Сказки о безопасности: Угон грузовика

– Иоганн, нам нужна помощь ваших специалистов.

– Что случилось на этот раз?

– Полиция жалуется, что на трассе, соединяющей порт со столицей, резко выросло число угонов грузовиков с товаром.

– Ну, вы смеетесь? Мы-то тут причем?

– Думаю, что как раз вы-то причем! Ведь угоняют грузовики выборочно. В первую очередь с дорогой электроникой и элитным алкоголем. Угоняют то, что дорого стоит и легко продать. Вам не кажется это подозрительным? А нам кажется.

– А где точка, в которой сходятся все сведения?

– Логистический центр. там все данные обрабатываются на сервере. И, насколько нам известно, там весьма слабая ИТ-служба.

– Тогда вы правы. Это к нам. Но нам нужны официальные полномочия для проверки компьютерной сети.

– С этим как раз проблемы нет. Выделяйте оперативную группу.

– Марк, ваша группа выделяется в помощь транспортной полиции. Вы должны проверить состояние компьютерной сети компании Sea and Logistic. Мне кажется, у них утечка данных по грузам и грузовикам. И заодно попробуйте разобраться, как все же угоняют грузовики, ведь они используют цифровые ключи.

– Задачу понял. Выезжаем.

Прошло два дня.

– Иоганн, а тут все весьма грустно! Серверное программное обеспечение не обновляли более года. Более того, серверные операционные системы, антивирусное программное обеспечение, да и многое другое просто ворованное! Мне кажется, против директора, ИТ- и ИБ-руководителей нужно открывать уголовные дела за халатность! Или как минимум уволить! Здесь куда не ткни, все друг другу родственники. Ужас какой-то.

– А что с грузовиками? Разобрались?

– Конечно. Практически все они на выезде останавливаются у маленького кафе, где водители покупают себе воду и сигареты. Там ежедневно стоят два неприметных автомобиля, пассажиры которых занимаются перехватом ключей. А на следующей стоянке грузовики и угоняют.

– Что посоветуете водителям?

– Ключи держать в фольге. Впрочем, Мэри предложила и другой вариант: укладывать их в пустую банку из-под пива или колы. Говорит, что так проще, фольга порвется, а банка целая. И перехватить ничего нельзя.

– Молодец! Объявите ей благодарность от меня!

Вот так и закончилась история с угонами.

Сказки о безопасности: Пропавшее электричество

– Доброе утро, шеф!

– Доброе утро, Софи! Что-то у вас встревоженный вид. Что случилось? Проблемы?

– Действительно проблемы. У мамы в доме отключили электричество. Вернее даже не только у мамы, а по всему их микрорайону. Говорят, за неуплату. Но мама клянется, что в их доме платят все. Поможете разобраться?

– Софи, вы странный человек! Когда мы отказывали своим? Разве вы такое видели?

– Нет конечно! Но мало ли что…

– Не морочьте голову. Все наши персональные дела у меня на контроле. Передайте оперативникам мою просьбу лично разобраться и сразу же доложить!

Прошло два дня.

– Иоганн, свет восстановили. Как оказалось, в одном из домов была найдена майнинговая криптовалютная ферма, хозяева которой не платили за электричество, а воровали его!

– Лихо! И что, никто не слышал шум вентиляторов? Никто не обратил внимание, что там работают кондиционеры?

– Нет, думали, что там просто идет ремонт!

– Ваша мама подала в суд на владельцев оборудования? Если нужно, мы поможем с адвокатами.

– Думаю, что придется так и сделать. Что вы вообще посоветуете на будущее?

– Увы, спасение утопающих дело рук самих утопающих! Нужно смотреть за тем, кто завозит оборудование, и вообще, внимательнее поглядывать вокруг. А пока жильцам нужно подать заявление в прокуратуру. Это поможет избежать обращения в суд со стороны энергоснабжающей компании.

– Спасибо! Так и сделаем!

Увы, это не сказка. Подобные ситуации уже были в России. Так что будьте внимательнее!

Сказки о безопасности: Прочесть почту

– Доброе утро, шеф!

– Доброе утро, Рита! Я как раз собирался вас вызвать. Есть работа, но я пока не представляю, как ее выполнить. Нам нужно прочесть письма из почтового ящика Виктора Рэя. Но он использует двухэтапную аутентификацию на почтовом сервере компании М.

