Сказки для безопасников

Тема в разделе "Новости информационной безопасности", создана пользователем cybercop, 1 янв 2013.

  1. cybercop
    Оффлайн

    cybercop Ассоциация VN

    Сообщения:
    317
    Симпатии:
    493
    Когда-то, когда сын был еще школьником, попросил он меня пояснить некоторые базовые понятия теории защиты информации. И вот что из этого вышло


    Сказка ложь, да в ней намек!

    Все мы когда-то были детьми и любили сказки, а некоторые и сейчас не против почитать (фэнтези, чем не сказка?). Сегодня мы с вами попробуем посмотреть на старую сказку «Али-баба и 40 разбойников» с учетом наших взрослых знаний. Да-да, именно с учетом знаний специалистов в области информационной безопасности.

    Итак, Али-баба пытаясь разбогатеть, и заработать на жизнь при встрече с разбойниками (а кто сказал что это случайная встреча?) применяет классическую технологию снифинга и подслушивает пароль (кодовую фразу) открывающую вход в пещеру. Мало того, он слушает ее по беспроводному каналу (воздуху), главарь разбойников кричит громко.
    Итак, первый вывод – если используете беспроводные технологии, то хотя бы ограничивайте мощность передатчика, чтобы ваши сообщения нельзя было перехватить с дальнего расстояния.
    После успешно перехваченного пароля Али-баба входит в пещеру и похищает золото. Причем с первого раза глава разбойников ничего не увидел. Вывод – организовывайте учет всей обрабатываемой информации, это позволит уменьшить ущерб.
    Затем уже Али-баба совершает такую же ошибку и с помощью снифинга пароль узнает его старший брат. Однако, войдя в пещеру, он забывает сделать резервную копию пароля и забывает его!
    Вывод – память человеческая это прекрасно, но резервные копии ключа доступа хранить ОБЯЗАТЕЛЬНО! Особенно при применении шифрования.
    Затем брат Али-бабы применяет атаку по словарю с известной маской, когда начинает перебирать названия известных злаков и пытаться выйти из запертой пещеры. Вспомните «Рис, открой дверь! Пшеница, открой дверь!» и т.д. Но ввиду ограниченности словаря атака на доступ безуспешна.
    Вывод – используйте как можно более полные словари, иначе вам тоже могут отрезать голову!
    Можно было бы и далее рассматривать сказку, но дело в том, что напамять я ее не помню, а врать не хочу!
    ЗАПОМНИТЕ!
    СКАЗКА – ЛОЖЬ, ДА В НЕЙ НАМЕК! ДОБРЫМ МОЛОДЦАМ – УРОК!



    Волк и семеро козлят… Учимся на сказках, малыши!

