Air gap или, по-русски говоря, изоляция сети, как вы, наверное, знаете, - миф... Если у вас только нет совершенно случайно достаточного числа программистов, чтобы весь необходимый вам софт прямо там — в изолированной сети — и разрабатывать. А поскольку у вас их нет, остаётся ходить с флешками туда-сюда.
Если внимательно изучать утечки и результаты расследований, выясняется, что государственные команды давным-давно с изолированными сетями работать умеют и скорость передачи данных туда-обратно на флешке раз в неделю их не смущает.
Но оставим государства. Лет десять назад преступный мир выяснил, что самый короткий путь к изолированным (ну, теоретически) сетям банкоматов лежит непосредственно через корпус. Деньги, конечно, всегда помещены в IV класса взломостойкости, к которому подключена сигнализация. Но, как вы знаете, в банкомате есть еще немного интересных узлов. Компьютер, например. А скажи в те времена кому, что компьютер тоже надо защищать, тебе бы в лицо рассмеялись: "Ну как ты себе это представляешь? Придёт хакер с ноутбуком, подключится к нашему банкомату и будет ломать?"
Реальность, как водится, цветов содержала побольше. Хакеры писали свой софт в тепле и уюте, а к банкоматам вместо них приходили дропы с флешками или даже... с CD (вспомнили такую штуку?). Дропы добирались до внутреннего компьютера, вставляли носитель, перезагружали устройство... С носителя загружался обычно дистрибутив линукса (по причинам, указанным выше, с завода все банкоматы приходили с автозагрузкой с флешки или CD, буде кто либо из них вставлен, и эти настройки крайне редко менялись в банке), который подменял файлы в банкоматовской винде и предлагал дропу вытаскивать флешку и, сверкая пятками, валить.
Через пару недель, если всё на первом этапе проходило успешно, к банкомату приходил другой дроп, который набирал на клавиатуре код и мог смело подставлять пакет под диспенсер.
Как получить доступ к компьютеру банкомата? Всё по тем же причинам, антивандальные корпуса банкоматов открывались либо одним универсальным ключом на все устройства одной модели, либо — вообще без ключа — отвёрткой. У одной модели банкомата высверливали в передней панели отверстие четырнадцатым буром по металлу и сквозь него просовывали флешку на длинной палке. Уходя, отверстие залепляли подходящей по цвету жевательной резинкой и когда, уже после инцидента, доблестные инфобезопасники банка восстанавливали целостность операционки (сносили и ставили заново), к устройству снова приходил дроп, отковыривал жвачку и всё повторялось по новой.
Операционку, кстати, после инцидента далеко не всегда переустанавливали. Некоторые излишне самонадеянные персонажи честно считали, что достаточно на банкомате прогнать антивирус (например, Касперского) — и можно работать дальше. А были и такие, кто вообще не понимал, что с устройством произошло. Автору доводилось в известной межбанковской почтовой рассылке читать вопросы в духе "А вот у нас тут пришел человек и забрал все деньги из банкомата. Мы удивились, но ничего не поняли. А через неделю он опять пришел и опять забрал. Кто что знает?"
А бывало, увы, и такое, что расскажешь соответствующим сотрудникам про методику, а они и не верят и ищут инсайдера. В хакеров, говорят, не верим. Слишком сложно. Это всё наши. Точно знаем, наши. К счастью у таких банков банкоматов обычно раз-два и обчёлся, а то сотрудники бы быстро заканчивались от этой охоты на "наших".
Если вы считаете, что всё вышеперечисленное с технической точки зрения — полный атас, то это вы ещё не слышали, как примерно в те же времена можно было украсть деньги из банкомата при помощи вилки. Но про это в следующий раз — про технику это у нас всё таки была присказка, а про людей будет сказка. И сказка — впереди.
Если внимательно изучать утечки и результаты расследований, выясняется, что государственные команды давным-давно с изолированными сетями работать умеют и скорость передачи данных туда-обратно на флешке раз в неделю их не смущает.