– Задание принято, а уж как – мы разберемся сами. Разрешите применить средства негласного съема информации?

– У вас разрешение императора на применение любых методов. Но все же желательно выполнить это максимально тихо, не привлекая внимания.

Прошла неделя.

– Шеф, вот вам искомая почта. Так как мы не знали за какой период, то выкачали все, что есть на сегодня.

– Молодцы, но как???

– Для выполнения задания мы решили клонировать сим-карту подозреваемого, на которую приходит СМС в виде второго фактора. Но не тут-то было. Оказалось, что СМС приходит не на основной его номер, а на предоплаченную карточку, которая не зарегистрирована на него. Тогда, уточнив, что в доме он проживает один, мы использовали фальшивую базовую станцию и воспользовались ею в один из дней, когда в доме он был один. В результате мы получили номер его второй сим-карты. И клонировали ее.

– И что вам это дало?

– Компания М позволяет воспользоваться не только двухэтапной аутентификацией, но и организовать нечто типа структуры одноразовых паролей (One Time Password – OTP).

– Поясните.

– Для входа на почту можно запросить только «второй фактор», без ввода пароля. Именно этим мы и воспользовались. В результате мы получили СМС на клон сим-карты и вошли в аккаунт. Ну а затем просто выкачали все письма. Если потребуется, это можно повторить в любое время.

– Молодцы. А знаете, как от этого защититься?

– Конечно. Использовать в качестве второго фактора аппаратный ключ. Тогда бы мы ничего не смогли сделать без физического доступа к этому ключу.

Такая атака на почтовый сервис компании Microsoft уже реальность. Впрочем, начиная с версии 1809 уже существует и средство защиты!

Сказки о безопасности: Когда лучше не двигаться

Утро солнечного выходного дня началось с резкого телефонного звонка.

– Питер, срочно подъем. На 19-й улице разбойное нападение на ювелирный магазин. Взяты заложники. Короче, машина уже у подъезда. Подъем, солдат!

– Ну вы окончательно обалдели! Единственный выходной и тот испоганили. Комиссар, можно я не буду их арестовывать, а просто убью? Сволочи, такой сон испортили!

– Питер, хватит возмущаться! Подъем!

– Ладно! Уже встал! Умываюсь и спускаюсь. Но все же они сволочи!

– Да кто б спорил! Вперед, солдат! Служба не ждет! Заложники на тебя надеются!

Второй специалист по освобождению заложников был в отпуске, и Питер остался один. Потому, несмотря на формальный выходной, вариантов у Питера не было.

Прошло 10 минут. Вот и магазин. На окнах висели глухие шторы. Сколько внутри преступников, никому не известно. Как работать?

– Кто командир?

– Я!

– Доброе утро, Майкл! Что известно?

– Да в том и дело, что почти ничего. На связь они пока не выходили, требований не предъявляли. Мы даже не знаем, сколько их внутри.

– Ваши предложения?

– С нами тут стажер из Академии. У него есть предложение.

– Говорите, стажер!

– В магазине работают две точки Wi-Fi.

– И чем нам это поможет?

– Исследователи нашей Академии разработали новую систему, использующую для слежки окружающие сигналы Wi-Fi и обычный смартфон. С помощью смартфона мы можем локализовать местонахождение человека в доме сквозь стены, используя отражение сигналов Wi-Fi. Ведь для радиосигналов не существует дверей или стен. Они смешиваются, отражаясь от различных поверхностей, и с точки зрения Wi-Fi картина мира выглядит весьма смазанной. Движущиеся люди также отражают сигналы, однако, в отличие от статичных предметов, они не выглядят смазанными. Поэтому можно легко рассмотреть человека за стеной и определить его движения.

– Н-да… Я не успеваю следить за всеми разработками. Пора на учебу. Вы сами сможете помочь?

– Да. Я участвовал в этой работе, а все программное обеспечение для работы мы получили еще на прошлой неделе.

– Так почему вы еще здесь? Бегом в отделение! Занимайтесь! Если вам нужна помощь людьми или транспортом, скажите. В вашем распоряжении все службы нашего полицейского управления. А на период этой операции вам подчиняются все отделения города.

Прошло еще полчаса.

– Комиссар, мы смогли определить, что в магазине шестеро преступников, они находятся в основном зале, постоянно перемещаются и чего-то ждут. Сколько заложников, мы точно сказать не можем, так как они неподвижны. Точность распознавания около 99%.

