Текст книги "Сказки о безопасности. Том 5"

Сказки о безопасности
Том 5
Владимир Федорович Безмалый

© Владимир Федорович Безмалый, 2017

ISBN 978-5-4485-1520-0

Создано в интеллектуальной издательской системе Ridero

Оглавление

Сказки о безопасности: Электрокардиограмма

Утро выдалось как всегда туманным и холодным. Впрочем, осень в городе всегда была такой, и Иоганн привык к этой погоде. В такую погоду часто болела мама Иоганна. У нее было плохо с сердцем и он постоянно волновался о ее здоровье. Было бы неплохо чтобы за ней регулярно ухаживала медсестра, но пока не удавалось найти именно такую, как он хотел. А вообще, хотелось бы чтобы мамины результаты ЭКГ, пульс, давление регулярно передавались лечащему врачу, чтобы как можно быстрее можно было принять решение. Но как?

– Иоганн, я кажется нашел именно то, что нужно вашей маме.

– Что, Майкл?

– Я нашел умные часы от фирмы А. Они непрерывно измеряют пульс, умеют регулярно в автоматическом режиме делать ЭКГ и измерять давление. И даже через Интернет отсылать эти данные лечащему врачу. И сохранять их в смартфоне той же компании.

– Ты это серьезно, Майкл?

– Да! Более того, я запросил у фирмы-изготовителя нам несколько штук для тестов. На полгода. Заодно поймем, как это передается.

– Здорово! Нужно понять насколько точно они измеряют и самое главное – как хранят и передают как на часы владельца, так и врачу.

– Безусловно. Сегодня их привезут, и мы займемся.

Прошла неделя.

– Майкл, так что вы можете сказать?

– Я могу рассказать, как хорошее, так и плохое. Часы действительно делают все что заявлено. Причем с допустимой точностью. Правда я все же буду советовать их калибровать, то есть сравнивать вначале их показания с показаниями, собранными вручную. Чтобы установить погрешность.

– А что плохое?

– Как обычно. Шеф, они забыли установить шифрованный канал между часами и смартфоном. Все передается в открытом виде. Мало того, хранится также доступно. Причем как в телефоне, так и в резервной облачной копии.

– А как передаются врачу?

– Обычным незашифрованным письмом по электронной почте. Более того, эти данные не подписываются, то есть установить их подлинность невозможно.

– Получается это довольно опасная игрушка?

– Да! Я бы своей маме такое пока не купил. Задача разработчика была первым выйти на рынок. А вот сделать это безопасно задача не ставилась.

С ноября Apple Watch будет измерять давление и делать ЭКГ автоматически. А вот верить этим показаниям врачу или нет – дело врача. Я бы пока не сильно верил.

Сказки о безопасности: Подарок для Хрюнделя

В это солнечное утро Хрюша торопилась к своей тете. Она обожала ее, ведь так вкусно готовить ее любимые пирожки с клубничным вареньем.

– Хрюшенька, милая, проходи в дом. Или мы на террасе чаю выпьем с твоими любимыми пирогами? Я как раз закончила печь!

– Ой, мои любимые? С клубничным вареньем?

– Да! И с клубничным, и с вишневым, и даже с абрикосовым. Я уж расстаралась, знала, что ты придешь!

– Ой, тетушка! Как вкусно! А можно я вначале пирогов поем, а уж потом мы с вами поговорим? Неудобно разговаривать, когда слюнки текут!!!

– Ладно уж, сладкоежка! Кушай на здоровье!

Прошло не так много времени и всего лишь три чашки чаю.

– Тетушка, а ведь у Хрюнделя скоро день рождения! Как он там? Здоров?

– Здоров, да что с ним сделается. Растет сыночек.

– А что ему на день рождения подарить?

– Палку, да потолще! И не ему, а мне, чтобы его воспитывать! Шляется вечерами непонятно где, а мне не говорит! Говорит, что с соседом, да вот только сосед-то дома сидит?

– А может он себе барышню завел?

– Да молодой еще. Знать бы где он шляется. Главное ведь, чтобы в беду не попал! Волнуюсь я за него.

– Тетя Хавронья, а давайте ему смартфон подарим? Он ведь давно его хочет? Вдвоем скинемся и подарим.

– Да зачем он ему? Снова играть будет!

– Ну и хорошо, значит всегда будет при нем. А мы с вами будем всегда знать где он.

– Погоди, не понимаю.

