Сказки о безопасности: Вирус для Хрюши

Утро было солнечным, и поющие птицы предвещали хороший день. Потапыч решил в этот день немного поковыряться на даче. Но стоило только взяться за газонокосилку, как судорожно заверещал телефон.

– Потапыч, спасай! У меня компьютер взбесился! Требует, чтобы я выслала какие-то деньги непонятно кому, а иначе меня просто не пускает работать! Спасай, а я тебе на даче потом помогу.

– Ладно, Хрюшенька, сейчас приеду. Только косилку уберу. Через полчаса буду.

Прошло минут 40 и Потапыч был уже на пороге дома Хрюши.

– Ну рассказывай, что случилось?

– Да вот смотри сам. Что тут говорить…

На экране компьютера Хрюши большими буквами светилась надпись: «Вы нарушили правила пользования Интернетом и были замечены на порнографическом сайте. Вы должны уплатить штраф в сумме… на счет… в течение двух дней! В противном случае ваш компьютер будет изъят правоохранительными органами для проведения расследования.»

– Потапыч, миленький, но я никуда не ходила! Честно! Да и что мне там делать? Я девушка порядочная! Спаси!

– Да ладно. Я все понимаю. Будем искать. Скорее всего ты откуда-то подхватила вирус. Это бывает. Плохо, но не страшно.

Прошло 3 часа. Потапыч вычистил компьютер и спросил Хрюшу, давно ли она обновляла программное обеспечение своего ПК.

– Да каждый раз, как предлагает обновиться, я обновляюсь. И антивирус обновляю. Все ж делаю.

– Погоди, Хрюша, понятно. Ты обновляешь операционную систему. А остальные приложения?

– Потапыч, ну откуда же я знаю? Ты такие вопросы задаешь, на которые у меня нет ответа.

– Да понимаю. Все же давай установим тебе программу, которая будет сама искать обновления и их устанавливать.

– Потапыч, но это же денег стоит? Дорого?

– Нет, Хрюша. Это для компаний такая программа стоит денег, а для тебя, как для домашнего пользователя она бесплатная. Более того, даже некоторые антивирусы сегодня могут управлять обновлениями. Ну, антивирусы, понятно, платные.

– И как это работает?

– Автоматически. И защитит тебя от возможного заражения.

– Спасибо, Потапыч!

А вы управляете обновлением вашего домашнего ПО от третьих сторон? А не домашнего? Точно?

Сказки о безопасности: Спор

В это осеннее утро на еще зеленые листья деревьев выпал снег. Да-да, пусть мелкий, но снег. Он шел всю ночь и утро оказалось, что на зеленой траве, еще не опавших листьях деревьев лежит снег… Было ветрено и ужасно не хотелось подниматься из теплой кровати и куда-то идти. Но… Работа есть работа. Иоганн нехотя поднялся и пошел на кухню. Он любил варить кофе. Не используя стандартную кофемашину, а в старой медной джезве. Ведь приготовление первой утренней чашки кофе – это процесс. Священнодействие. Перемолов зерна кофе в пыль, он добавил их в джезву, долил воды, поставил на самый маленький огонек и сел ждать. Приготовление кофе – это не самый быстрый процесс, есть время подумать…

А думать было о чем. Сегодня ему предстояла тяжелая встреча с главой команды разработчиков популярной операционной системы W. После ряда обновлений операционная система на компьютерах пользователей переставала работать. Пользователи не хотели обновляться. Нужно было что-то придумывать…

Рано или поздно, но кофе был готов и даже выпит. Пора на работу…

– Иоганн, к вам господин Майер. Пригласить?

– Да, зовите. И пригласите Майкла и Риту.

– Господин Майер, я хотел бы уточнить у вас, что происходит с обновлениями? Они теперь устанавливаются автоматически? Почему я не могу контролировать этот процесс?

– Проблема в том, что пользователи и ранее его не контролировали. Мы проводили исследование. Оказалось, что только 10% пользователей интересовалось тем что и как устанавливается на их ПК, порядка половины вообще не устанавливали обновления, а остальные ставили обновления в автоматическом режиме. Все это приводило к тому, что обновления зачастую устанавливались через 3—4 месяца после выхода, если устанавливались вообще.

