Мой персональный Sony Hack

    Взлом Sony Pictures Entertainment надолго запомнится не столько сложностью атаки, сколько объемом утекших данных. «Все унесли, даже обои отклеили». Как это часто бывает с громкими атаками, всех подробностей мы никогда не узнаем, но уже сейчас понятно, что украсть и копии фильмов, и пароли, и данные социального страхования, и архивы почтовой переписки топ-менеджеров возможно было только по одной причине: плохо лежало. Научиться на опыте SPE непросто: тут антивирусом как страховкой не обойдешься, всю систему менять надо. А так: «ну их-то понятно за что взламывают, а нас, может быть, пронесет».

    Не пронесет. Ценник на таргетированные атаки падает быстрее чем курс рубля: если в 2011 такое могло себе позволить только государство, то сейчас стоимость опустилась до уровня малого бизнеса. Может быть убедительнее будет перейти на личности? Если примерить ситуацию «все украли» на себя, в первую очередь задумаешься о секретных рабочих документах, во вторую – о пикантной переписке в скайпе. Проблема только, что этим все не ограничивается, и в первую очередь преступники могут пустить в ход совсем другую информацию. Позитивный разговор с владельцем компании о методах защиты может начаться и с анализа информации, которую могут украсть лично у него, и как ей могут воспользоваться. Я постарался понять это на своем примере.

    Какие у нас вводные? Анализируем все, что защищено паролем, хранится на жестких дисках и флешках. Не трогаем публичные данные: посты в Фейсбуке, твиты и прочие инстаграммы (при условии, что контент в соцсети публикуется только публично, личные сообщения и посты с ограниченным доступом используются крайне редко). На всякий случай добавлю необходимый дисклеймер: все, что будет показано ниже, является выдумкой, отношения к реальности не имеет, а если и имеет, то было до неузнаваемости изменено. А еще я не стал трогать рабочую почту и доступ к корпоративной сети: во-первых, тут уже совсем сложно раскрывать что-то публично, во-вторых, уровень защиты несравненно выше. В-третьих, как я покажу дальше, не обязательно взламывать корпоративную сеть для того, чтобы получить рабочие документы.

    Поехали. Почта.
    Кладезь приватной информации. Моя личная почта на GMail существует с 2003 года и содержит массу интересной информации. Смотрим внимательно в список последних сообщений и сразу же видим электронный авиабилет на ближайшую командировку. Вводим номер билета на сайте авиакомпании и получаем возможность отменить бронь: без ввода любых других данных меня можно поставить в очень глупое положение в аэропорту в день вылета.

    Но это так, для разминки. За 11 лет цифровой жизни в почте накопились сотни писем о подтверждении регистрации на различных сайтах и форумах. В некоторых из них пароль указан открытым текстом, и если он у меня единственный (на самом деле нет), то у меня проблемы. Очевидно, что почта позволяет сбросить пароль практически к любому зарегистрированному на нее сервису – от фейсбука до скайпа.

    Посмотрим на последние несколько сотен сообщений. Детализация счета от моего сотового оператора. Ну да, пусть и не свежий, но подробный список телефонных номеров, на которые я звонил, и с которых звонили мне. Номер паспорта из брони билетов. Домашний и рабочий адреса из писем интернет магазинов. Дата рождения в электронном полисе страхования. Да и сам скан паспорта наличествует: отправлял кому-то по каким-то надобностям. И права. И гражданский паспорт тоже. И техпаспорт на машину. Зарегистрированные на меня домены и VPS. На закуску: серийные номера приобретенного софта и даже пара фоток лицензионных наклеек Windows с личных ноутбуков.



    И это была только первая тысяча сообщений за последние полгода, всего архив насчитывает больше 15,000 сообщений. Двухфакторная авторизация Google предоставляет весьма приличную защиту всех этих данных: при том условии, что вы ей пользуетесь. Но если покопаться еще, можно «внезапно» обнаружить копию почтовой переписки на двух других сервисах, которые не так хорошо защищены (и пароль там старый и простой). Просто когда-то было настроено, и забыто. Но работает до сих пор.

    Ах да, когда я был в отъезде, жена попросила меня написать (конечно же очень сложный) пароль к домашнему WiFi. Отыскать письмо с паролем в архиве сложно (я сам нашел только потому, что пароль знаю). Но он там есть.

