Сказки о безопасности. Том 5

Владимир Федорович Безмалый

«Сказка ложь, да в ней намек» – как в наш бурный информационный век защитить себя и свою информацию в мире полном угроз и опасностей. Увы, очень многие не знают и тем более не соблюдают даже элементарные меры информационной безопасности. Эта книга для всех, потому что даже тот, кто мнит себя «гуру», найдет в ней для себя много интересного! Особенно советую дать ее почитать детям и подросткам, чтобы уберечь их от неприятных ситуаций в будущем.

Сказки о безопасности: Ограбление банка

Осеннее утро выдалось солнечным. Наконец-то после хмурого периода вышло солнышко. И хотя на улице было по-прежнему сыро, лужи после вчерашнего дождя еще не высохли, да и с деревьев периодически еще капала влага, все же идти на работу было куда приятнее.

— Иоганн, к вам представители городской полиции.

— Зовите их в комнату заседаний. И принесите нам кофе, пожалуйста.

— Здравствуйте, господа. Что случилось? Я сильно сомневаюсь, что вы просто пришли к нам в гости выпить ароматный кофе. Хоть Ольга его и великолепно готовит, но думаю все же вас привело не это.

— Безусловно. Иоганн мы столкнулись с интересным преступлением. Был ограблен банк N. Причем, самое интересное, несмотря на наличие скрытых камер от компании А, они ничего не зафиксировали. Кто-то великолепно знал размещение камер, время их включения, зоны обзора и время поворота камер. Впечатление такое, что преступник все это знал наперед.

— А кто знал о том, что такие камеры вообще есть в этом отделении? Заведующий? Кто устанавливал камеры?

— Заведующий не знал о наличии камер. Устанавливали их по приказу председателя правления банка. Устанавливали сотрудники службы безопасности банка. Но там уже все проверено. Утечка информации оттуда исключена.

— Но все же утечка была?

— Да! Ведь преступник знал где расположены камеры и как они работают. Мы пока не понимаем, как это сделано.

— Хорошо, мои ребята помогут вам. Майкл, обратитесь в исследовательский отдел и в фирму-изготовитель оборудования. Нам нужна точно такая же камера.

— Хорошо, я уже запросил информацию.

— Когда?

— Да только что как только речь зашла об этих цифровых камерах.

— Молодец. Быстро сообразил.

Прошло три дня.

— Что там с камерами?

— Там все плохо, шеф! Какой… разрешил их использовать в охранных системах?

–??? Поясни.

— Наши ребята нашли, что облако, к которому подключены эти камеры для синхронизации данных, не используют HTTPS-протокол для защиты передачи данных. Как результат, любой кибер-преступник сумел бы получить доступ к видео с этих CCTV-камер, причем видеоматериалы могут быть скачены без необходимости вводить имя пользователя и пароль.

— Погоди, значит злоумышленники могли наблюдать за этим отделением удаленно и выяснить все необходимые параметры заблаговременно?

— Да! Кроме того, стоит отметить, что пара камер еще и захватывала один из мониторов и клавиатуру, следовательно, можно было получить учетные данные, а вторая — клавиатуру для ввода пароля при входе в хранилище. Таким образом, понятно, почему замок на двери не взламывали.

— То есть, злоумышленник смог получить изображения, снятые корпоративной системой видеонаблюдения, и использовать эту информацию для осуществления преступления?

— Да! Но интереснее всего другое. Когда мы обратились официально в компанию А, то они не дали каких-либо разъяснений по поводу обнаруженных уязвимостей или потенциальных ошибок. Очевидно, что любая организация, которая использует системы видеонаблюдения, должна доверять как таким системам, так и ее производителям, и поставщикам, но в данном случае это, похоже, невозможно.

— Ну что ж, значит это становится и нашей проблемой. Нам придется сертифицировать такое оборудование. Придется докладывать императору.

Вы думаете это сказка? Отнюдь. Видеокамеры компании AVTECH используют для передачи данных незащищенный канал. А остальные? Кто-то проверяет оборудование перед покупкой? А?