А ведь уязвимости, исправляемые обновлениями, начинали использоваться через 8—24 часа после появления обновлений.

– То есть вы хотите сказать, что злоумышленники декомпилировали обновления и затем уже писали вредоносный код?

– Абсолютно верно! Вспомните, как несколько лет тому назад мы выпустили обновление в октябре, а в январе следующего года разразилась эпидемия вируса, использовавшего эту дыру. Не пострадали лишь те, кто установил обновление. Но их было, увы, явное меньшинство.

– И как вы предлагаете работать?

– Я предложил разработчикам перед запуском каждого обновления делать точку восстановления системы и, если что-то пойдет не так, пользователь сможет восстановиться и таким образом удалить обновление. Я считаю, что это маловероятное событие, но все же.

– Да… Задали вы жару.

– А что делать?

А вы устанавливаете обновления? Делаете точки восстановления? Или думаете, что и так пронесет?

Сказки о безопасности: Встреча в баре

Как правило, раз в месяц руководство Департамента контрразведки проводило неофициальные вечеринки для своих руководителей подразделений. Считалось что это помогает сплотить коллектив. Иоганн не любил такие вот «неофициальные» посиделки, считая, что пить с подчиненными плохо влияет на авторитет, а с руководителями – вредно для здоровья. Ведь завтра будут обсуждать пил ты мало или много, с кем говорил, а то и о чем говорил. Пить меньше руководителя – значит стучит, больше – пьяница.

Потому все знали, что Иоганн не пьет на таких встречах ничего кроме 1—2 бокалов шампанского, отговариваясь тем, что он за рулем.

Тем не менее такие походы все же были нужны. Ведь где иначе могли бы встретиться и поговорить руководители различных направлений, да еще и в неофициальной обстановке.

– Иоганн, можно вас на секунду?

– Безусловно. Чем могу помочь?

– Фирма А выпустила смартфон и заявляет о применении устойчивого алгоритма шифрования для обеспечения безопасности устройства и его резервных копий. Как считаете, этому можно доверять? И что это сулит нам всем?

– Курт, вам как ответить? Как гражданину этой страны или как руководителю подразделения криминальной полиции?

– А есть разница?

– Безусловно!

– Тогда как гражданину.

– Фирма А действительно шифрует вашу облачную резервную копию и действительно это шифрование весьма устойчиво. Более того, поскольку пароль шифрования выбираете вы сами, то получить доступ к резервной копии практически невозможно. Это все правда!

– А если я буду спрашивать, как представитель полиции? Как высокопоставленный офицер полиции.

– Тогда я вам отвечу, что нас с вами это не должно вводить в заблуждение. Ведь мастер-пароль, на основании которого шифруется ваш пароль резервной копии принадлежит фирме А, верно? Следовательно, в любой момент времени ваша резервная копия может быть расшифрована представителем фирмы А. И более того, в фирме существует целый отдел, естественно, это строго конфиденциальная информация, который занят только ответами на запросы правоохранительных органов нашего государства. Более того, я уверен в существовании такого отдела и у их конкурентов. Но это, естественно, неофициальная информация.

А вы думали, что информация на ваших смартфонах принадлежит только вам? Не смешите!

Apple, как оказалось, сотрудничает с правоохранительными органами. Об этом говорится в одном из писем, похищенных из электронного ящика главы предвыборного штаба Хиллари Клинтон Джона Подесты и опубликованных WikiLeaks.

Согласно письму, полученному Подестой от вице – президента Apple Лизы Джексон 20 декабря 2015 года, ежемесячно компания удовлетворяет тысячи запросов от правоохранителей на раскрытие данных пользователей. В компании работает целая команда специалистов, круглосуточно занятая лишь ответами на запросы властей.

Сказки о безопасности: Закрытая комната

С

егодня был тот редкий теплый осенний день, когда вроде и те же тучи, и тот же ветер, а все же на душе немного светлее. Сложно понять, но иногда вдруг с утра понимаешь, что сегодняшний день немного лучше вчерашнего. И вроде ничего не случилось и так же не хочется вставать с утра, а все же…

Так и было. Иоганн шел на работу, улыбаясь встречным. Спроси у него кто-то что хорошего, он вряд ли ответил бы, но то что хорошо, это было написано у него на лице.