– Ну, мы ему дарим смартфон, а я еще, отдельно, куплю для него антивирус. И настрою, мол, чтобы он времени не терял. А когда нам будет нужно, мы посылаем на его номер СМС и нам приходит ответ где он находится.

– Не, он ругаться будет что мы за ним смотрим.

– Э нет, тетушка. Это нам будут приходить СМС с его координатами, а сам он ничего видеть не будет. Он и знать-то не будет!

– О! Такое нам подходит. Спасибо, Хрюшенька, надоумила старую. А я всегда буду знать где он.

– Да, только вы не проговоритесь ему сами, а то будут у нас неприятности!

Так и решили. И смартфон подарили и невидимый поводок повесили.

Может это и не очень красиво, да вот только лучше бы знать где обитает ваше чадо. Уж сильно времена нынче сложные!

Сказки о безопасности: Ограбление банка

Осеннее утро выдалось солнечным. Наконец-то после хмурого периода вышло солнышко. И хотя на улице было по-прежнему сыро, лужи после вчерашнего дождя еще не высохли, да и с деревьев периодически еще капала влага, все же идти на работу было куда приятнее.

– Иоганн, к вам представители городской полиции.

– Зовите их в комнату заседаний. И принесите нам кофе, пожалуйста.

– Здравствуйте, господа. Что случилось? Я сильно сомневаюсь, что вы просто пришли к нам в гости выпить ароматный кофе. Хоть Ольга его и великолепно готовит, но думаю все же вас привело не это.

– Безусловно. Иоганн мы столкнулись с интересным преступлением. Был ограблен банк N. Причем, самое интересное, несмотря на наличие скрытых камер от компании А, они ничего не зафиксировали. Кто-то великолепно знал размещение камер, время их включения, зоны обзора и время поворота камер. Впечатление такое, что преступник все это знал наперед.

– А кто знал о том, что такие камеры вообще есть в этом отделении? Заведующий? Кто устанавливал камеры?

– Заведующий не знал о наличии камер. Устанавливали их по приказу председателя правления банка. Устанавливали сотрудники службы безопасности банка. Но там уже все проверено. Утечка информации оттуда исключена.

– Но все же утечка была?

– Да! Ведь преступник знал где расположены камеры и как они работают. Мы пока не понимаем, как это сделано.

– Хорошо, мои ребята помогут вам. Майкл, обратитесь в исследовательский отдел и в фирму-изготовитель оборудования. Нам нужна точно такая же камера.

– Хорошо, я уже запросил информацию.

– Когда?

– Да только что как только речь зашла об этих цифровых камерах.

– Молодец. Быстро сообразил.

Прошло три дня.

– Что там с камерами?

– Там все плохо, шеф! Какой… разрешил их использовать в охранных системах?

– ??? Поясни.

– Наши ребята нашли, что облако, к которому подключены эти камеры для синхронизации данных, не используют HTTPS-протокол для защиты передачи данных. Как результат, любой кибер-преступник сумел бы получить доступ к видео с этих CCTV-камер, причем видеоматериалы могут быть скачены без необходимости вводить имя пользователя и пароль.

– Погоди, значит злоумышленники могли наблюдать за этим отделением удаленно и выяснить все необходимые параметры заблаговременно?

– Да! Кроме того, стоит отметить, что пара камер еще и захватывала один из мониторов и клавиатуру, следовательно, можно было получить учетные данные, а вторая – клавиатуру для ввода пароля при входе в хранилище. Таким образом, понятно, почему замок на двери не взламывали.

– То есть, злоумышленник смог получить изображения, снятые корпоративной системой видеонаблюдения, и использовать эту информацию для осуществления преступления?

– Да! Но интереснее всего другое. Когда мы обратились официально в компанию А, то они не дали каких-либо разъяснений по поводу обнаруженных уязвимостей или потенциальных ошибок. Очевидно, что любая организация, которая использует системы видеонаблюдения, должна доверять как таким системам, так и ее производителям, и поставщикам, но в данном случае это, похоже, невозможно.

– Ну что ж, значит это становится и нашей проблемой. Нам придется сертифицировать такое оборудование. Придется докладывать императору.

Вы думаете это сказка? Отнюдь. Видеокамеры компании AVTECH используют для передачи данных незащищенный канал. А остальные? Кто-то проверяет оборудование перед покупкой? А?

Сказки о безопасности: Вирус для Хрюши

Утро было солнечным, и поющие птицы предвещали хороший день. Потапыч решил в этот день немного поковыряться на даче. Но стоило только взяться за газонокосилку, как судорожно заверещал телефон.

