В 2013 году широкую известность получила история двух заключённых, которых выпустили из флоридской тюрьмы раньше срока. Сообщники сфабриковали документы с подписями судьи и отправили их в тюрьму по факсу. Персонал тюрьмы обработал документы в нормальном порядке — и выпустил заключённых. Ошибку заметили только через неделю, а за поимку беглецов объявили награду $10 тыс. Но долго искать не пришлось. По закону все освобождённые из тюрем Флориды обязаны сообщать о своём месте жительства. Эти двое думали, что всё выглядит законно — и сами сообщили о своём месте жительства. Их задержали, а вот сообщников так и не нашли.
Сейчас хакер из Мичигана провернул не менее дерзкую аферу, чтобы освободить из тюрьмы товарища. Но на этот раз тюремная администрация проявила бдительность, так что скоро неудачливый компьютерщик присоединится к своему другу за решёткой. Но он был очень близок к успеху. Не хватило совсем чуть-чуть.
1 декабря 2017 года Конрадс Войтс (Konrads Voits) признан виновным в «повреждении защищённого компьютера», сказано в пресс-релизе прокуратуры Восточного округа Мичигана.
27-летний житель города Анн-Арбор из штата Мичиган будет оставаться в заключении вплоть до оглашения меры наказания 5 апреля 2018 года.
Согласно информации следствия и судебным записям (PDF), Войтс применил схему классического фишинга, жертвой которой стали сотрудники администрации округа Уоштено, штат Мичиган. На самом деле это больше похоже на социальную инженерию. Хакер отправил в администрацию тюрьмы письма по электронной почте и звонил по телефону, убедив сотрудников скачать и запустить вредоносное программное обеспечение под видом программного обновления системы.
Для реализации своей аферы 24 января 2017 года хакер зарегистрировал доменное имя ewashtenavv.org c двумя “v” на конце, которое с виду похоже на легитимный домен округа Уоштено (Washtenaw).
Затем между 14 и 16 февраля 2017 года Войтс отправил сотрудникам администрации округа письма от вымышленного имени «Дэниель Грин», в которых попросил помощи с разбором некоторых судебных записей. Вероятно, так он получил первую базовую информацию, которая была необходима на последующих этапах аферы.
Между 20 и 22 февраля 2017 года Войтс несколько раз звонил в администрацию, представляясь именами двух настоящих сотрудников отдела информационных технологий округа Уоштено. В письмах и во время телефонных звонков он объяснял сотрудникам администрации, что им нужно скачать и установить файл по ссылке в письме, или зайти на сайт по указанному адресу для скачивания исполняемого файла «для обновления тюремной ИТ-системы округа». Некоторые сотрудники последовали его инструкциям. Так Войтс сумел установить вредоносное ПО на компьютерах администрации и узнал учётные данные одного из сотрудников для входа в систему.
Используя эту информацию, он распространил зловреда на другие компьютеры в сети администрации округа и получил полный доступ в систему, включая доступ к защищённым базам данных, таким как система XJail (программа для мониторинга и отслеживания заключённых в тюрьме округа), письменным показаниям, внутренним дисциплинарным записям, а также персональной информации о сотрудниках. Войтс сумел добыть персональную информацию о более чем 1600 сотрудниках государственных учреждений округа, включая логины, пароли и адреса электронной почты.
Примерно в марте 2017 года, имея полный доступ в систему, Войтс внедрился в систему тюремных записей и отредактировал электронные записи одного заключённого в тюрьме округа, изменив дату его освобождения.
По мнению прокуратуры, своими действиями обвиняемый «значительно нарушил целостность электронных данных округа, что представило угрозу для общественного здоровья и безопасности». Вторжение в систему вскоре заметили: всё-таки в этой тюрьме всего лишь 200-250 заключённых мужского пола, так что всем хорошо известны сроки друг у друга.
ИТ-подразделение округа обратилось за помощью в стороннюю компанию для расследования инцидента, восстановления из копий всех жёстких дисков, проверки точности данных практически по всем заключённым округа и покупки «программы защиты приватных данных» для 1600 сотрудников округа, чьи данные были скомпрометированы. Как подсчитало следствие, на устранение действий хакера ушло по крайней мере $235 488.
