Цифровая гигиена. Том 3

В чем состоит ошибка администратора? Она не перезвонила в фирму «CopyDoctor», и даже не перезвонила в свой технический отдел, чтобы уточнить, а вызывали ли вообще специалистов по копировальным аппаратам, и не попросила копию наряда на проведение работ, заверенную специалистами технического отдела. Более того, она не вызвала никого из техников, чтобы те проводили ремонтников, а пропустила их в здание самих! Нельзя, чтобы по зданию компании самовольно ходили посетители. Их должны сопровождать те сотрудники, к которым они пришли, вплоть до момента ухода с территории компании.

Сказки о безопасности: Личная безопасность на поверку – 2

После успешного преодоления первой линии обороны компании в лице администратора Питер и Джейсон получили пластиковые пропуска в здание и поехали на 24-й этаж, в отдел г-на Грина. Пропуска напоминали обычные пластиковые карты, и Питер решил, что на обратном пути они их оставят себе, а в машинку для сдачи временных пропусков выбросят самодельные заготовки. В результате у них останутся нормальные временные пропуски. Тем более что в большинстве бизнес-центров служба безопасности их не обнуляет ежедневно, а просто достает из машины и снова пускает в оборот.

Надеюсь, ваша служба безопасности обнуляет карточки временных пропусков? Вы проверяли?

В отделе Грина, как это часто бывает, особого порядка на столах не было. То тут, то там на столах валялись мобильники и даже кем-то успешно забытый кошелек. Короче, вору было бы, где разгуляться. По просьбе Питера Джейсон все фиксировал на миниатюрную камеру, которая в виде ручки торчала из его кармана. Но вот и кабинет Грина. Он отделен от общего зала стеклянной дверью. Но она открыта. На столе Грина лежат ключи от машины. Питер забрал их себе в карман. А вот и копировальная машина. Рядом как обычно валяется гора каких-то документов, но сегодня они не цель. Целью является жесткий диск, установленный в копировальной машине и содержащий копии откопированных материалов. Минута работы и жесткий диск заменили на новый.

– Питер, нам пора.

– Действительно пора. Давай переставим его автомобиль на соседнее парковочное место. Интересно, заметит ли он перестановку?

– Ага. А кроме того, я хочу подложить ему в машину старенький смартфон, чтобы отследить его маршруты. Интересно, куда он ездит и где бывает.

– Не забудь вернуть администратору ключи от его машины, скажем что увидели их на парковке рядом с автомобилем.

Так и сделали.

Как ни странно, но Грин не заметил, что его автомобиль переставляли. А вот мобильник в его автомобиле позволил отследить его маршрут и увидеть, что Грин почему-то не поехал после работы домой, а свернул на улицу, которая вела на другой конец города к дому 15 на 18-й улице. Там он пробыл два часа и вернулся домой. В доме 15 размещался маленький отель, который часто использовали влюбленные парочки.

– Питер, а вот это уже интересно. Что еще вы сможете узнать?

– Шеф, пока мы были в компании, мы успели скопировать его токен безопасности от панели управления облачным хранилищем смартфона. Давайте пороемся там.

– Да. И не забудьте порыться у него в мусоре. Мусорные баки стоят на неохраняемой территории. Там, увы, обычно, можно найти массу интересного.

Утром Питер нашел в баке несколько чеков из ресторана, предложение банка и даже чеки из гостиницы с 18-й улицы.

А вы знаете простейший способ уничтожения бумаг? А ведь все просто. Достаточно использовать воду, отбеливатель и строительный миксер. Поместите бумагу в воду, дождитесь пока бумага намокнет и включите миксер на 5—10 минут. Если хотите полностью избавиться от любых надписей, добавьте отбеливатель и снова включите миксер на несколько минут.

– Джейсон, ты видишь?

– Что? Клавиатуру его домашней сигнализации?

– Да!

– А давай установим видеокамеру и отследим нажатия на клавиатуру.

– Давай!

Так и сделали, замаскировав видеокамеру.

К вечеру после анализа облачной копии смартфона в распоряжении Питера были пароли Грина к его домашнему и рабочему Wi-Fi и даже к его банковскому счету.

