Читать онлайн Сказки о безопасности. Том 1 бесплатно
Введение
В нынешнем гипер-информатизированном мире роль специалистов по информационной безопасности сегодня такая же, какая была сто лет назад у врачей. Кто-то создаёт вакцины от смертельных болезней, кто-то изучает и классифицирует виды бактерий, кто-то спасает уже заболевших, а кто-то учит ещё здоровых, как вести себя, чтобы не заболеть: например, мыть руки перед едой и не пить воду из луж,
Книга, которую вы держите в руках – лучший из известных мне образцов пособий по «цифровой гигиене». Без наукообразных терминов в виде коротких поучительных историй автор рассказывает очень важные для информационной безопасности личности и предприятия вещи, иногда прямо, а иногда исподволь внушает нам, как сохранить свою приватность в этом новом и непривычно открытом кибер-мире. Как защитить себя от мошенников и «похитителей личностей». Как безопасно и одновременно очень удобно проводить платежи, не выходя из дома и многое, многое другое.
Мир станет честней и безопасней, когда «цифровая гигиена», то есть набор правил безопасного поведения в цифровом пространстве, войдёт в ежедневную рутину каждого пользователя информационных технологий. Можно было сколько угодно выпускать учёных-эпидемиологов, врачей и гигиенистов, но пока каждый человек на планете не научился мыть руки, человечество не смогло бы победить страшные болезни. То же самое должно произойти и в кибер-пространстве, тогда «врачам» останется только двигать науку вперёд, а не бесконечно бороться с эпидемиями.
У вас в руках универсальный учебник, который совсем не похож на учебник. Читайте сначала и до конца или с любого случайно открытого места. Читайте сами, своим детям перед сном или своему боссу по пути в аэропорт – всё будет не зря. Герои книги – принцессы и драконы, шпионы и контрразведчики, не оставят читателей равнодушными и оставят в памяти читателя и слушателя сценарии правильного поведения в кибер-среде и способы лёгкого и изящного обхода угроз. Надеюсь, автор выпустит книгу и в аудио-формате и я смогу слушать её ещё и в перелётах.
Наслаждайтесь. Оно того стоит.
Рустэм Хайретдинов, друг и поклонник автора.
Волк и семеро козлят или снова о многофакторной аутентификации
Жила-была коза с козлятами. Уходила коза в лес есть траву шелковую, пить воду студеную. Как только уйдет – козлятки запрут избушку и сами никуда не выходят.
Вот смотрите, даже козлята никуда без спроса не ходят. Ваши пользователи тоже не должны никуда ходить в Интернет, кроме разрешенного для работы списка сайтов, а вы обязаны это контролировать. НО! Если не можете контролировать, то не стоит запрещать!
Воротится коза, постучится в дверь и запоет:
– Козлятушки, ребятушки!
Отопритеся, отворитеся!
Ваша мать пришла – молока принесла;
Бежит молоко по вымечку,
Из вымечка по копытечку,
Из копытечка во сыру землю!
Козлятки отопрут дверь и впустят мать. Она их покормит, напоит и опять уйдет в лес, а козлята запрутся крепко-накрепко.
Как видите, коза использует многофакторную аутентификацию с применением биометрических технологий. Аутентификация по голосу и кодовой фразе. Однако и коза совершает ошибку. Она:
Использует всегда одну и ту же простую кодовую фразу
Используя беспроводной способ передачи кодовой фразы, не заботится о том, что мощность передатчика (голоса) может быть чрезмерной. А соответственно злоумышленник (Волк) может ее подслушать. Что нужно было сделать?
Каждый раз уходя из дома оговаривать заранее кодовую фразу для следующего возвращения (т.е. использовать OTP— OneTimePassword
Но мы-то понимаем, что она всего лишь Коза, а вы, уважаемые читатели, будьте внимательнее.
Однажды волк подслушал, как поет коза. Вот раз коза ушла, волк побежал к избушке и закричал толстым голосом:
– Вы, детушки!
Вы, козлятушки!
Отопритеся,
Отворитеся,
Ваша мать пришла,
Молока принесла.
Полны копытцы водицы!
Козлята ему отвечают:
– Слышим, слышим – да не матушкин это голосок! Наша матушка поет тоненьким голосом и не так причитает.
Используется биометрическая составляющая – тембр голоса. Злоумышленник этого не знает, следовательно, атака не удалась. Злоумышленнику нужно поставить оценку 2 за предварительно проведенную разведку. Он услышал парольную фразу, но не полностью и не оценил значение биометрической аутентификации. Вам же, уважаемые читатели, нужно обращать внимание на тех, кто часто крутится рядом с вами, перехватывая беспроводные сигналы.