В зависимости от разных факторов (биография обвиняемого, его поведение во время следствия) Конрадсу Войтсу грозит тюремное заключение сроком до 10 лет с наблюдением 1-3 года после освобождения и штраф до $250 тыс.
Комментарии (37)
Rusli
05.12.2017 18:12-1«система XJail (программа для мониторинга и отслеживания заключённых в тюрьме округа)»
Странно, что не iJail
kerberos464
05.12.2017 18:13Вот бы сняли шестой сезон Prison Break по этому сюжету.
Можно было бы туда ещё что-нибудь про блокчейн ввернуть, это сейчас модно.
old_bear
05.12.2017 18:59-4А что, инфа про американских заключённых до сих пор не в бокчейне хранится? И это при том, что даже котики уже переехали в блокчейн.
Каменный век какой-то!3aicheg
06.12.2017 04:51И слова революционной песни «долго в цепях нас держали, долго нас голод томил» обретают новый смысл.
Karpion
05.12.2017 22:36Есть простейший алгоритм действий:
1) Если кто-то звонит и говорит, что надо что-то там сделать, надо спросить номер его телефона и обещать перезвонить. На этом этапе сольются многие взломщики.
2) Если звонящий сообщил свой номер — надо проверить наличие этого номера в справочнике, куда вносятся все номера, с которых могут давать указания. Если номер там есть — перезвонить и следовать инструкциям (в справочнике хорошо бы указать — кто в какой области может давать инструкции).
3) Если такого номера в справочнике нет — то сообщить начальнику. Как вариант — поднимать тревогу. Далее — пусть или начальник перезванивает, или службисты безопасности.
Это не говоря о том, что в системе д.б. категорически запрещён запуск программ из директорий, доступных юзеру на запись. Т.е. скачать он сможет, а вот запустить — д.б. облом, да ещё система должна поднять тревогу.
Впрочем, в идеале д.б. система, запрещающая скачивать исполняемые файлы (кроме доверенных источников, список которых утверждает начальство). И опять же — с поднятием тревоги.
vvzvlad
06.12.2017 00:37Главное, чтобы справочник был бумажным, а выдавала его под роспись бабушка с вахты. Тогда безопасность будет еще выше.
Karpion
06.12.2017 01:03Ну, надо иметь два варианта справочника: компьютерный для быстрого поиска и бумажный для достоверной верификации. В принципе, можно иметь и электронный справочник — но его существование д.б. тайной (чтобы взломщики по возможности не знали про существование такой верификации — а не зная, они не будут пытаться её взломать), а сам справочник д.б. хорошо защищён (внесение изменений допускается только особо доверенными админами).
Есть ещё вариант — вести список телефонных номеров на АТС. Тогда при звонке будет отображаться статус звонящего — и по статусу будет видно, имеет ли он право давать указания.
(Система не работает, если киберпреступник звонит на сотовый телефон. Но для смартфонов можно сделать аналогичную систему сопоставления входящего номера со статусом звонящего.)
Пусть даже данная система не будет стопроцентной защитой против данного вида атак — но это дополнительный слой защиты, который надо будет пробивать.
Exchan-ge
06.12.2017 01:46«Это не говоря о том, что в системе д.б. категорически запрещён запуск программ из директорий, доступных юзеру на запись. Т.е. скачать он сможет, а вот запустить — д.б. облом»
Модель Белла и Лападула? :)Karpion
06.12.2017 04:10Честно говоря, я не очень понимаю, как приткнуть сюда "Модель Белла — Лападулы". Пользователь имеет право записывать в свою директорию и читать оттуда что угодно. Запрещается только запуск. А в той модели — только операции чтения и записи.
Если сопоставить записанную программу субъекту — то непонятно, почему пользователь создал субъекта, но права у созданного субъекта не такие, как у создателя.
У этой модели есть ещё один серьёзный недостаток: она никак не защищает данные от неправомерной модификации, т.к. в ней запись разрешена именно в объект более высокого ранга. А в головной статье как раз описываются две попытки неправомерной модификации данных (первая — частично удачная, вторая — провальная).
