Цифровая гигиена. Том I

Лиса и козел или снова о пользе социальной инженерии

Бежала однажды лиса по дороге, засмотрелась на ворону и упала в колодец. Воды в колодце было немного: утонуть нельзя, но и выскочить – тоже нельзя.

Сидит лиса в колодце и думает, что делать? (Вот этим же вопросом зачастую задаются злоумышленники. Как сделать так, чтобы и информацию добыть и целым уйти.).

В это время по дороге шел козел – умная голова. Заглянул в колодец и увидел там лису.

– Что ты там, лиса, делаешь?

– Отдыхаю, голубчик, – отвечает лиса. – Наверху жарко, а здесь прохладно, хорошо! Воды холодной – сколько хочешь! (Заметьте, лиса ничего не предлагает. Она просто рекламирует свои услуги).

А козел давно пить хотел.

– А хороша ли вода? – спрашивает козел.

– Отличная! – отвечает лиса. – Чистая, холодная! Прыгай сюда, если хочешь. Здесь и тебе, и мне место есть. (Реклама она и есть реклама. Жаль ведутся не только козлы… Или только?)

Прыгнул козел в колодец, а она ему говорит:

– Эх ты, и прыгнуть-то не умеешь – всю меня обрызгал.

Вскочила лиса козлу на спину, со спины на рога и выскочила из колодца. (Вот так, воспользовавшись нашей доверчивостью и восприимчивостью к рекламе и живут за наш счет!)

А козел чуть было не умер с голоду в колодце. Еле нашли его и за рога вытащили. Повезло козлу. Но вам-то стоит учесть, что вы не козлы и может и не повезти. Причем куда чаще!

Мужик и медведь или сказка о необходимости создания подразделения конкурентной разведки

Мужик поехал в лес репу сеять. Пашет там да работает (впрочем как и мы все. Работаем и работаем).

Пришел к нему медведь (и тут без рэкета не обойтись!):

– Мужик, я тебя сломаю.

– Не ломай меня, медведюшка, лучше давай вместе репу сеять. Я себе возьму хоть корешки, а тебе отдам вершки.

– Быть так, – сказал медведь. – А коли обманешь, так в лес ко мне хоть не езди. (А вот тут вылезает проблема отсутствия интернет-разведки у глупого мишки. Надеюсь у вас такое подразделение есть, чтобы понимать, а то ли вам предлагают что вы хотели?)

Сказал и ушел в дуброву.

Репа выросла крупная. Мужик приехал осенью копать репу. А медведь из дубровы вылезает:

– Мужик, давай репу делить, мою долю подавай.

– Ладно, медведюшка, давай делить: тебе вершки, мне корешки.

Отдал мужик медведю всю ботву. А репу наклал на воз и повез в город продавать. (Кто лежит на печи и ждет удачи, тем более не прилагая никаких усилий, того всегда бьет жизнь. Причем БОЛЬНО!)

Навстречу ему медведь:

– Мужик, куда ты едешь?

– Еду, медведюшка, в город корешки продавать.

– Дай-ка попробовать – каков корешок? Мужик дал ему репу. Медведь, как съел:

– А-а! – заревел. – Мужик, обманул ты меня! Твои корешки сла-деньки. Тенерь не езжай ко мне в лес по дрова, а то заломаю. (И опять понадеялся мишка на силу, да вот только глупых жизнь бьет. Неужели так и не понял, что прежде чем соглашаться на предложение, нужно внимательно составиь договор, оценить риски, провести разведывательные мероприятия).

На другой год мужик посеял на том месте рожь. Приехал жать, а уж медведь его дожидается:

– Теперь меня, мужик, не обманешь, давай мою долю. Мужик говорит:

– Быть так. Бери, медведюшка, корешки, а я себе возьму хоть вершки.

Собрали они рожь. Отдал мужик медведю корешки, а рожь наклал на воз и увез домой.

Медведь бился, бился, ничего с корешками сделать не мог.

