Мій персональний Sony Hack

Злом Sony Pictures Entertainment надовго запам'ятається не стільки складністю атаки, скільки об'ємом витекли даних. «Все забрали, навіть шпалери відклеїли». Як це часто буває з гучними атаками, всіх подробиць ми ніколи не дізнаємося, але вже зараз зрозуміло, що вкрасти і копії фільмів, і паролі, і дані соціального страхування, і архіви поштового листування топ-менеджерів можливо було тільки по одній причині: погано лежало. Навчитися на досвіді SPE непросто: тут антивірусом як страховкою не обійдешся, всю систему міняти треба. А так: «ну їх-те зрозуміло за що зламують, а нас, може, пронесе».

Не пронесе. Цінник на таргетовані атаки падає швидше ніж курс рубля: якщо в 2011 таке міг собі дозволити тільки держава, то зараз вартість опустилася до рівня малого бізнесу. Може бути переконливішим буде перейти на особистості? Якщо приміряти ситуацію «все вкрали» на себе, в першу чергу задумаєшся про секретних робочих документах, у другу — про пікантну листуванні в скайпі. Проблема тільки, що цим все не обмежується, і в першу чергу злочинці можуть пустити в хід зовсім іншу інформацію. Позитивний розмова з власником компанії про методи захисту може початися і з аналізу інформації, яку можуть вкрасти особисто у нього, і як їй можуть скористатися. Я постарався зрозуміти це на своєму прикладі.

Які у нас вступні? Аналізуємо все, що захищено паролем, зберігається на жорстких дисках, флешках. Не чіпаємо публічні дані: пости в Фейсбуці, твіти та інші інстаграми (за умови, що вміст у соцмережі публікується тільки публічно, особисті повідомлення і пости з обмеженим доступом використовуються вкрай рідко). На всяк випадок додам необхідний дисклеймер: все, що буде показано нижче, є вигадкою, відношення до реальності не має, а якщо і має, то було змінено до невпізнання. А ще я не став чіпати робочу пошту і доступ до корпоративної мережі: по-перше, тут вже зовсім складно розкривати щось публічно, по-друге, рівень захисту незрівнянно вище. По-третє, як я покажу далі, не обов'язково ламати корпоративну мережу для того, щоб отримати робочі документи.

Поїхали. Пошта.
Джерело приватної інформації. Моя особиста пошта GMail існує з 2003 року і містить масу цікавої інформації. Дивимося уважно в список останніх повідомлень і відразу ж бачимо електронний квиток на найближчу відрядження. Вводимо номер квитка на сайті авіакомпанії і отримуємо можливість скасувати бронь: без введення будь-яких інших даних мене можна поставити в дуже незручне становище в аеропорту в день вильоту.

Але це так, для розминки. За 11 років цифрового життя в пошті накопичилися сотні листів про підтвердження реєстрації на різних сайтах і форумах. У деяких з них пароль вказаний відкритим текстом, і якщо він у мене єдиний (насправді немає), то у мене проблеми. Очевидно, що пошта дозволяє скинути пароль практично до будь-якого зареєстрованого на неї сервісу — від фейсбуку до скайпа.

Подивимося на останні кілька сотень повідомлень. Деталізація рахунку від мого стільникового оператора. Ну да, нехай і не свіжий, але докладний список телефонних номерів, на які я дзвонив, і з яких дзвонили мені. Номер паспорта з броні квитків. Домашній і робочий адреси з листів інтернет магазинів. Дата народження в електронному полісі страхування. Та й сам скан паспорта є: відправляв кому-то за якимось потребами. І права. І цивільний паспорт теж. І техпаспорт на машину. Зареєстровані на мене домени і VPS. На закуску: серійні номери придбаного софта і навіть пара фоток ліцензійних наклейок Windows з особистих ноутбуків.



І це була лише перша тисяча повідомлень за останні півроку, всього архів налічує більше 15,000 повідомлень. Двофакторна авторизація Google надає досить пристойну захист цих даних: при тому умови, що ви нею користуєтеся. Але якщо покопатися ще, можна «раптово» виявити копію поштового листування на двох інших сервісах, які не так добре захищені (і пароль там старий і простий). Просто колись було налаштоване, і забуто. Але працює досі.

Ах так, коли я був у від'їзді, дружина попросила мене написати (звичайно ж дуже складний пароль до домашнього WiFi. Відшукати лист з паролем в архіві складно (я сам знайшов тільки тому, що пароль знаю). Але він там є.

Гроші
У тій же поштою легко дізнатися, в якому банку у мене оформлена картка і користуюся я їх онлайн-банкінгом: за листами з підтвердженнями операцій. Ні, так відразу вкрасти у мене гроші не вийде: потрібно знати CVC-код і ще вкрасти у мене телефон, на який приходить запит VISA 3-D Secure. А ні, є ще можливість не відправляти одноразовий код, а ввести багаторазовий пароль. Використовував я його десь ще? Не виключено. Є номер кредитки поштою або десь ще? На щастя немає. Все добре?



Немає. Кредитка прив'язана як мінімум до двох сервісів, де ніяких підтверджень взагалі не питають: PayPal і Amazon. Щоб перевести гроші куди завгодно в першому випадку і накупити різних товарів за мій рахунок у другому, досить знати пароль до сервісу.

