Владимир Безмалый.

Сказки о безопасности. Том 2



скачать книгу бесплатно

© Владимир Федорович Безмалый, 2017


ISBN 978-5-4483-6963-6

Создано в интеллектуальной издательской системе Ridero

Сказки о безопасности: Как король пароль угадал

На рассмотрение высшего королевского суда Эрика Справедливого была подана жалоба купца Ярека на гномов, а точнее на гномью конструкцию шифрования. Мол, конкуренты читают его переписку и узнают все его замыслы.

«Уж третий раз пароль меняю», – жаловался купец, а подлые конкуренты все равно все знают. То ли гномы им что рассказали, как пароли вскрывать, то ли вообще ненадежно это все.

Ладно бы купец просто написал в суд, да нет, он стал прилюдно об этом кричать на базаре, понося гномов. В результате в высшем королевском суде были две жалобы – самого купца и посольства гномов «О защите чести и достоинства».

Потому это дело и было вынесено в высший суд.

На суде король спросил, мол, кто устанавливает пароль для шифрования? На что купец, возмутившись, сказал, что это делает он сам.

А на вопрос, а каким же был первый пароль, купец ответил, что он мужик умный, потому пароль был «Людмила121116», так как его дочь Людмила родилась 12 ноября 16 года.

– Каким был второй пароль? – спросил король.

– «Татьяна060618». Ведь вторая дочь родилась 6 июня 18 года.

Рассмеялся король и сказал, что угадает третий пароль сам. «Это был „Анна080921“, ведь твоя третья дочь, Анна, родилась 8 сентября 21 года, так?» – спросил король.

– Так, – ответил купец.

– Ну так сам ты себе виноват, ведь сказано же выбирать пароли, которые нельзя угадать, зная тебя самого, – констатировал король.

И постановил король, чтобы купец выплатил гномам 20 золотых за поругание их чести и достоинства, да был впредь умнее.

А вы, когда выбираете себе пароли, надеюсь не основываетесь на датах рождения своих близких, названии своей любимой спортивной команды, марке и номере автомобиля, домашнем адресе и прочей личной информации? Вы умнее сказочного купца? Или у вас тоже всегда Microsoft, Apple, Google виноваты в ваших неприятностях?

Сказки о безопасности: О престиже королевского безопасника

Единственным человеком, кто мог всегда без доклада войти к королю, был ректор Академии. Давным-давно, когда король был еще маленьким принцем, он даровал это право своему учителю. С тех пор так и повелось. Король называл ректора Учителем, а ректор был единственным, кто мог говорить с королем на «ты» и называть его по имени.

Однажды вечером ректор вошел к королю и сказал: «Эрик, у нас беда! Преподаватели кафедры безопасности, особенно самые умные и опытные, впадают в депрессию и либо спиваются, либо тихонечко сходят с ума. И что делать, я пока не знаю!»

Король попытался узнать у ректора в чем дело? Как оказалось, постепенно депрессия одолевала преподавателей. Они не могли понять, зачем они кого-то учат, какая от этого польза, если «необученные» пополняют свои ряды все быстрее и быстрее.

Задумался король.

Что делать? Платить преподавателям еще больше? Но они и так довольно богатые люди. Нужно бы повышать их престиж. Но как?

Фактически та же проблема стоит перед безопасником на работе. Он есть, он что-то делает. Что? Непонятно! Сидит, смотрит за всеми, как паук в паутине за ниточки дергает. И без него нельзя, и терпеть его мочи нет. Говорит мол, охраняет. Но кого и как – непонятно. Да еще и денег требует. Может и не нужен он, все равно как-то выпутаемся?

Нужно как-то народу объяснить, для чего эта работа. Что в ней такого?

Решил король ужесточить правила поступления на факультет безопасности в Академию. Создать этому факультету ореол элитности. Ввел помимо и так строгих экзаменов специальную комиссию, которая с помощью психологического отбора стала неустойчивых, склонных к пьянству, взяткам и ненормальному поведению отсеивать. Чуть лучше стало на факультете. Но не так хорошо, как хотелось бы.

И тогда на помощь королю, как ни странно, пришел старый советник по культуре. Он посоветовал объявить премию за лучшую литературу о службе в рядах безопасности. Об ореоле таинственности в этой службе и о том, что туда дураков уж точно не берут.