Рассердился он на мужика, и с тех пор у медведя с мужиком вражда пошла. (Это вполне естественно. Дважды битый третий раз обманут не бывает. Хотя я на месте владельца конторы под названием «Медведь» еще после первого раза бы уволил весь менеджмент компании, но это уже тема другой сказки!)

Красная шапочка

Жила-была одна девочка, которая почему-то очень не любила ходить прямым и коротким путем. Всегда она выбирала самую длинную и извилистую дорогу. А уж если мать посылала ее куда-нибудь с поручением, то ждать ее приходилась очень долго.

Помните, выбирая длинную дорогу, желая сделать по-своему, очень часто вы придете мало что не тогда, так еще и не туда.

Девочка часами могла бродить по окрестным лугам и лесам, собирать цветы и ягоды и напевать песенки. А еще она любила заговаривать с каждым, кто встречался ей на пути, даже совсем с незнакомыми. И часто случалось, что домой она возвращалась, лишь, когда уже вечерело. Но мать не ругала свою дочку, которая хотя никогда и не ходила короткой дорогой, но была девочкой доброй, приветливой и учтивой. Однако она очень беспокоилась, что девочка может заблудиться, и никто ее не найдет. Поэтому бабушка подарила внучке красную шапочку, чтобы она была видна даже издалека. И вскоре все, даже мать и бабушка, стали звать девочку Красной Шапочкой.

Как видите, идея со снабжением транспорта и особо ответственных машин маячками далеко не нова и издавна помогает в розыске транспортных средств. Главное, нужно чтобы соответствующая политика в организации однозначно определяла, что является важным средством и почему. А водителям (владельцам) данных средств о маячках знать совсем не обязательно!

Бабушка Красной Шапочки жила на другой стороне леса, через который к ее домику вела длинная извилистая тропинка. Каждую неделю Красная Шапочка вместе с матерью навещали бабушку и приносили ей корзинку с гостинцами. Бабушка очень любила свою прелестную внучку и каждый раз с нетерпением ожидала ее, сидя у окошка, и, едва завидев, радостно махала рукой.

Но однажды бабушка заболела, и нужно было срочно отнести ей настойку из лесных ягод. Мать Красной Шапочки была очень занята по хозяйству и не могла сама навестить бабушку. А отправлять Красную Шапочку одну она боялась. Наверняка девочка свернет с тропинки, станет собирать цветы и забудет обо всем на свете. А вдруг она не успеет добраться к домику бабушки засветло? Ведь ночью никто не увидит ее красной шапочки, и она заблудится в лесной чаще.

Что же делать? Бабушка была очень больна, и только настойка из лесных ягод могла вылечить ее. Тогда мама решила пойти на хитрость. Она позвала Красную Шапочку и сказала:

Главное в жизни – инструктаж! И иногда стоит даже припугнуть пользователя, ведь лучше его испугать чтобы он не совершал ошибок. Но не стоит этим злоупотреблять, иначе толку никакого!

– Послушай, Красная Шапочка, ты пойдешь сегодня одна к бабушке. Девочка от радости захлопала в ладоши.

– Но сперва я должна сказать тебе что-то ужасное. Знай, что в нашей округе объявился злой волк.

Она взглянула на Красную Шапочку, не испугалась ли она?

– Волк? – удивилась Красная Шапочка. – А кто это такой?

– Глупенькая, это страшный зверь. Он рыщет в темном лесу и ищет маленьких девочек, которые не ходят короткой дорогой.

Красная Шапочка не на шутку испугалась.

– Но ты можешь легко избежать встречи с ним, – сказала мама, – иди по тропинке и никуда не сворачивай. И главное – нигде и ни с кем не останавливайся.

– Тогда я не пойду одна, – испуганно прошептала девочка.

– Но кто-то ведь должен отнести больной бабушке настойку из лесных ягод, а я не могу сегодня оторваться от дел. Не бойся. Если будешь делать все так, как я тебе сказала, тебе нечего бояться волка.