– Потапыч, спасай! У меня компьютер взбесился! Требует, чтобы я выслала какие-то деньги непонятно кому, а иначе меня просто не пускает работать! Спасай, а я тебе на даче потом помогу.

– Ладно, Хрюшенька, сейчас приеду. Только косилку уберу. Через полчаса буду.

Прошло минут 40 и Потапыч был уже на пороге дома Хрюши.

– Ну рассказывай, что случилось?

– Да вот смотри сам. Что тут говорить…

На экране компьютера Хрюши большими буквами светилась надпись: «Вы нарушили правила пользования Интернетом и были замечены на порнографическом сайте. Вы должны уплатить штраф в сумме… на счет… в течение двух дней! В противном случае ваш компьютер будет изъят правоохранительными органами для проведения расследования.»

– Потапыч, миленький, но я никуда не ходила! Честно! Да и что мне там делать? Я девушка порядочная! Спаси!

– Да ладно. Я все понимаю. Будем искать. Скорее всего ты откуда-то подхватила вирус. Это бывает. Плохо, но не страшно.

Прошло 3 часа. Потапыч вычистил компьютер и спросил Хрюшу, давно ли она обновляла программное обеспечение своего ПК.

– Да каждый раз, как предлагает обновиться, я обновляюсь. И антивирус обновляю. Все ж делаю.

– Погоди, Хрюша, понятно. Ты обновляешь операционную систему. А остальные приложения?

– Потапыч, ну откуда же я знаю? Ты такие вопросы задаешь, на которые у меня нет ответа.

– Да понимаю. Все же давай установим тебе программу, которая будет сама искать обновления и их устанавливать.

– Потапыч, но это же денег стоит? Дорого?

– Нет, Хрюша. Это для компаний такая программа стоит денег, а для тебя, как для домашнего пользователя она бесплатная. Более того, даже некоторые антивирусы сегодня могут управлять обновлениями. Ну, антивирусы, понятно, платные.

– И как это работает?

– Автоматически. И защитит тебя от возможного заражения.

– Спасибо, Потапыч!

А вы управляете обновлением вашего домашнего ПО от третьих сторон? А не домашнего? Точно?

Сказки о безопасности: Спор

В это осеннее утро на еще зеленые листья деревьев выпал снег. Да-да, пусть мелкий, но снег. Он шел всю ночь и утро оказалось, что на зеленой траве, еще не опавших листьях деревьев лежит снег… Было ветрено и ужасно не хотелось подниматься из теплой кровати и куда-то идти. Но… Работа есть работа. Иоганн нехотя поднялся и пошел на кухню. Он любил варить кофе. Не используя стандартную кофемашину, а в старой медной джезве. Ведь приготовление первой утренней чашки кофе – это процесс. Священнодействие. Перемолов зерна кофе в пыль, он добавил их в джезву, долил воды, поставил на самый маленький огонек и сел ждать. Приготовление кофе – это не самый быстрый процесс, есть время подумать…

А думать было о чем. Сегодня ему предстояла тяжелая встреча с главой команды разработчиков популярной операционной системы W. После ряда обновлений операционная система на компьютерах пользователей переставала работать. Пользователи не хотели обновляться. Нужно было что-то придумывать…

Рано или поздно, но кофе был готов и даже выпит. Пора на работу…

– Иоганн, к вам господин Майер. Пригласить?

– Да, зовите. И пригласите Майкла и Риту.

– Господин Майер, я хотел бы уточнить у вас, что происходит с обновлениями? Они теперь устанавливаются автоматически? Почему я не могу контролировать этот процесс?

– Проблема в том, что пользователи и ранее его не контролировали. Мы проводили исследование. Оказалось, что только 10% пользователей интересовалось тем что и как устанавливается на их ПК, порядка половины вообще не устанавливали обновления, а остальные ставили обновления в автоматическом режиме. Все это приводило к тому, что обновления зачастую устанавливались через 3—4 месяца после выхода, если устанавливались вообще.

А ведь уязвимости, исправляемые обновлениями, начинали использоваться через 8—24 часа после появления обновлений.

– То есть вы хотите сказать, что злоумышленники декомпилировали обновления и затем уже писали вредоносный код?

– Абсолютно верно! Вспомните, как несколько лет тому назад мы выпустили обновление в октябре, а в январе следующего года разразилась эпидемия вируса, использовавшего эту дыру. Не пострадали лишь те, кто установил обновление. Но их было, увы, явное меньшинство.

– И как вы предлагаете работать?