Но оставим государства. Лет десять назад преступный мир выяснил, что самый короткий путь к изолированным (ну, теоретически) сетям банкоматов лежит непосредственно через корпус. Деньги, конечно, всегда помещены в IV класса взломостойкости, к которому подключена сигнализация. Но, как вы знаете, в банкомате есть еще немного интересных узлов. Компьютер, например. А скажи в те времена кому, что компьютер тоже надо защищать, тебе бы в лицо рассмеялись: "Ну как ты себе это представляешь? Придёт хакер с ноутбуком, подключится к нашему банкомату и будет ломать?"
Реальность, как водится, цветов содержала побольше. Хакеры писали свой софт в тепле и уюте, а к банкоматам вместо них приходили дропы с флешками или даже... с CD (вспомнили такую штуку?). Дропы добирались до внутреннего компьютера, вставляли носитель, перезагружали устройство... С носителя загружался обычно дистрибутив линукса (по причинам, указанным выше, с завода все банкоматы приходили с автозагрузкой с флешки или CD, буде кто либо из них вставлен, и эти настройки крайне редко менялись в банке), который подменял файлы в банкоматовской винде и предлагал дропу вытаскивать флешку и, сверкая пятками, валить.
Через пару недель, если всё на первом этапе проходило успешно, к банкомату приходил другой дроп, который набирал на клавиатуре код и мог смело подставлять пакет под диспенсер.
Как получить доступ к компьютеру банкомата? Всё по тем же причинам, антивандальные корпуса банкоматов открывались либо одним универсальным ключом на все устройства одной модели, либо — вообще без ключа — отвёрткой. У одной модели банкомата высверливали в передней панели отверстие четырнадцатым буром по металлу и сквозь него просовывали флешку на длинной палке. Уходя, отверстие залепляли подходящей по цвету жевательной резинкой и когда, уже после инцидента, доблестные инфобезопасники банка восстанавливали целостность операционки (сносили и ставили заново), к устройству снова приходил дроп, отковыривал жвачку и всё повторялось по новой.
Операционку, кстати, после инцидента далеко не всегда переустанавливали. Некоторые излишне самонадеянные персонажи честно считали, что достаточно на банкомате прогнать антивирус (например, Касперского) — и можно работать дальше. А были и такие, кто вообще не понимал, что с устройством произошло. Автору доводилось в известной межбанковской почтовой рассылке читать вопросы в духе "А вот у нас тут пришел человек и забрал все деньги из банкомата. Мы удивились, но ничего не поняли. А через неделю он опять пришел и опять забрал. Кто что знает?"
А бывало, увы, и такое, что расскажешь соответствующим сотрудникам про методику, а они и не верят и ищут инсайдера. В хакеров, говорят, не верим. Слишком сложно. Это всё наши. Точно знаем, наши. К счастью у таких банков банкоматов обычно раз-два и обчёлся, а то сотрудники бы быстро заканчивались от этой охоты на "наших".
Если вы считаете, что всё вышеперечисленное с технической точки зрения — полный атас, то это вы ещё не слышали, как примерно в те же времена можно было украсть деньги из банкомата при помощи вилки. Но про это в следующий раз — про технику это у нас всё таки была присказка, а про людей будет сказка. И сказка — впереди.
Ну и заканчивая на этот раз тему изолированных сетей.
Однажды автор пошел в банк проделать одну операцию с УЭК (помните такую карту?). Юный банковский работник провёл его на своё рабочее место, где стоял изолированный от интернета АРМ (о чём юноша автору гордо сообщил) и стал копаться в бумагах. Выяснилось, чо данные есть не все, а то, чо нужно, есть у автора в телефоне, который разряжен в ноль.
"Это ничего", -- сказал юноша, достал microUSB кабель, воткнул один конец в АРМ, а второй протянул автору. Который от такой чести отказался, чем юношу, кажется, обидел. Как обижаются водители в некоторых регионах, когда садишься на переднее сидение и пристёгиваешься. Вроде, как не доверяешь.
Комикс.
Однажды автор пошел в банк проделать одну операцию с УЭК (помните такую карту?). Юный банковский работник провёл его на своё рабочее место, где стоял изолированный от интернета АРМ (о чём юноша автору гордо сообщил) и стал копаться в бумагах. Выяснилось, чо данные есть не все, а то, чо нужно, есть у автора в телефоне, который разряжен в ноль.