А главное – рекомендовал писателям почаще говорить, как сложно работать в этой службе и что только лучшие из лучших смогут нести этот тяжелый крест, хотя несомненно тяжесть их службы компенсируется высокой оплатой.

На самом деле работа безопасника, как все мы знаем – неблагодарна, да и оплата желала бы лучшего. А самое главное – пояснить ради чего все это нужно, весьма сложно как руководству, так и рядовым. И что с этим делать, как поднимать престиж профессии – неизвестно не только сказочному королю, но и мне. А вам?

Сказки о безопасности: Врач, исцелись сам!

После проблем с паролем у купца Ярека король Эрик Справедливый решил проверить, а как обстоят дела с паролями у преподавателей Академии, ее ректора и высшей знати королевства. Ведь если нужно добиться выполнения каких-то неудобных законов, то в первую очередь их должно выполнять само руководство и те, кто проводит эти планы в жизнь.

Вам приходилось сталкиваться с проблемой, когда правила, принятые в вашей компании, по каким-то причинам не распространяются на топ-менеджмент и в первую очередь на главу компании? Уверен, что такие случаи может привести каждый, кто работает или работал в безопасности.

Написал король письмо царю гномов и попросил его прислать команду специалистов по взлому паролей, дать им месяц сроку (поскольку менять пароли рекомендовано раз в месяц), чтобы они попробовали взломать пароли ближайших королевских советников, преподавателей Академии и самого ректора.

Сказано-сделано. Команда гномов прибыла в королевство под видом кто купца, кто преподавателя университета, кто просто по обмену опытом. Прибыли они врозь и под покровом тайны.

Прошел месяц.

Результат несказанно удивил короля. Быстрее всего были взломаны пароли ректора и военного советника. Они оказались на удивление просты. Затем взломали почти все пароли преподавателей, за исключением пароля одного пожилого ученого и его аспиранта. Как оказалось, этого ученого все считали старым параноиком, он даже пароль своего аспиранта пытался регулярно ломать и требовал того же от него.

Король долго бушевал. Как так, вам доверены тайны королевства, а вы… А потом просто заставил потерпевших оплатить услуги команды взломщиков и, мало того, заставил столько же заплатить в виде штрафа. Если же такое повторится, то виновные военные сядут в тюрьму за разглашение государственной тайны, а гражданские будут с позором изгнаны со службы, пригрозил он.

Может и суров был указ короля, но извлечь из этого пользу необходимо. Кому больше дано, с того и больше требовать надо. Ведь одно дело вскрыть пароль сторожа на захолустной базе отдыха и совсем другое – пароль финансового директора.

Жаль только, что бывает такое исключительно в сказках. В жизни никому не дано проверять, живет ли руководство согласно своих же утвержденных правил или считает себя выше них. А как вы считаете, правила и законы – это для всех?

Сказки о безопасности: Магическая биометрия

После того, как король заставил подданных учить и регулярно менять пароли, появились и недовольные. Люди начали жаловаться, что менять пароли, да еще и часто, неудобно, они не могут запомнить пароли, им трудно. Что делать?

Некоторые банки решили сделать подтверждение платежей и банковских чеков с помощью магической печати, подтверждаемой отпечатком пальца.

– Ура! – кричал на рынке купец Ярек, – Наконец-то я смогу жить без этого паршивого пароля!

Люди радовались. Удобство! Наконец-то!

Многие купцы следом за Яреком перешли на биометрию. Биометрические платежи заполонили рынок. Зря предупреждал их старейшина купцов, мол, длинный пароль – это надежнее.

– Да, может ты и прав, может он и надежнее, да неудобно!

– Думать надо, а нам некогда! – вторили ему другие.

Это было красиво, но, увы, недолго.

Как оказалось, магическая печать легко обходится муляжом отпечатка. Ведь отличить отпечаток живого пальца от отпечатка неживого маги так и не смогли.

Как ни старались, пытались даже реагировать на температуру, но ничего не произошло.

