Забудьте о приватности

Минувшие выходные наделал много хайпа пост с историей Алексея Миронова – основателя сети кофеен Jeffrey’s Coffe. В ответ на вопросы Алексея специалист в области кибер-безопасности личных данных Александр Зимарин рассказал, как уберечь свои тайны в цифровом мире. Спойлер – никак (на самом деле нет).

Забудьте о приватности

На самом деле да! Давайте уже признаемся, безопасность личных данных это миф. Я взаимодействую с сетью более 20-ти лет и говоря о «безопасности» определил для себя два бесспорных тезиса, с которых и хочу начать. Тезис номер один: обеспечить полную безопасность в сети невозможно. Тезис номер два: всегда можно сделать попытку кражи ваших данных экономически нецелесообразной.

Вы уже наверняка прочитали историю Алексея Миронова. Угон аккаунта в ВК и Вотсап, значительные репутационные потери и прочие радости, как это называет сам пострадавший «потеря «Цифровой жизни» - безусловный и окончательный факап. Если вам интересно прочитать рекомендации формата «что делать, когда вас уже взломали», пост Алексея исчерпывающий и внятный. Прочитали? А теперь подумайте, все ли ваши аккаунты защищены двухступенчатой аутентификацией? На этом месте бесплатные возможности сети для вас и закончились. Теперь, те, кому дальше знать все и необязательно, и экономически нецелесообразно, могут перейти к чтению других текстов. А вот те, для кого важна безопасность своих данных, и главное, те, кто в состоянии за нее заплатить, давайте разбираться, что происходит сегодня на рынке связи и главное, как с этим всем бороться.

Это важно понимать:

Алексей Миронов не одинок в своей проблеме, он и сам это признает. Стоит немного углубиться в изучение вопроса и окажется, что в стране ежедневно воруются десятки аккаунтов. Взламываются банковские карты, рушатся семьи и все это из-за обыкновенных смс. Вы носите ключ к своим тайнам прямо у себя в кармане. Взломать любого стоит пригоршни баксов и ленивого желания узнать, что же скрывает, например, открытый миру топ менеджер из сети кофеен. Или что скрываете именно вы. Или я. Цифровой мир лишь часть глобального. Нет никакой другой планеты интернет. В сети живут те-же самые бандиты, маньяки, ревнивцы, одним словом люди. Ваши соседи. И поверьте, каждый из них хочет смотреть в замочную скважину и знать больше. Как вы и я. Такова природа, увы, и защититься невозможно.

Как они работают:

Технологии создаются людьми, а один человек, при желании, всегда сломает то, что создал другой. Любой продвинутый пользователь без труда найдет в сети предложения о получении доступа к вашему телефону. Проще всего это осуществить, когда вы находитесь вне зоны действия вашего сотового оператора. Алексей признается: в момент кражи он находился в Китае. Как и его телефон. По прибытию в Поднебесную смартфон пострадавшего обнаружил себя в зоне действия сразу несколько мобильных сетей и подключился к той, у которой с МТС действует договор о сотрудничестве. Уже несколько десятков лет роуминг позволяет экономить значительные средства для связи из заграницы. В нашем агентстве работает замечательный специалист – Евгений Соболев. Я попросил его разъяснить, как технически осуществляется взлом.

