Цифровая гигиена. Том 4

Владимир Безмалый

Мир станет честней и безопасней, когда «цифровая гигиена», то есть набор правил безопасного поведения в цифровом пространстве, войдёт в ежедневную рутину каждого пользователя информационных технологий. Можно было сколько угодно выпускать учёных-эпидемиологов, врачей и гигиенистов, но пока каждый человек на планете не научился мыть руки, человечество не смогло бы победить страшные болезни. То же самое должно произойти и в киберпространстве, тогда «врачам» останется только двигать науку вперёд.

Оглавление

Сказки о безопасности: Прочесть почту

— Доброе утро, шеф!

— Доброе утро, Рита! Я как раз собирался вас вызвать. Есть работа, но я пока не представляю, как ее выполнить. Нам нужно прочесть письма из почтового ящика Виктора Рэя. Но он использует двухэтапную аутентификацию на почтовом сервере компании М.

— Задание принято, а уж как — мы разберемся сами. Разрешите применить средства негласного съема информации?

— У вас разрешение императора на применение любых методов. Но все же желательно выполнить это максимально тихо, не привлекая внимания.

Прошла неделя.

— Шеф, вот вам искомая почта. Так как мы не знали за какой период, то выкачали все, что есть на сегодня.

— Молодцы, но как???

— Для выполнения задания мы решили клонировать сим-карту подозреваемого, на которую приходит СМС в виде второго фактора. Но не тут-то было. Оказалось, что СМС приходит не на основной его номер, а на предоплаченную карточку, которая не зарегистрирована на него. Тогда, уточнив, что в доме он проживает один, мы использовали фальшивую базовую станцию и воспользовались ею в один из дней, когда в доме он был один. В результате мы получили номер его второй сим-карты. И клонировали ее.

— И что вам это дало?

— Компания М позволяет воспользоваться не только двухэтапной аутентификацией, но и организовать нечто типа структуры одноразовых паролей (One Time Password — OTP).

— Поясните.

— Для входа на почту можно запросить только «второй фактор», без ввода пароля. Именно этим мы и воспользовались. В результате мы получили СМС на клон сим-карты и вошли в аккаунт. Ну а затем просто выкачали все письма. Если потребуется, это можно повторить в любое время.

— Молодцы. А знаете, как от этого защититься?

— Конечно. Использовать в качестве второго фактора аппаратный ключ. Тогда бы мы ничего не смогли сделать без физического доступа к этому ключу.

Такая атака на почтовый сервис компании Microsoft уже реальность. Впрочем, начиная с версии 1809 уже существует и средство защиты!

Смотрите также

а б в г д е ё ж з и й к л м н о п р с т у ф х ц ч ш щ э ю я