Картка прив'язана до рахунку мого стільникового оператора, що дозволяє відвести гроші через особистий кабінет. Втім, тут вже може знадобитися фізичний доступ до телефону або sim-карті. Ця тема складна, але наявність копії паспорта навіть її теоретично спрощує.

Телефон
А ось про що варто поговорити, так це про доступ до iCloud і запису Google. Ну, що відбувається при зломі iCloud, ми знаємо. Не всі ще знають, що ці сервіси представляють доступ не тільки до магазину додатків. А ті, кому відомо, що «в хмарі» зберігається багато даних, часто недооцінюють загрозу. Давайте подивимося на прикладах.

Фото. Ні, фотографії котиків і колекція анімованих гипножаб не так цікаві. Цікава схильність використовувати камеру телефону як записну книжку. А що там? Ну, якщо скан паспорта не був вкрадений з моєї пошти, то в телефоні дбайливо припасена копія (а заодно пара паспортів родичів: це ж так просто, не треба переписувати цифри, достатньо сфотографувати документ!). Там же — переснятые з екрану слайди з різних презентацій, іноді не зовсім публічних. Якщо ви, як і я, любите на переговорах малювати фломастером на дошці, а потім фотографувати схеми завоювання світу на пам'ять, то у вас ще одна проблема.

Цей приклад добре показує, як складно провести межу між робочим і особистим в сучасних умовах. У своїй особистій пошті я ділову переписку не веду, і секретні документи на пам'ять не пересилаю. Але завдяки смартфону, камері і хмарного сервісу комерційна інформація так і норовить проникнути в особистий простір. Добре, що в iCloud тепер є двофакторна авторизація. Погано, що той же Dropbox при установці ну дуже наполегливо пропонує направляти всі фото ще й у своє сховище. У них двофакторна аутентифікація теж є. А ви не забули її включити?



Мій другий смартфон на базі Android. А Google люб'язно надає можливість переглянути свої переміщення в просторі в будь-який окремо взятий день і рік. І показати GPS-трек комусь іншому, якщо обліковий запис недостатньо захищена. Це може бути і пам'ятний трек з подорожі по острову Тенеріфе, і цілком рутинні, але більш небезпечні дані про ваших переміщеннях з дому на роботу. Якщо хтось зламає мій аккаунт Google, то отримає доступ до пошти, і до геотегам, а стало бути — мій домашній адресу буде здобутий відразу з двох джерел. Я вже говорив, що пароль WiFi в пошті теж десь є. Роутер у мене дуже хороший, сигнал спокійно ловиться на вулиці. Ну, ви зрозуміли, до чого я хилю.

Комп'ютер
У порівнянні з багатством персональних даних на мережевих сервісах, на моєму ноутбуці — тиша і благодать. Обсяг даних більше (музика, відео, некритичні фото з поїздок), але небезпека — менше. Пов'язано це з тим, що робота і особисте життя розділені на рівні заліза, і для справи використовується окрема машина з куди більш високим ступенем захищеності. У більш типовому випадку в папці «Документи» напевно б зберігалася прорва ділової інформації, в Аутлуке — копія робочого листування, в скайпі — всі переговори.



Проблема в тому, що в цій гіпотетичній атаці ноутбук швидше за все є точкою входу. Саме через нього буде отримано доступ до всіх згаданих вище даними. Через лист із зараженим вкладенням, шкідливий код на сайті або щось подібне.

Висновки
Отже, простий погляд на мої особисті дані під певним кутом показав, що:
• У разі злому злочинець отримає доступ до величезного масиву персональної інформації.
• Ця інформація багаторазово повторюється як на пристроях, так і на мережевих сервісах. Досить вибрати найбільш уразливий.
• Злом пошти швидше за все приведе до компрометації всіх мережевих акаунтів.
• Вельми вірогідна крадіжка грошей з кредитної картки через сервіси, до яких вона прив'язана.
• Навіть якщо на персональних пристроях принципово не зберігаються робочі документи, корпоративна інформація все одно виявляється під загрозою.
• Захист будь-яких важливих даних — захід комплексне і потребує чималих зусиль, так як сторонні сервіси, що зберігають цю інформацію, не завжди забезпечують належний захист.
• Інструменти захисту повинні доповнюватися культурою роботи з даними (не зберігаємо скани паспорта в пошті та телефону.

І це ми навіть моральні витрати не чіпали. Наостанок ще один важливий момент. Нещодавно в стопку старих дисків я виявив болванку CD-R, промарковану коротко: «Distributives». Диск містив, натурально, дистрибутиви корисного софта: рання версія iTunes для третього iPod, Reget Deluxe, The Bat тощо. А в окремій папці я знайшов давно забуту оцифровану версію мого життя до 2003 року, уместившуюся всього в 300 мегабайт. Архів пошти. Логи аськи. Фото з двомегапіксельною цифрової мильниці. Документи, пдфки, пара альбомів в mp3.

Я переглянув фото, почитав скупу робочу листування, нарешті добрався до детальних конспектів бесід з прекрасними дамами, але тут перегляду стала сильно заважати рука на обличчі. За минулі роки та інформації стало набагато більше, і сервіси для її зберігання і обробки стали зручніше. Але є один нюанс. Видалити свою історію «до 2003» я можу в один момент: досить знищити диск, на ньому єдина копія. Сучасна цифрова екосистема влаштована так, що поширення особистої інформації ми більше не контролюємо.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.