Новостная лента на хвосте принесла одновременно две новости. Точнее, одну новость и одну статью. Во-первых, сообщается о масштабном мошенничестве очередной когорты кульхацкеров, накрывшем самые солидные организации по всей Европе и принесшем им (кульхацкерам), как говорят, очень и очень некислые суммы денег. Во-вторых, некто жалуется на вопиющие дыры – а точнее, глупость – в системе безопасности Клиент-Банка одного из банков. Каковая глупость, по его мнению, создаёт самую благодатную почву для мошенничеств кульхацкерам.
Портал SecurityLab сообщает нам, что некие ловкие ребята очень неплохо нагрелись на европейских энергетиках и промышленниках. От имени немецкого управления по торговле лицензиями на CO2 (DEHSt) ушлые товарищи разослали письма по компаниям, в каковых письмах просили компании перерегистрироваться в этом самом DEHSt под предлогом неких “возможных хакерских атак”. После этого кульхацкеры перевели права на выброс парниковых газов на свои счета и быстренько перепродали. Профит очевиден. Покупатели свято верят, что транзакция была совершенно законна. Остальные подсчитывают ущерб и рвут на себе волосы.
Почти сразу за этим по новостной ленте ко мне приплыла статья на Хабре, в которой описываются причуды реализации парольной защиты в одной из систем Интернет-Банкинга. Суть в том, что изначально в дистрибутиве прописан пароль по умолчанию, каковой известен всем, кому это было хоть как-то интересно. Автор попытался сменить этот пароль штатными средствами, однако из-за ошибок в программе пароль поменялся некорректно, после чего система отказалась принимать и старый пароль, и новый, лишив автора возможностью распоряжаться средствами на счету (для чего, собственно, эта система и служит). Соответственно, у автора возникло предположение, что подобного рода неполадки фактически вынуждают пользователя системы оставлять пароль без изменений, в результате чего любой, так или иначе добравшийся до компьютера, имеет практически 100% шансов успешно воспользоваться этим приложением для своих целей.
Как только компьютерам удалось сбежать из-под пристального надзора строгих белых халатов и вырваться на свободу, к нормальным людям, в обиход наш прочно вошло слово “пароль”. Раньше это слово было в ходу только у стражников, да у всяких мятежников. Теперь же о паролях не знает разве что годовалый ребёнок, да и то… Так что же такое пароль?
Человек защищает свою собственность и всё, что для него ценно, наиболее подходящим к этим ценностям способам. В самом деле, сторожевой пёс тоже не всюду годится – запертый в машине, он не помешает ушлым ребятам свинтить колёса или слить бензин. При этом мы всегда себе представляем, что именно нам принадлежит и насколько оно ценно. Мы понимаем разницу между бриллиантовым колье и веником – веник мы в сейфе хранить не станем и ежели у нас веник сопрут, мы купим новый и не станем убиваться по этой пропаже. Однако всё это работает ровно до тех пор, пока наше ценное можно пощупать руками и положить в карман – мы научились хорошо разбираться в материальном имуществе.
С приходом в нашу жизнь компьютеров нам всё чаще и больше стал попадаться другой тип активов – активы нематериальные. Одним из которых является информация. И вот тут-то мы пасуем – за всю историю развития человечества мы так и не научились в должной мере ценить нематериальное. Если даже отвлечься от компьютеров, то такие нематериальные вещи, как любовь, преданность, дружба, мы до сих пор не можем воспринимать однозначно и о ценности их далеко не всегда даже догадываемся. Меж тем эти самые нематериальные активы с ростом информатизации множатся и играют всё более и более значительную роль в нашей жизни.
В значительной мере мы просто не понимаем, что это такое – окружающее нас нематериальное. К примеру, акция с её дивидендами. Если сотню этих акций выложить на стол, станет сразу же ясно – вот за эти сто бумажек я могу получить то или это. Однако эта же сотня акций в ячейке памяти электронной системы торгов с трудом воспринимается нашим разумом – нам не удаётся окинуть её взглядом, пощупать и понять, что за ценности перед нами лежат. Мы не воспринимаем цифры – нам нужны образы, пусть даже нарисованные на бумажке рядом с цифрами.
Так что же такое пароль? Пароль есть ключ, которым отпирается сокровищница с нашими нематериальными активами. Пароль от почты – это ключ от секретера, на полках которого хранится наша переписка. Но ключ от секретера – материален. Его можно повесить на шею, чтобы не достался супостату, можно положить в шкатулку и запереть другим ключём, можно даже в реку выкинуть. Мы понимаем – вот, это ключ и он не должен попасть в чужие руки. Пароль же – совершенно нематериален. Пароль мы набираем на клавиатуре и не понимаем, как его можно повесить на шею, запереть в шкатулку или выкинуть в реку. Пароля для нас – нет.
