Владимир Безмалый - Сказки о безопасности. Том 5

– Хорошо, я уже запросил информацию.

– Когда?

– Да только что как только речь зашла об этих цифровых камерах.

– Молодец. Быстро сообразил.

Прошло три дня.

– Что там с камерами?

– Там все плохо, шеф! Какой… разрешил их использовать в охранных системах?

– ??? Поясни.

– Наши ребята нашли, что облако, к которому подключены эти камеры для синхронизации данных, не используют HTTPS-протокол для защиты передачи данных. Как результат, любой кибер-преступник сумел бы получить доступ к видео с этих CCTV-камер, причем видеоматериалы могут быть скачены без необходимости вводить имя пользователя и пароль.

– Погоди, значит злоумышленники могли наблюдать за этим отделением удаленно и выяснить все необходимые параметры заблаговременно?

– Да! Кроме того, стоит отметить, что пара камер еще и захватывала один из мониторов и клавиатуру, следовательно, можно было получить учетные данные, а вторая – клавиатуру для ввода пароля при входе в хранилище. Таким образом, понятно, почему замок на двери не взламывали.

– То есть, злоумышленник смог получить изображения, снятые корпоративной системой видеонаблюдения, и использовать эту информацию для осуществления преступления?

– Да! Но интереснее всего другое. Когда мы обратились официально в компанию А, то они не дали каких-либо разъяснений по поводу обнаруженных уязвимостей или потенциальных ошибок. Очевидно, что любая организация, которая использует системы видеонаблюдения, должна доверять как таким системам, так и ее производителям, и поставщикам, но в данном случае это, похоже, невозможно.

– Ну что ж, значит это становится и нашей проблемой. Нам придется сертифицировать такое оборудование. Придется докладывать императору.

Вы думаете это сказка? Отнюдь. Видеокамеры компании AVTECH используют для передачи данных незащищенный канал. А остальные? Кто-то проверяет оборудование перед покупкой? А?

Утро было солнечным, и поющие птицы предвещали хороший день. Потапыч решил в этот день немного поковыряться на даче. Но стоило только взяться за газонокосилку, как судорожно заверещал телефон.

– Потапыч, спасай! У меня компьютер взбесился! Требует, чтобы я выслала какие-то деньги непонятно кому, а иначе меня просто не пускает работать! Спасай, а я тебе на даче потом помогу.

– Ладно, Хрюшенька, сейчас приеду. Только косилку уберу. Через полчаса буду.

Прошло минут 40 и Потапыч был уже на пороге дома Хрюши.

– Ну рассказывай, что случилось?

– Да вот смотри сам. Что тут говорить…

На экране компьютера Хрюши большими буквами светилась надпись: «Вы нарушили правила пользования Интернетом и были замечены на порнографическом сайте. Вы должны уплатить штраф в сумме… на счет… в течение двух дней! В противном случае ваш компьютер будет изъят правоохранительными органами для проведения расследования.»

– Потапыч, миленький, но я никуда не ходила! Честно! Да и что мне там делать? Я девушка порядочная! Спаси!

– Да ладно. Я все понимаю. Будем искать. Скорее всего ты откуда-то подхватила вирус. Это бывает. Плохо, но не страшно.

Прошло 3 часа. Потапыч вычистил компьютер и спросил Хрюшу, давно ли она обновляла программное обеспечение своего ПК.

– Да каждый раз, как предлагает обновиться, я обновляюсь. И антивирус обновляю. Все ж делаю.

– Погоди, Хрюша, понятно. Ты обновляешь операционную систему. А остальные приложения?

– Потапыч, ну откуда же я знаю? Ты такие вопросы задаешь, на которые у меня нет ответа.

– Да понимаю. Все же давай установим тебе программу, которая будет сама искать обновления и их устанавливать.

– Потапыч, но это же денег стоит? Дорого?

– Нет, Хрюша. Это для компаний такая программа стоит денег, а для тебя, как для домашнего пользователя она бесплатная. Более того, даже некоторые антивирусы сегодня могут управлять обновлениями. Ну, антивирусы, понятно, платные.

– И как это работает?

– Автоматически. И защитит тебя от возможного заражения.

– Спасибо, Потапыч!

А вы управляете обновлением вашего домашнего ПО от третьих сторон? А не домашнего? Точно?

В это осеннее утро на еще зеленые листья деревьев выпал снег. Да-да, пусть мелкий, но снег. Он шел всю ночь и утро оказалось, что на зеленой траве, еще не опавших листьях деревьев лежит снег… Было ветрено и ужасно не хотелось подниматься из теплой кровати и куда-то идти. Но… Работа есть работа. Иоганн нехотя поднялся и пошел на кухню. Он любил варить кофе. Не используя стандартную кофемашину, а в старой медной джезве. Ведь приготовление первой утренней чашки кофе – это процесс. Священнодействие. Перемолов зерна кофе в пыль, он добавил их в джезву, долил воды, поставил на самый маленький огонек и сел ждать. Приготовление кофе – это не самый быстрый процесс, есть время подумать…

А думать было о чем. Сегодня ему предстояла тяжелая встреча с главой команды разработчиков популярной операционной системы W. После ряда обновлений операционная система на компьютерах пользователей переставала работать. Пользователи не хотели обновляться. Нужно было что-то придумывать…

Рано или поздно, но кофе был готов и даже выпит. Пора на работу…

– Иоганн, к вам господин Майер. Пригласить?

– Да, зовите. И пригласите Майкла и Риту.

– Господин Майер, я хотел бы уточнить у вас, что происходит с обновлениями? Они теперь устанавливаются автоматически? Почему я не могу контролировать этот процесс?

– Проблема в том, что пользователи и ранее его не контролировали. Мы проводили исследование. Оказалось, что только 10% пользователей интересовалось тем что и как устанавливается на их ПК, порядка половины вообще не устанавливали обновления, а остальные ставили обновления в автоматическом режиме. Все это приводило к тому, что обновления зачастую устанавливались через 3—4 месяца после выхода, если устанавливались вообще.

А ведь уязвимости, исправляемые обновлениями, начинали использоваться через 8—24 часа после появления обновлений.

– То есть вы хотите сказать, что злоумышленники декомпилировали обновления и затем уже писали вредоносный код?

– Абсолютно верно! Вспомните, как несколько лет тому назад мы выпустили обновление в октябре, а в январе следующего года разразилась эпидемия вируса, использовавшего эту дыру. Не пострадали лишь те, кто установил обновление. Но их было, увы, явное меньшинство.