Волку делать нечего. Пошел он в кузницу и велел себе горло перековать, чтоб петь тоненьким голосом. Кузнец ему горло перековал. Волк опять побежал к избушке и спрятался за куст.
Вот приходит коза и стучится:
– Козлятушки, ребятушки!
Отопритеся, отворитеся!
Ваша мать пришла – молока принесла;
Бежит молоко по вымечку,
Из вымечка по копытечку,
Из копытечка во сыру землю!
Козлята впустили мать и давай рассказывать, как приходил волк, хотел их съесть.
Коза накормила, напоила козлят и строго-настрого наказала:
– Кто придет к избушечке, станет проситься толстым голосом да не переберет всего, что я вам причитываю, – дверь не отворяйте, никого не впускайте.
Как видим, коза выводов не сделала, пароль не сменила, надеется на бдительность козлят и биометрическую аутентификацию.
Только ушла коза, волк опять шасть к избушке, постучался и начал причитывать тонюсеньким голосом:
– Козлятушки, ребятушки!
Отопритеся, отворитеся!
Ваша мать пришла – молока принесла;
Бежит молоко по вымечку,
Из вымечка по копытечку,
Из копытечка во сыру землю!
Как видите, биометрическая составляющая пароля на сегодня не может дать 100% гарантию. Т.е. использовать ТОЛЬКО биометрию на сегодня опасно!
Если же говорить более полно, то биометрической аутентификации присущ целый ряд недостатков и не зря на сегодня аутентификация по отпечатку пальца, применяемая в Windows 7/8/8.1/10 рекомендуется компанией Microsoft лишь как удобство, а не как аутентификация.
Козлята отворили дверь, волк кинулся в избу и всех козлят съел. Только один козленочек схоронился в печке.
Иногда вовремя спрятаться не значит сбежать с поля боя. Это значит просто спастись.
Приходит коза, сколько ни звала, ни причитывала – никто ей не отвечает. Видит – дверь отворена, вбежала в избушку – там нет никого. Заглянула в печь и нашла одного козленочка.
Как узнала коза о своей беде, как села она на лавку – начала горевать, горько плакать:
– Ох вы, детушки мои, козлятушки!
На что отпиралися-отворялися,
Злому волку доставалися?
Для того чтобы не оказаться в положении глупой Козы и не плакать над остатками вашего бизнеса, вовремя подумайте о плане его восстановления, а также о более надежной аутентификации. Думайте, ибо вы ж не глупые Козы и Козлы, вы специалисты по ИБ!
Услыхал это волк, входит в избушку и говорит козе:
– Что ты на меня грешишь, кума? Не я твоих козлят съел. Полно горевать, пойдем лучше в лес, погуляем.
Пошли они в лес, а в лесу была яма, а в яме костер горел.
Коза и говорит волку:
– Давай, волк, попробуем, кто перепрыгнет через яму?
Стали они прыгать. Коза перепрыгнула, а волк прыгнул, да и ввалился в горячую яму.
Умница Коза. Заранее предусмотрела команду проведения расследования. И хотя сжечь злоумышленника не наш метод, но признаю, руки чешутся.
Брюхо у него от огня лопнуло, козлята оттуда выскочили, все живые, да – прыг к матери! И стали они жить-поживать по-прежнему.
Надеюсь Коза в следующий раз будет умнее и запомнит, что в беспроводных сетях нужно использовать для аутентификации технологию одноразовых паролей (ОТР), да и сигнал давать наименее мощный, чтобы только до роутера хватало. Не стоит рисковать.
В отличие от сказочной Козы, вам, мои дорогие читатели, шанса вернуть свою информацию никто не даст! Потому думать рекомендую сразу же!
Колобок или старые сказки о главном…
Жил-был старик со старухою.
Просит старик:
– Испеки, старуха, колобок.
– Из чего печь-то? Муки нету.
– Э-эх, старуха! По коробу поскреби, по сусеку помети; авось муки и наберется.
Взяла старуха крылышко, по коробу поскребла, по сусеку помела, и набралось муки пригоршни с две.
Замесила на сметане, изжарила в масле и положила на окошечко постудить.
Создали значит ИТ-отдел и поручили ему жить самостоятельно да добро наживать. Из последних сил тужились, чтобы было как у «людей». Да не тут-то было.
