Цифровая гигиена. Том 6

Сказки о безопасности: Провал криптосети

Несмотря на летнюю удушающую жару, жизнь продолжается. Сегодня Иоганну предстоит выступать на еженедельном совещании у императора и докладывать о проведенной работе. Хорошо, что есть о чем доложить. Мало того, сегодня он должен предложить наградить сотрудников своего департамента. Закончено наконец-то совместное расследование с полицией республики Ф и отделением Интерпола. Громкое вышло дело.

Ну все. Пора на совещание.

– Добрый день, господа! Надеюсь, несмотря на жару, он все же добрый. Сегодня у нас по плану заслушивание руководителя департамента защиты Родины, но он попросил ввиду чрезвычайной ситуации предоставить слово руководителю департамента интеллектуальных преступлений. Уверен, что Иоганн нас порадует чем-то чрезвычайным.

– Спасибо, ваше величество! Но я, увы, не фокусник.

– Не прибедняйтесь, Иоганн! Ваши подчиненные то и дело творят чудеса. Что на этот раз?

– Как вы знаете, господа, позавчера силами нашего департамента защиты Родины, жандармерии и контрразведки республики Ф при участии агентов Интерпола были арестованы 758 человек в нашей стране, республике Ф и ряде других стран. В основном это люди из наркокартелей, подпольной сети киллеров и сети торговцев детьми. Какое отношение к этому имеем мы? Самое прямое. Полгода назад мы занялись компанией E, являющейся одним из крупнейших поставщиков зашифрованной связи через свою безопасную сеть мобильной связи, работающую с серверов в республике Ф. У них было почти 60 000 пользователей на всей планете, в том числе 10 000 в нашей стране. Они использовали сеть для торговли незаконными товарами, отмывания денег и других преступлений.

В ходе операции полиция изъяла и доставила два телефона этой сети. Взлом шифров продолжался чуть более полугода.

– Но как вы смогли это расшифровать?

– Я не буду рассказывать, как это стало возможным. Пока скажу одно. Компания E решила использовать собственный алгоритм шифрования. Эксперты всегда предупреждают, что это небезопасно. Могу сказать, что в ходе арестов изъято более 54 млн. империалов, более 100 единиц огнестрельного оружия и 2 т наркотиков.

– Иоганн, это все прекрасно, но как быть тогда нашим агентам? Ведь наши посольства, наши военные тоже используют мобильную связь? Получается их переговоры тоже можно вскрыть?

– Нет, ваше величество, все не так просто! Наши сотрудники используют аппаратное шифрование. Оно, безусловно, дороже программного, но зато куда лучше защищено. Кроме того, для связи используется специальное устройство, называемое, собственно, криптотелефоном. В результате сам телефон может быть, в сущности, любым. Когда нужно говорить по открытой связи, используется этот, обычный телефон, ну а если нам нужны закрытые переговоры – включается криптотелефон. Кроме того, при его включении гасятся микрофоны всех устройств в радиусе от 5 до 10 м, что делает запись просто невозможной.

– Молодцы! Прошу предоставить мне список отличившихся для награждения. И не забудьте, что ваша фамилия должна быть во главе списка! Благодарю за службу!

– Служу империи!

Сказка? Нет! Не так давно похожее дело было расследовано в Великобритании и Франции.

Сказки о безопасности: ИИ против дронов

Лето выдалось очень жарким. Причем не только в смысле температуры. В столице империи террористам удалось на несколько часов блокировать работу центрального аэропорта имени Стефана III. Летное поле было закрыто из-за неизвестно откуда налетевших дронов. При этом более 150 тыс. пассажиров были вынуждены отложить свои перелеты из-за нескольких беспилотников, которые были замечены в различных местах, включая взлетно-посадочные полосы.

Через несколько часов группа террористов, именующая себя борцами за экологию, объявила, что такие действия будут происходить регулярно до тех пор, пока император не прислушается к их мнению по вопросу национального парка.

