Ошибки кибербезопасности в корпорации «Накатоми»

Смотрим на первый фильм из серии «Крепкий орешек» с точки зрения информационной безопасности.

Рождество и Новый год — праздники семейные. Многие проводят их за совместным просмотром любимого кино, иногда из года в год выбирая одни и те же фильмы. Кто-то любит рождественские комедии, кому-то по душе мелодрамы. Мой любимый рождественский фильм — «Крепкий орешек» (Die Hard). Ведь по статистике 60% встреч Джона Макклейна с террористами происходят как раз в канун Рождества.

Разумеется, в сериале есть «Крепкий орешек 4.0», в котором вопросам информационной безопасности уделяется куда больше внимания, и мы обязательно доберемся и до него. Однако если приглядеться, то можно и в первом, «рождественском» фильме найти немало примеров как разумного, так и абсолютно разгильдяйского отношения к информационной безопасности.

Ведь компания «Накатоми» использует передовые по тем временам технологии — мейнфрейм, синхронизирующийся с компьютерами в Токио, компьютерный замок на хранилище материальных ценностей, и даже в лобби у них стоит справочный терминал с тачскрином — а ведь на дворе, между прочим, 1988 год.

Физическая безопасность в здании «Накатоми Плаза»

Проблемы с безопасностью заметны с самого начала: Джон Макклейн, главный герой, входит в здание, обращается к охраннику, и все, что он называет — фамилию жены, к которой приехал. При этом сам он не представляется, не предъявляет никакого удостоверения личности, да и фамилию, по сути, говорит неправильную: брак Макклейнов дал трещину, и Холли на работе использует девичью фамилию Дженеро.

Но охранник просто предлагает ему воспользоваться информационным терминалом, а затем направляет к лифтам. Так что, по сути, в здание может проникнуть кто угодно. При этом дальше по ходу действия мы неоднократно видим в здании незапароленные компьютеры. То есть потенциальным злоумышленникам оставлен простор для атак типа Evil Maid.

Доступ к инженерным системам

Через некоторое время в здание проникают злоумышленники, убивают охранников (на ночном дежурстве их всего двое) и берут здание под контроль. Причем берут они его без особых усилий: все инженерные системы «Накатоми Плаза» контролируются с одного компьютера, стоящего в комнате охраны, сразу за постом при входе.

Тео, хакер преступников, просто садится за машину, блокирует лифты, отключает эскалаторы и опускает решетки гаража. Компьютер стоит включенным (хотя в помещении никого нет), и что самое печальное — не имеет никакой защиты от доступа посторонних, даже экран не заблокирован. А ведь первое, что должен делать ответственный сотрудник, отходя от своей рабочей станции, — блокировать экран.

Сетевая безопасность

Первое, что требуют злоумышленники у Джозефа Яшинобо Такаги, главы «Накатоми Трейдинг» и вице-председателя инвестиционной группы «Накатоми», это пароль от компьютера компании (очевидно, мейнфрейма). Такаги думает, что цель злодеев — информация, и говорит достаточно интересную вещь, проливающую свет на практики безопасности в компании: когда в Токио проснутся, то все данные, к которым злоумышленники могут получить доступ, изменят, так что у них не получится шантажировать руководство. Из этого следует два вывода:

  1. Информационные системы «Накатоми» в Токио следят за тем, кто, когда и к каким корпоративным данным получает доступ. Это достаточно неплохая реализация системы безопасности. Правда, не исключено, что Такаги блефует.
  2. Господин Такаги абсолютно не разбирается в часовых поясах. В Лос-Анджелесе не так давно стемнело (злоумышленники проникают в здание в сумерках, а в момент диалога за окном уже ночь). В конце декабря в Южной Калифорнии солнце садится примерно в 17:00, временная разница с Токио составляет 17 часов. Следовательно, в этот момент в Токио уже как минимум 10:30 следующего дня — с чего бы им там спать?

Безопасность рабочей станции главы «Накатоми»

Злоумышленники объясняют, что они не совсем террористы, так что их не интересует информация — просто с компьютера осуществляется управление доступом к хранилищу с материальными ценностями. Такаги отказывается назвать код, предлагает злодеям слетать в Токио и узнать там, и в результате погибает.

Но интересно другое. Во время разговора достаточно близко показан экран рабочей станции Такаги. На ней установлена операционная система Nakatomi Socrates BSD 9.2 (очевидно, некий вымышленный потомок реальной системы Berkeley Software Distribution, созданной на основе Research Unix). Если верить происходящему на экране, для доступа необходимо ввести два пароля, названных Ultra-Gate Key и Daily Cypher.

Судя по названиям — один из этих паролей постоянный, а другой меняется ежедневно. И это очень хороший пример использования двухфакторной аутентификации, особенно по меркам 1988 года.