    Жила-была в красивом домике коза со своими семью козлятами…

    — Никому не открывайте. Помните, что здесь неподалеку бродит злой волк. Сам он серый, лапы у него огромные и страшные, а голос злой и противный. Если он постучит, не открывайте!
    Коза рисует портрет возможного нарушителя. Она не догадывается, что он может выглядеть и иначе! Но это типично для начинающего специалиста в ИБ. Помните! Нарушителем может быть ЛЮБОЙ! Даже тот, кому вы, безусловно, доверяете!
    Когда она вышла из дома и остановилась поговорить о своих опасениях с соседкой, волк подслушивал, спрятавшись неподалеку.
    Не болтайте о своих проблемах и планах, особенно в местах, не предназначенных для проведения совещаний. Оборудуйте комнату для ведения переговоров!
    — Вот и хорошо! — сказал волк. — Раз коза идет на базар, то я пойду к ней домой и съем козлят.
    Стараясь не попадаться никому на глаза, он пришел к домику козы и закричал своим страшным голосом:
    — Отворитеся-отопритеся! Я ваша мама, я с базара пришла.
    Обратите внимание, в отличие от прошлой сказки, здесь получения права войти в систему (в дом) используется уже многофакторная аутентификация. Получается что коза умнее разбойников? Факторы – тембр голоса и кодовая фраза.
    Услышав грубый голос, козлята вспомнили наставления мамы (Учите пользователей правилам!!!) и говорят волку из-за закрытой двери:
    — Мы тебя узнали! Ты волк! У нашей мамы голосок нежный да сладкий, а не противный и грубый, как у тебя. Иди прочь, мы тебе никогда не откроем! (Кодовая фраза совпала, тембр не подошел, второй фактор).
    И как ни стучал волк, козлята не открыли ему.
    Тогда волк побежал к кондитеру и попросил у него пирог с медом. Волк надеялся, что от меда голос у него станет сладким, как у козы. И в самом деле, как только он проглотил пирог, ему показалось, что голос его и впрямь стал таким, как он хотел. (Обратите внимание, используемые для аутентификации факторы должны быть неотчуждаемы! Т.е. если вы прозевали и ваш PIN-код смогли услышать, а затем подделать кредитную карту, вы же сами и виноваты. Вы никогда никому ничего не докажете!!!).
    И волк вернулся к домику.
    — Отворитеся-отопритеся! Я ваша мама, я с базара пришла. Открывайте! — пропел он.
    На этот раз козлята растерялись: уж очень голос был похож на мамин. Они уже собирались открыть дверь, как вдруг черный козленок засомневался:
    — А покажи нам свою ножку, мама!
    Ничего не подозревая, волк поднес лапу к окну, и козлята, увидев волосатую лапищу, поняли, что за дверью стоит волк.
    — Ты не наша мама, у тебя такие страшные ножищи. Иди прочь, гадкий волк! —закричали они.
    И на этот раз, как волк ни старался, дверь осталась запертой. (Дополнительные рубежи проверки затрудняют взлом!!!)
    Тогда волк побежал на мельницу, нашел там мешок с белой мукой и запустил туда свои лапы, отчего они у него стали совсем белыми.
    — Отворитеся-отопритеся! Я ваша мама, я с базара пришла. Открывайте!
    Голос был похож на мамин, но недоверчивые козлята тут же попросили:
    — Покажи нам свою ножку, мама!
    Волк поднял белую, всю в муке, лапу, и козлята уверенно открыли дверь.
    Если уж вы используете многофакторную аутентификацию с дополнительными рубежами проверки, постарайтесь уберечься от фальшивых ключей, сделайте их изготовление максимально сложным. Иначе сожрут вас, как волк козлят!



    Колобок или старые сказки о главном…

    Жил-был старик со старухою.

    Просит старик:
    - Испеки, старуха, колобок.
    - Из чего печь-то? Муки нету.
    - Э-эх , старуха! По коробу поскреби, по сусеку помети; авось муки и наберется.
    Взяла старуха крылышко, по коробу поскребла, по сусеку помела, и набралось муки пригоршни с две.
    Замесила на сметане, изжарила в масле и положила на окошечко постудить.
    Создали значит ИТ-отдел и поручили ему жить самостоятельно да добро наживать. Из последних сил тужились, чтобы было как у «людей». Да не тут-то было.
    Колобок полежал-полежал, да вдруг и покатился — с окна на лавку, с лавки на пол, по полу да к дверям, перепрыгнул через порог в сени, из сеней на крыльцо, с крыльца на двор, со двора за ворота, дальше и дальше.
    Решил ИТ-директор что он всех умнее и сам знает что нужно бизнесу, мол, чего их спрашивать, мы же ИТ, самые умные. И встретилась ему на большом пути первая опасность…
    Катится колобок по дороге, а навстречу ему заяц:
    - Колобок, колобок! Я тебя съем!
    - Не ешь меня, косой зайчик! Я тебе песенку спою,— сказал колобок и запел:
    -Я по скребён метен, на сметане мешон,
    Я в масле пряжон, на окошке стужон;
    Я от дедушки ушел, я от бабушки ушел,
    От тебя, зайца, не хитро уйти!
    И покатился себе дальше; только заяц его и видел!
    Короче, опасность проигнорировали и исключили ее возникновение. Загордились сильно, а как же, мы ж мол вирусную атаку отразили (или еще от какой-то дряни спаслись), в конце-концов, почту работать заставили, вот какие умные
    Впереди были еще две проблемы, но от них удалось ИТ-отделу увернуться. Ну как же собой не гордиться! Как же не хвастаться!
    Однако и на старуху бывает своя проруха…
    Катится, катится колобок, а навстречу ему лиса:
    - Здравствуй, колобок! Какой ты хорошенький!
    А колобок запел…
    Но … славная лиса владела основным приемом социальной инженерии – ЛЕСТЬЮ! И вот тут уже не выдержали ни ИТ отдел, ни ИБ. Всем хочется слышать какие они мудрые да какие незаменимые… Вот только не понимают, что чаще всего слышат эту лесть в последний раз!
    - Какая славная песенка! — сказала лиса. – Но ведь я, колобок, стара стала, плохо слышу; сядь-ка на мою мордочку, да пропой еще разок погромче.
    Колобок вскочил лисе на мордочку и запел ту же песню.
    - Спасибо, колобок! Славная песенка, еще бы послушала! Сядь-ка на мой язычок да пропой в последний разок, – сказала лиса и высунула свой язык.
    Колобок сдуру прыг ей на язык, а лиса – ам его! – и скушала.
    Вывод прост. ЕСЛИ ТЕБЯ ХВАЛИТ ПЕРВЫЙ ВСТРЕЧНЫЙ, ПОДУМАЙ, СМОЖЕШЬ ЛИ ТЫ РАСПЛАТИТЬСЯ ЗА ЭТУ ПОХВАЛУ…
    PS
    А СОТРУДНИКАМ ИБ НУЖНО ПОЧАЩЕ НАПОМИНАТЬ ПОЛЬЗОВАТЕЛЯМ ОБ ОПАСНОСТЯХ АТАК СОЦИАЛЬНОЙ ИНЖЕНЕРИИ. ВЕДЬ НА ДУРАКА НЕ НУЖЕН НОЖ, ЕМУ С ТРИ КОРОБА НАВРЕШЬ И ДЕЛАЙ С НИМ ЧТО ХОШЬ! НО ЭТО УЖЕ ДРУГАЯ СКАЗКА.

