Коллектив Авторов - Цифровой журнал «Компьютерра» № 205

Но Symantec вводит вообще новый образ, пишет о грядущем в следующем году преобразовании «интернета вещей» в «интернет уязвимостей»… По мнению экспертов, «интернет вещей» растёт слишком быстро, предлагаемые вниманию потребителей подключённые устройства не только уязвимы перед кибератаками, но и не имеют механизмов оповещения о выявленных уязвимостях. И механизма «латания» этих уязвимостей, подобного «заплаткам» на ОС, пока тоже нет.

Поэтому, по мнению Symantec, следующий год будет ознаменован большим количеством кибератак в отношение самых новых сфер «интернета вещей». Да, к защите атомных электростанций и систем управления воздушным движением внимание было приковано давно (хотя проблемы, похоже, есть и здесь…) Но сегодня надо защищать и системы управления дорожным движением (Symantec считает правдой взлом систем тоннеля в Израиле), и медицинское оборудование, и энергетическую инфраструктуру…

А есть и ещё одна, очень массовая и очень уязвимая сфера. Мы уже рассказывали о прогнозах, согласно которым к 2017 году смартфоны могут оказаться умнее своих хозяев (« Смартфон становится смышлёней владельца»). Но смартфон, повсюду сопутствующий человеку, может оказаться и источником очень серьёзной уязвимости. Symantec говорит о ней игриво: мол, люди доверяют тем, с кем спят, а 48% пользователей спят в компании своих смартфонов… И не предполагают, что близкие сердцу гаджеты коварно собирают о них массу сведений.

Да и сами люди ведут себя поразительно легкомысленно. Например, очень успешно «поработало» мобильное приложение, которое позволялозаполучить вожделенные дополнительные лайки в Instagram. Для этого требовалась сущая ерунда: любознательной программульке следовало лишь сообщить свой логин и пароль… И что же? На столь тупую «разводку» клюнуло более 100 тысяч человек информационной эры!.. Так что главные проблемы, как всегда, не в технологиях!

К оглавлению

Опубликовано23 декабря 2013

Кража номеров пластиковых карт — одно из самых распространённых преступлений современности. Крадут из баз, крадут из банкоматов, крадут в точках продаж, переделывая кардридеры... Но гремящая сейчас история с кражей сразу сорока миллионов (!) номеров у американского ритейлера Target выделяется даже на таком фоне. И не только из-за масштаба случившегося: а это, получается, второе или третье в истории крупнейших ограблений в США. Произошедшее замечательно также чисто технически: как именно удалось провернуть операцию — не понятно в целом до сих пор.

Target Corp. — владелец второй по величине сети универмагов в США. Держа на балансе около двух тысяч торговых центров (в основном в Штатах, но и несколько сотен в ближнем и дальнем зарубежье), она уступает только знаменитой Walmart. Вместе с тем есть параметр, по которому Target, без сомнения, впереди любого другого ритейлера на планете: речь о сборе, анализе и применении информации о покупателях. Вот уже десятилетие, начав ещё когда термин Big Data не был модным, Target всеми правдами и неправдами стяжает сведения о людях, посетивших её магазины. Коллекционируются не только списки покупок, не только адреса проживания, но даже траектории движения индивидов по торговым залам (через их мобильники), номера автомобилей на парковке и активность в социальных сетях (последнее покупают на стороне). Затем всё это используется для обнаружения полезных корреляций и стимулирования продаж отдельных товаров и товарных категорий (см. « Как и для чего ритейлеры следят за покупателями?»). Хорошо это или плохо, не так важно, важнее другое: Target привыкла и, вероятно, умеет обращаться с ценными персональными данными.

И тем сильней шок от вскрывшегося на прошлой неделе. 18 декабря мелькнуло первое, ещё неофициальное известие о том, что Target стала жертвой электронного ограбления и расследует масштабную утечку номеров пластиковых карт и сопутствующей информации. Сутки спустя компания подтвердилаэто сообщение, уточнив, что злоумышленники вломились в её компьютерные системы 27 ноября и орудовали до 15 декабря. В результате было унесено до 40 млн номеров, имён покупателей, дат экспирации карт и CVV-кодов (к счастью, только тех, что записаны на магнитном стрипе; коды CVV2, печатаемые на обороте карты, скомпрометированы не были), а также почтовых индексов магазинов, в которых конкретной картой производилась оплата (знание этого помогает красть с неё деньги). Украденных сведений достаточно, чтобы изготовить дубликаты карт, но недостаточно, чтобы получить по этим дубликатам деньги в банкомате или совершить интернет-покупку; такими дубликатами злоумышленники смогут расплачиваться только офлайн.

Разразившийся скандал получился беспрецедентным. Мало того что жертвами ограбления оказались столь многие, так ещё и случилось это в самый разгар предпраздничного шопинг-сезона, включающий « чёрную пятницу». Сделанное компанией уточнение, что проблема затронула лишь офлайновые магазины в США (интернет-покупатели могут не беспокоиться), не только не остудило страстей, но даже вызвало новый всплеск: быстро стало понятно, что Target не знает, как именно злоумышленники собрали и вынесли свой опасный груз. Судя по всему, ритейлер вообще пребывал в счастливом неведении, пока его не известили сторонние спецы по безопасности. В середине декабря сотрудники одного или нескольких американских банков, занимающиеся мониторингом кардерской активности, приобрели на чёрном рынке сотню–другую номеров карт, выпущенных их банками, — и установили, что все карты «засветились» в магазинах Target. Это и положило начало расследованию. Но вот как именно ворам удалось собрать сорок миллионов карт по всей стране, точно не известно и сейчас.

Что мы знаем? Во-первых, даже если у Target есть единая база данных, в которой хранятся номера карт и сопутствующие сведения, выкрали не её. Во-вторых, подобные кражи обычно совершаются путём «доработки» конкретного кардридера, через который покупатель проводит свою карту при оплате на кассе — но в данном случае речь идёт минимум о сорока тысячах кардридеров, что, конечно, делает физические манипуляции с ними невероятными. Вот так и сформировалась доминирующая на данный момент теория: атака была технически нетривиальной и подразумевала участие осведомлённого человека внутри компании.