Читаем Искусство быть невидимым полностью

Какую информацию может получить злоумышленник в результате взлома такой системы? Системная камера находится под контролем пользователя, поэтому человек, осуществляющий удаленную атаку, может направлять ее вверх, вниз, влево или вправо. В большинстве случаев камера не оснащена индикатором рабочего состояния, поэтому, если вы не смотрите на камеру, вы можете и не знать, что кто-то ею управляет. Кроме того, камера может масштабировать изображение. Мур сказал, что его исследовательская группа сумела прочитать шестизначный пароль, написанный на стене в шести метрах от камеры. Они также смогли прочитать электронное письмо с экрана пользователя, находившегося в другом конце комнаты.

В следующий раз, когда вы будете в офисе, подумайте о том, что можно увидеть через камеру системы видеоконференцсвязи. На стене может висеть схема организационной структуры отдела. Возможно, в обзор камеры попадает экран вашего компьютера, личные фотографии ваших детей и супруга или супруги. Это то, что может увидеть злоумышленник и, возможно, использовать против вашей компании или даже против вас самого.

Некоторые производители таких систем знают об этой проблеме. Например, компания Polycom предоставляет многостраничное руководство по усилению безопасности, включающее инструкции по ограничению движения камеры²⁶⁰. Тем не менее сотрудники IT-отдела, как правило, не следуют подобным рекомендациям, а иногда даже не усматривают в этом проблем для безопасности. Тысячи систем конференц-связи в Интернете используют настройки по умолчанию.

Исследователи также обнаружили, что корпоративные брандмауэры не умеют обрабатывать протокол H.323. Исследователи предлагают предоставить устройству общедоступный интернет-адрес и настроить для него правило в корпоративном брандмауэре.

Самый большой риск заключается в том, что многие консоли администратора для систем конференц-связи практически не оснащены встроенными средствами обеспечения безопасности. В одном из примеров Муру и его сотрудникам удалось получить доступ к системе юридической фирмы, в которой содержался адрес зала заседаний совета директоров известного инвестиционного банка. Исследователи купили на аукционе eBay подержанное устройство для проведения видеоконференций и обнаружили на его жестком диске старые данные, включая адресную книгу с десятками личных номеров, многие из которых были настроены автоматически отвечать на входящие вызовы из Интернета в целом²⁶¹. Как и в случае со старыми принтерами и копировальными машинами, оснащенными жестким диском, прежде чем их продавать или дарить, необходимо тщательно стереть с них данные.

Иногда нам приходится работать над проектом совместно с коллегой, который может находиться в другой части света. Файлами можно обмениваться по корпоративной электронной почте, однако иногда они настолько объемны, что системы электронной почты просто не позволяют переслать их в качестве вложений. Все чаще люди используют сервисы обмена файлами для пересылки объемных документов.

Уровень безопасности таких облачных систем бывает разным.

Четыре крупнейших игрока: Apple iCloud, Google Drive, Microsoft OneDrive (ранее SkyDrive) и Dropbox — предусматривают двухэтапный процесс аутентификации. Это означает, что на ваше мобильное устройство отправляется код доступа для подтверждения вашей личности. И несмотря на то что все эти системы шифруют данные во время их пересылки, вам следует самостоятельно зашифровать их перед отправкой, если вы не хотите, чтобы сама компания или государственные службы получили к ним доступ²⁶².

На этом сходства заканчиваются.

Двухфакторная аутентификация (2FA) важна, но ее можно обойти путем захвата неиспользуемых учетных записей. Например, недавно я проверял систему клиента, который с помощью общедоступных инструментов добавил двухфакторную аутентификацию Google на свой веб-сайт, подключенный к VPN-сервису. Я сумел обойти ее, завладев учетными данными для доступа к службе Active Directory, принадлежащими пользователю, который не подписался на использование VPN-сервиса. Поскольку я был первым, кто подключился к VPN-сервису, мне было предложено настроить 2FA с помощью Google Authenticator. Если сам сотрудник так никогда и не получит доступ к сервису, то злоумышленник сможет и дальше его использовать.

Для хранимых данных сервис Dropbox использует 256-битное AES-шифрование (которое довольно надежно). Тем не менее оно предполагает сохранение ключей, которые могут предоставить Dropbox или правоохранительным органам несанкционированный доступ к данным. Сервисы Google Drive и iCloud используют для данных в состоянии покоя значительно более слабое 128-битное шифрование. В данном случае существует опасность того, что данные могут быть дешифрованы с помощью больших вычислительных мощностей. Сервис Microsoft OneDrive не утруждает себя шифрованием, что заставляет думать о том, что это сделано специально, вероятно, по настоянию некоторых правительств.