    Добавлено через 30 секунд
    Гимн специалистов в области социальной инженерии…

    Булат Шалвович ОкуджаваПесни к к/ф
    Приключения
    Буратино

    Вторая песня лисы Алисы и кота БазилиоПока живут на свете хвастуны,Мы прославлять судьбу свою должныКакое небо голубое,Мы не сторонники разбоя,На хвастуна не нужен ножЕму немного подпоешь,И делай с ним что хошьПокуда живы жадины вокруг,Удачи мы не выпустим из рукКакое небо голубое,Мы не сторонники разбоя,На жадину не нужен ножЕму покажешь медный грошИ делай с ним что хошь Честное слово, лучше не скажешь! Потому в моем понимании сказка о Буратино "Золотой ключик" это классический пример социальной инженерии. В чистом виде. И данную сказку, а особенно советский фильм о Буратино, я бы включил в сборник документов, обязательных для изучения как пользователями, так и специалистами по информационной безопасности!

    Добавлено через 37 секунд
    Курочка ряба

    Жили-были дед да баба. Была у них курочка ряба. Снесла курочка яичко, не простое – золотое.

    Создали ИТ-систему. Не простую. А уж очень важную. И дорогую. И пригласили специалистов тестировать безопасность. Первая TigerTeamназывалась Дед. И была она исключительно мужской
    Дед бил, бил – не разбил.
    Ничего не вышло у первой команды. То ли работали не правильно, то ли не то тестили. Но не успокоилось ИТ, решило попробовать другую команду – «Баба»
    Баба била, била – не разбила.
    И у этих ничего не вышло. Обрадовалось ИТ, решило руководство, что все хорошо, успокоилось. Да не тут-то было! Пришел непонятно откуда злоумышленник, которого не ждали, нашел самое слабое звено, ударил по нему и… Упала ИТ система! Упала! Рухнула!!!
    Мышка бежала, хвостиком задела, яичко упало и разбилось.
    Дед плачет, баба плачет, а курочка кудахчет:
    - Не плачь, дед, не плачь, баба: снесу вам яичко не золотое – простое!
    Вывод. Не стоит расслабляться, если при проверке вы не обнаружили уязвимых мест. Чаще всего это означает что вы просто не там искали! И помните! Прочность всей цепи равна прочности самого слабого звена! Ищите это слабое звено! НЕ РАССЛАБЛЯЙТЕСЬ!

