Полная версия
Старший брат следит за тобой. Как защитить себя в цифровом мире
КЕЙС В 2018–2020 гг. в Казани были отмечены многочисленные случаи мошенничества: у абонентов оператора сотовой связи «Мегафон» было похищено свыше 200 000 рублей. Преступления совершались с использованием виртуальных дубликатов SIM-карт и поддельной базовой станции. Проблема заключается в уязвимостях системы безопасности оператора; кроме того, услуга «Мобильные платежи» подключается без согласия абонента[68],[69],[70].
С помощью мобильных приложенийДанный способ объединяет два предыдущих: вы не вводите одноразовый код, а подтверждаете вход с вашего мобильного устройства с установленным приложением службы, к которой вы получаете доступ. На устройстве хранится приватный ключ, который проверяется при каждом входе. Недостатки те же, что и у приложений-аутентификаторов.
С помощью аппаратных устройствТокены безопасности
Для достижения максимального уровня защиты вместо программных инструментов аутентификации применяются аппаратные – специальные магнитные карты или USB-токены (похожи на flash-накопители без возможности записи данных пользователем). В этом случае помимо пароля преступнику необходим физический доступ к токену. Внутри такого токена находится специальный процессор, генерирующий криптографические ключи. Аутентификация осуществляется автоматически при подключении токена к устройству. Существуют версии токенов как для компьютеров, так и для мобильных устройств, например YubiKey (https://thekernel.com/ru/compare-yubikeys/).
В качестве примера можно рассмотреть систему аутентификации SecurID американской компании RSA. При запросе доступа к системе (сайту или устройству) пользователь вводит свой логин и 4-цифровой ПИН-код (который он помнит), а также токен-код, генерируемый аппаратным устройством (или программным токеном-приложением) и меняющийся каждую минуту (отображается на экране устройства и содержит 6 цифр). Введенная информация в зашифрованном виде передается на сервер, где сравнивается с записями в базе данных всех пользователей. При всей кажущейся безопасности система тем не менее подвержена атакам типа MiTM (Man in the middle – «человек посередине»): злоумышленник может заблокировать для пользователя доступ и подключиться к серверу, пока не будет сгенерирован следующий токен-пароль.
Другой ее недостаток в том, что аппаратные токены поддерживаются не всеми сервисами, а установка и настройка программного обеспечения может представлять сложность для неопытного пользователя. Кроме того, такие устройства недолговечны, часто теряются и неудобны из-за необходимости замены батареек, а в случае кражи токена пользователь должен незамедлительно заблокировать доступ в систему или сам токен (если такая услуга предусмотрена разработчиком), пока злоумышленник не успел воспользоваться им.
Примечание. В своем докладе на конференции Usenix Enigma 2018 сотрудник компании Google Гжегож Милка рассказал, что, по его данным, менее 10 % активных учетных записей Google были защищены двухфакторной аутентификацией[71], т. е. 9 из 10 человек получали доступ к своим аккаунтам только с помощью пароля.
Имплантаты
Самый очевидный недостаток аппаратного устройства многофакторной аутентификации заключается в том, что его необходимо всегда иметь при себе. Человек может потерять такое устройство, и ему придется приобретать и настраивать новое, а также восстанавливать доступ в систему. Неудобства и дополнительные финансовые затраты могут заставить пользователя отказаться от многофакторной аутентификации, и тогда его данные будут хуже защищены.
Еще один вариант аппаратного устройства для аутентификации, который можно рассматривать скорее как исключительное решение для гиков, – подкожный имплантат. Это беспроводной ключ, работающий через интерфейс Bluetooth или NFC. Для подтверждения личности достаточно приложить палец, руку или другую часть тела, куда вживлен имплантат, к устройству для считывания ключа, например смартфону. Имплантаты хранят небольшое количество информации и позволяют взаимодействовать с электронными устройствами: смартфонами, планшетами, турникетами в транспорте, терминалами для оплаты и прочими IoT-девайсами. С помощью имплантата можно, к примеру, открывать двери с электронным замком, ключи к которым хранятся в памяти имплантата. При всем кажущемся удобстве имплантаты имеют и отрицательные стороны, например довольно болезненный процесс вживления и проблему замены батареек. Кроме того, если злоумышленник перехватит данные и клонирует имплантат, его владельцу понадобится вновь терпеть боль из-за замены чипа[72].