В связи с этим департаменту интеллектуальных преступлений была поставлена задача разобраться с этим вопросом.

Прошел год.

– Ваше величество! Команда наших исследователей совместно с кафедрой нашего авиационного университета разработали способ точного определения местонахождения операторов беспилотных летательных аппаратов, которые хотят причинить вред или нарушить работу самолетов в защищенном воздушном пространстве. По результатам проведенного исследования ученым удалось выяснить, как анализ путей полета беспилотников может быть полезен для отслеживания злонамеренных операторов. Решение данной проблемы найдено с использованием нейронной сети. Вместо того, чтобы сосредоточиться на попытке распутать различные сигналы, эксперты обучили сеть предсказывать местоположение оператора, используя только траектории полета – даже в движении. Подход основан на том, что поведение беспилотника в воздухе заметно различается в зависимости от местоположения пилота. Опытный наблюдатель обычно может определить, управляет ли пилот устройством от первого лица или наблюдает за ним издалека.

– И с какой точностью вы можете это делать?

– На сегодня точность составляет около 80%. Исследователи обещают, что улучшение алгоритмов в будущем может даже позволить получить информацию о навыках оператора.

– Это большой успех. Посмотрим, как это работает в реальных условиях. Вы знаете, что недалеко от столицы есть законсервированный военный аэродром? Проведем там испытания, имитируя атаку дроном. Успеете подготовиться за неделю?

– Да!

– Отлично! Через неделю проводим натурные испытания.

Прошла неделя.

– Итак, сегодня испытания. За террористов играет специальное армейское подразделение разведки. Не подведите.

Шел второй час в ожидании атаки. И вот! Дрон! Он над полосой.

– Оператор, видите цель?

– Вижу цель. Веду. Нам нужно 10 с.

– Выяснили?

– Оператор дрона находится в 10 км. Азимут 45 градусов. Ориентир – развалины старой водонапорной башни.

– Группа, на выезд!

Через 15 мин оператор дрона был задержан.

– Ну что ж, Иоганн, в сочетании со средствами радиоэлектронной борьбы, уже развернутыми для защиты наших аэропортов, это существенно усложнит подобные атаки дронов. Передайте мое восхищение вашим специалистам!

Сказки о безопасности: Мобильная дилемма

Летом Потапыч любил в отпуске отключить телефон и сделать вид, что он исчез, убежал, улетел… То есть просто отдыхать. Так он сделал и в этот раз. Просто отключил свои телефоны и перестал выходить в Интернет. И чувствовал он себя абсолютно счастливым. Пил чай с малиновым вареньем на веранде, встречая рассвет, провожал из окошка закаты… Короче, радовался жизни… Но, увы, убежать от жизни еще никому не удавалось. Тем более это должен был знать специалист по безопасности… Потапыч конечно это знал, но все-таки надеялся на лучшее…

Вечером у ворот Потапыча заурчал и начал громко сигналить автомобиль.

– Потапыч, открывай! Я знаю, что ты дома! А лезть через забор в моем возрасте уже стыдно, да и неудобно! Ты ж не девица, чтобы я к тебе в окошко лез! Открывай!

– Иваныч, ну ты гад! Я в законном отпуске. Меня нет! Умер!

– Умер бы, похоронили, а раз орешь, значит живой! Я по делу! И к чаю захватил. Если разобью, ты меня точно убьешь! Открывай!

– Ну здравствуй! Чего беспокоишь? В отпуске я, в отпуске.

– Чего-чего? Дело есть! Срочное! Тут мое начальство, наслушавшись идей нашего консультанта, задачу поставило.

– Консультант – Заяц? Гнал бы ты его в шею!

– Идея хорошая, да не могу. Знаешь же, что он племянник жены владельца.

– Ладно. Я рюмки достану. Разговор кажется длинным будет. Что придумал этот… косой специалист?