Красная Шапочка послушно взяла корзинку, куда мама положила настойку из лесных ягод, баночку варенья и пирог со сливами, и вздохнула. Девочка очень любила свою бабушку, и болезнь той огорчала ее, но ей совсем не хотелось идти одной через лес, где рыскал злой волк.

Красная Шапочка быстро, стараясь не смотреть по сторонам, пошла по лесной дорожке. Кругом росли очень красивые цветы, но она на них даже не глядела. День был чудесный. Птицы порхали с ветки на ветку и удивлялись, почему это маленькая подружка даже не замечает их. А Красной Шапочке было не до них. Она шла и говорила самой себе: «Уже недалеко, осталось пройти совсем немножко». Но что это краснеет там у тропинки? Какая спелая земляничка! Красная Шапочка уже собиралась пройти мимо, но вспомнила, что мама ничего не говорила о землянике. Девочка остановилась, наклонилась и сорвала с кустика одну ягодку. Ничего страшного не случилось. Волка нигде не было видно. Только птички продолжали петь в верхушках деревьев и колыхались цветы в зеленой траве. Красная Шапочка никогда еще не ела такой сладкой земляники. Жалко, что здесь росла только одна ягодка.

Ой, нет! Шагнув в сторону, Красная Шапочка нашла еще один кустик земляники, потом второй, третий.

Девочка совсем забыла о своем страхе и о злом волке. Собирая спелые и сладкие ягоды, она заходила все дальше и дальше в лес.

Учтите, инструктируя пользователей мало рассказать, чего вы от них хотите, нужно провести экзамен, чтобы понять, как они поняли ваш инструктаж!

– Здравствуй, девочка, – услышала она вдруг за спиной.

Красная Шапочка обернулась и увидела лохматое, но выглядевшее вполне добродушно существо.

– Ой, как вы меня напугали. Я уж думала, что вы и есть тот самый страшный волк.

Волк хихикнул про себя. Никогда еще не случалось такого, чтобы его кто-то не узнал.

– Какой же я волк! Я всего лишь скромный лесной обитатель. А куда ты идешь с этой корзинкой?

– Я очень спешу к своей бабушке. Она заболела, и я должна отнести ей лекарство.

Волк, который поначалу хотел сразу съесть девочку, неожиданно передумал.

– А где живет твоя многоуважаемая бабушка?

– Сразу за лесом, там, где кончается тропинка.

Только она это сказала, как волк скрылся за деревьями и что было духу побежал прямо к домику бабушки.

Поясняйте вашим детям, впрочем, и взрослым тоже, что не стоит говорить куда и зачем вы идете (едете), незнакомым людям. И уж те более не стоит рассказывать об этом всему белому свету в социальных сетях (Facebook, Instagram, Вконтакте и т.д.). Расплата может быть не только мгновенной, но и весьма болезненной.

Красная Шапочка слегка удивилась, что лохматый господин ушел не попрощавшись, но времени на раздумья у нее не было.

Вспомнив о мамином наказе, она отыскала тропинку и, боязливо оглядываясь по сторонам, зашагала дальше.

Тем временем волк, который побежал через лес напрямик, прибежал к домику бабушки и постучал три раза.

– Кто там? – спросила бабушка слабым голосом.

– Это я, твоя внучка Красная Шапочка, – ответил Волк.

– Входи, детка.

Если уж вы не можете сами проверить кто там за дверью, продумайте процедуру аутентификации. Либо, уважаемые взрослые дети, помогите вашим престарелым родителям, поставьте им в квартире систему видео, чтобы видели кто за дверью. Естественно, замаскируйте ее. В самом крайнем случае продумайте систему паролей (как для детей, так и для взрослых. Ну думайте же!

Волк ворвался в домик и, прежде чем бабушка успела опомниться, в один миг проглотил ее. Потом нацепил бабушкин чепчик, улегся на ее кровать и натянул по уши одеяло. Вскоре к домику подошла Красная Шапочка и, ничего не подозревая, постучала в дверь.

