Али-Баба и сорок киберугроз

[KL FC Bot 189]

Как мы не устаем повторять, сказки — на самом деле завуалированные статьи по информационной безопасности. Причем не только европейские сказочники пытались предостеречь потомков от киберугроз — на Востоке этому уделяли не меньше внимания. Например, всем известная Шахерезада по сути вела ежедневный ИБ-блог с видеоподкастами. Там, правда, была какая-то некрасивая история с мотивацией…

Но сегодня мы хотели разобрать кейсы, которые в блог Шахерезады добавили значительно позднее, в 18 веке. Иными словами, речь идет о сказке «Али-Баба и сорок разбойников». Даже те, кто абсолютно не помнит, что именно происходило в этой истории, после имени «Али-Баба» говорят: «А-а-а, сим-сим, откройся»!

И действительно, весь сюжет этой сказки построен вокруг идеи защиты от несанкционированного доступа при помощи пароля. Но это далеко не единственный пример из сферы информационной безопасности, описанный в сказке, а просто самый очевидный!

Передача пароля по незащищенному каналу

Итак, давайте пройдемся по сюжету. Разбойники прячут награбленное в пещере, доступ в которую предоставляется исключительно по паролю «Сим-сим». Однако в этом механизме защиты имеется несколько серьезных изъянов.

В самом начале сказки атаман разбойников перед дверью громко кричит: «Сим-сим, откройся!» Тут показан сразу целый ряд ошибок. Во-первых, используемый пароль слишком прост. Во-вторых, не предусмотрен второй фактор аутентификации. Строго говоря, там даже логина не спрашивают!

Но самое страшное не это — пароль передается по открытому каналу! Али-Баба, который собирает неподалеку хворост, прекрасно слышит атамана. Даже не имея изначально злого умысла, он из чистого любопытства вводит пароль, заходит в пещеру и экспроприирует часть обнаруженного внутри имущества.

 

View the full article