– Мое руководство наслушалось об опасностях, связанных со смартфонами. Мол количество смартфонов, зараженных вредоносными программами, позволяющими получать ту или иную информацию, растёт в геометрической прогрессии. А кроме того, смартфон – это очень удобный инструмент, с помощью которого предатели, а они есть в каждой компании, если не действующие, так потенциальные, тоже могут получать информацию. Например, сфотографировать документ какой или экран монитора с нужной информацией. Или диктофон включить в нужный момент. А теперь представь себе компанию, в которой работают, например, 100 человек. И у каждого смартфон. То есть 100 потенциальных шпионов. Это же ужас! И что с этим делать?

– И что предложил этот умник?

– Нужно купить большой шкаф с примерно 120 ячейками, запирающимися на ключ. И поставить его на входе, под камерами видеонаблюдения. А ещё купить 100 смартфонов, зарегистрировать их на компанию и раздать сотрудникам. И каждый по приходу на работу кладёт свой смартфон в ячейку и на работе пользуется только корпоративным. И строго наказывать тех, кто свои смартфоны не сдаёт. Корпоративные смартфоны легко контролировать – любая сотовая компания по запросу передаст компании всю информацию по звонкам и трафику. Детализацию переговоров, отправленные и принятые смс и т. д. А дальше анализ и выводы.

– И что, ему никто не сказал, что он баран? Это же денег немалых стоит! Мало того, что всем смартфоны купить, да еще и всем переговоры оплачивать?

– А кто скажет? Да в любом случае ведь информационная безопасность денег стоит!

– А то, что самые простые смартфоны через полтора-два года менять нужно? Антивирусы приобретать…

– А что предложишь?

– Не морочить голову. Приобретать средства централизованного управления мобильными устройствами. Прямо в составе корпоративного антивируса. И устанавливать на смартфоны сотрудников. Тем, кому нужна рабочая почта, и тем, кто работает с конфиденциальной информацией.

– А если не захотят?

– Значит, не смогут работают с информацией удалённо. Политика компании. Я тебе вот так на пальцах не решу проблему. Думать надо. А Зайцу скажи – еще раз полезет со своими дурацкими советами, я ему по-дружески руки вставлю туда, откуда ноги растут! Не знаешь, не трогай!

Сказки о безопасности: Найти мошенника

Лето… Так хочется подольше поспать, тем более отпуск… Однако кому-то все же не спится… Утренний сон Потапыча прервал громкий телефонный звонок.

– Какой сволочи потребовалось меня будить в такое время? Я в отпуске! В конце концов хотя бы утром можно меня не дергать?

– Потапыч, я все понимаю, но у меня дома полиция! Приезжай!

– Сейчас буду.

Голос его друга не был испуганным, скорее удивленным. Но что произошло?

Потапыч позвонил знакомому адвокату и выехал. Срочно – значит срочно!

– Доброе утро! Что здесь происходит? Кто старший?

– А собственно вы кто?

– Я адвокат, вот мое удостоверение! А со мной наш компьютерный эксперт. Он же одновременно и эксперт вашей службы. Полномочия можете уточнить у вашего руководства.

– Да, Потапыча я хорошо знаю и сам попросил его пригласить.

– Что случилось?

– К нам обратился некий господин Иванов. Он заявил, что купил за 230 долл. у этого человека на интернет-сайте планшет. Деньги были перечислены деньги на его карту. Вот квитанция. Но планшет покупатель так и не получил.

– Иваныч, ты планшет продавал?

– Конечно, нет. Ты ж знаешь, не нравятся мне планшеты.

– Поясни тогда.

– Я выставил на продажу свой старый ноутбук. Помнишь, я все жаловался, что он в углу пылится?

– Ну да.

