Почему так важно верифицировать данные
Проверка данных — одна из базовых и важнейших задач компьютерной безопасности. Мы даже не задумываемся, как часто нам приходится полагаться на то, что данные верифицированы. Совместно с компанией «Акронис-Инфозащита» мы собрали несколько сценариев, на практике демонстрирующих угрозы, которые возникают из-за компрометации данных. За каждым сценарием стоит как минимум несколько реальных историй.
Однажды N купил у своего давнего товарища автомобиль. Покупка существенная, поэтому оплата производилась по безналичному расчету. Платежку товарищ прислал на почту в тот же день. N оперативно оплатил.
Вскоре выяснилось, что товарищ никаких денег не получил — из вежливости он подождал пару дней, прежде чем напомнить о долге.
Выяснилось, что почту N, судя по всему, давно взломали. Платежка была на имя бывшего владельца авто, но вот реквизиты оказались не его, деньги ушли другому физлицу и были обналичены в тот же день.
Собственно данные получателя у банка были, однако получатель оказался просто «дропом» — то есть человеком, за небольшую комиссию обналичивающим приходы. В этой истории ключевую роль сыграла неверифицированная платежка.
Сотрудник N не прижился в компании M, поэтому его решено было уволить. N, как и положено, вызвали к начальству и предупредили о предстоящем разрыве трудовых отношений.
Судя по всему, N не ожидал такого поворота, поэтому не смог справиться с эмоциями. В положенный срок он собрал вещи и покинул офис. Но через пару дней в работе внутренней сети компании обнаружились аномалии, и вскоре ее работа была полностью парализована.
Оказалось, что N, имея доступ к внутренней системе, заменил часть файлов на свои, содержавшие вредоносный код. Техническим специалистам компании пришлось потратить много времени и сил на то, чтобы избавиться от последствий.
В этой истории ключевую роль сыграло отсутствие инструментов верификации кода.
Бухгалтер N получил письмо с прицепленной ссылкой. Кликнув по ссылке, он посмотрел смешной ролик.
Спустя почти полгода компания обнаружила, что у нее нет сканированных версий документов, подтверждающих ее позиции в суде, в котором она тогда участвовала. Точнее, сканы были, но из них следовало, что права другая сторона, а бумажные оригиналы отличались от того, что хранилось в системе.
Выяснилось, что из-за неосторожных действий N, открывшего ссылку из письма, злоумышленники с помощью вируса получили доступ к компьютеру бухгалтера. За месяц активной работы им удалось через интранет заразить несколько компьютеров в юридическом отделе и получить доступ к внутренней документации.
Электронные документы были исправлены таким образом, что позиция компании в суде стала выглядеть сомнительно. В этой истории, помимо головотяпства бухгалтера, ключевую роль сыграла невозможность верификации документов в такой схеме.
Следующая история носит гипотетический характер. В США полицейские прикрепляют к униформе камеры, которые в фоновом режиме записывают все происходящее вокруг. По сути, это даже не камеры, а регистраторы.
Довольно скоро выяснилось, что камеры удобные и хорошие, но уязвимые для дистанционных атак. Злоумышленники могут получить доступ к полицейским камерам с помощью устройств, которые можно приобрести в обычных магазинах.
В результате видео, потенциально играющее роль доказательства в суде, может быть удалено или заменено, а устройство — заблокировано. В любом случае такая возможность ставит под сомнение полезность камер.
В этом случае ключевую роль играет невозможность верифицировать владельца камеры в каждый текущий момент времени.
Следующая история скучнее предыдущих, но очень важная. Когда пользователь работает в системе, обычно ведется лог-файл, хранящий информацию о его действиях. Аналогичные лог-файлы имеются на серверах — в них складируется информация об изменениях файлов и работе с ними.
Во всех расследованиях, связанных с хакерами, работа с лог-файлами обязательна. Например, подделку документов из нашей третьей истории легко было бы отследить благодаря такому файлу. То есть в каком-то смысле лог-файл — это инструмент верификации данных.
Однако сам он часто не защищен от вмешательства. Поэтому дальновидные хакеры правят эти файлы, не оставляя следов. Понятно, каков ключевой вопрос в данном случае: кто же будет верифицировать верификатора?
Фейковые новости когда-то были уделом юмористических сайтов, таких, как The Onion в США или российский Smixer.
На этих сайтах выдуманные новости подавались как шутки. Сейчас же фейковые новости стали серьезной угрозой: их называют инструментами пропаганды, а иногда — даже информационным оружием.
Главная причина засилия фейков — социальные сети. По своему дизайну они предназначены для распространения информации, но совершенно не пригодны для ее верификации.
Более того, в каком-то смысле соцсети максимально мешают верификации на уровне структуры — опубликовать может кто угодно и практически что угодно.
Специалисты уже думают, как бороться с ключевой уязвимостью в этой области, но задача верификации информационного сообщения пока что остается неразрешимой.
Компания X протестировала препарат, в разработку которого были вложены большие средства. Тесты успешны, и препарат отправили на одобрение в FDA — американское федеральное агентство, отвечающее за контроль качества продуктов питания и лекарственных препаратов.
В это же время крупная международная компания Y купила X — на фоне позитивных новостей о новом перспективном лекарстве Y надеялась на кратный рост инвестиций.
FDA одобрило препарат, но тут же всплыла информация о том, что данные исследования были фальсифицированы. То есть не придуманы с нуля, просто негативные эффекты от приема препарата были занижены.
Такая история произошла с компанией AveXis и ее препаратом, и она не уникальна. Как именно верифицировать данные в подобных ситуациях, никто не знает.
Андрей Коняев
Как искусственный интеллект повлияет на то, как мы трудимся
Роботы оставят нас без работы или создадут новые вакансии? Может быть, скоро мы все наконец-то как следует отдохнем, а самые тяжелые обязанности возьмет на себя искусственный интеллект? Разбираемся, что из этого ближе к реальности: как под влиянием ИИ меняется мир работы, насколько оправданы страхи потерять ее из-за новых технологий и на что алгоритмы никогда не будут способны.