Nigdy nie przestaniemy mówić, że bajki są tak naprawdę subtelnie zawoalowanymi raportami na temat bezpieczeństwa informacji. Nie tylko gawędziarze z Europy próbowali ostrzec swoich potomków o cyberzagrożeniach — ten sposób wykorzystali również mieszkańcy Wschodu. Na przykład Szeherezada, bohaterka klasycznych „Baśni z tysiąca i jednej nocy”, prowadziła coś w stylu bloga z branży bezpieczeństwa informacji z podcastami wideo. Oczywiście ona miała w tym ukryty cel…
… My przyjrzymy się dziś kilku przypadkom dodanych do bloga Szeherezady znacznie później, w XVIII wieku: a w szczególności incydentowi znanemu jako Ali Baba i czterdziestu rozbójników. Nawet te osoby, które nie znają bajki, z pewnością kojarzą magiczne zaklęcie „Sezamie, otwórz się!”.
Cała fabuła skupia się wokół idei używania haseł do ochrony przed nieautoryzowanym dostępem. Ale to nie jedyna wskazówka dotycząca ochrony informacji w bajce. Ona jest po prostu najbardziej oczywista.
Przesyłanie hasła za pośrednictwem niezabezpieczonego kanału
Oto krótkie przypomnienie tej historii: gang rabusiów ukrywa w jaskini łup, do którego dostęp można uzyskać tylko za pomocą hasła otwierającego sezam. Ten mechanizm ochronny ma wiele poważnych wad.
Na samym początku baśni lider złodziei staje w wejściu i głośno krzyczy: „Sezamie, otwórz się!”. Tu pojawia się kilka kwestii. Po pierwsze, hasło jest zbyt proste. Po drugie, brak jest autoryzacji dwuetapowej — a nawet nazwy użytkownika!
Co gorsza, hasło jest przesyłane poprzez kanał otwarty. Ali Baba, który zbiera w okolicy drewno na opał, przypadkowo słyszy słowa złodzieja. Ciekawość sprawia, że próbuje użyć hasła. Gdy jaskinia otwiera się, wchodzi do środka i zabiera część ukrytych w środku skarbów.
Moduł szpiegowski
Po powrocie do domu Ali Baba daje żonie przeliczyć złote monety. Próbuje ona policzyć je ręcznie, jednak jest ich zbyt dużo, więc pożycza od swojej szwagierki, żony brata Ali Baby, Kasima, narzędzie do liczenia.
W niektórych tłumaczeniach pojawia się waga kuchenna, według innych był to jakiś garnek, jednak nie w tym rzecz. Ciekawska żona Kasima rozsmarowuje na dole instrumentu miód (w niektórych tłumaczeniach tłuszcz), aby dowiedzieć się, do czego ma służyć narzędzie. Po odzyskaniu przedmiotu zauważa, że do dna przyklejona pozostała złota moneta — co oznacza, że używany on był do liczenia złota!
Nawet średnio rozgarnięty człowiek domyśli się, że autor opisuje w ten sposób moduł szpiegowski zintegrowany z legalnym produktem. Żona Kasima dostarcza dowód (w modelu „Mierzenie jako usługa”) i szpieguje aktywność klienta. Morał z tej historii jest następujący: używaj narzędzi z zaufanych źródeł — i sprawdzaj je pod kątem luk i szkodliwych implantów.
Zapomniane hasła
To, co dzieje się dalej, z mojego punktu widzenia wydaje się trochę naciągane. Ali Baba wyznaje prawdę Kasimowi i mówi mu swoje hasło. Brat wchodzi do jaskini. Będąc w środku, zapomina hasło (które jest również potrzebne, aby się wydostać z jaskini), zostaje uwięziony i ginie z rąk przybyłych złodziei. Tu znajdziemy wiadomość marketingową: „Nie strać głowy, gdy zapomnisz hasło” lub coś w ten deseń.
Podejrzewam, że dawniej ta część opowiadania zawierała lokowanie produktu w postaci jakiegoś starożytnego menedżera haseł używanego przez biegłych w nowinkach technologicznych Sasanidów, lecz na drodze wieloletniego przekazywania historii z ust do ust oryginalne przesłanie zostało utracone. Postanowiliśmy więc skorzystać z okazji i wypromować swój produkt: Kaspersky Password Manager bezpiecznie przechowuje hasła i inne informacje poufne.
Brak nawyku zmieniania haseł
Wróćmy jednak do naszej historii. Gdy Kasim nie wrócił do domu, zaczęła go szukać rodzina. Ali Baba wrócił do jaskini, znalazł ciało brata i zorganizował jego pogrzeb.
W procesie tym czytelnik widzi kolejny przykład żałosnej polityki dotyczącej haseł: rabusie nie zmieniają swoich haseł po incydencie, a dokładny powód takiego podejścia nie jest znany. Może wynikać to ze zwykłego zaniedbania lub z tego, że architektura systemu autoryzacji nie powstaje z myślą o bezpieczeństwie.