– Так вот, выставил и забыл уже. Месяц прошел. Я выставил свои данные для платежа. Мне пришли деньги, вот квитанция банка. Но точный адрес куда выслать ноутбук не указали. Я написал покупателю. Он дал адрес. Я уточнил. Действительно, есть такой. Я и выслал. И думать забыл. Вся переписка сохранилась. А сегодня с утра по холодку врывается полиция, начинает орать. Хорошо, я уже встал. Такое утро испортили, я на рыбалку не попал.

– Что от тебя хотели?

– Полиция требует объяснить, почему я типа деньги взял, а планшет какому-то мужику не выслал. Я попытался пояснить, что я ни планшета, ни мужика в глаза не видел. А деньги получил за ноутбук. Но не верят.

– Понятно. Лейтенант, вы поняли, что произошло? Сущность трюка – какой-то человек купил у него компьютер за 230 долл. и параллельно с этим выставил несуществующий планшет за те же 230 долл. Кто-то его купил. Мошенник дал реквизиты Иваныча для оплаты. Тот оплатил. Иваныч выслал ноутбук. Мошенник его получил. Иваныч спокоен, а где-то бедняга оплатил планшет и ждет его…

– Понял. Мошенничество. Снова висяк…

– Ну, не совсем. Ноут-то он получил. Город мы знаем. Иваныч, я тебя знаю, ты все записываешь. МАС твоего ноута есть?

– А как же!

– В городе три интернет-провайдера. Попробуйте узнать, откуда выходил компьютер с таким МАС-адресом. Вполне вероятно, мошенника вы найдете…

А ведь это реальная схема мошенничества.

Сказки о безопасности: Болтливые попутчики

Лето… В такую жаркую погоду одна мысль – к морю. Хорошо, что из столицы идет прямой экспресс. Каких-то четыре часа, и ты у моря. Соня решила совместить приятное с полезным. Ей выпала командировка в приморский город. Она договорилась с руководством поехать на два дня раньше, захватив выходные. Ведь в будни не то, что море увидеть, дай Бог не ночевать на работе.

Соня была белокурой голубоглазой красавицей и частенько бессовестно этим пользовалась. Никто не мог заподозрить в ней одного из лучших детективов столичного главка киберполиции.

Итак, поездка началась. Соня купила билет в первый класс экспресс-поезда и оказалась в четырехместном купе рядом с двумя мужчинами, которые, как ей удалось понять из разговора, являлись техническими специалистами и тоже ехали в деловую поездку.

Сидящий слева от нее мужчина явно работал над реализацией плана по внедрению системы управления в весьма известной компании (да-да, Соня была очень внимательной).

Дальняя дорога, да и расслабившиеся в присутствии симпатичной девушки мужчины явно не были настроены к тому, что их могут весьма внимательно слушать. В результате за короткий период времени девушка получила представление о территории, здании и этаже, где присутствует проблема с сигнализацией и камерами наблюдения, узнала график встреч на объекте, имена контактов и адреса электронной почты, кто может свободно перемещаться по территории, а кого нужно сопровождать, и т. п.

В результате недолгих поисков ей удалось выяснить в социальной сети, что второй мужчина был техническим директором компании.

В течение часа было собрано достаточно информации для разработки реальной стратегии по социальной инженерии, и, исходя из полученных сведений, можно было бы легко составить план атаки против системы управления зданием.

Через неделю Соня докладывала результаты своей поездки.

– Шеф, если бы мне нужно было их атаковать – у меня хватило бы данных для проведения атаки. Мне кажется, нам нужно наведаться в эту компанию.

– Думаю, да. Составь список советов, которые ты им представишь.

– Конечно! Первым будет, увы, стандартное: «Не болтай!» Только вот, боюсь, это мало поможет!

А вы думаете, о чем говорите в присутствии незнакомых? Всегда? Задумайтесь

Сказки о безопасности: Удаленная диверсия

Ранее летнее утро вдруг разорвалось резким звонком телефона правительственной связи. Иоганн не мог вспомнить тот день, когда звонил этот телефон. И вдруг звонок в такую рань? Несомненно, это что-то чрезвычайное.