    Деньги
    В той же почте легко узнать, в каком банке у меня оформлена карточка и пользуюсь ли я их онлайн-банкингом: по письмам с подтверждениями операций. Нет, так сразу украсть у меня деньги не получится: нужно знать CVC-код и еще украсть у меня телефон, на который приходит запрос VISA 3-D Secure. А нет, есть еще возможность не отправлять одноразовый код, а ввести многоразовый пароль. Использовал ли я его где-то еще? Не исключено. Есть ли номер кредитки в почте или где-то еще? К счастью нет. Все хорошо?



    Нет. Кредитка привязана как минимум к двум сервисам, где никаких подтверждений вообще не спрашивают: PayPal и Amazon. Чтобы перевести деньги куда угодно в первом случае и накупить разных товаров за мой счет во втором, достаточно знать пароль к сервису.

    Карта также привязана к счету моего сотового оператора, что позволяет увести деньги через личный кабинет. Впрочем, здесь уже может понадобиться физический доступ к телефону или сим-карте. Эта тема более сложная, но наличие копии паспорта даже ее теоретически упрощает.

    Телефон
    А вот о чем стоит поговорить, так это о доступе к iCloud и аккаунту Google. Ну, что происходит при взломе iCloud, мы все знаем. Не все еще знают, что эти сервисы представляют доступ не только к магазину приложений. А те, кому известно, что «в облаке» хранится много данных, зачастую недооценивают угрозу. Давайте посмотрим на примерах.

    Фото. Нет, фотографии котиков и коллекция анимированных гипножаб не так интересны. Интересна склонность использовать камеру телефона как записную книжку. А что там? Ну, если скан паспорта не был украден из моей почты, то в телефоне заботливо припасена копия (а заодно пара паспортов родственников: это же так просто, не надо переписывать цифры, достаточно сфотографировать документ!). Там же – переснятые с экрана слайды с различных презентаций, иногда не совсем публичных. Если вы, как я, любите на переговорах рисовать фломастером на доске, а потом фотографировать схемы завоевания мира на память, то у вас еще одна проблема.

    Этот пример хорошо показывает, как сложно провести грань между рабочим и личным в современных условиях. В своей личной почте я деловую переписку не веду, и секретные документы на память не пересылаю. Но благодаря смартфону, камере и облачному сервису коммерческая информация так и норовит пробраться в личное пространство. Хорошо, что у iCloud теперь есть двухфакторная авторизация. Плохо, что тот же Dropbox при установке ну очень настойчиво предлагает направлять все фото еще и в свое хранилище. У них двухфакторная аутентификация тоже есть. А вы не забыли ее включить?



    Мой второй смартфон – на базе Android. А Google любезно предоставляет возможность посмотреть свои перемещения в пространстве, в любой отдельно взятый день и год. И показать GPS-трек кому-то другому, если учетная запись недостаточно защищена. Это может быть и памятный трек из путешествия по острову Тенерифе, и вполне рутинные, но более опасные данные о ваших перемещениях из дома на работу. Если кто-то взломает мой аккаунт Google, то получит доступ и к почте, и к геотегам, а стало быть – мой домашний адрес будет добыт сразу из двух источников. Я уже говорил, что пароль WiFi в почте тоже где-то имеется. Роутер у меня очень хороший, сигнал спокойно ловится на улице. Ну, вы поняли, к чему я клоню.

    Компьютер
    По сравнению с богатством персональных данных на сетевых сервисах, на моем ноутбуке – тишина и благодать. Объем данных больше (музыка, видео, некритичные фото из поездок), но опасность – меньше. Связано это с тем, что работа и личная жизнь разделены на уровне железа, и для дела используется отдельная машина с куда более высокой степенью защищенности. В более типовом случае в папке «Документы» наверняка бы хранилась прорва деловой информации, в Аутлуке – копия рабочей переписки, в скайпе – все переговоры.



    Проблема в том, что в этой гипотетической атаке ноутбук скорее всего является точкой входа. Именно через него будет получен доступ ко всем упомянутым выше данным. Через письмо с зараженным вложением, вредоносный код на сайте или что-то подобное.