Z drugiej strony możliwe, że nie mają oni uprawnień administratora. Jeśli przechwycą jaskinię (w końcu są rabusiami), prawdopodobnie będą mieć tylko hasło użytkownika. Prawdziwy właściciel zabrałby dane administratora do jaskini.
Atak za pośrednictwem wykonawcy
Ponieważ Ali Baba chce zachować tajemnicę dla siebie, nie może pochować zwłok z odciętą głową. Wraz z wdową po bracie oraz jej służącą, Marjaneh, robią, co mogą, aby prawda nie wyszła na jaw. Marjaneh udaje się kilkakrotnie po lek, aby stworzyć wrażenie, że Kasim jest coraz bardziej chory, aby wreszcie oznajmić, że zmarł śmiercią naturalną.
Następnie kobieta przyprowadza do domu szewca, aby przyszył głowę Kasima do ciała. Co więcej, zawiązuje szewcowi oczy i prowadzi go okrężną drogą, aby mężczyzna nie wiedział, gdzie jest.
Próbując zdobyć informacje, rabusie obiecując szewcowi złoto — oni również zawiązują mu oczy i zmuszają go do odtworzenia kroków do domu.
Przykład ten pokazuje, że nawet jeśli z kimś współpracujesz z użyciem bezpiecznego kanału szyfrowanego, informacje wrażliwe nadal mogą wyciec. Być może Marjaneh powinna podpisać z szewcem umowę o nieujawnianiu informacji.
Sieć pułapek
Jeden z członków gangu oznacza bramę do domu Kasima, gdzie żyje teraz Ali Baba, i wraca ze swoimi towarzyszami nocą, aby zabić mieszkańców. Jednak bystra Marjaneh dostrzega znak i oznacza w ten sam sposób bramy wszystkich pozostałych domów na ulicy, udaremniając atak.
Można powiedzieć, że Marjaneh przekształca ulicę w swego rodzaju sieć honeypotów będących pułapką dla hakerów. Teoretycznie zasada jej działania wygląda następująco: po wtargnięciu do sieci intruzi mylą jeden z honeypotów z celem, zaczynają go atakować, przez co ujawniają swoje zamiary i stosowane metody. Zanim zorientują się, że popełnili błąd, eksperci z rządowego oddziału do walki z cyberzagrożeniami zatrzymują atak.
Pozostaje pytanie, czy etyczne jest używanie domów niewinnych użytkowników jako honeypotów. Na szczęście nikt w rzeczywistości nie ucierpiał, bo rabusie w porę dostrzegli podstęp i zrezygnowali z ataku.
Konteneryzacja
Kapitan złodziei postanawia przejąć osobistą kontrolę nad atakiem. Nabywa 40 dużych słoików (możliwa referencja do .JAR — formatu plików Java ARchive), z których dwa wypełnione są olejem, a pozostałe są puste. Słoiki z olejem mają za zadanie oszukać powierzchowne skanowanie; tymczasem w pustych skrywają się oszuści.
Z takim ładunkiem mężczyzna pojawia się w domu Ali Baby. Plan kapitana, przebranego za sprzedawcę oleju, zakłada wejście do domu jako gość i uwolnienie rozbójników, gdy wszyscy pójdą spać.
Ogólnie jest to opis ataku na infrastrukturę za pomocą szkodliwego programu ukrytego w kontenerach. Ponieważ skanery wejściowe nie sprawdzają zawartości kontenerów, zagrożenie przedostaje się za bariery ochronne. Wtedy kapitan uwalnia szkodliwy program.
Na szczęście Marjaneh słyszy złodziei w jednym ze słoików. Sprawdza każdy kontener, identyfikuje ten, w którym znajdują się bandyci, i nalewa do niego wrzącego oleju, eliminując zagrożenie. Innymi słowy, już wtedy istniały narzędzia do skanowania zawartości kontenerów. Nasze rozwiązanie Kaspersky Hybrid Cloud Security stosuje tę samą technologię — tylko bardziej zaawansowaną i 1500 lat później.
Ostatecznie sprawiedliwość zwycięża. Lider złodziei zostaje zabity,; Marjaneh wychodzi za syna Ali Baby (który pojawia się znikąd pod koniec baśni), a Ali Baba jako jedyny zna hasło do wypełnionej złotem jaskini.
Morał z historii
- Podczas projektowania systemu uwierzytelniania pamiętaj o kwestiach związanych z bezpieczeństwem. Używanie trudnego hasła przesyłanego poprzez kanał nieszyfrowany bez autoryzacji wieloetapowej jest proszeniem się o kłopoty.
- Ostrożnie wybieraj dostawców i podwykonawców. W razie możliwości sprawdź ich narzędzia i usługi pod kątem luk w bezpieczeństwie i szkodliwych implantów; nie zapominaj również o podpisaniu przez wszystkie strony umowy o nieujawnianiu (NDA).
- Korzystaj z rozwiązania ochronnego, które skanuje zawartość kontenerów, gdy są one obciążone, aby szkodliwy kod nie przedostał się do projektu ze zhakowanego repozytorium.