мошенники. Их задача получить деньги.
– Но что делать?
– Вечером брат сказал, что напишет, подождем. Боюсь, сервис поддержки нам не поможет, ведь они шлют только автоматически сгенерированные ответы.
– Да, несмотря на то что в инстаграме разработана специальная процедура для пользователей, это мало помогает. Непонятно почему.
Настал вечер.
– Линда, приходи в гости. Пришло письмо от брата. Он навел справки и предложил обратиться к какому-то Хосе. Да, там потребуется заплатить, но куда меньше, всего 50 долл., но по словам брата, он знает способы, позволяющие заставить поддержку среагировать на жалобу быстрее. Иногда для этого ему нужен доступ в электронную почту клиента, чтобы переписываться с поддержкой инстаграма от имени клиента. Он обещает вернуть тебе доступ к профилю. По словам брата, это вполне реально, тем более платишь ты после возврата доступа.
– Да, но как?
– Говорят, он взламывает устройства самих хакеров и просто заставляет их отдать пароли. Кто знает. Но тебе ж какая разница? Он тебе дает твой пароль. И все. А как это делает – не наше дело.
Такая история вполне реальна. Одни занимаются взломом, другие – взламывают взломщика.
Сказки о безопасности: Бойтесь красавиц, в сети говорящих
– Иоганн, спасибо за помощь!
– Да ну что вы. Это наша работа!
– Эта ваша работа многое приносит в дело повышения безопасности нашей страны! Передайте вашим сотрудникам мое искреннее восхищение!
– Служу империи!
– И отдельно подготовьте список людей, участвовавших в операции для награждения. Предупредите, что награды носить можно и нужно, а вот рассказывать за что еще долго будет нельзя.
Эта история началась год назад в кабинете Иоганна.
– Шеф, есть идея. Вы ж знаете о наших напряженных отношениях с республикой И?
– Конечно.
– До недавнего времени мы активно использовали для разведки местных жителей. Однако из-за повышенного внимания контрразведки республики И эта деятельность практически прекращена. Увы, наши агенты, впрочем, какие там агенты, так, мелочь, провалились, и нам приходится искать новые методы работы.
– Что вы предлагаете?
– Использовать для вербовки агентов среди военнослужащих республики И социальные сети. Районы, которые нас интересуют – это в основном горная и пустынная местности. Пойти некуда, развлечений практически никаких, вот и проводят время местные военнослужащие в соцсетях. Ну а там, почему бы им не познакомиться с очаровательными одинокими женщинами, почему бы не поговорить? Скучно же.
– Ну что ж, Клара. Как вы знаете, у нас в департаменте существует старый армейский закон. «Инициатива наказуема!». Подбираете сегодня себе 2—3 выпускницы Академии и с завтрашнего дня вы с ними прикомандированы к отделу военной разведки департамента обороны. Вы возглавляете это подразделение. Жду еженедельный отчет.
– Что? Вот так сразу?
– А вы как думали. Раз пришли ко мне, значит вы долго над этим думали. А раз так, вам и возглавлять подразделение.
Прошло еще погода.
– Как успехи, Клара?
– Я познакомилась в Интернете под именем Марины с молодым офицером армии республики И. Мы с ним часто разговаривали, подружились. Я представилась медиком из госпиталя города К республики И. Госпиталь тоже находится в удаленном гарнизоне. Постепенно мы становились все большими друзьями, он влюбился. Мне даже пришлось послать ему фото интимного характера. Нет, шеф! Не свое, конечно. Я вообще своих фотографий в сеть не выкладываю.
Короче, его удалось завербовать, и он отправляет мне конфиденциальную информацию об армии, в том числе фотографии танков и бронемашин, данные о вооружениях, координаты воинских подразделений.
Конечно, мы платим ему за передачу стратегически важной информации. Но по нашим меркам смешные деньги. Они ж там нищие по сравнению с империей.
– А как вы перечисляете деньги?
– С карточки одного из банков республики И, открытой на имя несуществующего гражданина. Эти деньги отправляем на счет брата военного, потом он переводит их на свой электронный кошелек.
– Отлично! Продолжайте работу!
Ну а вы, уважаемые пользователи, помните, что на той стороне Сети человеком, с которым вы общаетесь, может оказаться не тот, кого вы предполагаете?
Сказки о безопасности: Обратная сторона кибербуллинга
– Потапыч! Срочно нужна помощь! Не мне!
– Хрюша, ты чего шла в такую погоду? Дождь, ветер! Нельзя чтобы ты еще и заболела. Ну-ка быстро чаю с малиной, да и ноги попарить еще не мешало бы. Ишь чего вздумала. Позвонить никак нельзя было?
– Да я такое узнала, что о телефоне даже и не вспомнила. Тут такое!!!
– Да что случилось? Рассказывай!
– Короче, в школе, где учится мой племянник, произошло чрезвычайное происшествие. Три великовозрастные дуры из выпускного класса выставили в социальной сети фотографию своего одноклассника, опубликовав его имя, фамилию, класс и школу.
– И что тут криминального?
– Слушай дальше. Они организовали голосование на тему «Кто за то, чтобы его убить?»
– Идиотки!
– Конечно. Причем самое интересное, что все они из благополучных семей, отличницы, прекрасно ведут себя в школе.
– Все равно, дуры!
– Да кто ж спорит? А ты сможешь прийти в школу и рассказать им, почему они дуры? И чем это грозит?