    Добавлено через 59 секунд
    Лиса и журавль или воспитание инсайдеров своими руками

    В данной сказке мы с вами поговорим о том, как руководство фирмы своими руками воспитает инсайдеров, успешно убивая лояльность в своих сотрудниках

    Лиса с журавлем подружились.
    Взяли толковых сотрудников ИТ и ИБ на работу в преуспевающую фирму. Руководство и так и эдак к ним. Давайте мол, не просто работать вместе, а дружить, мы ж такие хорошие и так вас любим. Но вот пришло время оплачивать успешно завершенный проект. И решило руководство распределять премию.
    Вот вздумала лиса угостить журавля, пошла звать его к себе в гости:
    - Приходи, куманек, приходи, дорогой! Уж я тебя угощу!
    Пошел журавль на званный пир. А лиса наварила манной каши и размазала по тарелке. Подала и потчевает:
    - Покушай, голубчик куманек, – сама стряпала.
    Журавль стук-стук носом по тарелке, стучал, стучал – ничего не попадает!
    А лисица лижет себе да лижет кашу, так все сама и съела.
    Кашу съела и говорит:
    - Не обессудь, куманек! Больше потчевать нечем.
    Вот и распределили премию. Вся слава и премия досталась руководству (как обычно, впрочем), а ИТ досталось большое спасибо. Ну и понятно, зачем же с сотрудниками делить славу и деньги? Это и самому руководству пригодится…
    И поняли сотрудники, что нечего им ждать от данного руководства. Ну и решили что стоит ответить руководству той же монетой. Вот так и появляются инсайдеры
    Журавль ей отвечает:
    - Спасибо, кума, и на этом! Приходи ко мне в гости.
    На другой день приходит лиса к журавлю, а он приготовил окрошку,положил в кувшин с узким горлышком, поставил на стол и говорит:
    - Кушай, кумушка! Право, больше нечем потчевать.
    Лиса начала вертеться вокруг кувшина. И так зайдет, и эдак, и лизнет его, и понюхает-то, – никак достать не может: не лезет голова в кувшин.
    А журавль клюет себе да клюет, пока все не съел.
    - Ну, не обессудь, кума! Больше угощать нечем!
    Взяла лису досада. Думала, что наестся на целую неделю, а домой пошла – не солоно хлебала. Как аукнулось, так и откликнулось!
    С тех пор и дружба у лисы с журавлем врозь.
    Закончилась сказка не так красиво. ИТ отдел умудрился поставить в проекте логическую бомбу, а безопасники помогли им унести информацию. Вывод прост. Не стоит своими руками творить инсайдеров в своей организации. Господа руководители, помните, не стоит своими руками воспитывать себе врагов! Если вы зарабатываете, на своих сотрудниках, то помните, что выплатить премию вам обойдется гораздо дешевле, чем построить защиту от инсайдеров!!!


    Добавлено через 31 секунду
    Мужик и медведь или сказка о необходимости создания подразделения конкурентной разведки

    Мужик поехал в лес репу сеять. Пашет там да работает (впрочем как и мы все. Работаем и работаем).
    Пришел к нему медведь (и тут без рэкета не обойтись!):
    — Мужик, я тебя сломаю.
    — Не ломай меня, медведюшка, лучше давай вместе репу сеять. Я себе возьму хоть корешки, а тебе отдам вершки.
    — Быть так,— сказал медведь.— А коли обманешь, так в лес ко мне хоть не езди. (А вот тут вылезает проблема отсутствия интернет-разведки у глупого мишки. Надеюсь у вас такое подразделение есть, чтобы понимать, а то ли вам предлагают что вы хотели?)
    Сказал и ушел в дуброву.
    Репа выросла крупная. Мужик приехал осенью копать репу. А медведь из дубровы вылезает:
    — Мужик, давай репу делить, мою долю подавай.
    — Ладно, медведюшка, давай делить: тебе вершки, мне корешки.
    Отдал мужик медведю всю ботву. А репу наклал на воз и повез в город продавать. (Кто лежит на печи и ждет удачи, тем более не прилагая никаких усилий, того всегда бьет жизнь. Причем БОЛЬНО!)
    Навстречу ему медведь:
    — Мужик, куда ты едешь?
    — Еду, медведюшка, в город корешки продавать.
    — Дай-ка попробовать — каков корешок? Мужик дал ему репу. Медведь, как съел:
    — А-а! — заревел.— Мужик, обманул ты меня! Твои корешки сла-деньки. Тенерь не езжай ко мне в лес по дрова, а то заломаю. (И опять понадеялся мишка на силу, да вот только глупых жизнь бьет. Неужели так и не понял, что прежде чем соглашаться на предложение, нужно внимательно составиь договор, оценить риски, провести разведывательные мероприятия).
    На другой год мужик посеял на том месте рожь. Приехал жать, а уж медведь его дожидается:
    — Теперь меня, мужик, не обманешь, давай мою долю. Мужик говорит:
    — Быть так. Бери, медведюшка, корешки, а я себе возьму хоть вершки.
    Собрали они рожь. Отдал мужик медведю корешки, а рожь наклал на воз и увез домой.
    Медведь бился, бился, ничего с корешками сделать не мог.
    Рассердился он на мужика, и с тех пор у медведя с мужиком вражда пошла. (Это вполне естественно. Дважды битый третий раз обманут не бывает. Хотя я на месте владельца конторы под названием «Медведь» еще после первого раза бы уволил весь менеджмент компании, но это уже тема другой сказки!)
     