Увы, в нашей жизни произошло то же самое. Планшеты, компьютеры и смартфоны – это здорово! Но, как оказалось, все эти биометрические датчики обманываются муляжами отпечатков пальца. Потому не вышло и у нас заменить биометрией обычный пароль. Может выйдет в дальнейшем – не знаю.

Сказки о безопасности. Появление вымогателей-шифровальщиков

Широкое распространение шифрования переговоров привело к тому, что гномы задумались о разработке специальной «гномомашины», которая была призвана помогать в хранении документов и их передаче по существующим линиям связи.

Прошло несколько лет, «гномомашина» была создана. Поскольку продукт был новым, то обновления к его начинке производились регулярно. Более того, «гномомашины» были разными, их «программное обеспечение» также было различным. Некоторые покупатели приспособились покупать «гномомашины» без программного обеспечения под тем предлогом, что программное у них уже куплено и повторно тратить деньги они не хотят.

Вместе с тем появились взломанные версии программного обеспечения, которые, естественно, стоили намного дешевле, хотя и не обновлялись никогда, так как владельцы подобного обеспечения не без оснований боялись, что после обновления их «гномомашины» обновляться не будут никогда. Другие же не обновляли свое программное обеспечение просто потому что не обновляли.

Эта картина напоминает существующую сегодня ситуацию, когда масса компьютеров как пользовательских, так и корпоративных, использует взломанное программное обеспечение, которое никогда не обновляется. Его владельцы просто боятся, что после обновления оно не будет работать. Впрочем, не всегда вовремя обновляется и вполне легальное ПО, администраторы или забывают об этом или боятся, что после обновления что-то пойдет не так.

Этой ситуацией воспользовались злоумышленники. Они стали по каналам связи распространять вредоносные добавки, которые в свою очередь шифровали информацию на «гномомашинах», а за расшифровку преступники требовали выкуп. Причем чаще всего атакам подвергались именно те из них, на которых не обновлялось программное обеспечение.

В ходе проведенного советниками короля расследования выяснилось, что очень часто использовались версии программного обеспечения двух-трех летней давности.

Так и в жизни. Весьма часто для своих атак злоумышленники используют уже давно известные уязвимости. На многих ПК они просто не закрыты. Согласно опубликованных отчетов отмечено, что в атаках 0-day уязвимости используются только в 0.12—0.37% случаев. Вывод прост – обновляйте ПО! Не забывайте делать этого. Требуйте установку обновлений от ваших системных администраторов.

Указом короля распространение взломанного программного обеспечения было признано уголовным преступлением. Причем не только продажа и установка, а и использование. Это позволило стабилизировать положение на рынке «гномомашин», хотя, безусловно, не могло окончательно устранить вредоносы.

Сказки о безопасности: Неотказуемая королевская почта

– Ты обманщик!

– Сам обманщик!

– Ты что привез? Я тебя что просил? Андрское красное! А ты что? Бенское белое! Ты чем думал? Думаешь я тебе платить буду???

– Вот твое письмо, тут сказано Бенское белое! Это не ты писал???

– Нет, не я!

– Нет ты!!!

Крик с утра стоял над базаром. Этот вопль распугал всех городских ворон, дополнявших своими воплями эту сказочную утреннюю картину.

Вокруг трактира «Золотая подкова» собирались люди. А на пороге трактирщик продолжал ругаться с поставщиком.

Только вмешательство базарной стражи предотвратило банальнейшую кабацкую драку. Стражники, расталкивая людей тупыми концами копий, пробрались через толпу.

– Ты чего орешь, Ефим? – спросил старшина базарной стражи у трактирщика.

– Да вот, видишь, что мне привезли? И что мне теперь делать? – раскричался трактирщик.

– Ладно, хватит орать! А то заберу вас обоих в холодную. А сегодня воскресенье, так что судить будут только завтра, а вы пока в камерах посидите. Или перестаньте орать и приходите завтра на королевский суд.

Наступил понедельник. На суд к королю пришли трактирщик и его поставщик.

Трактирщик изложил свою жалобу, поставщик протянул письмо, полученное от имени трактирщика, королю.

Долго смотрел король. Долго совещались советники. Но не смогли прийти ни к какому выводу. Ведь трактирщик клялся, что ничего не писал, а поставщик показал якобы его письмо.

В конце концов король решил, что в данном случае убытки понесут пополам как трактирщик, так и поставщик вина.