– Доброе утро, Иоганн!

– Да какое к черту доброе, я в такое время еще сплю.

– Извините, я забыл о разнице в часовых поясах. Не подумал. Но дело очень срочное. Сможете прибыть в пункт «Озеро» срочно?

– А у меня есть выбор? Приеду. У меня есть полчаса, чтобы привести себя в порядок?

– Есть. Кого вы рекомендуете пригласить с собой?

– Марка и Риту.

– Сейчас мы отправим за ними транспорт.

– Учтите, у Риты больна мать. У нее больное сердце. Приезжайте тихонько.

– Мы положим ее на время в имперский госпиталь для высшего состава армии и членов их семей. Рита может не волноваться.

Прошло два часа.

– Доброе утро, шеф!

– Привет, Рита! Привет, Марк!

– Доброе утро, господа! Мы пригласили вас сюда, так как нам нужна ваша помощь. В республике И. нам удалось локализовать штаб боевиков, который нужно уничтожить. Но проблема в том, что мы не можем внедрить туда своего человека. Все боевики, охраняющие штаб, из одной деревни и друг друга знают.

– Что еще вы знаете о них?

– Да практически ничего. Кроме того, что секретарь руководителя интенсивно использует свой смартфон и, в связи с этим, ему приходится часто его заряжать.

– Уже хорошо. А какой смартфон? Вы знаете модель?

– Да. Наш человек работает в провайдере местной мобильной связи. В результате мы знаем, что все боевики используют смартфоны на Android.

– Что еще вы знаете о секретаре и самом доме?

– В доме используются баллоны с газом. Кухня с баллонами находится рядом с комнатой секретаря.

– Уже хорошо. Вас устроит, если диверсия будет больше всего похожа на аварию?

– Марк, у тебя уже есть идея?

– Ха! Конечно есть. Правда это идея не моя. Рита и ее «черные волшебники» обнаружили серьёзную уязвимость, которая позволяет при желании удалённо контролировать зарядку смартфона. В частности, можно повысить один из показателей, вследствие чего смартфон попросту сгорит. Причём не исключено, что это повлечёт за собой физическое воспламенение, что может привести к пожару. Если пожар распространится на кухню, это приведет к взрыву.

– Иоганн, у вас все волшебники?

– А то. Конечно.

– Марк, что от нас требуется?

– От вас? Ничего! Нам с Ритой нужно подумать, как использовать уязвимость зарядного устройства.

Прошла неделя.

– Мы готовы тестировать нашу «бомбу».

Атака на полигоне привела к пожару зарядного устройства и последующему взрыву. А еще через две недели штаб боевиков был уничтожен.

Специалисты лаборатории Tencent Security Xuanwu Lab обнаружили серьёзную уязвимость, которая позволяет удалённо контролировать параметры процесса зарядки смартфона. Вплоть до воспламенения в результате повышения одного из показателей.

Сказки о безопасности: Последствия эпидемии

– Доброе утро, шеф! Вы помните, что сегодня заседание имперского совета по вопросам противодействия эпидемии. Вы приглашены.

– Спасибо, Софи! Я помню. Мне там быть к 11—00, верно?

– Верно! Кофе хотите?

– Да. День сегодня взбалмошный какой-то. Лучше выпить кофе сейчас, потому как потом будет некогда.

– Шеф, я решила, раз на улице жарко, то я с вечера приготовила кофе и заморозила кофейный кубики, а сейчас просто добавлю сладкое холодное молоко.

– Софи, вам с утра еще никто не говорил, что вы ангел? В такую жару ледяной кофе это лучшее что можно придумать!

– Шеф, это не мне похвала, а моей маме. Она меня так научила.

– Передайте ей огромное спасибо!

Прошло два часа.

– Шеф, вам пора.

– Я уехал.

В канцелярии императора шло совещание. Вот слово предоставили Иоганну.