    Последнее редактирование модератором: 1 янв 2013
    tzrb, SNS-amigo, Phoenix и 5 другим нравится это.
  2. cybercop
    Оффлайн

    cybercop Ассоциация VN

    Сообщения:
    317
    Симпатии:
    493
    Сказка о Али-бабе и 40 разбойниках. Приложение в pdf
     

    Вложения:

    • Али.pdf
      Размер файла:
      504,2 КБ
      Просмотров:
      3
    SNS-amigo нравится это.
  3. cybercop
    Оффлайн

    cybercop Ассоциация VN

    Сообщения:
    317
    Симпатии:
    493
    Волк и семеро козлят или снова о многофакторной аутентификации
    Жила-была коза с козлятами. Уходила коза в лес есть траву шелковую, пить воду студеную. Как только уйдет — козлятки запрут избушку и сами никуда не выходят.

    Читателю. Вот смотрите, даже козлята никуда без спроса не ходят. Ваши пользователи тоже не должны никуда ходить в Интернет, кроме разрешенного для работы списка сайтов, а вы обязаны это контролировать. НО! Если не можете контролировать, то не стоит запрещать!

    Воротится коза, постучится в дверь и запоет:
    - Козлятушки, ребятушки!
    Отопритеся, отворитеся!
    Ваша мать пришла — молока принесла;
    Бежит молоко по вымечку,
    Из вымечка по копытечку,
    Из копытечка во сыру землю!
    Козлятки отопрут дверь и впустят мать. Она их покормит, напоит и опять уйдет в лес, а козлята запрутся крепко-накрепко.

    Читателю.
    Как видите, коза использует многофакторную аутентификацию с применением биометрических технологий. Аутентификация по голосу и кодовой фразе. Однако и коза совершает ошибку. Она:
    • Использует всегда одну и ту же простую кодовую фразу
    • Используя беспроводной способ передачи кодовой фразы, не заботится о том, что мощность передатчика (голоса) может быть чрезмерной. А соответственно злоумышленник (Волк) может ее подслушать.
    • Что нужно было сделать?
    • Каждый раз уходя из дома оговаривать заранее кодовую фразу для следующего возвращения (т.е. использовать OTP– OneTimePassword.
    Но мы-то понимаем, что она всего лишь Коза, а вы, уважаемые читатели, будьте внимательнее.

    Однажды волк подслушал, как поет коза. Вот раз коза ушла, волк побежал к избушке и закричал толстым голосом:
    - Вы, детушки!
    Вы, козлятушки!
    Отопритеся,
    Отворитеся,
    Ваша мать пришла,
    Молока принесла.
    Полны копытцы водицы!
    Козлята ему отвечают:
    - Слышим, слышим — да не матушкин это голосок! Наша матушка поет тоненьким голосом и не так причитает.

