Али-Баба и сорок киберугроз

Оказывается, сказка про Али-Бабу — это сборник историй про киберугрозы, которые были актуальны для древней Персии.

Как мы не устаем повторять, сказки — на самом деле завуалированные статьи по информационной безопасности. Причем не только европейские сказочники пытались предостеречь потомков от киберугроз — на Востоке этому уделяли не меньше внимания. Например, всем известная Шахерезада по сути вела ежедневный ИБ-блог с видеоподкастами. Там, правда, была какая-то некрасивая история с мотивацией…

Но сегодня мы хотели разобрать кейсы, которые в блог Шахерезады добавили значительно позднее, в 18 веке. Иными словами, речь идет о сказке «Али-Баба и сорок разбойников». Даже те, кто абсолютно не помнит, что именно происходило в этой истории, после имени «Али-Баба» говорят: «А-а-а, сим-сим, откройся»!

И действительно, весь сюжет этой сказки построен вокруг идеи защиты от несанкционированного доступа при помощи пароля. Но это далеко не единственный пример из сферы информационной безопасности, описанный в сказке, а просто самый очевидный!

Передача пароля по незащищенному каналу

Итак, давайте пройдемся по сюжету. Разбойники прячут награбленное в пещере, доступ в которую предоставляется исключительно по паролю «Сим-сим». Однако в этом механизме защиты имеется несколько серьезных изъянов.

В самом начале сказки атаман разбойников перед дверью громко кричит: «Сим-сим, откройся!» Тут показан сразу целый ряд ошибок. Во-первых, используемый пароль слишком прост. Во-вторых, не предусмотрен второй фактор аутентификации. Строго говоря, там даже логина не спрашивают!

Но самое страшное не это — пароль передается по открытому каналу! Али-Баба, который собирает неподалеку хворост, прекрасно слышит атамана. Даже не имея изначально злого умысла, он из чистого любопытства вводит пароль, заходит в пещеру и экспроприирует часть обнаруженного внутри имущества.

Шпионский модуль

Вернувшись домой, Али-Баба передает принесенное золото своей жене Зейнаб для учета. Она пытается сосчитать его вручную, но поскольку золота очень много, вскоре сбивается и решает воспользоваться неким инструментом (меркой), который она одалживает у Фатимы, жены брата Али-Бабы, Касыма.

В некоторых переводах фигурируют весы, но это не такая уж важная деталь. Важно то, что любопытная Фатима вымазывает дно мерки медом с целью установить, зачем же родственнице внезапно понадобился инструмент. И когда мерка возвращается, оказывается, что к меду на дне прилип золотой динар — а значит, Зейнаб считала меркой золото!

Даже детям очевидно, что это прямое описание шпионского модуля, встроенного в легитимный продукт. Фатима предоставляет измерительный прибор (по модели Мерка-as-a-Service) и шпионит за действиями клиента. Так что мораль тут — следует использовать инструменты только из проверенных источников и проверять их на наличие уязвимостей и вредоносных имплантов.

Забытые пароли

То, что происходит дальше, на мой взгляд, смотрится несколько искусственно. Али-Баба во всем признается своему брату Касыму и сообщает ему пароль. Тот идет в пещеру, внутри забывает пароль, не может выбраться наружу, и в результате вернувшийся атаман отрубает ему голову. Тут явно встроен грубый маркетинговый посыл: «Забудешь пароль — лишишься головы!»

Я подозреваю, что в древности в этой части текста был питч какого-то продукта для хранения паролей, но поскольку он потерял актуальность еще во времена Сасанидов, его упоминание постепенно стерлось при пересказах. С другой стороны, не пропадать же добру — вставим свой. У нас есть Kaspersky Password Manager, который позволяет надежно хранить пароли и другую конфиденциальную информацию!

Несменяемость пароля

Но вернемся к сюжету. После того как Касым не возвращается домой, родственники организуют поисково-спасательную экспедицию. Али-Баба возвращается в пещеру, обнаруживает там труп и забирает его домой, чтобы похоронить.

В процессе читателю демонстрируется очередной пример отвратительной парольной политики — разбойники не меняют пароль после инцидента. Точно неизвестно, в чем причина: это может быть как халатность, так и изначально непродуманная архитектура системы аутентификации.

