Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
Новости

Кибербезопасность в Средиземье: технологии дворфов

В своих книгах Толкин иносказательно привел много примеров из области кибербезопасности. Рассматриваем технологии, применявшиеся дворфами.

Пару лет назад мы рассказывали о ботнете «Кольцо власти», созданном известным киберпреступником Сауроном (он же Аннатар, он же Майрон, он же Некромант). Однако в отчете эксперта Дж. Р. Р. Толкина можно найти немало интересного и помимо описания модулей этого ботнета. Например, он рассказывает об информационных технологиях и системах обеспечения безопасности, применявшихся разными расами Средиземья. В частности, Толкин достаточно подробно останавливается на нескольких системах дворфов (ошибочно переводимых на русский язык как «гномы»).

Бэкдор «Двери Дьюрина»

В исторический момент, описываемый во «Властелине Колец», древняя твердыня дворфов Мория уже несколько веков захвачена злом. Когда-то, слишком увлекшись майнингом мифрила (очевидно, это какая-то местная криптовалюта), они потеряли бдительность: разархивировали и запустили руткит «Балрог».

Этот руткит представлял собой часть APT-кампании, оставшуюся в глубинах земли со времен известного хакера Мелькора, в группировку которого также входил упомянутый во вступлении киберпреступник Саурон. Не исключено, что эта группировка также испытывала какой-то интерес к криптомонетам «мифрил» (иначе с чего бы произошло такое совпадение), но это в явном виде не уточняется.

Так или иначе, вся инфраструктура Мории была построена именно дворфами, в том числе и западный бэкдор «Двери Дьюрина», также известный как «Эльфийские врата». Вот только никто не мог вспомнить, какой пароль используется для доступа через эти врата.

Процесс открытия дверей подается Толкином в юмористическом ключе. Пришедший во главе Братства Кольца Гэндальф замечает над воротами надпись «Двери Дьюрина, властителя Мории. Скажи слово, друг, и входи». И разумеется, паролем оказывается слово «Друг». Иными словами, Толкин изображает стандартную ошибку офисных работников — стикер с паролем, наклеенный около компьютера, только в дворфийском монументальном исполнении. Про стойкость пароля даже говорить не хочется: короткое словарное слово не защитило бы даже от простого перебора.

Особенно смешно, что в надписи указывается и кто конкретно допустил ошибку: «Я, Нарви, сделал эти двери, а Кэлебримор из Остролистии начертал эти знаки». То есть в надписи указывается не только пароль, но и пара логинов явно привилегированных пользователей. Среди людей достаточно распространена практика использования одних и тех же паролей для аккаунтов в разных системах — можно предположить, что и другим расам Средиземья она не чужда. Так что, вероятно, эти логины-пароли можно было бы использовать и для более глубокого проникновения в системы Мории.

Непонятно, девелоперы-дворфы допустили эту оплошность или забывчивый пользователь Кэлебримор написал пароль над дверью по своей инициативе, ведь эти «двери» были сделаны для торговли и кооперации с эльфами. Я склоняюсь ко второй версии — в среднем у дворфов с безопасностью все гораздо лучше.

Карта Трора и стеганография

Кстати, интересный пример реализации дворфийских защитных технологий описан в книге Дж. Р. Р. Толкина «Хоббит». Эребор (Одинокая Гора) был захвачен APT-актором «Смауг», и дворфы были вынуждены в очередной раз покинуть родные дома. Трор, король народа Дьюрина, оставил своим потомкам инструкцию, выполненную в виде карты, о доступе к системам Эребора через бэкдор (он так дословно и называется — «Задняя дверь»), в надежде, что однажды команда экспертов-безопасников сможет очистить драконовые заражения. Так вот, как раз реализация этой карты и представляет интерес с точки зрения безопасности.

Дело в том, что на карте начертаны инструкции о получении доступа к этому самому бэкдору. Но начертаны они мало того что на дворфийском диалекте Angerthas Erebor (а дворфы очень неохотно делились секретами своего языка даже с союзниками), так еще и методом крайне сложного лунного письма. Это дворфийская технология, позволявшая писать текст так, что он будет виден только в лунном свете, причем при луне либо находящейся в той же фазе, что и в день написания, либо светящей в то же время года.

Иными словами, тут использована некая форма стеганографии: информация помещена в картинку, но это сделано таким образом, что посторонние не могут ее не только прочитать, но даже обнаружить, что там что-то есть.

Бэкдор в Одинокой Горе

Не менее интересно реализована и защита самого бэкдора — «Задней двери». Открывается она достаточно причудливо сделанным, но все же обычным ключом. Однако, согласно инструкции из карты Трора, обнаружить и открыть ее можно далеко не каждый день. Инструкция гласила: «Встань у серого камня, когда застучит дрозд, и последние лучи заходящего солнца в день Дьюрина укажут замочную скважину».

Точно неизвестно, как была реализована часть технологии с дроздом (видимо, использованы какие-то биотехнологии, о которых Толкин ничего не рассказал), однако налицо достаточно хитро реализованная многофакторная аутентификация. Именно вечером в день Дьюрина дрозд затрещал, последний закатный луч коснулся камня, от него откололся кусок и открыл замочную скважину. В данном случае дополнительным фактором являлся календарь: даже обладая знанием (описанной выше инструкцией) и владея ключом, получить доступ можно было только в один строго определенный день в году.

Жалко, что Толкин не описал механизм возвращения отколовшегося куска обратно в дверь — не дрозд же ставил его на место.


 
На самом деле это далеко не все примеры реализации защитных технологий в работах профессора. Как справедливо указали читатели после первой части, интересно было бы также разобрать телекоммуникационный протокол, используемый в палантирах. Но, к сожалению, подробных инструкций Дж. Р. Р. Толкин не оставил, а обрывочные сведения из черновиков, опубликованные его сыном Кристофером, порождают больше вопросов, чем ответов. Постараемся рассказать о них в третьей части, которую мы собираемся посвятить информационным технологиям эльфов.


Источник: Лаборатория Касперского

25.06.2021