Колобок полежал-полежал, да вдруг и покатился – с окна на лавку, с лавки на пол, по полу да к дверям, перепрыгнул через порог в сени, из сеней на крыльцо, с крыльца на двор, со двора за ворота, дальше и дальше.
Решил ИТ-директор что он всех умнее и сам знает, что нужно бизнесу, мол, чего их спрашивать, мы же ИТ, самые умные. И встретилась ему на большом пути первая опасность…
Катится колобок по дороге, а навстречу ему заяц:
– Колобок, колобок! Я тебя съем!
– Не ешь меня, косой зайчик! Я тебе песенку спою, – сказал колобок и запел:
– Я поскребён метен, на сметане мешон,
Я в масле пряжон, на окошке стужон;
Я от дедушки ушел, я от бабушки ушел,
От тебя, зайца, не хитро уйти!
И покатился себе дальше; только заяц его и видел!
Короче, опасность проигнорировали, исключили ее возникновение. Загордились сильно, а как же, мы ж мол вирусную атаку отразили (или еще от какой-то дряни спаслись), в конце концов, почту работать заставили, вот какие умные
Впереди были еще две проблемы, но от них удалось ИТ-отделу увернуться. Ну как же собой не гордиться! Как же не хвастаться!
Однако и на старуху бывает своя проруха…
Катится, катится колобок, а навстречу ему лиса:
– Здравствуй, колобок! Какой ты хорошенький!
А колобок запел…
Но… славная лиса владела основным приемом социальной инженерии – ЛЕСТЬЮ! И вот тут уже не выдержали ни ИТ отдел, ни ИБ. Всем хочется слышать какие они мудрые да какие незаменимые… Вот только не понимают, что чаще всего слышат эту лесть в последний раз!
– Какая славная песенка! – сказала лиса. – Но ведь я, колобок, стара стала, плохо слышу; сядь-ка на мою мордочку, да пропой еще разок погромче.
Колобок вскочил лисе на мордочку и запел ту же песню.
– Спасибо, колобок! Славная песенка, еще бы послушала! Сядь-ка на мой язычок да пропой в последний разок, – сказала лиса и высунула свой язык.
Колобок сдуру прыг ей на язык, а лиса – ам его! – и скушала.
Вывод прост. ЕСЛИ ТЕБЯ ХВАЛИТ ПЕРВЫЙ ВСТРЕЧНЫЙ, ПОДУМАЙ, СМОЖЕШЬ ЛИ ТЫ РАСПЛАТИТЬСЯ ЗА ЭТУ ПОХВАЛУ…
PS
А СОТРУДНИКАМ ИБ НУЖНО ПОЧАЩЕ НАПОМИНАТЬ ПОЛЬЗОВАТЕЛЯМ ОБ ОПАСНОСТЯХ АТАК СОЦИАЛЬНОЙ ИНЖЕНЕРИИ. ВЕДЬ НА ДУРАКА НЕ НУЖЕН НОЖ, ЕМУ С ТРИ КОРОБА НАВРЕШЬ И ДЕЛАЙ С НИМ ЧТО ХОШЬ! НО ЭТО УЖЕ ДРУГАЯ СКАЗКА.
Али-Баба и сорок разбойников
Старая сказка с новыми знаниями. Мудрость вековая, а знания по ИБ сегодняшние
Когда-то, очень давно, в одном персидском городе жили два брата – Касим и Али-Баба. Когда умер их отец, они поделили деньги, которые после него остались, и Касим стал торговать на рынке дорогими тканями и шелковыми халатами. Он умел расхваливать свой товар и зазывать покупателей, и в его лавке всегда толпилось много народу. Касим все больше и больше богател и, когда накопил много денег, женился на дочери главного судьи, которую звали Фатима.
А Али-Баба не умел торговать и наживать деньги, и женат он был на бедной девушке по имени Зейнаб. Они быстро истратили почти все, что у них было, и однажды Зейнаб сказала:
– Слушай, Али-Баба, нам скоро будет нечего есть. Надо тебе что-нибудь придумать, а то мы умрем с голоду.
Запомни, дорогой друг, рано или поздно халява всегда заканчивается и приходится вставать с дивана и что-то делать. Это же можно сформулировать как первое правило.
Сидя на диване, денег не заработаешь!
– Хорошо, – ответил Али-Баба, – я подумаю, что нам делать.
Он вышел в сад, сел под дерево и стал думать. Долго думал Али-Баба и наконец придумал. Он взял оставшиеся у него деньги, пошел на рынок и купил двух ослов, топор и веревку.
