Доверяй, но проверяй

Проверка данных — одна из базовых и важнейших задач компьютерной безопасности. Мы даже не задумываемся, как часто нам приходится полагаться на то, что данные верифицированы. Совместно с компанией «Акронис-Инфозащита» мы собрали несколько сценариев, на практике демонстрирующих угрозы, которые возникают из-за компрометации данных. За каждым сценарием стоит как минимум несколько реальных историй.

Сомнительная платежка

Однажды N купил у своего давнего товарища автомобиль. Покупка существенная, поэтому оплата производилась по безналичному расчету. Платежку товарищ прислал на почту в тот же день. N оперативно оплатил.

Вскоре выяснилось, что товарищ никаких денег не получил — из вежливости он подождал пару дней, прежде чем напомнить о долге.

Выяснилось, что почту N, судя по всему, давно взломали. Платежка была на имя бывшего владельца авто, но вот реквизиты оказались не его, деньги ушли другому физлицу и были обналичены в тот же день.

Собственно данные получателя у банка были, однако получатель оказался просто «дропом» — то есть человеком, за небольшую комиссию обналичивающим приходы. В этой истории ключевую роль сыграла неверифицированная платежка.

Обиженный сотрудник

Сотрудник N не прижился в компании M, поэтому его решено было уволить. N, как и положено, вызвали к начальству и предупредили о предстоящем разрыве трудовых отношений.

Судя по всему, N не ожидал такого поворота, поэтому не смог справиться с эмоциями. В положенный срок он собрал вещи и покинул офис. Но через пару дней в работе внутренней сети компании обнаружились аномалии, и вскоре ее работа была полностью парализована.

Оказалось, что N, имея доступ к внутренней системе, заменил часть файлов на свои, содержавшие вредоносный код. Техническим специалистам компании пришлось потратить много времени и сил на то, чтобы избавиться от последствий.

В этой истории ключевую роль сыграло отсутствие инструментов верификации кода.

Неосторожный бухгалтер

Бухгалтер N получил письмо с прицепленной ссылкой. Кликнув по ссылке, он посмотрел смешной ролик.

Спустя почти полгода компания обнаружила, что у нее нет сканированных версий документов, подтверждающих ее позиции в суде, в котором она тогда участвовала. Точнее, сканы были, но из них следовало, что права другая сторона, а бумажные оригиналы отличались от того, что хранилось в системе.

Выяснилось, что из-за неосторожных действий N, открывшего ссылку из письма, злоумышленники с помощью вируса получили доступ к компьютеру бухгалтера. За месяц активной работы им удалось через интранет заразить несколько компьютеров в юридическом отделе и получить доступ к внутренней документации.

Электронные документы были исправлены таким образом, что позиция компании в суде стала выглядеть сомнительно. В этой истории, помимо головотяпства бухгалтера, ключевую роль сыграла невозможность верификации документов в такой схеме.

Чужой среди своих

Следующая история носит гипотетический характер. В США полицейские прикрепляют к униформе камеры, которые в фоновом режиме записывают все происходящее вокруг. По сути, это даже не камеры, а регистраторы.

Довольно скоро выяснилось, что камеры удобные и хорошие, но уязвимые для дистанционных атак. Злоумышленники могут получить доступ к полицейским камерам с помощью устройств, которые можно приобрести в обычных магазинах.

В результате видео, потенциально играющее роль доказательства в суде, может быть удалено или заменено, а устройство — заблокировано. В любом случае такая возможность ставит под сомнение полезность камер.

В этом случае ключевую роль играет невозможность верифицировать владельца камеры в каждый текущий момент времени.

Берегите лог-файлы

Следующая история скучнее предыдущих, но очень важная. Когда пользователь работает в системе, обычно ведется лог-файл, хранящий информацию о его действиях. Аналогичные лог-файлы имеются на серверах — в них складируется информация об изменениях файлов и работе с ними.

Во всех расследованиях, связанных с хакерами, работа с лог-файлами обязательна. Например, подделку документов из нашей третьей истории легко было бы отследить благодаря такому файлу. То есть в каком-то смысле лог-файл — это инструмент верификации данных.

Однако сам он часто не защищен от вмешательства. Поэтому дальновидные хакеры правят эти файлы, не оставляя следов. Понятно, каков ключевой вопрос в данном случае: кто же будет верифицировать верификатора?

Соцсети и фейк-ньюс

Фейковые новости когда-то были уделом юмористических сайтов, таких, как The Onion в США или российский Smixer.

На этих сайтах выдуманные новости подавались как шутки. Сейчас же фейковые новости стали серьезной угрозой: их называют инструментами пропаганды, а иногда — даже информационным оружием.

Главная причина засилия фейков — социальные сети. По своему дизайну они предназначены для распространения информации, но совершенно не пригодны для ее верификации.

Более того, в каком-то смысле соцсети максимально мешают верификации на уровне структуры — опубликовать может кто угодно и практически что угодно.

Специалисты уже думают, как бороться с ключевой уязвимостью в этой области, но задача верификации информационного сообщения пока что остается неразрешимой.

Сомнительный препарат

Компания X протестировала препарат, в разработку которого были вложены большие средства. Тесты успешны, и препарат отправили на одобрение в FDA — американское федеральное агентство, отвечающее за контроль качества продуктов питания и лекарственных препаратов.

В это же время крупная международная компания Y купила X — на фоне позитивных новостей о новом перспективном лекарстве Y надеялась на кратный рост инвестиций.

FDA одобрило препарат, но тут же всплыла информация о том, что данные исследования были фальсифицированы. То есть не придуманы с нуля, просто негативные эффекты от приема препарата были занижены.

Такая история произошла с компанией AveXis и ее препаратом, и она не уникальна. Как именно верифицировать данные в подобных ситуациях, никто не знает.

Андрей Коняев