Но самое интересное обнаружилось после внимательно анализа жесткого диска. На нем обнаружилась копия водительских прав Грина, его номер социального страхования, копия свидетельства о рождении, копия диплома и других его документов. С этими данными уже можно было смело говорить о хищении и подмене личности.

– Джейсон, не забудь уничтожить те данные, которые нам не нужны.

Прошла неделя.

– Увы, г-н Грин! Как выяснилось, вы абсолютно открыты. Вот код вашей домашней сигнализации, пропуск от вашей работы, ваши маршруты передвижения, чеки из ресторана и даже чеки от гостиницы, в которой вы встречаетесь с милой Мери. Приятная у вас знакомая! Увы, все это можно использовать для шантажа, не так ли? Ведь ваша жена по контракту имеет право на большую часть вашего имущества, если заметит вас в измене? А вот копии ваших документов! Короче, будьте внимательнее!

– Интересно, а как ваши сотрудники относятся к безопасности своих персональных данных? Мы проверим это на следующей неделе.

Так, под громкие крики и возмущения в департаменте был создан новый отдел по проверке защищенности персональных данных.

Сказки о безопасности: Личная безопасность на поверку – 3

После успешного взлома личных данных г-на Грина настала очередь его сотрудников.

– Питер, а не попробовать ли нам развернуть фальшивую точку доступа в закусочной напротив офиса г-на Грина? В обеденный перерыв там бывает много народа.

– Отличная мысль. Завтра сделаем.

Учтите, когда вы работаете через открытую точку доступа, все ваши письма, запросы, фактически все ваше общение можно легко отследить. Вы готовы поделиться вашими данными?

На следующий день Питер сидел в закусочной, притворившись что работает за своим ноутбуком. Фактически он развернул бесплатную точку доступа беспроводной сети и собирал данные посетителей. Те, обрадовавшись, что в кафе наконец-то появился бесплатный Wi-Fi, активно его использовали. Так прошел день.

На следующий день у Питера и Джейсона была масса работы. В перехваченном трафике нужно было выделить пароли от почты, работы, социальных сетей. Прочесть массу писем и вообще переварить полученную информацию. Особенно интересны были пароли, ведь очень часто пароли люди используют одни и те же и на работе, и для домашней почты, и в социальной сети.

А вы знаете, как обезопасить себя от хищения вашей информации при использовании бесплатного Wi-Fi? Для этого используйте два подхода:

1. Двухэтапная аутентификация. Все чаще это становится стандартом. На первом этапе вы используете пароль, а вторым фактором может быть SMS, которая присылается вам сайтом, или генератор кодов, установленный на вашем смартфоне. Учтите, если вы остановитесь на SMS, желательно использовать для этого отдельную SIM-карту, вставленную в простой мобильный телефон. Вы никогда не должны использовать эту карту для других целей. Еще один вариант – электронный ключ-токен, но это дороже.

2. Используйте VPN. Тогда весь обмен трафиком осуществляется по шифрованным каналам.

В результате атаки было собрано достаточно данных для последующих атак направленной социальной инженерии.

– Г-н Грин, вот пароли ваших сотрудников и данные о них. Учтите, они отдали это все добровольно!

– Что вы посоветуете сделать?

– В первую очередь позаботиться об осведомленности пользователей. Учите их! Ведь большинство атак сегодня происходит именно через ваших сотрудников. Делайте это регулярно, поощряйте желание учиться!

На этом проверка Грина была закончена, а отдел доказал свою незаменимость. Это было первое дело в истории отдела. Следующим, как уже решило руководство, будет атака на членов семьи. Кто-то скажет, что это некрасиво, может даже подло. Но! Шантажировать вас преступники могут и через ваших близких, подумайте об этом.

– Вы согласны, г-н Грин?

– Безусловно! Более того, предлагаю включить не только мою семью, а и семьи моих ведущих сотрудников.

Так начался следующий этап проверки.

Сказки о безопасности: Личная безопасность на поверку – 4

После успешной атаки на персональные данные г-на Грина было решено продолжить проверку того, насколько ответственно его сотрудники относятся к защите своих данных.

– Доброе утро, Иоганн! У нас идея!