– Бабушка, это я, твоя Красная Шапочка! Я принесла тебе настойку из лесных ягод, варенье и пирог.

– Дверь открыта! – прорычал хриплым голосом Волк. Красная Шапочка вошла в дом и, увидев бабушку, очень удивилась.

– Бабушка, какой у тебя грубый голос!

– Конечно грубый, ведь я больна, – прохрипел Волк. – Подойди ближе, дитя мое.

Красная Шапочка поставила корзинку с гостинцами на пол и боязливо приблизилась. Уж очень странно выглядела сегодня бабушка.

Та же ошибка аутентификации. Но на этот раз Красная Шапочка не может проверить, а действительно ли это ее бабушка. Как видите, биометрическая аутентификации (по тембру голоса) не сработала. Нужен другой фактор.

– Ой, бабушка, какие у тебя большие руки!

Волк поскорее спрятал лохматые лапы под одеяло.

– Это чтобы покрепче обнять тебя, Красная Шапочка! Подойди-ка поближе.

– Но бабушка, почему у тебя такие большие уши?

– Чтобы лучше слышать тебя, Красная Шапочка. Ну, сядь ко мне.

– Ой, бабушка, почему у тебя такие большие глаза?

– Чтобы лучше видеть тебя, Красная Шапочка, – нетерпеливо буркнул Волк.

– Ой, бабушка, – закричала Красная Шапочка, пятясь назад, – почему у тебя такие большие зубы?

– Чтобы скорее съесть тебя! – прорычал Волк, выскочил из-под перины, щелкнул зубами и проглотил девочку вместе с ее красной шапочкой. Потом он улегся обратно в кровать и захрапел.

Как видите, биометрия не сработала. Потому или заранее вырабатывайте четкие критерии биометрической аутентификации или продумайте заранее что-то в дополнение к биометрии. Ведь не зря же компания Microsoft считает биометрию удобством, а не средством аутентификации.

К счастью, мимо проходил лесник. Он уже издали заметил, что случилось что-то неладное: двери домика были распахнуты настежь, и оттуда доносился громкий храп. Лесник снял с плеча двустволку и подкрался к окну. Он чуть не вскрикнул, увидев развалившегося на бабушкиной кровати волка с вздувшимся брюхом. Не раздумывая, лесник вбежал в дом, выхватил из-за пояса охотничий нож и мгновенно распорол волку брюхо. Оттуда выскочила Красная Шапочка, а за ней и бабушка. Ох, как темно было в брюхе у волка! Страшно даже подумать, что бы было, не приди храбрый и находчивый лесник вовремя.

К сожалению, вам стоит усвоить, что чаще всего лесники приходят тогда, когда уже поздно и даже если злоумышленник будет наказан, вам от этого легче не станет.

С тех пор они жили счастливо. В лесу больше не водились злые волки, и по тропинке можно было ходить, никого не боясь. Красная Шапочка могла теперь сколько угодно останавливаться по дороге и даже гулять в темном лесу. Однако теперь она этого больше не делала: с той поры она всегда ходила самой короткой дорогой.

Все верно, пользователи наиболее хорошо усваивают правила, связанные с собственными ошибками, да вот только стоит усвоить заранее, лучше учиться на чужих ошибках. На своих уж больно дорого, да и просто больно!

Сказки о безопасности: Рыцарь и Дракон, или как была изобретена двухэтапная аутентификация

Жил да был на свете рыцарь. Не слишком умный, не слишком храбрый, все в нем было в меру.

Ну, а где вы видели идеального героя? В сказке? Искать идеального специалиста можно долго и упорно. Но вот найти его можно уж точно только в сказке.

Надоело ему шляться по свету, решил он, что пора бы и жениться. Но жена должна быть не просто умная и красивая. Неплохо бы и приданое побольше.

Читателю. Уж поверьте, даже в сказках герои бывают не только умными и сильными, но и практичными.

