Изучение ситуации показало, что ICQ-номер Куваева зарегистрирован больше семи лет назад. При регистрации нужно было указывать e-mail-адрес. Вероятно, в тот момент у Куваева не было e-mail-адреса или он не хотел его давать, — так или иначе, был указан адрес [email protected] Предположительно, Куваев набрал на клавиатуре случайную последовательность символов, выглядящую как e-mail-адрес (даже доменного имени asdfsdfs.com не существовало).
Атака состояла в регистрации доменного имени asdfsdfs.com, создании в домене компьютера lkjlkj.asdfsdfs.com и заведении на нем пользователя qwert; после этого в фирму Mirabilis (владельцы системы ICQ) была направлена просьба выслать якобы утраченный пароль на адрес, указанный при регистрации, что и было выполнено.
Зная пароль, можно его сменить (то есть сделать невозможным пользование данным номером для легального адресата), а можно и получать всю текущую информацию от многочисленных поставщиков.
Если бы атака была проведена врагом, как подсказал нам Куваев, враг мог уведомлять соединяющихся по ICQ поставщиков об изменении адреса склада в Финляндии и просить их срочно перенаправить поток грузов по новому адресу. Учитывая объемы поставок и принятую в этом бизнесе оплату с отсрочкой 60 суток после получения товара, враг мог неплохо поживиться и создать немало проблем организации, в которой работает Куваев…
Демонстрация уязвимости была осуществлена за двое суток, расходы по осуществленному пути составили $150. В Москве есть десятки организаций, способных осуществить такую атаку[Здесь и далее формулировки взяты из официальных отчетов. — Прим. ред].
Заказ 2: Кража информации из замкнутого помещения
Специфика работы заказчика была такова, что клиенты в офис не приходили, а деятельность в целом носила сугубо конфиденциальный характер. Перед аудитором был поставлен вопрос: может ли враг, располагающий суммой в $5000, украсть какие-либо данные. Персонал заказчика о мероприятиях уведомлен не был.
Изучение ситуации показало, что физическая защищенность офиса исключает проникновение посторонних лиц; подкуп сотрудников тоже был маловероятен, благодаря специфике их подбора по национальному признаку и личной преданности заказчику.
Удачной оказалась следующая атака:
Наружное наблюдение позволило предположить, что системный администратор заказчика Чхеидзе увлекается мексиканскими народными песнями. Это было подтверждено осмотром открытых форумов Рунета, где Чхеидзе размещал сообщения по данной теме под своей фамилией.
Сообщения Чхеидзе в форумах были проанализированы. Выяснилось, что он разочарован имеющимися в Рунете музыкальными серверами, уделяющими недостаточное, на его взгляд, внимание песням народов Мексики.
Был создан русский сайт, полностью посвященный мексиканским песням (усилиями внешнего специалиста была переведена часть известного испаноязычного сайта, а также сделаны два изменения, соответствующие критике Чхеидзе в адрес существующих сайтов).
На Чхеидзе была осуществлена социальная атака — плакат с рекламой сайта был трижды опущен ему в почтовый ящик, повешен на дверь подъезда, положен под дворник лобового стекла машины, ему был послан спам с рекламой сайта. Аналогичные меры были предприняты в отношении девушки, которая, как предполагалось, имела виды на Чхеидзе.
Чхеидзе с рабочего компьютера зашел на созданный под него сайт. Основной удар планировался по линии продажи ему, как «первому правильно ответившему на все три вопроса», за $20 слегка модифицированного «фирменного» диска, которого в продаже в России не было и о цене которого в США ($110) Чхеидзе не раз сожалел в форумах. Но аудитору повезло — удалось обойтись более простыми средствами. На рабочем компьютере Чхеидзе был установлен Internet Explorer 5.01, хоть и с SP1, но без заплатки Q275609. Поэтому, пока Чхеидзе наслаждался музыкой и переписывал с сайта файлы, сайт переписал несколько файлов с сетевых дисков заказчика.
Показательна реакция руководства на демонстрацию распечаток файлов — побледневший начальник, не дожидаясь объяснений, позвонил в службу безопасности и потребовал организовать полную сверку журналов входа/выхода сотрудников с видеозаписью.
Демонстрация уязвимости была осуществлена за девять суток, прямые расходы по осуществленному пути составили $1200. В Москве есть организации, способные осуществить такую атаку.