«Понимаешь, Саша, эта технология достаточно проста. Но есть нюанс - нужен доступ к системе. Решив эту задачу можно стать демиургом приватных данных. Российские операторы имеют очень высокий уровень защиты, однако кто говорит, что нужно ломать МТС или Мегафон? Мобильной связью пользуются люди во всем мире, и в условном Зимвабве тоже есть свой сотовый оператор. Да еще и не один. Какой уровень защиты могут предложить компании, работающие на беднейших рынках? Если данные воруют, значит не самый высокий. Попав в систему можно отправить любому оператору в мире стандартный запрос. Например, что принадлежащий ему номер теперь обслуживается в условном "Зимвабве-нофилет". Условный МТС поставит в домашнем реестре соответствующую пометку и все. Можешь изучать все пакеты данных, какие получится расшифровать, уводить аккаунты, снимать деньги с карточек и т.д. Многое разумеется зависит от уровня подготовки специалиста работающему, как это называют «по клиенту», но получить смс с кодом доступа или новым паролем - это задача для школьника. Если уровень знаний позволяет, такой взлом можно осуществлять и для зарегистрированных в домашней сети устройств. Как по-твоему спецслужбы прослушивают телефоны? Не назначают ведь они за каждым подозреваемым свою машину сопровождения. Это дорого и неэффективно. Кстати, чтобы получить доступ к устройству и информацию с него, то ломать оператора дорого и совсем необязательно. Такими методами пользуются для промышленного шпионажа, получения инсайдерской информации и так далее. Тем не менее, к сожалению, найти нужный инструмент или подрядчика на эти работы может практически любой. Возможно взлом этого парня в Китае, о котором ты рассказал, лишь демонстрация возможностей, а настоящая мишень даже не подозревает, что уже на крючке. Такое ведь вполне реально. Но у нас ведь как в России, никто заранее не беспокоится, все ждут пока гром не грянет».

Офис директора по IT безопасности «Зимвабве- нофилет»
Офис директора по IT безопасности «Зимвабве- нофилет»

Почему сотовые компании ничего не делают:

Все специалисты, работающие на рынке информационной безопасности, я и Евгений в их числе, знают о том, что проблема даже не в уровне защищенности вашего сотового оператора. Проблема еще глубже. Правила игры для корпоративных коммуникаций между сотовыми операторами установились в 80-х годах прошлого века. Тогда шла битва форматов (победил, как мы знаем GSM), а такого понятия, как безопасность в интернете еще не существовало. Взломать их не так уж и сложно, ведь с тех пор ничего не меняется. Перемены обойдутся непозволительно дорого и корпорации предоставляющие услуги на рынке мобильной связи в этом не заинтересованы. Свою работу они выполняют, связь обеспечивают и по прибытию в другой регион телефон привычно регистрируется в партнерской сети, оператор, принявший сигнал, направляет соответствующее уведомление в вашу компанию. Получив сообщение, вашим оператором ставится пометка, что номер обслуживается в другой сети, и необходимо все сообщения направлять туда. Фактически, помимо МТС, фигурирующего в истории с Алексеем, есть и китайский оператор, о котором почему-то никто не вспомнил. Если в МТС и нет соответствующих записей, то и таких сообщений компания не обрабатывала, а они приходили. Как?

Чтобы иметь возможность получать и отправлять такие сообщения злоумышленник должен иметь доступ к ОКС-7. Это такой уютный интернетик для всех всех-всех мобильных компаний, то, что Евгений называет системой. Закрытая сеть, попасть в которую можно только используя соответствующую лицензию. Ну… или если ты злоумышленник. А уровень защиты самой системы, как вы помните, находится на этапе становления интернета в последнем десятилетии прошлого века. Еще даже винамп не придумали, а виндоус устанавливали с дискет. Понимаете, о чем я?

Немного истории:

Несколько лет назад технология перехвата мобильных данных активно использовалась кардерскими группировками- это мошенники, ворующие деньги с банковских карт в интернете, если вы не в курсе. Первые зарегистрированные случаи датированы 2015-м годом. С тех пор банки усилили меры безопасности, например, используя приложение вы привязываете к данным о карте ID своего телефона. Есть и другие инструменты. Заметьте, защиту обеспечивает банк, а оператор связи при этом остается безучастным. Знаете, почему? Да потому, что невероятно дорого обойдется ваш звонок любимой собаке из Папуа-Новой Гвинеи, если мобильные компании начнут думать о вашей безопасности, а не экономии средств. Уж так это все работает.