Нас очень много и настойчиво учат бережно обращаться со своими паролями и кодами доступа, не показывать их кому ни попадя, не вводить их где ни попадя. И всё тщетно. В случае аферы с квотами на парниковые газы вся суть собственно мошенничества свелась к тому, чтобы отправить жертву на поддельный сайт и там заставить ввести логин и пароль. Просто прислали письмо и в письме попросили – пойдите туда и там введите. И они пошли и ввели. Солидные компании, в которых работают серьёзные, грамотные, образованные люди – просто пошли и ввели свои пароли для доступа к своим квотам, стоившим этим компаниям миллионов. Почему? Потому что пароль – нематериален. Потому что пароля – нет. Я более чем уверен, что ни один из сотрудников этих компаний свою собственную банковскую карточку куда ни попадя не пихает.
Аналогия здесь – самая что ни на есть прямая. Банковская карточка – это ведь не кошелёк. Из банковской карточки нельзя выудить двадцатку и пойти купить сигарет. Банковская карточка – это всего лишь пароль к электронной системе банка, с помощью которого можно превратить нематериальные цифры на вашем счёте во вполне ощутимые купюры у вас в руках. Всего лишь пароль, как и прочие пароли, но – банковская карточка материальна! Имея в руках банковскую карточку, мы понимаем на уровне образов, что вот в этом вот куске пластика чудесным образом запрятаны все наши деньги. Мы знаем, что именно этот кусок пластика нам надо беречь пуще зеницы ока! И мы его бережём – кому попало в руки не даём, на столе лежать не оставляем, куда ни попадя не суём.
Буйный расцвет электронного мошенничества до неприличия наглядно показывает, что человек ещё не готов ко всем благам информатизации и виртуализации – человек всё ещё привязан к миру материальному. Однако же в воздухе определённо витает одна занимательная идея…
Вернёмся к пресловутому Клиент-Банку – как оно работает? Очевидно, что для авторизации на банковских серверах и шифрования всего обмена (чтобы супостату не досталось) используется жутко надёжный ключ. И те, кому довелось работать с подобными системами, знают, что ключ этот хранится на некотором внешнем носителе – USB-токен, просто флешка, иногда всё ещё дискета или мини-CD. Комбинация такого внешнего носителя и пароля и позволяет воспользоваться всей системой. При этом такой внешний носитель для нас – уже вещь вполне материальная и понятная. Мы отчётливо осознаём, что вот эта вот штучка и позволяет нам распоряжаться нашими денежками. В данном случае мы видим и можем пощупать ключ – пусть несколько странный – который нам надо беречь пуще зеницы ока. И мы ведь его ещё как охраняем! Типичная картина в нынешней российской бухгалтерии – все пароли мало что кэшированы, так ещё на клейких бумажках написаны и на монитор наклеены у всех на виду. А вот ключевой носитель для Клиент-Банка – в сейфе, а то и где похлеще. Вполне очевидно, что одни только пароли здесь не работают в принципе, а вот комбинированная система из пароля и материального ключа оказалась вполне надёжной и работоспособной. Обратите внимание, что о взломах Клиент-Банков мы не слышим – скорее всего потому, что этих взломов и нет.
В свете вышеизложенного возникает вполне резонный вопрос – а почему бы не расширить подобного рода систему за пределы интернет-банкинга? Участившиеся последнее время парольные скандалы отчётливо показывают, что люди просто не умеют придумывать пароли и не делают этого – кругом миллионами людей используется всё тот же пресловутый пароль “123456”. Напротив, при создании электронного ключа в Клиент-Банке стало модно использовать так называемый “биологический датчик случайных чисел” – вам просто предлагают секунд тридцать бессмысленно тарабанить по клавиатуре или дрыгать мышкой. В результате этот случайный ввод накладывают на отметку времени, ещё какое-то случайное число, пару параметров компа и т.д., в результате какового шаманства генерируется ключ длиной в пару килобайт. Фишка в том, что два человека не смогут, сколь тщательно бы ни страрались, сгенерировать два одинаковых ключа. Кроме того:
- 2 килобайта – это 2048 байт или 2048 символов, так что записать на бумажке и ввести с клавиатуры просто нереально (для того, собственно, внешний носитель и используется);
- по той же причине подобрать пароль перебором невозможно – не хватит вычислительной мощности всех машин планеты.
И в то же время при всей сложности генерируется такой ключик за две минуты и хранится на обычном USB-токене, каковой представляет собой обычную флешку на 256М за 300 рублей. Небольшая доработка софта позволила бы логиниться, к примеру, в почте не со своим паролем, а с этим ключём. То есть, вставляешь токен, набираешь от него пароль – свой любимый “123456” – и логинишься. Поработал – забрал токен и ушёл, а воришки паролей пусть вешаются.
--
Подробнее об этом…
Комментариев нет:
Отправить комментарий