"Это ничего", -- сказал юноша, достал microUSB кабель, воткнул один конец в АРМ, а второй протянул автору. Который от такой чести отказался, чем юношу, кажется, обидел. Как обижаются водители в некоторых регионах, когда садишься на переднее сидение и пристёгиваешься. Вроде, как не доверяешь.
Комикс.
Cегодня, 1 января, во всём мире наконец должен быть выпилен флэш, а Whatsapp должен перестать работать на iOS 8 и Android 4.
Зато, если терминалу в linux сказать stty -F /dev/ttyUSB0 cs5 50 cstopb, он начнёт передавать данные в ком-порт телеграфным пятибитным кодом Эмиля Бодо, которому (коду, не Эмилю) в ушедшем году стукнуло ровно 150 лет. Электрические параметры RS-232 тоже совместимы с телеграфной линией за исключением уровней.
В общем, если в наступившем году вы планируете стать попаданцем и оказаться в СССР 1941 года, не забудьте преобразователь USB-UART. И ещё блок питания на 127 вольт. Тогда вы сможете подключиться своим ноутбуком к линии бодо и писать сообщения Сталину и Жукову. Шутка, не сможете. Там же ещё, не поверите, криптография.
А если ничего подобного вы не планируете, просто вспоминайте об этом, когда думаете, не пора ли выпилить обратную совместимость и легаси-код из своих проектов.
С новым годом!
Зато, если терминалу в linux сказать stty -F /dev/ttyUSB0 cs5 50 cstopb, он начнёт передавать данные в ком-порт телеграфным пятибитным кодом Эмиля Бодо, которому (коду, не Эмилю) в ушедшем году стукнуло ровно 150 лет. Электрические параметры RS-232 тоже совместимы с телеграфной линией за исключением уровней.
В общем, если в наступившем году вы планируете стать попаданцем и оказаться в СССР 1941 года, не забудьте преобразователь USB-UART. И ещё блок питания на 127 вольт. Тогда вы сможете подключиться своим ноутбуком к линии бодо и писать сообщения Сталину и Жукову. Шутка, не сможете. Там же ещё, не поверите, криптография.
А если ничего подобного вы не планируете, просто вспоминайте об этом, когда думаете, не пора ли выпилить обратную совместимость и легаси-код из своих проектов.
С новым годом!
This media is not supported in your browser
VIEW IN TELEGRAM
Сопряжение электромеханического телеграфного аппарата СТА М-67 с компьютером наши друзья из Музея современной фортификации "Бункер-703" в новом году вам покажут в своей экспозиции
Как вы, наверное, знаете, прямо сейчас протестующие (милитанты? Революционеры? CNN, расскажите нам, как правильно) штурмуют вашингтонский Капитолий. Твиттер полон удивительными фотографиями, в том числе и вот такой. Это, судя по заголовку в аутлуке, кабинет некоего Натаниэля Холмса — замдиректора по планированию офиса спикера палаты представителей США Нэнси Пелоси.
Компьютер, как несложно заметить, не заблокирован и мы с вами можем прочитать письмо, сообщающее про русских хакеров, насладиться отдельной папочкой "услуги парикмахера" среди прочих важных папочек в аутлуке, удивиться неразборчивому дорожному указателю, накленному на монитор, прочитать предупреждение о штурме Капитолия толпой и посмотреть на нумерацию капитолийской IP телефонии.
Короче, парни, девчонки и прочие гендеры. Понимаем, неудобно, тяжело, надоедает... Но компьютеры-то блокируйте.
Компьютер, как несложно заметить, не заблокирован и мы с вами можем прочитать письмо, сообщающее про русских хакеров, насладиться отдельной папочкой "услуги парикмахера" среди прочих важных папочек в аутлуке, удивиться неразборчивому дорожному указателю, накленному на монитор, прочитать предупреждение о штурме Капитолия толпой и посмотреть на нумерацию капитолийской IP телефонии.
Короче, парни, девчонки и прочие гендеры. Понимаем, неудобно, тяжело, надоедает... Но компьютеры-то блокируйте.