А на будущее постановил создать в королевстве сеть специальной королевской почты, в отделениях которой и будет приниматься деловая корреспонденция, запечатываться в специальные конверты, защищаемые двумя магическими печатями. Одна будет опечатываться пальцем клиента-отправителя, а вторая печать будет печатью королевского почтмейстера, то есть такой же магической печатью, только зеленого цвета с отпечатком пальца почтового служащего.

Почтмейстер же при этом обязан проверить документы у отправителя.

За нарушение порядка отправитель проговаривался к штрафу в 50 золотых и 25 плетей, а почтмейстер к штрафу в 100 золотых, 50 плетей и позорному изгнанию со службы, ведь в королевстве всегда своих служащих наказывали гораздо строже, чем обычных граждан.

Вот так в королевстве решили проблему неотказуемости при отправке документов. Может это и чересчур строгое наказание, да вот только с тех пор никто из почтовых служащих и подумать не мог взять взятку и отправить не то сообщение.

Сказки о безопасности: Не болтай!

После того как на планете Альфа-8 появились социальные сети, в империи активизировалась преступность. Дон Марко и дон Чако первыми оценили всю полноту и прелесть получаемых из соцсетей сведений и даже завели себе специальный штат университетских программистов, которые на деньги преступных кланов написали специальную поисковую систему. Причем сами программисты считали, что работают на службу безопасности, а преступники просто отслеживали поведение людей по записям в их профилях социальных сетей, ведь так куда проще отследить благосостояние тех или иных граждан, публикующих фотографии своих домов, автомобилей, самолетов, мест отдыха. Благо фотографии с популярных дорогих курортов посыпались сразу же.

Такое впечатление что люди торопятся поскорее выставить фото своих машин, яхт, фотографии с курортов, чтобы показать, мол, я чего-то стою.

Дон Марко на встрече с доном Чако, смеясь, заявил, что эти «яйцеголовые» сделали для них больше, чем все наводчики кланов вместе взятые.

А так и есть. Не нужно никуда ходить, посылать наружное наблюдение. Гораздо проще просто сидеть дома перед монитором.

Вместе с тем гораздо проще стало работать службе безопасности и налоговой службе. Ведь сравнить уплаченные налоги и стоимость авто на фотографии куда легче, чем рыться в банковских ведомостях. Да и служба безопасности вместе с полицией стали отслеживать внезапных богачей.

Самое смешное, что обе стороны использовали одно и то же программное обеспечение, а студенты, создавшие его, вскоре стали одними из богатейших людей планеты.

Уважаемые читатели, а разве у вас нет таких знакомых, которые публикуют свои фотографии? Да и не только свои.

Но самое интересное произошло несколько позднее. На планете все чаще и чаще стали появляться уже не просто мошеннические письма и звонки, с проблемой фишинга жители были более-менее знакомы. На планету пришел направленный фишинг, когда мошеннические сообщения, передаваемые по электронной почте или даже голосом по телефону, учитывают особенности атакуемого. В частности, в письмах и звонках обращались по имени-отчеству, если письмо шло от имени банка, то указывались те подробности, которые были известны лишь получателю и банку, и так далее.

В результате количество жертв мошенничества выросло во много раз. Когда стали разбираться, оказалось, что почти все сведения преступники добывали из социальных сетей, из профилей атакуемых или профилей их друзей и знакомых.

Вывод, к которому пришла императорская служба безопасности, оказался неутешительным. Люди сами рассказывали о себе все. Более того, рассказывали гораздо больше, чем их просили, и абсолютно добровольно.

Что сказать? Людям хочется подчеркнуть свою значимость, оказаться куда более известными. Но печально то, что думать никто не хочет!

Сказки о безопасности: Королевская система проверки паролей

После того как в королевстве Эрика Справедливого произошли известные события (в Академии был создан факультет пентестеров и состоялся королевский суд по делу о защите чести и достоинства гномов) Совет гномов собрался для принятия решения о создании специального устройства для проверки устойчивости паролей.

– Борх, а что мы хотим сделать? Для чего нам это нужно? – спросил старейшина гномов лучшего техника по изготовлению парольных устройств.