Exchan-ge
06.12.2017 17:53«имеет право записывать в свою директорию и читать оттуда что угодно. Запрещается только запуск. А в той модели — только операции чтения и записи»
В Белла-Лападула субъект с низким уровнем доступа имеет право на запись в объект с более высоким уровнем допуска и не имеет права на чтение из этого объекта (для предотвращения утечки информации субъектам с низкими уровнями доступа)
Ваше предложение «д.б. категорически запрещён запуск программ из директорий, доступных юзеру на запись» всего лишь дополняет эту модель правом на выполнение (х) при сохраненном отсутствии права на чтение ( r ).
«она никак не защищает данные от неправомерной модификации, т.к. в ней запись разрешена именно в объект более высокого ранга»
См. выше — вы сами написали «доступных юзеру на запись».
Ваше второе замечание («она никак не защищает данные от неправомерной модификации») — требует использования модели Биба.
Karpion
06.12.2017 18:38Ну, начнём с того, что в этих моделях есть субъект (тот, кто пытается совершить чтение/запись) и объект (тот, кто содержит информацию). Хотя можно считать, что есть какой-то абстрактный субъект, который инициирует копирование информации из одного объекта в другой (при этом внутри объекта информация может изменяться).
При появлении запускаемых файлов у нас объект внезапно превращается в субъект. Причём наделённый какой-то своей волей (точнее — волей написавшего программу программиста).
По идее, пользователь имеет в системе некоторые законные права на совершение каких-то операций. Свои права он реализует путём запуска программ и отдания приказов этим программам.
Логично предположить, что пользователь должен иметь возможность автоматизировать свои действия — т.е. написать свои программы. А скачанные извне программы никак не отличаются от тех, которые написал сам пользователь. И тут пасует любая формализованная модель безопасности, ибо исполнительный механизм (пользователь) является ненадёжным, особенно в плане выполнения норм секурности. Грубо говоря, программу можно заставить проверять авторизацию внешнего воздействия каждый раз; а вот люди склонны на это забивать.
Хуже того: многие начальники требуют беспрекословно выполнять ихние указания, начальники не любят предъявлять пропуск — и в результате какой-нибудь наглый мошенник притворяется начальником и на какое-то время получает полные привилегии.
Один адвокат поехал в воинскую часть к генералу (там было какое-то юридическое дело). На КПП сержант задержал машину, т.к. никто не позаботился внести её в список разрешённых для въезда. Адвокат начал звонить генералу — и как только сержант услышал, что сейчас будут говорить про него генералу, так сразу разрешил ехать.
Дебильный генерал не понимает, что такой организацией службы он дождётся, что в часть завезут машину с полным багажником динамита и взорвут под окнами штаба. (То, что генерал дебильный — следует из дальнейшего разговора с ним, я это рассказывать не буду.)
Прежде, чем ссылаться на всякие модели, объясните мне, какой уровень (можно с конкретными числами) должны иметь:
1) пользователь;
2) база данных, с которой работает пользователь (в контексте рассказа — и на чтение, и на запись);
3) программа, которую пользователь скачал по указаниям злодея и запустил.
По второму пункту оказывается, что пользователь и база данных д.б. одного уровня — ведь там и чтение, и запись. А значит, любая модель безопасности, основанная на уровнях доступа, идёт лесом.
Exchan-ge
07.12.2017 22:50«многие начальники требуют беспрекословно выполнять ихние указания, начальники не любят предъявлять пропуск»
Собственно, модели безопасности и создавались для противодействия таким начальникам.
«Дебильный генерал не понимает»
Для понимания происходящего в случае с адвокатом — смотрим известного «Хакера в столовой».
В данном случае система сработала — сержант задержал машину и вынудил адвоката сделать звонок. Пропустить машину он должен был только после подтверждения от генерала. Если он этого не сделал (пропустил, не дождавшись подтверждения) — получит взыскание. «Список разрешённых» в данном случае — всего лишь условие, которое должно соблюдаться в определенных пределах.
«А значит, любая модель безопасности, основанная на уровнях доступа, идёт лесом»
Модель безопасности — это фундамент. Без фундамента любая постройка развалится.
В тоже время — фундамент — это еще не вся постройка.
Karpion
08.12.2017 03:27Вообще-то, модель безопасности внедряет начальник — хотя бы на уровне "отдать приказ". Реализуют модель — уже нижние чины.