Доступ к хранилищу

Хранилище закрыто на семь замков. Первый из них компьютерный, пять — механические и последний — электромагнитный. Причем, судя по словам хакера Тео, он может взломать код первого замка за полчаса, потом 2–2,5 часа потратит на взлом механических при помощи дрели, а после этого автоматически активируется седьмой замок. При этом его энергоснабжение якобы нельзя отключить локально.

Мы сейчас оставим за скобками сомнительность этого утверждения (я лично не совсем понимаю, как такое возможно: электричество подается по проводам, а их всегда можно перерезать). Но если система, контролирующая безопасность сейфа, может в случае чего подать сигнал для блокировки двери, то почему она же не может оповестить полицию о попытке несанкционированного проникновения? Или хотя бы включить сигнал тревоги? Да, телефонные провода для связи с внешним миром перерезаны, но ведь пожарная сигнализация как-то передает сигнал тревоги в службу 911?

Достаточно интересно смотреть, как хакер взламывает этот код. Через первый попавшийся компьютер он почему-то получает доступ к личному делу какого-то японца (очевидно, неназванного председателя инвестиционной группы). Причем не просто к личному делу, а к данным о его военной службе. Тут надо понимать, что в 1988 году Интернета как такового еще нет, так что эта информация, по всей видимости, хранится во внутренней сети «Накатоми», причем в общем доступе.

В записи сказано, что с 1940 года этот неназванный военный служил на «Акаги» (реально существовавшем японском авианосце) и принимал участие в нескольких военных операциях, в том числе и атаке на Перл-Харбор. Зачем бы хранить такую информацию в сети компании в общем доступе? Особенно если учесть, что название авианосца служит паролем для доступа к хранилищу?

Тот же компьютер услужливо переводит «Акаги» на английский как Red Castle, и это словосочетание принимается как валидный пароль. То есть получается, что хакер по ходу дела изучал доступную информацию о главе компании и на ее основе подбирал пароли. В теории на это у него должно было бы уйти гораздо больше времени. Может, конечно, ему повезло угадать с первой попытки, но непонятно, почему он был уверен, что справится за полчаса.

Печально, что на этом этапе сценаристы решили «забыть» о Daily Cypher — регулярно сменяемом втором пароле. Замок успешно открывается и так.

Социальная инженерия

Преступники периодически прибегают к приемам социальной инженерии, чтобы усыпить бдительность охранников, спасателей и полицейского. С точки зрения информационной безопасности особенно интересен момент общения со службой 911. Джон Макклейн заставляет сработать пожарную сигнализацию, но злоумышленники превентивно звонят спасателям, представляются охранником и отменяют тревогу.

Чуть позже на экране компьютера службы 911 видна информация о «Накатоми Плаза». В частности, телефоны для связи и код пожарной тревоги, который, вероятно, надо назвать, чтобы отменить вызов. Логично предположить, что если злоумышленникам удалось отозвать выезд пожарных бригад, то они откуда-то знали этот код. А раз охранников в этот момент уже не было в живых, значит, он был записан и хранился где-то под рукой (судя по оперативности отмены). А это не очень хорошая практика.

Практические выводы

  • Если у вас по всему зданию стоят компьютеры с ценной информацией, не стоит пускать в здание посторонних, даже в Рождество.
  • Сотрудникам нужно периодически напоминать о необходимости блокировать компьютеры. А лучше сразу настроить автоблокировку. Да и вообще не лишне проводить для них тренинги по кибербезопасности.
  • Хранить в общем доступе документы, содержащие подсказки для паролей — не лучшая идея.
  • Оптимальный вариант — использовать для доступа к особо ценным данным случайным образом сгенерированные пароли, которые нельзя «угадать».
  • Также не стоит хранить пароли и коды отмены тревоги записанными на бумаге.

Постскриптум

На самом деле изначально мы собирались рассмотреть оба «рождественских» фильма серии. Но, пересмотрев «Крепкий Орешек 2», пришли к выводу что в нем показан какой-то фундаментальный фейл на уровне архитектуры информационных систем аэропорта. Злоумышленники раскопали провода, проходящие под какой-то церковью, и перехватили управление всеми системами аэропорта, включая контрольную башню, тем самым полностью отрезав реальную башню от управления. Причем в 1990 году часть систем вообще не должна была быть компьютеризирована. В общем, понять, как такое могло произойти, без подробных объяснений не получается. А их в фильме никто не дает.

Советы

BloodyStealer: охота на геймеров

Аккаунты геймеров пользуются спросом на черном рынке, и BloodyStealer, крадущий данные аккаунтов в популярных игровых магазинах, — яркий тому пример.