    Выводы
    Итак, простой взгляд на мои личные данные под определенным углом показал, что:
    • В случае взлома преступник получит доступ к огромному массиву персональной информации.
    • Эта информация многократно продублирована как на устройствах, так и на сетевых сервисах. Достаточно выбрать самый уязвимый.
    • Взлом почты скорее всего приведет к компрометации всех сетевых аккаунтов.
    • Весьма вероятна кража денег с кредитной карты через сервисы, к которым она привязана.
    • Даже если на персональных устройствах принципиально не хранятся рабочие документы, корпоративная информация все равно оказывается под угрозой.
    • Защита любых важных данных – мероприятие комплексное и требует немалых усилий, так как сторонние сервисы, хранящие эту информацию, не всегда обеспечивают адекватную защиту.
    • Инструменты защиты должны дополняться культурой работы с данными (не храним сканы паспорта в почте и телефоне).

    И это мы даже моральные издержки не трогали. Напоследок еще один важный момент. Недавно в стопке старых дисков я обнаружил болванку CD-R, промаркированную кратко: «Distributives». Диск содержал, натурально, дистрибутивы полезного софта: ранняя версия iTunes для третьего iPod, Reget Deluxe, The Bat и тому подобное. А в отдельной папке я нашел давно позабытую оцифрованную версию моей жизни до 2003 года, уместившуюся всего в 300 мегабайт. Архив почты. Логи аськи. Фото с двухмегапиксельной цифровой мыльницы. Документы, пдфки, пара альбомов в mp3.

    Я просмотрел фото, почитал скупую рабочую переписку, наконец добрался до подробных конспектов бесед с прекрасными дамами, но здесь просмотру стала сильно мешать рука на лице. За прошедшие годы и информации стало гораздо больше, и сервисы для ее хранения и обработки стали удобнее. Но есть один нюанс. Удалить свою историю «до 2003» я могу в один момент: достаточно уничтожить диск, на нем единственная копия. Современная цифровая экосистема устроена так, что распространение личной информации мы больше не контролируем.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Comments 11

      +2
      добрался до подробных конспектов бесед с прекрасными дамами, но здесь просмотру стала сильно мешать рука на лице

      Ах, как же это знакомо!

      «Если бы молодость знала. Если бы старость могла» ©
        0
        Просто для некоторых конспектов еще не пришло время :)

        То, что стало сложно контролировать весьма личную информацию — это плохо. А вот то, что эта информация надежнее сохраняется — безусловно хорошо. В 1998 году я еще бумажные письма писал, и они сохранились. А дальше — только цифра. Пропадет — жалко будет. В дооблачную эпоху данные пропали почти все, увы, кроме этих 300 мегабайт.
        0
        Все личное храню в томах трукрипта: переписка, логи скайпа, сканы документов, и прочее-прочее. Крайне удобно.
          +1
          Сценарий на случай утечки вашего пароля к трукрипту разрабатывали?
            +3
            Есть только сценарий использования: не лениться отключать тома, когда ими уже не пользуешься. Сделал привычкой, уже на автомате это делаю.

            А если ноутбук потерял, а пароль украли — тут уже ничего не поделать. Останется только радоваться, что я не знаменит.
          +1
          Да, уж. в век цифровых технологий и очень настырных облаков, а так же тотальной неграмотности пользователей, вагонами сливающих свои пароли через vkontakle.ru и т.п. фишинговые сайты это всё становится печальным.

          Кстати, в статье ничего не рассказано про то, что при желании выковырять закешированные данные с любого смартфона, имея украденный аппарат на руках, в принципе дело только квалификации злоумышленника — а там и почта и скайп и фотографии и vpn на работу…
            0
            Верно, я затронул только самые простые аспекты темы: и самые простые в реализации технологии. «Украсть аппарат» — это уже уровнем выше.

            Решить проблему человек, подкованный в технологиях, может уже и сейчас, максимально затруднив несанкционированный доступ к данным. Но требуется более массовое решение.
            +1
            Если добавить ещё страниц 200, то получится отличный роман в стиле киберпанка.

            Треки андроида для меня настоящее откровение, весьма неприятное.

          Only users with full accounts can post comments. Log in, please.