– Стажер, вы уже получили высшую оценку вашей практики. Ребята, а теперь работа за вами. Вперед!

Через 10 минут все было закончено. В зале оказалось семеро злоумышленников. Один из них стоял на месте, и потому его невозможно было определить.

Сказки о безопасности: Где взять деньги

Несмотря на солнечное утро за окном, все присутствовавшие в конференц-зале на совещании руководителей автомобильной компании N ощущали непонятную тревогу. Казалось, в зале вот-вот разразится гроза. Атмосфера накалялась буквально на глазах.

– Господин вице-президент, что у нас с выпуском автомобилей?

– Уже третий квартал подряд их производство растет. Не так быстро, как хотелось бы, но все же понемногу. Главное – не падает.

– Хорошо, а что с продажами?

– Думаю, на этот вопрос лучше ответит руководитель департамента продаж!

– Так пусть отвечает!

– У нас продажи остаются на том же уровне.

– Так на кой черт у нас растет производство? Вам не кажется, что такими темпами мы скоро будем производить все больше автомобилей «на склад»? Нам нужна прибыль, а она неуклонно падает! Нам нужны деньги! Или вам они не нужны?

– Господин президент, позвольте?

– Майкл, что вы можете сказать? Ваш ИТ-департамент не приносит прибыли, а сокращать там уже некого.

– Вот и я о том же. Самое ценное в мире, господин президент, это информация, которой мы владеем. И мне, кажется, пора перестать сидеть на мешках с золотом и жаловаться, что нам никто не платит!

– Погодите, Майкл, я не понимаю. Неужели ваши подчиненные научились видеть деньги там, где даже я их не вижу.

– Именно так, господин президент! В нашем распоряжении есть информация об образе жизни владельцев так называемых подключенных автомобилей, собранная с мобильных приложений и информационно-развлекательных систем. Однако ценным активом также являются данные клиентов, собранные финансовыми отделами нашей компании.

Ведь на сегодня уже есть 100 млн. владельцев наших автомобилей. А значит, мы владеем их данными!

– Откуда?

– Они берут у нас взаймы деньги, когда покупают автомобили в кредит. Мы знаем, кем они работают. Мы знаем, женаты ли они. Как долго живут в своих домах, потому что все это указано в заявлениях на получение кредита. И это все мы знаем благодаря тому, что люди нам доверяют!

– Вы это серьезно?

– Вполне! Ведь несмотря на то, что мы пока не торгуем такими данными, они у нас есть! А значит рано или поздно до этого додумаются и наши конкуренты, и больше всего прибыли получит тот, кто первым это сделает! Главное не опоздать!

Сказки о безопасности: Обманчивый поиск

– Потапыч! Можно к тебе зайти?

– Что снова произошло, Хрюша? Какие проблемы в это раз?

– У меня никаких, хочу, наоборот, тебя поблагодарить за науку. Я серьезно!

– Ты серьезно? Что случилось?

– В этот раз не у меня. Слава Богу и благодаря тебе, у меня все хорошо! Неприятности случились у Хрюнделя.

– Да что ж случилось-то?

– Да все нормально, он придурок! Но все ж внимательный придурок!

– Да ты можешь пояснить?

– Решил он позвонить к себе в банк и нет чтобы посмотреть на номер на своей банковской карте, нет, полез в Интернет искать номер телефона. Позвонил он в банк, а на той стороне приятный женский голос ответил, мол, да, это банк, но прежде, чем мы сможем вам помочь, нам нужно идентифицировать вас. Назовите пожалуйста имя владельца карты, срок ее действия и кодовое слово. Он назвал. Тогда у него попросили полный номер карты, не последние 4 цифры, а полный номер. Он сделал и это. А уж когда попросили назвать CVV-код, используемый для подтверждения онлайн-транзакций, до него, кажется, дошло, и он просто положил трубку. Говорила я ему говорила, что нужно быть внимательнее, а он все такой же. Спасибо тебе, что ты меня научил!

– Да уж! Давай я постараюсь понять, почему он дозвонился не на тот номер.

Прошла неделя.

– Хрюша, оказалось, что так «попал» не только твой Хрюндель, а и еще много народу. Проблема оказалась в сервисе Google Maps. Мошенники научились использовать его для собственного обогащения, выдавая с его помощью себя за сотрудников службы поддержки банковских организаций.

– Но как?