– Я предложил разработчикам перед запуском каждого обновления делать точку восстановления системы и, если что-то пойдет не так, пользователь сможет восстановиться и таким образом удалить обновление. Я считаю, что это маловероятное событие, но все же.

– Да… Задали вы жару.

– А что делать?

А вы устанавливаете обновления? Делаете точки восстановления? Или думаете, что и так пронесет?

Сказки о безопасности: Встреча в баре

Как правило, раз в месяц руководство Департамента контрразведки проводило неофициальные вечеринки для своих руководителей подразделений. Считалось что это помогает сплотить коллектив. Иоганн не любил такие вот «неофициальные» посиделки, считая, что пить с подчиненными плохо влияет на авторитет, а с руководителями – вредно для здоровья. Ведь завтра будут обсуждать пил ты мало или много, с кем говорил, а то и о чем говорил. Пить меньше руководителя – значит стучит, больше – пьяница.

Потому все знали, что Иоганн не пьет на таких встречах ничего кроме 1—2 бокалов шампанского, отговариваясь тем, что он за рулем.

Тем не менее такие походы все же были нужны. Ведь где иначе могли бы встретиться и поговорить руководители различных направлений, да еще и в неофициальной обстановке.

– Иоганн, можно вас на секунду?

– Безусловно. Чем могу помочь?

– Фирма А выпустила смартфон и заявляет о применении устойчивого алгоритма шифрования для обеспечения безопасности устройства и его резервных копий. Как считаете, этому можно доверять? И что это сулит нам всем?

– Курт, вам как ответить? Как гражданину этой страны или как руководителю подразделения криминальной полиции?

– А есть разница?

– Безусловно!

– Тогда как гражданину.

– Фирма А действительно шифрует вашу облачную резервную копию и действительно это шифрование весьма устойчиво. Более того, поскольку пароль шифрования выбираете вы сами, то получить доступ к резервной копии практически невозможно. Это все правда!

– А если я буду спрашивать, как представитель полиции? Как высокопоставленный офицер полиции.

– Тогда я вам отвечу, что нас с вами это не должно вводить в заблуждение. Ведь мастер-пароль, на основании которого шифруется ваш пароль резервной копии принадлежит фирме А, верно? Следовательно, в любой момент времени ваша резервная копия может быть расшифрована представителем фирмы А. И более того, в фирме существует целый отдел, естественно, это строго конфиденциальная информация, который занят только ответами на запросы правоохранительных органов нашего государства. Более того, я уверен в существовании такого отдела и у их конкурентов. Но это, естественно, неофициальная информация.

А вы думали, что информация на ваших смартфонах принадлежит только вам? Не смешите!

Apple, как оказалось, сотрудничает с правоохранительными органами. Об этом говорится в одном из писем, похищенных из электронного ящика главы предвыборного штаба Хиллари Клинтон Джона Подесты и опубликованных WikiLeaks.

Согласно письму, полученному Подестой от вице – президента Apple Лизы Джексон 20 декабря 2015 года, ежемесячно компания удовлетворяет тысячи запросов от правоохранителей на раскрытие данных пользователей. В компании работает целая команда специалистов, круглосуточно занятая лишь ответами на запросы властей.

Сказки о безопасности: Закрытая комната

С

егодня был тот редкий теплый осенний день, когда вроде и те же тучи, и тот же ветер, а все же на душе немного светлее. Сложно понять, но иногда вдруг с утра понимаешь, что сегодняшний день немного лучше вчерашнего. И вроде ничего не случилось и так же не хочется вставать с утра, а все же…

Так и было. Иоганн шел на работу, улыбаясь встречным. Спроси у него кто-то что хорошего, он вряд ли ответил бы, но то что хорошо, это было написано у него на лице.

На работе его ждало неожиданное известие. Иоганна вместе с Максом и Ритой приглашали в Департамент контрразведки.

– Что? Зачем?

– Не знаю, шеф, но машина уже внизу. Вы едете на озеро.

На озере находился самый засекреченный объект Департамента – его отдел исследований.

– Здравствуйте, Иоганн! Доброе утро, Рита! Доброе утро, Макс! Вас привезли сюда по личному указу императора. У нас есть проблемы. Как вы знаете, компания Х производит новинки вооружений. Мы знаем, что из их сейфа пропала документация на новый прибор. Но мы не можем понять, КАК? Ведь сейф туда устанавливали наши сотрудники. Войти в комнату можно только после того, как глава компании пройдет идентификацию по радужке глаза, произнесет кодовую фразу и приложит палец. То есть для входа в комнату задействованы самые передовые образцы биометрической аутентификации.