– Ну как же, уважаемый Мастер, мы должны показать этим бестолковым пользователям, что наши устройства надежны, если надежны их пароли. Ведь большинство до сих пор в качестве пароля использует «qwerty» или «123456». А значит нужно показать им, что такие пароли легко подбираются, да и Эрик Справедливый обещал щедро вознаградить наших мастеров.

Что такое специальное программное обеспечение для восстановления утраченных паролей? Фактически это ПО для подбора, которое может быть использовано для проверки устойчивости парольной защиты.

Специальное ПО для проверки устойчивости паролей методом подбора фактически проводит атаки по словарю и методом «грубой силы» или подбора (Brute Force). Фактически вы должны определить для себя временной интервал, за который пароль будет подобран, по завершении которого его необходимо сменить как неустойчивый или слабый. Этот временной интервал должен быть не менее определенного ранее вами интервала смены пароля. То есть, если ваши пароли подлежат смене один раз в 30 дней, то и время подбора должно быть не более 30 дней.

Долго думали гномы, пока один из них не предложил создать машину, которая могла бы проверять пароли по специальным, пополняемым словарям, в которые можно было бы добавлять типичные пароли, найденные во время проверок.

Так появилась проверка паролей по словарям, а сами словари получили название «частотных». Как известно, такая проверка проходит практически мгновенно. Именно поэтому не рекомендуется употреблять известные слова в качестве пароля.

Другой мастер предложил проверять пароли путем простого перебора символов.

Этот вид проверки получил название атаки методом «грубой силы» (Brute Force). Естественно, такой метод всегда может привести к восстановлению пароля, да вот только время восстановления может растянуться на годы.

Через некоторое время соответствующие приборы были созданы и на факультете пентестеров была создана отдельная группа, специализирующаяся на подборе паролей.

Согласно указу короля, прием в эту группу осуществлялся только после тщательной проверки абитуриентов Службой безопасности королевства. Причем проверка была едва ли не строже, чем при приеме в Службу безопасности. Король понимал, что каждый из выпускников и сам по себе является уникальным оружием, потому их имена были засекречены, вернее, после поступления каждый из них получал новое имя и документы.

Работой же их была проверка паролей в государственных структурах, а по мере необходимости и за отдельную немалую плату и у частных купцов.

Сертификат же о соответствии требованиям такой проверки оказывался весьма и весьма почитаемым, ибо свидетельствовал о том, что купец серьезно относится к требованиям безопасности.

Сказки о безопасности: Болтун – находка для злоумышленника!

После того как на планете Альфа-8 появились социальные сети, в империи активизировалась преступность. Увы, но жители так и не поняли, что разговоры в социальных сетях рано или поздно приведут к проблемам. Вместе с направленным фишингом пришла и другая проблема.

Дон Чако понял с помощью своих советников, что многие люди будут использовать в качестве паролей слова, которые легко запомнить. Это будут скорее всего имена жен, детей, названия футбольных команд, марки автомобилей, номера автомобилей и прочее. А где легче всего это узнать? Правильно, пользователи сами это все расскажут. Их даже и спрашивать не нужно.

А вы используете эти данные в качестве пароля? Увы, но большинство пользователей так и делают. И все бы ничего, да вот только проблема в том, что и собирать эти данные не нужно, вы сами их отдадите!

Проанализировав записи пользователей, дон Чако со своими подручными создал своего рода базу данных для взлома паролей. И пусть даже 10% пользователей использует такие пароли, но это все же 10%. А если число пользователей составляет хотя бы 100 млн., то 10 млн. из них отдали свои данные.

Впрочем, вместе с мафией это же поняла и полиция и успешно этим воспользовалась.

Но самым интересным было то, что эти же пароли использовались и к облачным копиям смартфонов. А это уже успешно позволяло отслеживать маршруты движения и домашние адреса.

– Агент Доб, агент Ренсон!

– Да, сэр!

– Сегодня Джо Мясник будет в 18:22 проезжать по Пятой улице у дома 183. Ваша задача организовать засаду и взять его. Учтите, он вряд ли будет особо охраняться, ведь в этот момент он едет к любовнице, которая живет в доме 185. Возьмете его, когда он будет выходить из авто.



скачать книгу бесплатно

страницы: 1 2