Вообще заметили, что топам так сложно с "этими вашими компукторами", что им отключают и блокировки экранов, и смены паролей, и всё такое прочее. Даже если для всех остальных сотрудников организации эти требования носят характер фашизма. В лучшем случае, по окончании рабочего дня помощник заблокирует и выключит компьютер, в худшем -- он останется работать на всю ночь. Считается, что эти кабинеты так хорошо охраняются, что особого смысла в дополнительных мерах безопасности нет.
Причём эта проблема характерна не только для восьмидесятилетних мастодонтов типа спикера Пелоси, но и для довольно молодых людей. Мистеру Холмсу, судя по его аккаунту в Линкедине, — лет тридцать. Или, например, вспоминается история Павла Дурова, в кабинет которого, в бытность его руководителем VK, однажды проникла через крышу группа граждан. Там они тоже встретили незаблокированный компьютер и залогиненный ВК, чем не преминули воспользоваться.
Причём эта проблема характерна не только для восьмидесятилетних мастодонтов типа спикера Пелоси, но и для довольно молодых людей. Мистеру Холмсу, судя по его аккаунту в Линкедине, — лет тридцать. Или, например, вспоминается история Павла Дурова, в кабинет которого, в бытность его руководителем VK, однажды проникла через крышу группа граждан. Там они тоже встретили незаблокированный компьютер и залогиненный ВК, чем не преминули воспользоваться.
Cybersecgame
Как вы, наверное, знаете, прямо сейчас протестующие (милитанты? Революционеры? CNN, расскажите нам, как правильно) штурмуют вашингтонский Капитолий. Твиттер полон удивительными фотографиями, в том числе и вот такой. Это, судя по заголовку в аутлуке, кабинет…
Забавно, но хоть на экране и открыта почта Натаниэля Холмса, компьютер либо не его, либо он за ним сидит вместе с кем-то посменно.
На левой наклейке с высокой вероятностью написано "boulevard of femen dreams" (аллюзия на известную песню), три остальные — мерч известной марки женских колготок.
На левой наклейке с высокой вероятностью написано "boulevard of femen dreams" (аллюзия на известную песню), три остальные — мерч известной марки женских колготок.
День шуток про про бывших президентов, сбегающих в один южный город.
Не знаем, у кого выкинутый со всех американских хостингов Парлер хостится, но во внешний мир он смотрит адресом компании ООО "ДДОС-ГВАРД" из Ростова-на-Дону.
Некоторые "кибер риск эксперты" вокруг этого уже страдают, хотя, кажется, не до конца понимают, что такое ddos protection и как он работает (почитайте там весь тред -- экспертиза так и прёт. И ещё вот смешная шутка).
Не знаем, у кого выкинутый со всех американских хостингов Парлер хостится, но во внешний мир он смотрит адресом компании ООО "ДДОС-ГВАРД" из Ростова-на-Дону.
Некоторые "кибер риск эксперты" вокруг этого уже страдают, хотя, кажется, не до конца понимают, что такое ddos protection и как он работает (почитайте там весь тред -- экспертиза так и прёт. И ещё вот смешная шутка).
Где-то году в 2003, американские секретчики к своему удивлению столкнулись с проблемой нового века. Оказалось, что если в файлах форматов DOC или PDF поверх текста нарисовать чёрный квадрат, а потом передать файл журналистам, текст от этого секретным не становится.
Попутно выяснилось, что в ряде форматов сохраняются такие полезные штуки, как старые версии, история правок и т.п. В общем, чтобы сделать какой-то документ секретным теперь нельзя просто почеркать по нему чёрным маркером. надо понимать, как документ устроен и прилагать некоторые умственные усилия.
Удивительно, но несмотря на кучу специальных руководств (вот, например, руководство АНБ от 2005 года по удалению секретной информации из документов — полистайте, там есть котики. А вот подробное руководство от Adobe) "Redaction Failure" (это прямо специальный термин для обозначения этой проблемы) продолжает радовать наблюдателей.
В 2014 году издание Нью Йорк Таймс так раскрыло имя сотрудника АНБ в процессе публикации документов Эдварда Сноудена. Там была проблема закрашивания чёрными квадратами поверх текста.
