Доктор Кормак Херли – своего рода разрушитель. Он говорит вещи, которые бросают вызов давним догмам; не все хотят это слышать, особенно если вложили миллионы долларов и долгие годы в то, чтобы делать прямо противоположное. Доктор Херли в поисках истины использует анализ данных. Он хорошо понимает, что некоторые из его теорий, подкрепленные данными, просуществуют десятилетия, прежде чем будут приняты людьми.
Например, исследование компьютерных паролей. Общепринятое мнение в том, что пароли должны быть длинными, сложными, а также часто меняющимися. Исследования доктора Херли (https://www.microsoft.com/enus/research/wpcontent/uploads/2016/09/pushingOnString.pdf) показали, что суждения о безопасности, которых придерживается почти каждый специалист по ИБ, не всегда правильны и могут даже усугубить проблему. Исследование доктора Херли показало, что длинные и мудреные пароли не усложняют большинство взломов в наши дни и часто приводят к более высокому риску из-за проблем конечных пользователей (таких как запись паролей или повторное использование на разных сайтах). Он даже осмелился сказать, что «большая часть информационной безопасности – это пустая трата времени» (https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/SoLongAndNoThanks.pdf), и сам же это доказывает. Доктор Херли мне очень симпатичен.
Кормак Херли получил докторскую степень в Колумбийском университете, степень магистра в Университете Джорджии, а также учился в колледже Корк, Ирландия. В настоящее время он работает главным исследователем отдела машинного обучения Microsoft Research в Редмонде. И хотя доктор Херли работает в мире ИБ всего 10 лет, он написал тонну исследовательских работ, а многие крупные СМИ цитируют его или проводят с ним интервью (включая New York Times, The Wall Street Journal, Bloomberg и NPR).
Я спросил Кормака, как он очутился в сфере ИБ. «Я думаю, этому поспособствовала моя прозорливость, а также опыт в обработке аудио- и видеосигналов и цифровой фотографии. Это поле очень ориентировано на данные. Вы должны собрать много данных, проанализировать их, получить статистику и выяснить правду. Это действительно хорошо подготовило меня к работе в области ИБ, хотя я удивлен, что большинство специалистов этого не делают. Думаю, я очутился в сфере ИБ, когда кто-то прислал мне новую защиту от фишинга, основанную на анализе логотипов. Я увидел в ней много недостатков. Она была не слишком прочной. В итоге я занялся паролями и информационной безопасностью. Я видел много декларативных заявлений о паролях, но не было никаких доказательств того, что какие-либо из рекомендованных способов защиты действительно работали. Мне показалось странным, исходя из прошлого опыта, что никто не делал того, что я ожидал, – не собирал данные, не проводил эксперименты с использованием двух разных групп [включая контрольную группу] и не изучал результаты. Вместо этого люди делали декларативные заявления, которые даже после десятилетий использования не получили доказательств своей эффективности. Несмотря на то что в области ИБ данные могут быть скудны, именно они – моя основная правда.
Мы имеем определенные рамки для защиты ценных активов, ради которых должны делать все возможное. Но как насчет обычных бизнес-активов? Ясно, что следует расставить акценты. Мы не можем делать все сразу – это было бы до смешного трудно. Но скажите мне, какими из них я могу пренебречь? Ранжируйте список или предоставьте какой-то принцип ранжирования».
В мире ИБ много людей, которые либо игнорируют работу доктора Херли, либо обеспокоены ею. Об этом мы тоже поговорили, и вот что он сказал: «Я пришел в мир ИБ не для того, чтобы преднамеренно антагонизировать кого-либо. Но поскольку я только недавно начал работать в этой сфере, у меня не было устоявшихся культурных предубеждений, которые есть у многих. У меня был другой фон, обусловленный данными и необходимостью искать вспомогательные данные. Когда я не владел нужной информацией, я задавал фундаментальные вопросы о вещах, которые культура уже давно приняла. Я хотел получить данные, проверить и сделать эмпирический анализ… То есть заняться математикой. Это не только хороший, но и необходимый метод. Возможно, вы разработали модель того, как поведут себя 2 миллиарда пользователей, но они будут реагировать так, как захотят, независимо от вашей модели. Можно понадеяться, что произойдет, как вы задумывали, но я бы на вашем месте хотел понять, какова реальность, чтобы увидеть, есть ли между ней и моделью сходство. И если ваша модель неверна, измените ее».