    Читателю
    Используется биометрическая составляющая – тембр голоса. Злоумышленник этого не знает, следовательно, атака не удалась. Злоумышленнику нужно поставить оценку 2 за предварительно проведенную разведку. Он услышал парольную фразу но не полностью и не оценил значение биометрической аутентификации.Вам же, уважаемые читатели, нужно обращать внимание на тех, кто часто крутится рядом с вами, перехватывая беспроводные сигналы.

    Волку делать нечего. Пошел он в кузницу и велел себе горло перековать, чтоб петь тоненьким голосом. Кузнец ему горло перековал. Волк опять побежал к избушке и спрятался за куст.
    Вот приходит коза и стучится:
    - Козлятушки, ребятушки!
    Отопритеся, отворитеся!
    Ваша мать пришла — молока принесла;
    Бежит молоко по вымечку,
    Из вымечка по копытечку,
    Из копытечка во сыру землю!
    Козлята впустили мать и давай рассказывать, как приходил волк, хотел их съесть.
    Коза накормила, напоила козлят и строго-настрого наказала:
    - Кто придет к избушечке, станет проситься толстым голосом да не переберет всего, что я вам причитываю, — дверь не отворяйте, никого не впускайте.

    Читателю
    Как видим, коза выводов не сделала, пароль не сменила, надеется на бдительность козлят и биометическую аутентификацию.

    Только ушла коза, волк опять шасть к избушке, постучался и начал причитывать тонюсеньким голосом:
    - Козлятушки, ребятушки!
    Отопритеся, отворитеся!
    Ваша мать пришла — молока принесла;
    Бежит молоко по вымечку,
    Из вымечка по копытечку,
    Из копытечка во сыру землю!

    Читателю.
    Как видите, биометрическая составляющая пароля на сегодня не может дать 100% гарантию. Т.е. использовать ТОЛЬКО биометрию на сегодня опасно!
    Если же говорить более полно, то биометрической аутентификации присущ целый ряд недостатков и не зря на сегодня аутентификация по отпечатку пальца, применяемая в Windows 7/8/8.1 рекомендуется компанией Microsoftлишь как удобство, а не как аутентификация.


    Козлята отворили дверь, волк кинулся в избу и всех козлят съел. Только один козленочек схоронился в печке.

    Читателю.
    Иногда вовремя спрятаться не значит сбежать с поля боя. Это значит просто спастись.

    Приходит коза, сколько ни звала, ни причитывала — никто ей не отвечает. Видит — дверь отворена, вбежала в избушку — там нет никого. Заглянула в печь и нашла одного козленочка.
    Как узнала коза о своей беде, как села она на лавку — начала горевать, горько плакать:
    - Ох вы, детушки мои, козлятушки!
    На что отпиралися-отворялися,
    Злому волку доставалися?

    Читателю.
    Для того чтобы не оказаться в положении глупой Козы и не плакать над остатками вашего бизнеса, вовремя подумайте о плане его восстановления, а также о более надежной аутентификации. Думайте, ибо вы ж не глупые Козы и Козлы, вы специалисты по ИБ!

    Услыхал это волк, входит в избушку и говорит козе:
    - Что ты на меня грешишь, кума? Не я твоих козлят съел. Полно горевать, пойдем лучше в лес, погуляем.
    Пошли они в лес, а в лесу была яма, а в яме костер горел.
    Коза и говорит волку:
    - Давай, волк, попробуем, кто перепрыгнет через яму?
    Стали они прыгать. Коза перепрыгнула, а волк прыгнул, да и ввалился в горячую яму.

    Читателю.
    Умница Коза. Заранее предусмотрела команду проведения расследования. И хотя сжечь злоумышленника не наш метод, но признаю, руки чешутся.

    Брюхо у него от огня лопнуло, козлята оттуда выскочили, все живые, да — прыг к матери! И стали они жить-поживать по-прежнему.

    Читателю
    . Надеюсь Коза в следующий раз будет умнее и запомнит, что в беспроводных сетях нужно использовать для аутентификации технологию одноразовых паролей (ОТР), да и сигнал давать наименее мощный, чтобы только до роутера хватало. Не стоит рисковать.

    В отличие от сказочной Козы, вам, мои дорогие читатели, шанса вернуть свою информацию никто не даст! Потому думать рекомендую сразу же!
     
    Последнее редактирование: 19 май 2014
    SNS-amigo, shestale и Kиpилл нравится это.

Поделиться этой страницей