О безопасности

В данной статье речь пойдет, собственно, о безопасности компьютерных систем и устройств.

Не удивляйтесь, как и в случае разработки программного обеспечения, а также выпуска его новых версий, с одной стороны, с каждым обновлением, нам рекламируют, что безопасность приложения или системы, их стабильность и надежность повышена. Однако, по факту, это может быть не совсем так, или совсем не так.

Итак. Сначала, об облачных технологиях.

В последнее время присутствует тенденция к переносу (дублированию) пользовательских данных в облачные хранилища различных корпораций. Кто их только не создает – и корпорация 1С (Битрикс 24), и Microsoft (One Drive), и Google (Google Drive), и Yandex (Yandex.Диск), и многие другие.

В современное программное обеспечение, такое как Microsoft Office 365, встраивается возможность работы с этими хранилищами данных, и даже возможность совместной работы над этими файлами нескольких пользователей. Хотя, вы когда-нибудь пытались вчетвером, одновременно, редактировать один документ?

Для доступа к хранилищу, на сегодня, достаточно относительно простой комбинации логин-пароль. И, оплаты самого программно-аппаратного обеспечения (ежегодной подписки на него или единоразово, как Microsoft Office 2016, или ОС Android). В эту оплату входят затраты не только на его разработку, но и на содержание дисковых массивов в дата-центрах корпораций.

С одной стороны, это дает некоторые дополнительные возможности и отказоустойчивость, так как облачные технологии были придуманы не только для облегчения распределенной работы, но и для эффективного резервного копирования данных. С другой стороны, доступ к вашим данным (включая коммерческие секреты), теперь имеют не только инженеры и сотрудники предприятия, которых вы знаете лично и которым платите заработную плату, но и сотрудники этих сторонних корпораций (которые работают совсем не на вас, а на своих шефов). Зачастую корпорации предоставляют облачные хранилища, которые могут находится вообще на другом континенте – в другой стране, с совершенно другим законодательством. То есть о коммерческой тайне в том смысле, который вкладывался в это понятие раньше, можете смело забыть.

Кроме того, к этим данным, потенциально, доступ может иметь вообще любой человек, знающий вашу пару логин-пароль или способный её вычислить. Подчеркну – потенциально это может быть любой из миллиардов людей, имеющих компьютер и выход в Интернет.

В подавляющем большинстве случаев, для входа в аккаунт и использования всех сервисов (доступа к электронной почте, рабочим файлам, форумам, контактам, настройкам, реквизитам банковских счетов или карт, локальному списку покупок и многому другому) – будь то Microsoft или Google – используется единый пароль. По единственной причине – когда пароль один, а не двадцать пять разных – его проще запомнить. Но, также и проще подобрать или украсть.

В современных мобильных устройствах на базе Google Android или Apple iPhone старших версий, при наличии сканера отпечатка пальца и настроенного его распознавания, можно выбрать пункт “Использовать скан отпечатка для совершения покупок”, вместо присутствовавших в ранних версиях опций “Вводить пароль каждый раз при покупке (или запомнить его навсегда)”. Тем не менее, в случае кражи, потери или поломки устройства, при условии, что злоумышленникам удастся устройство разблокировать, вы понимаете, что вся переписка и прочие данные окажутся в руках у тех, кому удалось получить доступ. Да, современные компьютеры – это сила и слабость одновременно. Поэтому, выбирать эту опцию не рекомендую - вводите пароль и PIN при каждой существенной трансакции.

Совет, который можно дать, если вы все-таки хотите получить более высокий уровень защиты по сравнению с обычным для большинства пользователей – используйте, по возможности, разные устойчивые пароли для разных сервисов. Их сложнее запомнить, проще забыть, но и сложнее подобрать. Суммарная длина ключа, который необходимо получить для доступа к всем вашим аккаунтам в этом случае будет существенно большей, что практически сведет на нет возможность его подбора в разумные сроки (скажем, в течение жизни) без непосредственного участия администраторов ресурсов (а их участие в правовом государстве возможно только после получения постановления суда).

Правда, к сожалению, в современной России для получения доступа к вашим персональным данным, зачастую, на практике, решение суда не требуется. Возьмем для примера несколько последних исков к социальной сети ВКонтакте, которые выкатили некоторые из её пользователей, на которых были заведены административные и уголовные дела. Работники этой соцсети просто предоставили всю необходимую информацию сотрудникам МВД и ФСБ без санкции, вопреки заявлениям её создателей. А это значит, что социальным сетям вообще доверять не стоит.