Исследование паролей доктора Херли действительно перевернуло догму индустрии ИБ. Мне было интересно, как он относится к вероятности того, что его исследования и предложения относительно паролей могут просуществовать десятилетия, прежде чем станут общепринятыми. Он сказал: «Мне позвонили из Национального института стандартов и технологий [www.nist.org] с просьбой дать некоторые рекомендации касательно их паролей; я написал ответ, и они пытаются следовать советам. Я понимаю, почему мои слова расстраивают людей и организации информационной безопасности. Им говорили что-то, что было правдой на протяжении трех десятилетий, а затем появляется небольшая группа людей, которая утверждает, что их правда была на самом деле ложью. Есть тысяча других людей, которые утверждают обратное, и даже если некоторые из их суждений лучше подкреплены данными, я вижу, как это было бы неприятно, особенно для сотрудников безопасности и ИТ-директоров. У меня была возможность сесть и провести исследование, собрать данные и рассмотреть альтернативы. Но сотрудники безопасности и ИТ-директора не могут позволить себе роскошь исследовать только одну проблему. Они видят кучу противоречивых сообщений и пытаются определить, на какие из них нужно обратить внимание. Они должны сделать все возможное и использовать свою мудрость в отношении того, что происходит».
Я спросил доктора Херли, что, по его мнению, можно назвать самой большой проблемой в сфере ИБ. Он ответил: «Мы знаем, как идеально защитить ценные активы, такие как коды ядерных ракет. Компрометация недопустима, и поэтому мы делаем все возможное, чтобы защитить их. В отношении всего остального нужно расставить акценты: что делать, а что нет. У нас нет действительно качественных инструментов и данных, чтобы определить их заранее. Хороший эффект заключается в том, что люди делают все возможное, путаясь, по существу, случайным образом принимая решения, которые, им сказали, они должны сделать. С ценными активами проще. Не так сложно определить риск, количественно оценить его и создать правильную политику. Когда речь идет не о ценных активах, мы делаем в основном не то, что эффективнее, а то, что легче. Например, я не уверен, что суперсильный пароль так уж необходим, однако ему продолжают уделять огромную долю внимания и ресурсов. И в конце концов это касается всех нас».
Информация о докторе Кормаке Херли
Более подробно о докторе Кормаке Херли вы можете узнать по следующим ссылкам:
• веб-сайт доктора Кормака Херли: http://cormac.herley.org/;
• доктор Кормак Херли в Twitter: https://twitter.com/cormacherley;
• профиль доктора Кормака Херли на Microsoft: https://www.microsoft.com/en-us/research/people/cormac/;
• цитаты доктора Кормака Херли на Академии Google: https://scholar.google.com/citations?user=1FwhEVYAAAAJ&hl=en&oi=ao.
23. Взлом беспроводной сети
Современный компьютерный мир работает в области беспроводных сетей. Теперь редко встречаешь тех, кто подключает сетевой кабель к настольному или портативному компьютеру, и тем более никто так не делает со своими сотовыми телефонами и другими вычислительными устройствами, хотя проводной мир быстрее и безопаснее. Беспроводной мир – мир, который постоянно атакуют хакеры.