С другой стороны, не исключено, что у них просто нет прав администратора — если пещеру они захватили, что весьма вероятно, то, возможно, владеют только паролем пользователя, а админские учетные данные унес с собой в могилу настоящий владелец.

Социальная инженерия

Разбойники пытаются найти утечку информации, для чего засылают агента на рынок. По большому счету, у агента есть только обрывки информации. Ему известно следующее:

• обезглавленный атаманом чужак, судя по одежде, был не беден;
• он погиб — следовательно, должны произойти похороны;
• его тело кто-то забрал из пещеры.

Поэтому он приходит к первому попавшемуся завсегдатаю рынка и сочиняет историю: «Я чужой в вашем городе. Здесь жил мой брат, богатый купец. Я пришел к нему из далеких стран, чтобы повидать его, и, подходя к городу, услышал, что его нашли в лесу мертвым. Теперь я не знаю, как отыскать его родных, чтобы поплакать о нем вместе с ними».

Это пример успешного использования социальной инженерии. Усыпив бдительность собеседника солянкой из доступных фактов, злоумышленник вызнает адрес жертвы, не выдавая своих преступных намерений.

Honeynet

Агент помечает крестиком ворота дома Касыма, в котором теперь живет Али-Баба, и идет за своими соратниками, чтобы организовать массированную атаку. Но хитрая служанка Марджана видит знак и наносит точно такой же на ворота всех остальных домов на улице. И это срывает атаку злоумышленников.

По большому счету, Марджана превращает свою улицу в своеобразную сеть ханипотов — ловушек для хакеров. В теории это должно работать следующим образом: попавшие в сеть атакующие примут один из ханипотов за цель, начнут его атаковать и тем самым выдадут свои намерения и методы. За время, пока они поймут, что цель ложная, к защите подключатся специалисты из правительственных групп реагирования и атаку удастся остановить.

Остается только вопрос, насколько этично использовать в качестве таких ханипотов дома мирных пользователей. Как бы то ни было, до реального ущерба дело не доходит: разбойники вовремя замечают подвох и останавливают атаку.

Контейнеризация

Хасан Одноглазый, атаман разбойников, решает лично взяться за организацию атаки. Он приобретает 40 огромных кувшинов, два из которых наполнены маслом, а остальные пусты. Кувшины с маслом могут пригодиться на случай поверхностной проверки, а в пустые кувшины прячутся разбойники.

С этим грузом он заявляется в дом Али-Бабы как гость. План таков: Хасан представляется купцом, который привез масло на продажу, просится переночевать у Али-Бабы, а ночью собирается выпустить разбойников и напасть на хозяев.

По большому счету, здесь описана схема атаки на инфраструктуру при помощи вредоносов, спрятанных в контейнерах. Пользуясь тем, что сканеры на входе не проверяют содержимое контейнеров, угрозы преодолевают защитный периметр. А далее инсайдер Хасан активирует вредоносы.

Но хитрая Марджана умудряется услышать затаившегося в кувшине разбойника. Она подходит к каждому контейнеру, выясняет, в каких из них скрываются бандиты, а потом заливает их кипящим маслом, таким образом уничтожая угрозу. Иными словами, у нее еще тогда были технологии, позволяющие сканировать содержимое контейнеров. Наше решение Kaspersky Hybrid Cloud Security оснастили аналогичной технологией только спустя полторы тысячи лет.

А заканчивается все хорошо. Хасана убивают, Марджана выходит замуж за сына Али-Бабы, который весьма кстати появляется из ниоткуда ближе к концу сказки, а сам Али-Баба остается единственным человеком, который знает пароль от пещеры с сокровищами.

Мораль

• При разработке системы аутентификации уделяйте должное внимание безопасности. Захардкоженный пароль, передающийся по незашифрованному каналу, и отсутствие многофакторной аутентификации — верный пусть к провалу.
• Тщательно выбирайте поставщиков. По возможности проверяйте инструменты и сервисы, которые они вам предоставляют, на наличие уязвимостей и вредоносных закладок.
• Полезно помнить о том, что вредоносный код может попасть в ваш проект из скомпрометированного репозитория. Поэтому используйте защитное решение, способное сканировать содержимое контейнеров при их загрузке.
• Проводите сотрудникам тренинги по информационной безопасности. В частности, познакомьте их с таким явлением, как социальная инженерия.

09.07.2020