Модель безопасности — не о противодействии начальникам. Это о том, как расписать роли участников, чтобы участники могли выполнять свою работу с минимумом трудозатрат (ибо трудозатраты — это стимул схалявить и не сделать вообще).
Система как раз не сработала, а показала наличие бэкдора — возможности въехать на территорию без должной проверки. Это как недавно найденная уязвимость (вроде, на Хабре была статья): система спрашивает пароль, но если пять раз ткнуть мышкой в какое-то место, то можно войти без пароля.
Модель безопасности д.б. адекватна задаче и ситуации. Так же, как фундамент д.б. адекватен грунту и зданию.
mayorovp
07.12.2017 08:45В модели Белла-Лападула при совпадении уровней доступа субъекта и объекта разрешены как чтение так и запись, то есть со своей собственной директорией пользователь может делать что угодно.
Тут же предлагается запрещать исполнение файлов которые лежат не в системных директориях. Читать можно, исполнять — нет. Это совершенно другое ограничение, не имеющее к модели Белла-Лападула никакого отношения.Exchan-ge
07.12.2017 22:37«то есть со своей собственной директорией пользователь может делать что угодно»
Это уже пошли ваши дополнения к исходному тезису:
«Это не говоря о том, что в системе д.б. категорически запрещён запуск программ из директорий, доступных юзеру на запись»
«доступных юзеру на запись» не равно «собственная директория юзера»mayorovp
08.12.2017 10:39Пожалуйста, сформулируйте исходный тезис, потому что я не понимаю что вы сейчас пытаетесь сказать.
KostaArnorsky
06.12.2017 17:12Да вообще категорически должно быть запрещено что-либо скачивать или запускать, по чьим угодно инструкциям, если только это не часть стандартного рабочего процесса — админы сами, без пользовательского участия, что угодно скачают и установят. Максимум могут попросить включить, воткнуть-вытащить кабель, т.е. сделать что-нибуть требующее физическое присутствие. Ну и кончено это должно быть не только на уровне инструкций, но и энфрорситься политиками.
Так же должно быть запрещено кликать на любые кем-либо присланные ссылки, звонить на номера и т.п.: если надо связатся с доверенным контрагентом — сами ручками набрали сайт или нашли в надежном источнике, и кликайте/звоните.
r85qPZ1d3y
05.12.2017 22:51На хабре хакеров принято называть киберпреступниками.
Ну и пожелать парню получить по всей строгости уважаемого закона.
OKyJIucT
06.12.2017 01:22Изначально значение слова "хакер" не имело ничего общего со взломами и преступностью в сети.
Exchan-ge
06.12.2017 01:54«На хабре хакеров принято называть киберпреступниками»
Это так называемое торжество дилетантов.
«Кибер» — это все же от «кибернетика», а не синоним всего, что как-то связано с ИТ.
RomanArzumanyan
06.12.2017 16:53Не все хакеры — преступники в ИТ. Не все преступники в ИТ — хакеры. Следовательно, у этих множеств есть пересечение, но не более того.
ilyaplot
06.12.2017 10:54Как подсчитало следствие, на устранение действий хакера ушло по крайней мере $235 488
Кто-то взял неплохую сумму за сравнение бэкапов с основной бд.
SchmeL
06.12.2017 16:34… и покупки «программы защиты приватных данных»
от соц. инженерии она вряд ли спасет.
sumanai
06.12.2017 16:58Программа защиты, думаю, тут в другом смысле, т.е. это не программа для ПК, а комплекс мер по изменению персональных данных, выдаче новых паспортов и прочего, дабы не допустить мошеннические действия с уже известными данными. К сожалению, первоисточник не указан, искать самому оригинальную новость довольно сложно, поэтому уточнить не могу.
Anarions
Жаль ни слова о том как поймали.
vassabi
Достаточно было установить, что срок поменялся "сам собой", чтобы заподозрить внешнее вмешательство. А потом поднять журнал заходов в систему и далее по цепочке.
Dreyk
ну так а как нашли самого хакера?
sumanai
Вряд ли бы они смогли сделать это сами.
vassabi
если он не сидел из-под тора — то достаточно узнать айпи и время логина.