В 2019 году подобная история произошла с адвокатами Пола Манафорта - персонажа, который возглавлял предвыборный штаб Трампа и при этом подозревался с связях с российской разведкой, отмывании денег и других пригрешениях. Адвокаты предоставили в суд PDF, в котором были "замазаны" наиболее неприятные моменты.
Манафорту, кстати, с PDF вообще не везёт.
Ну и наконец, к чему мы тут это пишем. Вот свежий случай - договор между Европейской Комиссией и компанией AstraZeneca AB на поставку Европейскому Союзу вакцины сами знаете от какого заболевания. Здесь информация о стоимости контракта надёжно из документа удалена и всё бы хорошо, кабы не автоматический генератор оглавления. Который сгенерировал его из полного текста включающего и конфиденциальную часть.
В общем, будете готовить документы для публикации -- не ленитесь, сделайте отдельный вариант, который секретной информации в принципе не содержит. Это самое надёжное, что можно предложить.
PS: Не перепутайте версии при публикации!
Попутно выяснилось, что в ряде форматов сохраняются такие полезные штуки, как старые версии, история правок и т.п. В общем, чтобы сделать какой-то документ секретным теперь нельзя просто почеркать по нему чёрным маркером. надо понимать, как документ устроен и прилагать некоторые умственные усилия.
Удивительно, но несмотря на кучу специальных руководств (вот, например, руководство АНБ от 2005 года по удалению секретной информации из документов — полистайте, там есть котики. А вот подробное руководство от Adobe) "Redaction Failure" (это прямо специальный термин для обозначения этой проблемы) продолжает радовать наблюдателей.
В 2014 году издание Нью Йорк Таймс так раскрыло имя сотрудника АНБ в процессе публикации документов Эдварда Сноудена. Там была проблема закрашивания чёрными квадратами поверх текста.
В 2019 году подобная история произошла с адвокатами Пола Манафорта - персонажа, который возглавлял предвыборный штаб Трампа и при этом подозревался с связях с российской разведкой, отмывании денег и других пригрешениях. Адвокаты предоставили в суд PDF, в котором были "замазаны" наиболее неприятные моменты.
Манафорту, кстати, с PDF вообще не везёт.
Ну и наконец, к чему мы тут это пишем. Вот свежий случай - договор между Европейской Комиссией и компанией AstraZeneca AB на поставку Европейскому Союзу вакцины сами знаете от какого заболевания. Здесь информация о стоимости контракта надёжно из документа удалена и всё бы хорошо, кабы не автоматический генератор оглавления. Который сгенерировал его из полного текста включающего и конфиденциальную часть.
В общем, будете готовить документы для публикации -- не ленитесь, сделайте отдельный вариант, который секретной информации в принципе не содержит. Это самое надёжное, что можно предложить.
PS: Не перепутайте версии при публикации!
1611923216998_APAAstraZeneca.pdf
1001 KB
Добрый человек, скрывающийся под ником med0ka сохранил для нас эту великую pdf. Вот она.
Сегодня — Международный день безопасного интернета. Поздравляем, коллеги, стоящие (ну, мы надеемся) на страже безопасности пользователей.
По нашему глубокому убеждению, безопасность в любой сфере, как и вообще всё в этой жизни, начинается с людей.
И тут у вас два варианта: долго и мучительно учить пользователей безопасному поведению ("простые пароли это плохо, пнятно?") - или просто забанить их всех и пусть в интернете будут только уверенные грамотные пользователи, не связанные с корпоративными тайнами. Оставьте интернет хакерам — в онлайне и так уже тесно.
В качестве подарка мы принесли вам инструкцию. Пользуйтесь на здоровье.
По нашему глубокому убеждению, безопасность в любой сфере, как и вообще всё в этой жизни, начинается с людей.
И тут у вас два варианта: долго и мучительно учить пользователей безопасному поведению ("простые пароли это плохо, пнятно?") - или просто забанить их всех и пусть в интернете будут только уверенные грамотные пользователи, не связанные с корпоративными тайнами. Оставьте интернет хакерам — в онлайне и так уже тесно.
В качестве подарка мы принесли вам инструкцию. Пользуйтесь на здоровье.