А на следующее утро он отправился за город, на высокую гору, поросшую густым лесом, и целый день рубил дрова. Вечером Али-Баба связал дрова в вязанки, нагрузил ими своих ослов и вернулся в город. Он продал дрова на рынке и купил хлеба, мяса и зелени.
С тех пор Али-Баба каждое утро уезжал на гору и до самого вечера рубил дрова, а потом продавал их на рынке и покупал хлеб и мясо для себя и для Зейнаб.
Запомни дорогой друг, если все что ты умеешь, это просто тупо рубить дрова (нажимать на кнопки), то делать это можно бесконечно. Правда хватать тебе будет только на хлеб. Иногда с маслом и мясом. А чтобы заработать – нужно думать и учиться. Или учиться и думать.
И вот однажды он стоял под высоким деревом, собираясь его срубить, и вдруг заметил, что на дороге поднялась пыль до самого неба. А когда пыль рассеялась, Али-Баба увидал, что прямо на него мчится отряд всадников, одетых в панцири и кольчуги; к седлам были привязаны копья, а на поясах сверкали длинные острые мечи. Впереди скакал на высокой белой лошади одноглазый человек с черной бородой.
Али-Баба очень испугался. Он быстро влез на вершину дерева и спрятался в его ветвях.
Вовремя спрятаться не трусость, а просто тактика выживания. Но запомни, спрятавшись, на хлеб с маслом не заработаешь.
А всадники подъехали к тому месту, где он только что стоял, и сошли на землю. Каждый из них снял с седла тяжелый мешок и взвалил его себе на плечи; потом они стали в ряд, ожидая, что прикажет одноглазый – их атаман.
«Что это за люди и что у них в мешках? – подумал Али-Баба. – Наверное, это воры и разбойники».
Он пересчитал людей, и оказалось, что их ровно сорок человек, кроме атамана. Атаман встал впереди своих людей и повел их к высокой скале, в которой была маленькая дверь из стали; она так заросла травой и колючками, что ее почти не было видно.
Какую ошибку совершил атаман? Он забыл о том, что в пути (в любой работе) нужна разведка (предварительное исследование пути к объекту и продумывание возможных последствий и путей отхода). Кто тупо идет вперед не смотря по сторонам, рано или поздно попадает в лужу.
Атаман остановился перед дверью и громко крикнул:
– Симсим, открой дверь!
И вдруг дверь в скале распахнулась, атаман вошел, а за ним вошли его люди, и дверь опять захлопнулась за ними.
В чем ошибка атамана? Он передает пароль по открытому беспроводному каналу. Голосом! Громко! А что нужно? Если вы используете беспроводной канал связи – используйте шифрованный канал. Если это невозможно – занизьте уровень сигнала (в данном случае голоса) до минимально необходимого. Используйте аутентификацию с помощью OneTimePassword. Проводите этот сеанс на минимальном расстоянии до вашего роутера (в данном случае двери), чтобы снизить возможность перехвата. Современный пример – применяйте беспроводную сигнализацию с перешифрованием (OneTimePassword) и на минимальном расстоянии от вашего автомобиля.
«Вот чудо! – подумал Али-Баба. – Ведь симсим-то – это маленькое растение. Я знаю, что из него выжимают масло, но я не знал, что оно может открывать двери!»
Али-Бабе очень хотелось посмотреть поближе на волшебную дверь, но он так боялся разбойников, что не осмелился слезть с дерева.
На самом деле иногда важно перестраховаться. Лучше быть параноиком, но ЖИВЫМ!
Прошло немного времени, и вдруг дверь снова распахнулась, и сорок разбойников вышли с пустыми мешками. Как и прежде, одноглазый атаман шел впереди. Разбойники привязали к седлам пустые мешки, вскочили на коней и ускакали.
Тогда Али-Баба, который уже устал сидеть, скорчившись на дереве, быстро спустился на землю и подбежал к скале.
«А что будет, если я тоже скажу: „Симсим, открой дверь?“ – подумал он. – Откроется дверь или нет? Попробую!»
Он набрался храбрости, вдохнул побольше воздуху и во весь голос крикнул:
– Симсим, открой дверь!
И снова та же ошибка. Ну зачем же орать? А вдруг атаман кого-то оставил? А в чем ошибка атамана? Важный объект (в данном случае дверь) всегда должны быть с включенной сигнализацией и видеоконтролем. Так дверь в серверную всегда должна быть закрыта, видеоконтроль должен срабатывать при каждом открывании двери, охрана должна вести журнал, в котором контролировать вход-выход.