Еще один вариант второго фактора аутентификации
Интересный вариант второго фактора аутентификации предложили исследователи из Международного университета Флориды и компании Bloomberg L.P. Для его использования понадобится смартфон и специальное приложение Pixie: пользователь фотографирует на камеру смартфона любой повседневно используемый предмет, к примеру свои наручные часы; данное изображение-токен сохраняется в базе данных, и при последующем входе в систему пользователю нужно подтвердить свою личность повторной съемкой часов. Изображение сравнивается с хранящимся в базе данных, в случае совпадения пользователь допускается в систему. Преимущество метода – удобство и относительная безопасность (никто, кроме пользователя, не знает, какой предмет используется в качестве второго фактора аутентификации)[73]. В то же время в большинстве случаев пользователь будет фотографировать существенно ограниченное количество предметов, часто присутствующих вокруг него, и такие предметы может сымитировать преступник. В самом деле, не будет же пользователь таскать с собой домашний будильник или ехать к одному и тому же магазину (фотографировать вывеску), чтобы вне дома получить доступ к системе?
Как правило, обычному пользователю достаточно воспользоваться двухфакторной аутентификацией с помощью специальных приложений, обеспечив тем самым надежный уровень защиты своих персональных данных. Ввод кода из приложения-аутентификатора чаще всего требуется однократно – при доступе к системе (сайту) с нового устройства (либо после смены пароля в настройках аккаунта). Поэтому в случае кражи устройства или получения сообщения о подозрительной активности в аккаунте следует завершить сеансы данного приложения (например, социальной сети) на всех устройствах и сменить пароль. Если вы получили письмо, где сказано, что ваш аккаунт заблокирован за подозрительную активность или нарушение правил сообщества/соцсети, и содержатся ссылки «для восстановления доступа к учетной записи», ни в коем случае не переходите по ним. Такое письмо может быть фишинговым![74]
ВАЖНО! Если вы не пытались войти в систему с поддержкой двухфакторной аутентификации, а вам неожиданно приходит SMS-сообщение или иное уведомление с одноразовым кодом, – самое время задуматься о смене пароля к своему аккаунту. Возможно, его пытаются взломать.
Если нужно защитить более важные данные, составляющие, к примеру, коммерческую или государственную тайну, необходимо использовать аппаратные токены с одноразовыми паролями и прочими средствами защиты, а еще надежнее хранить такие данные исключительно на локальных устройствах без доступа к глобальным и локальным сетям, соблюдая концепцию «контролируемых зон», а также тщательно фильтровать пользователей и настраивать уровни доступа.
Биометрические технологии
Прогресс не стоит на месте, и вместо кодовых фраз, набирать которые сложно и утомительно, все чаще используются биометрические технологии. Это способ идентифицировать человека по физиологическим (отпечатки пальцев, форма рук, снимки радужной оболочки глаза или лица, капиллярный рисунок, сердечный ритм и даже запах и последовательность ДНК) и поведенческим (например, речь или походка) чертам, а также их совокупности.
КЕЙС На мероприятии Chaos Communication Congress 2018 специалисты по исследованию систем цифровой безопасности Ян Крисслер и Джулиан Альбрехт рассказали, как им удалось обмануть систему сканирования капилляров. Подобная биометрическая система используется, например, в офисах Федеральной разведывательной службы Германии. Эксперты сфотографировали свои руки зеркальным фотоаппаратом с инфракрасным фильтром и получили снимки кровеносных сосудов. После этого исследователи отлили из воска модели ладоней, а затем нанесли на их поверхность карту кровеносных сосудов.
Такие способы хоть и не обеспечивают абсолютной защиты (полностью безопасных способов вообще нет), но намного эффективнее в плане контроля за доступом и, безусловно, гораздо удобнее систем ввода пароля (включая и аппаратные средства) с многофакторной аутентификацией. Не нужно запоминать сложный пароль, ожидать SMS-сообщения и вводить полученный код в течение нескольких секунд – достаточно снять на камеру устройства свое лицо или глаз либо приложить палец к специальному датчику. Такие системы тоже могут быть скомпрометированы, но во многих случаях потребуют от злоумышленника внушительных ресурсов либо физического доступа к пользователю. Суть системы в том, что каждый человек обладает уникальными характеристиками, по которым она методом сравнения с шаблонами, хранящимися в базе данных (на устройстве или сервере), определяет, является ли человек, запрашивающий доступ, тем, за кого себя выдает.
Обработка данных в биометрических системах осуществляется по следующей схеме:
1. Запись биометрических данных. Человек впервые сканирует палец, лицо, голос и т. п. Полученные данные захватываются и передаются на обработку.
2. Обработка биометрических данных. Полученные данные обрабатываются (например, из них удаляется фоновый шум и прочие артефакты, они хешируются и т. п.). Создается некий отпечаток-идентификатор, уникальный для каждого человека.
3. Сохранение биометрических данных. Самый важный шаг – безопасное сохранение биометрических данных. Данные могут храниться как на устройстве, так и на сервере в интернете. При этом обязательно должно использоваться шифрование, а канал передачи сохраняемых и извлекаемых данных должен быть надежно защищен.