Заказ 3: Враждебный клиент
Заказчик Петренко — работающий индивидуально консультант по таможенным вопросам. Важную информацию к клиентам и от них он, не доверяя Интернету, переносил в наручных часах, в которые было встроено устройство с энергонезависимой flash-памятью и USB-интерфейсом (далее — флэшка). Данные на флэшке — сугубо конфиденциальны. Содержимое шифровалось идущим в комплекте с флэшкой программным обеспечением. Перед экспертом был поставлен вопрос: насколько такой способ гарантирует сокрытие данных в случае потери или физического изъятия флэшки при бюджете врага $2000?
Изучение ситуации показало, что Петренко неправильно оценивает слабое место в системе.
К одному из своих клиентов Петренко сел в машину, благодаря чему выяснилось, что клиента зовут Вахитов Сергей Рустемович.
Заказчику позвонил сотрудник эксперта Дятлов, которого Петренко не знал в лицо. Он представился живущим в Норильске другом Сережи Вахитова, который якобы дал Дятлову телефон Петренко и посоветовал обсудить с ним свои таможенные проблемы. Дятлов рассказал выдуманную проблему с таможней, подобранную внешним специалистом по просьбе эксперта так, чтобы на ее решении консультант мог немало заработать и получить постоянного клиента. Не проверяя контакта у Вахитова, Петренко выехал к Дятлову в гостиницу, вставил в ноутбук Дятлова свою флэшку и ввел свой пароль. После этого Дятлов, изображая плохое владение встроенной в ноутбук мышью, не торопясь переписал свой файл Петренко. В это время ноутбук Дятлова скопировал с флэшки вообще все файлы.
На следующий день ничего не подозревающему Петренко были предъявлены и пароль, и все его файлы. Удивленный, он лишь огорченно вымолвил: «Черт возьми, я так и думал, что она не просто так на ночь старалась остаться. Но как ей удалось открыть сейф?!»
Демонстрация уязвимости была осуществлена за шесть суток, прямые расходы по осуществленному пути составили $800. В Москве есть десятки организаций, способных осуществить такую атаку.
Заказ 4: Куда уходит Интернет?
Заказчик Левитов — руководитель фирмы, занимающейся финансовыми консультациями. Перед экспертом был поставлен общий вопрос о слабых местах в компьютерной безопасности фирмы. Сотрудники Левитова были уведомлены о предстоящей экспертизе.
Исследование показало, что в здании используются устаревшие радиотелефоны, что дает возможность врагу, находясь в пределах досягаемости базы радиотелефона (например, в этом же здании, но на другом этаже), позвонить с трубки-двойника по номеру 02 и сообщить о заложенной на вокзале бомбе. При этом милиция определит, что звонок произошел с номера организации Левитова, что прервет нормальную работу на некоторое время.
Также исследование показало, что один из компьютеров без ведома Левитова использовался в качестве сервера для хранения и распространения фотографий и видеозаписей порнографического содержания. Кто именно организовал порносервер, выяснить не удалось, но счета за Интернет оплачивал Левитов.
Заказ 5: Что русскому хорошо, то немцу смерть
Российская компания, обслуживавшая компьютерный парк крупного корпоративного клиента, использовала программный комплекс автоматизации предприятий, поставляемый одной из ведущих немецких софтверных фирм. Руководство компании обдумывало поступившее от немецкой стороны предложение стать их эксклюзивными представителями на территории России и стран СНГ по системам САПР, дававшее возможность выйти с этими продуктами на рынок других корпоративных клиентов. План предусматривал значительные затраты как в виде платежей немецкой стороне, так и в виде вложений в России. Руководство компании поставило перед экспертом вопрос: верно ли утверждение немецкой стороны о невозможности взлома защиты данной программы и записи ее на пиратский CD?
Бюджет врага был оставлен на усмотрение эксперта и задан как «типичный для пирата».
Исследование показало, что уровень цен на базовый модуль САПР данной фирмы в Германии составляет около 15000 евро (лицензия на десять пользователей), и каждый дополнительный модуль стоит от 700 до 4000 евро. Для домашнего пользователя программа интереса не представляет. Отсюда был сделан вывод о малой вероятности попадания программы к пиратам путем ее закупки и взлома легальной версии. Однако вероятным является приобретение крупной компанией лицензии на десять пользователей, взлом защиты усилиями своих или сторонних специалистов и установка программы внутри компании на значительное число компьютеров. После этого при неблагоприятном стечении обстоятельств можно ожидать появления взломанного дистрибутива и у пиратов.