Ездил он по белу свету, искал себе невесту. И вот однажды наткнулся на заколдованный замок Дракона, стоявший в темном-темном лесу. Впрочем, может, лес показался темным-темным, потому как наступил вечер. Объехав замок, Рыцарь увидел, что в стенах нигде нет и намека на ворота. Что ж делать? Решил он остаться до утра, а там посмотрим.

Читателю. Как я уже говорил, Рыцарь был весьма практичным человеком и понимал, что шляться в незнакомом месте, да еще и ночью, без разведки местности – так можно и шишки набить. И вам, дорогие мои читатели, советую того же. Прежде чем начинать любую работу, осмотритесь, сможете ли вы что-то полезное сделать? А не сможете – не беритесь.

Настало утро. Прилетел Дракон. И закричал он громовым голосом: «Открывайте дверь, хозяин пришел!» И открылись вдруг ворота.

Читателю. Какую типичную ошибку совершил Дракон? Он воспользовался общедоступным каналом беспроводной связи для передачи пароля. Мало того, он орал во все горло. А ведь чего проще? Подойди к замку и скажи то же самое шёпотом. Т. е. вот вам первый урок – необходимо снизить уровень сигнала в беспроводной сети до минимально необходимого. И уж если пользуетесь беспроводной сетью для передачи пароля, используйте одноразовые пароли – One Time Password.

Но Дракон он и есть Дракон…

Наелся, напился, выспался и улетел по своим делам. Решил Рыцарь попробовать. Подошел он к замку и заорал: «Открывайте дверь, хозяин пришел!» И открылись вдруг ворота.

Зашел Рыцарь, пробежался по кладовым, награбил золота, забежал в главную башню, забрал принцессу и убежал. Если вы думаете, что он стал ждать Дракона и вызывать его на бой, то вы ошибаетесь. Зачем? Я ж говорю, что он был практичным. Золото взял, принцессу освободил, а Дракон, – да кому он нужен, Дракон? Пусть его следующий рыцарь убивает.

Читателю. Вовсе не обязательно убивать Дракона. Ведь вы не идеалист? И животных любите, экологию уважаете. А Дракон? Да кому он нужен, Дракон? Главное – золото и принцесса ваши. Именно так и думает злоумышленник. Кому нужны ВСЕ ваши тайны? Достаточно одной, чтобы обеспечить вам беспокойную жизнь. Потому не пытайтесь охранять все одинаково тщательно. Выберите, что важнее – принцесса или золото.

Прилетел Дракон. Скажем мягко, расстроился. Но ненадолго. Нашел он себе другую принцессу и повелел ей каждый раз, когда она услышит фразу: «Открывайте дверь, хозяин пришел!», садиться у окна и кричать одну строку из длинного списка, который дал ей Дракон. Каждый раз следующую. Но только если она увидит Дракона из окна.

Сам же Дракон повторял эту строку и только после этого открывались ворота. Так была изобретена первая в мире двухэтапная аутентификация.

Сказки о безопасности: Королевский арсенал, или проводите аудит вовремя

В дальней-дальней стране жил да был король. Он обожал оружие и собирал его по всему свету. Да вот беда, насобирал он его так много, что уже и сам запутался, что есть у него, а чего нет. Никто и никогда не пытался навести порядок в его оружейном арсенале.

Читателю. Надеюсь, вы понимаете, что собирать оружие (программное обеспечение), конечно, можно, но при этом необходимо понимать, что вы собираете, как будете его применять и ради чего, собственно.

Проблемой короля было отсутствие элементарного учета. Одно время учет пытался организовать его министр финансов, ведь на это тратились деньги, но ничего хорошего из этого не вышло. Ведь каждый раз получалось примерно следующее: «Экспонат №1. Большая палка с железным наконечником».