4. Извлечение биометрических данных. После того как данные сохранены, человек может использовать их для доступа в систему. Он вновь сканирует палец или другую часть тела. Захваченные биометрические данные сравниваются с хранящимися в памяти устройства или на сервере. Если данные совпали (допускается определенная погрешность, которая зависит от системы и ее настроек) – доступ разрешается, если нет (или если данные не распознаны) – доступ отклоняется и запрос повторяется.
Эти системы аутентификации удобны, но небезопасны. Во-первых, их использование угрожает безопасности, а иногда даже жизни владельца персональных данных. При парольной защите злоумышленнику (которого интересуют именно данные на устройстве) достаточно похитить и взломать его, и только в случае стойкой защиты (например, на iOS-устройствах) он может попытаться выпытать пароль у владельца. А при биометрической защите преступник без него уже вряд ли получит доступ к данным (за редким исключением). А правоохранителям для просмотра содержимого памяти устройства не придется требовать от владельца пароль, который тот сообщать не обязан. Достаточно принудительно снять отпечатки его пальцев по очереди, пока подходящий не сработает, или, что еще проще, сфотографировать лицо. Во-вторых, существует опасность утечки биометрических данных, особенно если они хранятся на сервере компании – поставщика услуг. К ним могут получить доступ как злоумышленники, так и правоохранительные органы (спецслужбы), жаждущие контролировать каждый байт трафика, циркулирующего в Сети. Если злоумышленники похитят биометрические данные и используют их для совершения преступления, то обвинение в нем может быть предъявлено их настоящему владельцу. При этом, в отличие от пароля, сменить радужную оболочку глаза или отпечаток пальца невозможно. В-третьих, биометрические данные можно подделать. Подмена данных (spoofing attack) – наиболее серьезная угроза даже для комбинированных (мультимодальных) биометрических систем[75]
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.
Сноски
1
https://tass.ru/pmef-2018/articles/5232044.
2
«Человек под колпаком Big Data: можно ли защитить личную информацию?». Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.
3
GDPR, General Data Protection Regulation, https://gdpr-info.eu.
4
https://www.rbc.ru/finances/16/02/2021/602bd7959a7947398c66c895.
5
Компания Meta признана в России экстремистской организацией.
6
«Хакеры», пользующиеся для взлома чужими наработками. – Здесь и далее, за исключением особо оговоренных случаев, прим. авт.
7
https://vk.com/video-90241001_456239093, вебинар «Реализация требований GDPR в России», 25 мая 2018 г.
8
Юзбекова И., Филонов Д. «Пугать народ страшилками – это мы любим» // РБК. 2016. 20 мая.
9
Дополнено к документу «Методические рекомендации по организационной защите физическим лицом своих персональных данных». https://pd.rkn.gov.ru/library/p195/.
10
https://www.tcinet.ru/press-centre/technology-news/6004/.
11
Трегубова Е. Как паспортные данные попадают в руки мошенников? Четыре реальных истории // Аргументы и факты. 2017. 8 дек.
12
Хотя по номеру мобильного телефона и с помощью социальной инженерии, знакомств в сфере сотовой связи и другими способами злоумышленник может выяснить все необходимые данные о вас, а вы не можете быть уверены, что телефон был похищен не с целью узнать некую личную информацию о вас.
13
Но в некоторых случаях это может противоречить правилам платежных сервисов. – Прим. ред.
14
На основе комбинаций параметров сессии интернет в ряде случаев можно идентифицировать пользователя. – Прим. ред.
15
Аналогичным образом по ряду характеристик можно составить «отпечаток» устройства. – Прим. ред.
16
https://www.trustwave.com/Resources/Library/Documents/2015-Trustwave-Global-Security-Report/.
17
https://arstechnica.com/information-technology/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/.
18
https://xakep.ru/2021/01/25/meetmindful/.
19
К слову, сам ресурс AshleyMadison.com отчасти можно назвать мошенником, так как за удаление профиля с пользователя взималась плата 19 долларов. По словам группы хакеров The impact team, взломавшей ресурс и слившей данные с серверов собственника сайта – компании Avid Life Media, даже после оплаты профиль не удалялся, о чем стало ясно после изучения слитых дампов данных, https://xakep.ru/2015/09/04/ashley-madison-fall.
20
https://www.esetnod32.ru/company/press/center/eset-usilit-resheniya-odnogo-iz-liderov-rynka-utm/.
21
https://www.popmech.ru/technologies/44764-slabye-paroli-prichina-76-kiberatak-na-kompanii/.
22
https://revisium.com/kb/weak_passwords.html.
23
https://www.spy-soft.net/samye-chastye-paroli/.
24
http://www.garant.ru/news/1297198/.
