Очередная серия психологического триллера отлично демонстрирует, какой должна и какой не должна быть корпоративная безопасность.
Киберпространство уже давно перестало быть лишь абстрактным понятием из лексикона фантастов. Оно прочно вошло в нашу жизнь, срослось с сознанием, впиталось в воздух, которым мы дышим. Существуют люди, чувствующие себя в киберпространстве как рыбы в воде, и в то же время не находящие себе места в реальном мире. Без оружия и без армии такие люди способны разрушить этот не принимающий их мир, действуя там, в киберпространстве.
Такие люди, как главный герой телесериала «Мистер Робот» (Mr. Robot) Эллиот Алдерсон действительно существуют, и многие изображенные в сериале события могут иметь (и имеют) место в реальной жизни. Взять хотя бы хактивистскую группировку FSociety, один в один срисованную с Anonymous, или Dark Army, вполне сопоставимую с какой-нибудь китайской APT. Именно поэтому редакция SecurityLab решила не обходить стороной загадочного «Мистера Робота», а копнуть поглубже и разобраться, какие события из «Мистера Робота» уже сегодня могут стать реальностью.
В среду, 18 октября, вышла вторая серия нового сезона телесериала. Во всех отношениях она является полной противоположностью первой. Даже само название серии eps3.1_undo.gz содержит в себе команду «отменить» и подсказывает, что Эллиот сделает все возможное, чтобы исправить последствия своей кибератаки. Как и в первой серии, мы снова сопровождаем главного героя по улицам Нью-Йорка и смотрим на мир его глазами. Только теперь от мрачного, обесточенного постапокалиптического мира не осталось и следа. «Сегодня я нашел способ нажать отмену. Я починю мир, который сломал», – говорит Эллиот. Мистер Робот, этот мистер Хайд цифрового века, исчез, а на его месте появился эксперт по кибербезопасности, истинный white-hat. Команда undo начала выполняться.
Эллиот больше не киберпреступник, а служащий многомиллионной корпорации E Corp, однако взломов в его жизни отнюдь не стало меньше. Знак минус поменялся на плюс, но хакер все равно остался хакером. Если в боевиках 90-х «хорошие парни» один за другим отстреливали «плохих», то в 2010-х они борются со злом иными методами. Эллиот без труда взламывает электронную почту сотрудников, вытаскивая на свет все их грязное белье. Возникает вопрос, и куда только смотрят все эти CIO и CISO с огромными окладами? Все эти CIO и CISO слишком заняты прослушкой разговоров, продажей персональных данных клиентов своей же компании и подделкой результатов экологических экспертиз, чтобы позаботиться о безопасности собственного электронного ящика.
Пароль первого начальника Эллиота был aboynamedg00. Действительно, взломать его проще простого, ведь босс использовал слегка видоизмененное название альбома своей любимой группы Goo Goo Dolls «A Boy Named Goo». О том, что он является фанатом этой группы, начальник сам сказал Эллиоту во время их недолгой беседы.
Второй босс использовал еще более ненадежный пароль – tapitback! Разговаривая с Эллиотом, он мимоходом упомянул о своем членстве в фитнес-клубе SoulCycle. Если загуглить это название, можно узнать, что члены клуба активно занимаются на велотренажерах, а «Tap it back» – одно из базовых упражнений. Таким образом, узнать пароль и второго босса тоже оказалось довольно легко. У самого-то Эллиота пароль для авторизации в корпоративной сети состоит из 21 символа. Поскольку в предыдущей сцене, когда он вводил пароль, символов в строке было 20, не исключено, что он менял его ежедневно.
Если такие ненадежные пароли были у всех сотрудников E Corp, неудивительно, что Эллиоту также удалось взломать дочернюю компанию E Corp – E Shipping. Как известно из предыдущих серий, после масштабной кибератаки корпорация начала свозить все бумажные копии уничтоженных документов в Центр восстановления данных. Примечательно, роль Центра в сериале играет реально существующее здание, расположенное по адресу Томас-стрит, 33, Нью-Йорк. 29-этажный небоскреб в течение нескольких десятилетий является центром коммутации телефонного трафика подразделения телекоммуникационной компании AT&T. Согласно документам, предоставленным Эдвардом Сноуденом, здание носит кодовое название TITANPOINTE и является центром Агентства национальной безопасности США по перехвату международных телефонных звонков. Поэтому, когда Эллиот настоятельно просит свое начальство не свозить туда все свои документы, чувствуется некая ирония.
Но вернемся ко взлому E Shipping. Пытаясь воспрепятствовать сбору документов в Центре восстановления данных, которое, как мы знаем, намерен взорвать Мистер Робот, Эллиот намеренно меняет пункты доставки. Он также ставит патчи на источники бесперебойного питания, чтобы они принимали только доверенный код с цифровой подписью E Corp. Почему этого раньше не сделали жуликоватые CIO и CISO, одному богу известно. Даже после того, как их компания подверглась масштабной кибератаке, повергшей в хаос весь город, они продолжают беззаботно болтать о девушках, занятиях в спортклубе и концертах любимых групп вместо того, чтобы заняться обеспечением корпоративной безопасности. «К счастью, у них есть я», – говорит Эллиот, и ему невольно веришь.
Еще в первом сезоне главный герой как-то упомянул о своей страсти «взламывать людей». То, с какой легкостью он раскусил пароли своих начальников, действительно доказывает правдивость его слов. Однако для создателей сериала «взлом людей» – не только фигура речи. Методичная трепанация черепа убитой Джоанны Уиллик, проводимая патологоанатом, действительно напоминает взлом, только вместо вредоносных программ и эксплоитов судмедэксперт использует скальпель и пилку.
Надо отдать должное создателям «Мистера Робота», они обладают весьма тонким чувством юмора. Выступая на конференции, глава E Corp Филипп Прайс заявляет о легализации Китаем биткойна. На самом деле в КНР биткойн находится под жестким запретом.
В отличие от первой серии, во второй взломов хоть отбавляй. Не стоит забывать, Эллиот – не единственный хакер в семье. Оставшаяся на ночь сестра Дарлин, завербованная ФБР, судя по всему, установила на компьютер брата RAT, позволяющий «федералам» следить за его действиями. Однако Эллиот – действительно хорошо разбирается в людях. В конце серии мы видим, как он (или это был Мистер Робот?) запускает на Kali Linux сканер руткитов Rootkit Hunter. Очевидно, он нашел установленный Дарлин RAT и снова проявляет свой талант «взламывать» людей.
Эллиот отправляет кому-то со своей почты электронное письмо, отлично зная, что ФБР видит все его действия. Личность получателя не имеет значения, поскольку в действительности письмо предназначалось самим «федералам». Правоохранители клюют на наживку и, забыв, с кем имеют дело, открывают вложенный в письмо документ. Теперь не они следят за хакером, а хакер за ними. Плюс и минус снова поменялись местами, и что из этого выйдет, мы наверняка узнаем из следующих серий.
С обзором первой серии третьего сезона «Мистера Робота» можно ознакомиться здесь.
Собираем и анализируем опыт профессионалов ИБ