Красная Шапочка и Wolf-in-the-Middle

18 сентября 2019

Как вы объясняете своим детям понятия информационной безопасности? Велика вероятность, что никак. В лучшем случае запрещаете им делать что-то в Сети или вообще не пускаете в Интернет. Но запреты без объяснения контрэффективны — часто дети пытаются сами разобраться в том, почему им что-то запрещают, и попадают в опасные ситуации.

На вопрос «Почему бы не объяснить детям киберугрозы и как работает информационная безопасность?» родители обычно делают скучное лицо и говорят: «Но это же так сложно». А между тем, ничего сложного в этом нет, все уже объяснено. Учебники «Кибербезопасность для самых маленьких» написаны сотни лет назад. Вы их знаете под названием «Сказки». Все, что вам нужно — акцентировать внимание ребенка на нужных аспектах.

Разбираем сказку

Красная Шапочка

Возьмем, к примеру, «Красную Шапочку». Это всем известная европейская народная сказка, сюжет которой неоднократно пересказывали именитые эксперты по кибербезопасности — братья Гримм, Шарль Перро и многие другие. Различные версии этой истории могут отличаться друг от друга, но основной сюжет там постоянен. Давайте пошагово разберемся, что же там происходит.

  1. Мама отправляет дочку к бабушке с пирожками и горшочком масла.
  2. Красная Шапочка встречает Волка, который спрашивает: «Куда ты идешь?»
  3. Красная Шапочка отвечает: «Я иду к бабушке и несу ей корзину пирожков и горшочек масла».

Вот тут и начинается кибербезопасность — можно начинать объяснять процедуру хендшейка (процесса установления коммуникации между двумя участниками) и связанные с этим процессом угрозы!

В Шапочку заложена программа — постучать в дверь, получить запрос «кто там?» и ответить кодовой фразой про пирожки, чтобы бабушка авторизовала ее и дала доступ в домик. Но она по каким-то причинам выдает кодовую фразу без запроса «кто там?», чем и пользуется злоумышленник.

  1. В зависимости от версии прошивки сказки, Волк либо посылает Шапочку длинной дорогой, либо предлагает ей собрать букет для бабушки.

И то, и другое можно расценивать как атаку типа «отказ в обслуживании» — DoS. Если Волк попытается авторизоваться в домике бабушки после прихода Шапочки, то велика вероятность, что его не пустят. Если у бабушки, разумеется, нет склероза. Поэтому ему важно на некоторое время вывести Шапочку из строя, чтобы она не смогла вовремя завершить свою основную процедуру доставки гостинцев.

  1. Волк первым добирается до домика Бабушки и авторизуется, отвечая на запрос «кто там?» кодовой фразой. Бабушка дает ему доступ в домик.

Это практически хрестоматийный вариант атаки Man-in-the-Middle методом повторного воспроизведения (replay attack). Хотя в нашем случае корректнее назвать его Wolf-in-the-Middle. Волк вклинивается в коммуникацию между двумя сторонами, узнает процедуру хендшейка и кодовую фразу у клиента — и воспроизводит сообщение для имитации аутентичности при попытке доступа к серверу.

  1. Волк съедает бабушку, ложится в ее постель и накрывается одеялом.

Фактически он организовывает фишинговый сайт, пытаясь имитировать бабушку. От двери все выглядит аутентично — бабушкина кровать, кто-то лежит в ней.

  1. Красная Шапочка приходит к домику и на вопрос «Кто там?» выдает свою коронную фразу про пирожки.

Это продолжение MitM-атаки. Только теперь Волк, узнавший вторую часть процедуры обмена информацией, имитирует нормальное поведение сервера бабушки. Шапочка, не видя подвоха, авторизуется.

  1. Шапочка заходит в домик и начинает сомневаться — почему у бабушки такие большие уши, глаза, зубы… Но в итоге, удовлетворившись невнятными объяснениями Волка, логинится в кровать и становится жертвой.

В реальной жизни, как и в сказке, фишинговые сайты редко бывают на 100% убедительными. Злоумышленники часто оставляют сомнительные элементы — вроде подозрительной гиперссылки. Чтобы избежать проблем, следует быть внимательным: скажем, если у якобы бабушки торчит слишком большое доменное имя, нужно срочно уходить с этого сайта.

К сожалению, Красная Шапочка видит несоответствия, но игнорирует их. Тут, видимо, придется объяснить ребенку, что Шапочка поступает глупо. И что не надо так.

  1. Приходят лесорубы (в некоторых версиях — охотники), вскрывают Волка, и бабушка с Красной Шапочкой выскакивают целые и невредимые.

Стоп, стоп… Тут параллели с информационной безопасностью заканчиваются. Если вскрыть пузо киберпреступнику, то из этого ничего путного не выйдет. Впрочем, мы не пробовали. И никак не связаны с теми, кто пробовал.

Кибербезопасность в других сказках

Я уверен, что ИБ-подтекст есть в любой сказке — главное правильно показать его. «Три поросенка» рассказывают о скрипт-кидди, использующем инструмент для брутфорс-атак. Снежная королева устанавливает вредоносные осколки в Кая и перехватывает контроль над ним.

Наконец, «Кот в сапогах» — вообще подробный отчет об APT-атаке, в ходе которой некий Кот сначала захватывает инфраструктуру Людоеда, а затем, закрепившись в ней, путем сложных махинаций с репутационными сервисами проворачивает мошенническую сделку с местным правительством.