25
https://xakep.ru/2017/08/16/edpr-nvidia-passcrack/.
26
https://www.securitylab.ru/blog/company/PandaSecurityRus/345574.php.
27
https://www.anti-malware.ru/threats/brute-force.
28
https://revisium.com/kb/weak_passwords.html.
29
Читается как «капча».
30
Соль (также модификатор входа хеш-функции) – строка данных, которая передается хеш-функции вместе с входным массивом данных (прообразом) для вычисления хеша (образа). «Соль» – дословный перевод английского термина «salt».
31
Пример, нереальные значения.
32
https://www.internet-technologies.ru/articles/solenoe-heshirovanie-paroley-delaem-pravilno.html.
33
https://habr.com/post/322478/.
34
Подробнее о таблицах см.: https://www.internet-technologies.ru/articles/solenoe-heshirovanie-paroley-delaem-pravilno.html.
35
https://arstechnica.com/information-technology/2013/03/how-i-became-a-password-cracker/.
36
https://habr.com/company/mailru/blog/271245/.
37
https://habr.com/post/118499/.
38
https://xakep.ru/2020/05/08/passwordless-stats/.
39
https://securityonline.info/the-public-city-bikes-system-in-copenhagen-was-hacked-and-the-database-was-deleted/.
40
https://en.wikipedia.org/wiki/Sony_Pictures_hack.
41
https://twitter.com/kevinmitnick/status/545432732096946176.
42
https://habr.com/post/122633/.
43
https://howsecureismypassword.net/.
44
https://password.kaspersky.com/ru/.
45
https://www.devicelock.com/ru/blog/analiz-4-mlrd-parolej-chast-vtoraya.html.
46
https://www.theverge.com/2013/11/7/5078560/over-150-million-breached-records-from-adobe-hack-surface-online.
47
https://www.theguardian.com/world/2015/apr/09/french-tv-network-tv5monde-hijacked-by-pro-isis-hackers.
48
Граббер – программа для сбора информации.
49
https://threatpost.ru/moscow-region-ambulance-service-database-leaked-due-to-bad-mongodb-settings/32197/.
50
https://www.devicelock.com/ru/press/v-runete-obnaruzheno-okolo-tysyachi-otkrytyh-baz-dannyh.html.
51
https://www.facebook.com/notes/facebook-security/preparing-for-the-future-of-security-requires-focusing-on-defense-and-diversity/10154629522900766/.
52
https://www.kaspersky.ru/blog/ukradeno-dva-milliona-parolej-a-vash/2477/.
53
https://www.rbc.ru/rbcfreenews/59d43b919a79478e96f9d326.
54
https://leakedsource.ru/blog/friendfinder.
55
Канев С. Беда на продажу // The New Times. 2016. № 29 (417).
56
https://www.rbc.ru/technology_and_media/10/07/2019/5d25c3d99a794775f79f0816.
57
Zero Trust, https://www.kaspersky.ru/blog/zero-trust-security/28780/.
58
https://xakep.ru/2014/09/08/password-manager-pentest/.
59
https://threatpost.com/lastpass-network-breached-calls-for-master-password-reset/113324/.
60
https://android.mobile-review.com/articles/50451/.
61
https://xakep.ru/2021/04/26/passwordstate/.
62
https://www.vpnmentor.com/blog/dalil-data-breach/.
63
Сайты, позволяющие пользователям обмениваться фрагментами простого текста, а также исходного кода, первым из которых был https://pastebin.com.https://www.echosec.net/blog/what-is-pastebin-and-why-do-hackers-love-it.
64
https://xakep.ru/2020/07/03/pro-trump-hack/.
65
https://fortune.com/2016/07/26/nist-sms-two-factor/.
66
Система сигнализации № 7, или ОКС-7 (общий канал сигнализации № 7, англ. Common Channel Signaling) – набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций (PSTN и PLMN) по всему миру на основе сетей с канальным разделением по времени. В основе ОКС-7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.
67
https://www.kaspersky.ru/blog/multi-factor-authentication/8705/.
68
https://journal.tinkoff.ru/kibermoshennichestvo-zhaloby/.
69
https://journal.tinkoff.ru/kibermoshennichestvo-sud/.
70
https://journal.tinkoff.ru/kibermoshennichestvo-poterpevshie-i-prestupniki/.
71
https://www.usenix.org/conference/enigma2018/presentation/milka.
72
https://www.kaspersky.ru/blog/bionic-man-diary/7050/.
73
https://www.theverge.com/2017/10/26/16553900/2fa-two-factor-authentication-pixie-mobile-devices.
74
https://www.kaspersky.ru/blog/facebook-account-hijack-through-notes/30006/.
75
https://www.lb7.uscourts.gov/documents/17-m-85.pdf.