На работе его ждало неожиданное известие. Иоганна вместе с Максом и Ритой приглашали в Департамент контрразведки.

– Что? Зачем?

– Не знаю, шеф, но машина уже внизу. Вы едете на озеро.

На озере находился самый засекреченный объект Департамента – его отдел исследований.

– Здравствуйте, Иоганн! Доброе утро, Рита! Доброе утро, Макс! Вас привезли сюда по личному указу императора. У нас есть проблемы. Как вы знаете, компания Х производит новинки вооружений. Мы знаем, что из их сейфа пропала документация на новый прибор. Но мы не можем понять, КАК? Ведь сейф туда устанавливали наши сотрудники. Войти в комнату можно только после того, как глава компании пройдет идентификацию по радужке глаза, произнесет кодовую фразу и приложит палец. То есть для входа в комнату задействованы самые передовые образцы биометрической аутентификации.

– И что?

– Да дело в том, что главы корпорации нет в столице. И на момент осуществления не было. Мы не можем понять, как вскрыли замки. Помогите нам.

– Безусловно, это интересно, но, поверьте, вовсе не так сложно, как вы думаете.

– ???

– Начнем с простого. Отпечаток пальца. Макс, ты занимался этой проблемой?

– Да. Мы создали из специального силиконового состава с помощью точной 3D печати перчатки с имитацией отпечатков не только пальцев, а всей ладони. В прессе публиковалось это. Еще около полугода тому. Правда нужен был дорогой 3D-принтер, но видимо они заранее позаботились об этом.

– А голос?

– Шеф, позволите, я поясню?

– Безусловно, Рита!

– Мы вместе с компанией М создали программное обеспечение, которое на основе записей вашего голоса произносит любую набранную фразу или разговор, имитируя не только тембр вашего голоса, но и манеру произношения, паузы в словах и так далее. Вероятность совпадения – 95%. Так что, увы, это не так сложно.

– Ну хорошо, а радужка? Год назад ваши специалисты утверждали, что подделать это физически невозможно. Они что, врали?

– Безусловно, нет. Прошу нам дать несколько дней. И мы ответим на этот вопрос.

Прошла неделя.

– Иоганн, вы сможете ответить, как взломали радужку?

– Легко! Мы провели эксперимент. На дроне была укреплена камера со сверхвысоким разрешением в несколько гигапикселей. Это позволило нам с высоты в пару сотен метров, когда дрон с земли практически не виден, осуществить съемку лиц. А затем использовать эти фото.

– Н-да… Сложно то все как!

– Сложно. Увы, биометрия – это не более чем удобство. Запомните это.

На сегодня атаки на подмену отпечатка пальца и подмену голоса уже не редкость. Вы помните, как еще в 2008 году немецкими хакерами осуществлена атака на министра внутренних дел ФРГ: они распечатали его отпечаток пальца, переснятый со стакана, из которого он пил на пресс-конференции. Перенести их с помощью лазера на силиконовые подушечки и совершить какое-то действие «от имени» чиновника (скажем, ограбить ювелирный магазин) – уже проще простого.

Взломать смартфон с помощью бумажных отпечатков пальцев удалось в августе 2016 года американским специалистам по кибербезопасности. Полицейские попросили их помочь разблокировать телефон погибшего мужчины. Его отпечатки были в полицейском досье, и на их основе сделали «искусственный» палец.

Атака на голос тоже уже не фантастика.

Ну а атака на радужку – думаю это дело ближайшего будущего!

Сказки о безопасности: Защита с воздуха

В империи давно не было покушений на императора, однако это не означало что охраной высших лиц империи пренебрегали. Но после покушения на известного банкира В, охрана императора поняла, что появилось новое направление атаки.

Как показало расследование, проведенное после аварии, машина известного банкира была атакована с воздуха с помощью радиоуправляемого дрона. Естественно, преступника, управлявшего с удаленного места, так никто и не нашел.

– Иоганн, это к вам. Ваше подразделение должно продумать, что и как мы можем сделать, чтобы над улицами и местами, через которые проезжает император, не было никаких радиоуправляемых воздушных дронов. Ни запущенных мальчишками, ни, тем более, запускаемых террористами. У вас на все – два месяца. Выполняйте!

– Марк, вам предстоит разобраться с тем, как работают дроны.