Мало того, любой упырь-шизофреник может в них представится Владимиром Путиным или Павлом Дуровым, взяв их фото из средств массовой информации. Да и это еще не все – изучив последнюю версию их официального клиента, заметил там весьма оригинальный инструмент слежения за пользователями – рекомендации. Вашим “друзьям” сообщается, где вы оставили ценный комментарий или поставили свой лайк. Возьмете в этом ВКонтакте какого-нибудь виртуального Иуду в друзья – и, дело сделано – станете Иисусом. Кстати, в церкви "Всех Святых, в земле русской просиявших", построенной в Московском Парке Победы на одной из икон так и написано: святые и сын Господа будут благодарны если вы возьмёте на себя часть их ноши, груза.

Но, не будем о грустном.

Нарушения в области раскрытия персональных данных встречаются на практике в отношении почти всех жителей страны, сделать здесь можно не очень много. Официально ваши персональные данные начинают собирать с рождения – с тех пор как вы получили свидетельство о рождении с определенным номером, с отметки о вас в паспорте родителей, с первой фотографии или визита к врачу. Сейчас, кроме того, что все жители страны находятся в паспортных базах, базах налоговой службы, базах владельцев недвижимости, базах владельцев автомобилей, базах банков, базах страховых компаний, базах операторов мобильной связи, планируют добавить всем жителям России ещё и электронные медицинские карты.

И, конечно, не исключено, что вследствие халатности администраторов этих баз или хакерской деятельности вы можете получить ситуацию, когда идёте по улице, а совершенно незнакомый человек вас приветствует, и задает неожиданный вопрос:
- Ну что, Владимир (Борис, Алексей). Простите мне моё назойливое любопытство, но мне очень интересно, от какой путаны вы умудрились заразиться сифилитической алопецией?

Кроме шуток, когда мы делали аудит некоторых Петербургских больниц, даже я, повидавший на своем веку много разных идиотов, был поражен и обеспокоен. Сейчас в приемные покои и отделения большинства больниц и клиник наставили камер – чтобы следить за пациентами и персоналом. Персонал боится садится рядом с ними, чтобы избежать записи конфликтов с пациентами и увольнения. Часть из проверенных больниц не имеет у себя в штате квалифицированных инженеров для настройки компьютеров, в которых хранятся ваши персональные данные – они заключают договора на аутсорсинг: поставку и настройку техники со сторонними компаниями. Совершенно очевидно, что кроме врачей, доступ к вашим персональным данным имеют лица, которые даже официально не трудоустроены в системе здравоохранения. В общем, держитесь, пациенты!

Также, держитесь и абоненты сотовых сетей.
Если двадцать лет назад, в начале 2000х вам продавали SIM-карту в запечатанном конверте, с телефонами службы поддержки оператора, с предварительно настроенным безопасным PIN- и PUK- кодом, то сегодня вы получаете SIM-карту в которой PIN-код, по умолчанию “0000”. Причем это и в “МегаФоне”, и в “МТС”, и у других операторов сотовой связи. Ни для кого не секрет, что это искусственное снижение уровня безопасности и защищенности. Если вы не поменяли нулевой PIN-код после установки SIM в телефон (а я настоятельно рекомендую сделать именно это), то любой получивший доступ к вашему телефону и SIM может звонить с них, без проблем!

Если вы не залочили телефон, злоумышленники будут иметь доступ даже к вашему личному кабинету на сайте оператора, потому что на новых телефонах он доступен даже без ввода пароля! А это ещё одна брешь в системе безопасности. Суть в том, что оператор сотовой связи сам, на глаз, определяет, что вы пользуетесь мобильным Интернетом с его SIM-карты, и в целях упрощения входа (допуская, что в большинстве случаев трафик по протоколу HTTPS перехватить и подделать не удасться) он даже разрешает попадать в личный кабинет без пароля!

Используя этот режим вы можете получить информацию обо всех платежах, детализацию расходов и разговоров. Причем, чтобы вы поняли суть проблемы – получив доступ к личному кабинету, вы можете получить эту детализацию не только на предустановленный адрес электронной почты, а вообще – на произвольный, может быть и не ваш, хозяйский! Дополнительные проверки отсутствуют. Не исключено, что этой брешью в системе биллинга могут пользоваться сотрудники компаний-операторов и продавать эту информацию сторонним лицам.

В общем, очевидно, что часть инженеров, разрабатывающих современные системы, работает над  улучшением безопасности и надежности, а другая их часть трудится над её ухудшением. Причем, и те, и другие делают это за наш с вами счёт.