– И что?

– Да дело в том, что главы корпорации нет в столице. И на момент осуществления не было. Мы не можем понять, как вскрыли замки. Помогите нам.

– Безусловно, это интересно, но, поверьте, вовсе не так сложно, как вы думаете.

– ???

– Начнем с простого. Отпечаток пальца. Макс, ты занимался этой проблемой?

– Да. Мы создали из специального силиконового состава с помощью точной 3D печати перчатки с имитацией отпечатков не только пальцев, а всей ладони. В прессе публиковалось это. Еще около полугода тому. Правда нужен был дорогой 3D-принтер, но видимо они заранее позаботились об этом.

– А голос?

– Шеф, позволите, я поясню?

– Безусловно, Рита!

– Мы вместе с компанией М создали программное обеспечение, которое на основе записей вашего голоса произносит любую набранную фразу или разговор, имитируя не только тембр вашего голоса, но и манеру произношения, паузы в словах и так далее. Вероятность совпадения – 95%. Так что, увы, это не так сложно.

– Ну хорошо, а радужка? Год назад ваши специалисты утверждали, что подделать это физически невозможно. Они что, врали?

– Безусловно, нет. Прошу нам дать несколько дней. И мы ответим на этот вопрос.

Прошла неделя.

– Иоганн, вы сможете ответить, как взломали радужку?

– Легко! Мы провели эксперимент. На дроне была укреплена камера со сверхвысоким разрешением в несколько гигапикселей. Это позволило нам с высоты в пару сотен метров, когда дрон с земли практически не виден, осуществить съемку лиц. А затем использовать эти фото.

– Н-да… Сложно то все как!

– Сложно. Увы, биометрия – это не более чем удобство. Запомните это.

На сегодня атаки на подмену отпечатка пальца и подмену голоса уже не редкость. Вы помните, как еще в 2008 году немецкими хакерами осуществлена атака на министра внутренних дел ФРГ: они распечатали его отпечаток пальца, переснятый со стакана, из которого он пил на пресс-конференции. Перенести их с помощью лазера на силиконовые подушечки и совершить какое-то действие «от имени» чиновника (скажем, ограбить ювелирный магазин) – уже проще простого.

Взломать смартфон с помощью бумажных отпечатков пальцев удалось в августе 2016 года американским специалистам по кибербезопасности. Полицейские попросили их помочь разблокировать телефон погибшего мужчины. Его отпечатки были в полицейском досье, и на их основе сделали «искусственный» палец.

Атака на голос тоже уже не фантастика.

Ну а атака на радужку – думаю это дело ближайшего будущего!

Сказки о безопасности: Защита с воздуха

В империи давно не было покушений на императора, однако это не означало что охраной высших лиц империи пренебрегали. Но после покушения на известного банкира В, охрана императора поняла, что появилось новое направление атаки.

Как показало расследование, проведенное после аварии, машина известного банкира была атакована с воздуха с помощью радиоуправляемого дрона. Естественно, преступника, управлявшего с удаленного места, так никто и не нашел.

– Иоганн, это к вам. Ваше подразделение должно продумать, что и как мы можем сделать, чтобы над улицами и местами, через которые проезжает император, не было никаких радиоуправляемых воздушных дронов. Ни запущенных мальчишками, ни, тем более, запускаемых террористами. У вас на все – два месяца. Выполняйте!

– Марк, вам предстоит разобраться с тем, как работают дроны.

– Макс, вам нужно понять можем ли мы исказить показания GPS и как это сделать? Все, коллеги, за работу.

Прошел месяц.

– Иоганн, задача выполнена. Мы пообщались с фирмами-производителями дронов и выяснили что есть два пути:

запрет полетов дронов в районах аэропортов (это делается по всей планете, координаты аэропортов закладываются изначально);

объявление некоторых районов бесполетными зонами. Но в этом случае координаты бесполетных зон передаются всем производителям.

– Второй вариант нас не устраивает. Как будем делать? Рита, ваши предложения?

– Предлагаю закупить мощный передатчик фирмы NI, имитирующий работу GPS и работающий на гражданской частоте. При этом в качестве координат разработчики укажут известные координаты аэропорта.

– А как быть в случае проезда кортежа?

– А в этом случае воспользоваться передвижными станциями той же фирмы. Они будут подменять координаты по ходу проезда кортежа.

Это не фантастика. Спуфингом GPS на гражданской частоте GPS занимается аппаратура компании National Instruments. И он уже умеет подменять координаты.