Беспроводной мир
Беспроводной мир велик и широк. Это сеть, которая есть на наших домашних точках доступа к сети стандарта 802.11 Wi-Fi, но термин «беспроводной» охватывает огромную полосу электромагнитного спектра, который включает в себя рентгеновские лучи, свет, радио и другие формы беспроводной энергии. Идентификация и распределение части беспроводного спектра определены числом волн в секунду (частотой) и расстоянием длины волны. 802.11 – это стандарт беспроводной связи между 900 МГц и 2.4, 3.6, 5.0, 5.8 и 60 ГГц частоты. Компьютеры в нашей жизни используют много различных беспроводных технологий, включая магнетизм, свет, спутник, наземное радио, Bluetooth, связь ближнего поля (NFC), RFID и микроволновую печь. Большая часть беспроводного спектра контролируется законами и регулирующими органами, что хорошо, потому что без них он был бы непригодным и небезопасным.
Типы взлома беспроводных сетей
Каждая часть беспроводного спектра и различные стандарты связи для него определяют типы взлома, которые, вероятно, будут выполняться, хотя само количество атак на спектр Wi-Fi – хорошее представление того, что может произойти в них всех. В целом большинство беспроводных взломов делается либо для подслушивания, сбора информации, несанкционированного обмена широковещательным спектром беспроводной связи, либо с целью вызвать отказ в обслуживании, контролировать обслуживание или атаковать подключенных клиентов.
Атака точки доступа
У каждой беспроводной технологии есть одна или несколько точек доступа (APs), позволяющих передавать и/или получать данные. Обычно они подключены к наземным или другим типам систем связи. Хакеры могут напрямую атаковать точки доступа и нарушить беспроводную связь. Они могут взломать пароль администратора AP, изменить его операции, провести подслушивание или обмануть жертву путем подключения к постороннему AP.
Отказ в обслуживании
Самая простая форма беспроводного взлома – это грубое прерывание или подавление сигнала связи, также известного как «заклинивание» или «затопление». Хакер может даже захватить канал. Если затопление сделано правильно, AP может случайно повторно соединиться с другим, незаконным ресурсом.
Подбор пароля беспроводной сети
Некоторые беспроводные технологии требуют пароля (или других доказательств аутентификации) клиента для присоединения к беспроводному спектру, предоставленному участвующим AP. Редко делают AP, блокирующие устройства после определенного количества неправильных догадок. Таким образом, беспроводные устройства взлома могут подобрать правильный пароль.
Перехват сессии
Конечная цель многих атак – захватить сессию связи жертвы. Это часто делается путем затопления беспроводной сети, что вызывает нарушение, а затем обманом заставляет клиента позволить хакеру изменить сеанс несанкционированным способом или подключиться к вредоносному AP. Эти типы атак стали очень популярными, особенно среди хакеров, пытающихся украсть HTML-файлы cookies с веб-сайта через общие беспроводные сети, находящиеся в общественных местах (таких как кафе, аэропорты и так далее).
Кража информации
Кража информации – это скорее результат беспроводного взлома, но я рассматриваю ее отдельно, потому что часто именно она становится целью всей сессии взлома. Так обстоит дело со взломом RFID. Кредитные карты позволяют держателю делать покупки бесконтактным способом. Хакеры с RFID-сканерами могут получить информацию о кредитной карте, используя устройство для тайного включения передатчика RFID. Он также используется на других устройствах и документах, таких как сотовые телефоны и паспорта.
Примечание. Подслушивание с помощью электромагнита используется против устройств, которые намеренно не поддерживают беспроводную связь. Все электронные устройства излучают электромагнитное поле, которое может быть прочитано, иногда издалека, с помощью правильного чувствительного прослушивающего устройства.
Обнаружение местонахождения пользователя
Многие хакеры, а часто и правоохранительные органы, используют особенности и слабые стороны конкретной беспроводной технологии для обнаружения подключенных клиентов и их устройств. Правоохранительные органы любят применять устройства stingray, которые создают поддельные AP, чтобы физически определить местоположение целевых объектов по их мобильному телефону. Читайте статью https://en.wikipedia.org/wiki/Stingray_phone_tracker, чтобы узнать больше об этих увлекательных устройствах и их сомнительной законности.