Перестав быть востребованными среди кардеров технология начала искать иной рынок сбыта. Как бывает в таких случаях, предложение нашло спрос в частном секторе. Значительную часть такого рынка занимают ревнивые жены и мужья, стремящиеся разобраться в хитросплетениях собственных отношений. Соответственно, и цена не высока на такие услуги. Нет разницы, чей телефон отслеживать. По имеющимся у меня данным средняя стоимость минуты контроля вашего телефона обойдется в 1 доллар и не важно, на какой системе работает устройство и от какого оно производителя. Телефон вообще не причём. Он в мошеннической цепочке не участвует. А теперь десерт. Если у вас угоняют аккаунт ВК, при чем тут сотовый оператор? Его работа - вам связь обеспечить. Поймите, проблема не в МТС, проблема в том, что этот рынок работает только так. Смс защищают, но никто не защищает смс.

Что делать:

Ничего вы с этим не сделаете. Если не смогут прослушивать вас, прослушают ваших собеседников. В ситуации, когда компании пытаются защитить себя от промышленного шпионажа, например, они активно используют шифрование. Однако позвони с зашифрованного устройства теще и ваш разговор вполне может стать общедоступным. Технология работает только на обоих устройствах одновременно. Видите, смс с паролем от ВК не самая страшная потеря. Технология позволяет управлять вашей жизнью, следить за каждым шагом и т.д. Любой сервис, который помогает вам в жизни может стать оружием в руках врага. Погодите удалять аккаунты и покупать новую нокиу с фонариком. Во-первых, смысла в этом не будет, а во-вторых, сказанное совсем не значит, что вы не можете бороться за свою безопасность.

Заболтать проблему всегда проще чем решить комментарии на vc.ru
Заболтать проблему всегда проще чем решить комментарии на vc.ru

Когда я общаюсь со своими клиентами, то начинаю разговор с того, с чего начал эту статью. Вы не можете быть уверенны в собственной безопасности никогда. Проверьте, если ваш телефон почему-то звонит при минусовом балансе, то совершенно точно его контролируют сторонние люди. Как и с какими целями не известно, однако это единственный признак, по которому можно понять да или нет. Получить контроль просто, а вот воспользоваться им у злоумышленника может и не получиться. Стоит слегка усложнить задачу, и вашей жене, например, станет гораздо сложнее узнать тайны переписки с коллегами по работе. Предложениями контроля обычно торгуют ресейлеры. Это не грозные хакеры, погруженные в двоичный код, а простые нули. Хитрые, предприимчивые, но нули. Они не в состоянии взломать микроволновку, не то что мобильного оператора и пользуются уже созданными лазейками. Другой вопрос, что заткнуть все самые очевидные дыры в вашей безопасности стоит не дешево. Нули тут не помогут, нужны люди понимающие, а их услуги обходятся на порядок дороже. Цена на безопасность стартует с 200 000 рублей и верхнего предела практически нет. Еще вы можете просто удалиться из социальных сетей. Но цифровой мир уже часть нашего. Вряд ли это сделает вашу жизнь безопасной, о ней просто не будут знать.

66
19 комментариев

С каких пор Зимарин - специалист по кибербезопасности лол?)

3

Тебе ещё столько предстоит узнать ;)

В протоколе SS7 предусмотрена защита. Нормально его сделали. Да, есть проблемы, но обычно ломануть — дорого. Если интересно, вот: https://www.ptsecurity.com/ww-en/analytics/ss7-vulnerability-2018/

Касательно того, что произошло, ну это элементарная безответственность. 2FA, другой номер для регистраций, а не основной и публичный и т.д. и т.п., рекомендаций по безопасности море

3

Статейка ниочем: и 200 000 рублей уплаченные мистеру Хххх ни спасут вам жизнь )))

1

Об этом и статья )

Цена на безопасность стартует с 200 000 рублей

Было столько слов о том, как все плохо и бесполезно защищаться, а в итоге вылилось в свой ценник

Немного не так, было плохо и вылилось во все плохо. 200к за крайне условную безопасность это плохо