– Господа, у нас с вами есть проблема. Как показал новый опрос, проведенный по заказу имперской канцелярии, мы не способны эффективно отслеживать посетителей пабов и ресторанов, которые контактируют с людьми, зараженными коронавирусом. Несмотря на то, что правительство рекомендует заведениям уведомлять клиентов о том, что они должны заказывать еду и напитки для доставки к столикам через мобильные приложения, подавляющее большинство опрошенных сказали, что они не будут загружать их, а будут полагаться на традиционные методы заказа.

По мере того, как индустрия туризма и развлечений начинает постепенно выходить из карантина, проблемы конфиденциальности данных остаются на повестке дня. Три из пяти опрошенных говорят, что они не хотят, чтобы пабы или рестораны собирали их личные данные, в то время как более четверти опрошенных очень обеспокоены нарушениями данных.

Однако, хотя пользователи по-прежнему скептически относятся к способности компаний и правительств обеспечивать полную безопасность персональных данных, значительное большинство по-прежнему хотят, чтобы организации передавали собранные данные властям для оказания помощи в борьбе с пандемией.

– Что вы предлагаете?

– Рассказывать, пояснять и одновременно усилить безопасность данных. Усилить ответственность за утечки. В конце концов просто работать! Нравится нам с вами или нет. Работать. Понимаю, что это сложно, но выхода у нас с вами просто нет.

– Спасибо за правду Иоганн! Мы догадывались, что ответ наших подданных будет именно таким. Но в любом случае прерывать работу нельзя.

Вы думаете это так только в сказке? Увы, нет. Большинство опрошенных в Британии не доверяют ни правительству, ни частным компаниям при сборе персональных данных. И сомневаюсь, что это положение скоро улучшится!

Сказки о безопасности: Взлом местонахождения

Лето… Жаркое, вернее очень жаркое лето… Иоганн обожал летом рано выходить из дома и медленно гулять по парку, когда еще никто не шел по аллеям и можно было спокойно подумать. А подумать было над чем. Ему все чаще и чаще ставили весьма странные и на первый взгляд совсем не касающиеся его задачи. Вот и сейчас его попросили подумать, а смогут ли его ребята помочь разведке в республике А. Сама по себе ни армия, ни полиция этой республики угрозы империи не представляли. Однако в республике уже который год шла гражданская война. А самое главное – из этой республики в империю который год шли караваны наркотиков. Причем военные республики С, помогавшие правительству республики А, сами участвовали в поставках наркотиков. Но как выяснить, где они размещают свои военные объекты, базы, посты, входы в бункеры и прочее? Где в городах живут их офицеры?

– Шеф, доброе утро! Это Марк! У меня есть идея.

– Жду в кабинете.

– Шеф! Вы знаете, что у военных и вообще у силовых структур республики С очень популярны смарт-часы фирмы G. А этот производитель хранит на своих серверах всю техническую информацию и конечно же знает местонахождение пользователей, хотят они этого или нет.

– Хорошо. Они знают, а нам что от этого?

– Если взломать их северы, причем тихонечко, то, получив информацию о перемещениях часов в республике А, можно отследить перемещения военных. Ведь у местных жителей просто нет денег на покупку смарт-часов.

– Интересный вариант. Но ведь ты понимаешь, что все же точность этих данных будет не стопроцентной.

– Конечно понимаю. И что? Даже 70% обнаружений даст нам больше, чем мы можем получить с помощью агентурной разведки.

– Есть еще проблема: подобные часы носят многие наши офицеры и правительственные чиновники.

– Да, я понимаю. Увы, нашим чиновникам, силовикам и членам их семей придется забыть о подобных часах. А нам придумывать для них что-то безопасное.

22 июля взломали серверы компании Garmin. Часами этого бренда пользуется половина офицеров армии США, силовики со всего мира, ЦРУ и просто знаменитости используют. Теперь данные об их активности скомпрометированы.