Читателю. Не правда ли, похоже на учет ПК в бухгалтерии. «Куплен ПК фирмы Dell. Инвентарный №…» Пользы от такого учета, естественно, никакой. Более того, только вред. Потому как понять, что за ПК, какие комплектующие, для чего может применяться, а главное – достаточно ли данного ПК для выполнения тех или иных задач – невозможно.

Пришел к королю новый командующий войсками и ужаснулся. Вроде как все есть, оружия полно, но где и что? А тут еще приказ короля – маневры. Но поскольку в королевстве маневров отродясь не было, то пришлось солдатам и офицерам себе оружие выбирать. Неделю провозились, а дальше арсенала никто и не вышел. Не могут понять, что кому брать с собой. Название вроде есть, а оружия вроде и нет.

– Я пикинер, – кричал пожилой сержант, – но это же никакая не пика! Тут написано «Большая палка с железным наконечником»!

– А где мои доспехи?! – шумел рыцарь. – Тут стоит «Железный доспех, мастер Адобини», а на деле – тридцать пар наколенников!

Пришлось командующему целый год просто наводить порядок, пересчитывая и разбираясь что же у него есть, что нужно отремонтировать, а что просто выбросить и купить новое. И только наведя порядок, можно было организовать оборону.

Читателю. Вам это ничего не напоминает? Когда в вашей организации в последний раз проводился аудит аппаратного и программного обеспечения? Вы, как руководитель ИТ (ИБ) знаете, что в вашей организации требует замены (улучшения)? И, безусловно, у вас есть календарный план замены (обновления) аппаратуры и программного обеспечения? И вы регулярно обновляете ПО не только от Microsoft, но и других производителей? Вот видите сколько вопросов. А всего лишь нужно регулярно проводить аудит.

Со временем удалось навести порядок не только в оружейной, но и в королевстве. И не только навести порядок, но и организовать обучение по наведению порядка для других королевств и княжеств и этим существенно пополнил казну

Сказки о безопасности: И королям нужна почта

Жил да был король. И пришло ему время идти в поход. Соседнее королевство войну ему объявило. И решил король, что будет он ежедневно гнать гонца с новостями для советников. Создал он для этого сеть почтовых станций, чтобы гонцы могли лошадей менять.

Долго длился поход, и решили советники брать власть в свои руки. Как это сделать проще всего? Для начала нужно читать королевскую почту до того, как она официально будет зачитана.

Читателю. Не правда ли, стандартный сценарий переворота? Кто владеет информацией – владеет миром! Пора бы вам усвоить, что самое ценное в мире – это информация.

Как решили, так и сделали. На последней станции перед столицей гонца накормили-напоили, подсыпали ему снотворное, а пока гонец спал, пакет вскрыли и прочли.

Читателю. Нельзя посылать важные данные в незашифрованном виде, иначе вы рискуете тем, что они станут известны злоумышленникам!

Мало того, решил советник подменять письма. Как решил, так и сделал.

Читателю. Для важных писем необходимо использовать подпись. Если вы пересылаете письмо в электронном виде, используйте электронную подпись. Иначе вам сложно будет доказать, что вы не писали это письмо или писали совершенно иное.

Показалось странным королю, что делается совсем не то, о чем он говорит. И решил король, что почту его читает враг. Решил он использовать шифрование. Но тут возникает главная проблема – как передать ключ?

Так как король все же учился в школе так себе, король же, то решил он доверить ключ шифрования гонцу.

Кончилось все это так же печально. Гонца напоили, подкупили и он передал ключ шифрования советнику.

Читателю. Я надеюсь, что вы все же образованнее сказочного короля и понимаете, что ключи шифрования нужно пересылать по другому каналу связи. Запомните! Никогда не передавайте ключи тем же каналом. То есть, отправляя письмо электронной почтой, ключи отправляйте, например, с помощью SMS. Никогда не доверяйте передачу пароля (ключа) человеку. Человек слаб, и это нужно помнить.

В сказке все закончилось хорошо. Король вернулся из похода и наказал советника. Но учтите, жизнь, увы, далеко не сказка и закончиться тут может все гораздо страшнее!