Patekti į kompanijos valdybos kabinetus, kuriuose vyksta svarbūs vadovų susitikimai ir priimami kompanijų ateitis nulemsiantys sprendimai, gali pasirodyti sudėtinga užduotis. Ir tik ne smalsiems programišiams, apsiginklavusiems moderniausia kompiuterine technika.
Neseniai vienas programišius susiorganizavo savotišką turą po keletą konferencijų salių visame pasaulyje. Tai jis padarė pasinaudodamas įranga, kuri paprastai būna kiekvienoje tokio tipo patalpoje – vaizdo konferencijų įranga.
Judindamas kompiuterio pelytę jis sukiojo kamerą po visą kambarį ir vaizdą priartinti galėjo tokiu tikslumu, kad net galėjo įžiūrėti griovelius medyje ar ant sienos esančias dažų dėmes. Vienoje iš konferencijų salių jam net pavyko pritraukti vaizdą tiek, kad pažvelgęs pro langą maždaug už 45 metrų krūmuose jis galėjo įžvelgti urvą besikasantį žvėrelį. Su šia įranga programišius nesunkiai galėjo slapta klausytis advokato ir kliento pokalbio ar ataskaitoje, gulinčioje ant stalo, perskaityti prekybos paslaptis.
Šiuo atveju programišius buvo HD Moore'as, vyriausiasis saugumo pareigūnas, dirbantis Bostone esančioje kompiuterių apsaugos kompanijoje „Rapid7“. Kompanija užsiima saugumo spragų paieškomis įvairiose kompiuterinėse sistemose, kurios naudojamos tokiuose prietaisuose kaip skrudintuvai ar net Marso nusileidimo prietaisai. Naujausias jo atradimas – vaizdo konferencijų įranga dažnai neapsaugota nuo programišių.
Milijardų neužtenka
Verslininkai pasaulyje kiekvienais metais išleidžia milijardus dolerių savo kompiuterių sistemų bei darbuotojų nešiojamųjų kompiuterių apsaugai gerinti. Kompanijoms didelį nerimą kelia konfidenciali informacija, kurią jų darbuotojai siunčia į savo elektroninio pašto dėžutes ar persikelia į „iPad“ planšetinius kompiuterius bei išmaniuosius telefonus. Tačiau kompanijos retai susimąsto, kaip lengvai bet kas gali patekti į jų vaizdo konferencijų sales, kur atvirai aptariamos labiausiai saugomos kompanijos prekybos paslaptys.
HD Moore'as nesunkiai sugebėjo patekti į kelias svarbiausias rizikos kapitalo ir advokatų kontoras, farmacijos bei naftos kompanijas ir net į JAV teismo rūmus. Jam net pavyko prasmukti į vieno didžiausių JAV banko „Goldman Sachs“ valdybos kabinetą.
„Tai yra neabejotinai vieni svarbiausių pasaulio valdybų kabinetai, kalbėjo „Rapid7“ generalinis direktorius Mike'as Tuchenas. – Juose vyksta svarbiausi susitikimai, tačiau jų metu gali dalyvauti ir tylieji dalyviai.“
Apie saugumą nepagalvoja
Prieš dešimt metų vaizdo konferencijų sistemos buvo sudėtingos ir nevienodos, jos veikė pasitelkiant brangias uždaras didelės spartos telefono linijas. Per pastarąjį dešimtmetį jos, kaip ir visa kita, persikėlė į internetą. Šiandien daugelis verslo atstovų naudoja internetines vaizdo konferencijas (patobulintas „Skype“ versijas), per kurias bendrauja su kolegomis ir klientais. Daugelis jų buvo sukurtos taip, kad galėtų aiškiai perduoti vaizdo ir garso medžiagą, tačiau apie saugumą nepagalvota.
„Rapid7“ nustatė, kad šimtai tūkstančių kompanijų investuodavo į aukščiausios kokybės vaizdo konferencijų prietaisus, tačiau įrengdavo jas minimaliomis išlaidomis. Tyrimų bendrovės „Wainhouse Research“ skaičiavimais, nuo praėjusių metų liepos iki rugsėjo kompanijos grupinėms vaizdo konferencijoms išleido apie 693 mln. JAV dolerių.
Populiariausi įrenginiai, kuriuos parduoda kompanijos „Polycom“ ir „Cisco“, gali kainuoti iki 25 tūkst. JAV dolerių. Juose yra šifravimo sistemos, aukštos raiškos vaizdo fiksavimas ir garso sistema, galinti užfiksuoti už 100 metrų atidaromų durų garsą. Tačiau šių sistemų administratoriai įdiegia juos už ugniasienės (angl. firewall) ribų ir nustato jas neįvertindami saugumo spragų, kuriomis vėliau nesunkiai gali pasinaudoti programišiai.
Kol kas nėra aišku, ar programišiai iš tiesų pasinaudoja šiomis spragomis, nes iki šiol nė viena kompanija nepasiskundė, kad tokiu būdu būtų įsilaužta į jų biurus. Kitaip ir būti negali, nes įsilaužimo atveju kompanijos to nė nepastebėtų. Akivaizdu, kad taip išplitus vaizdo konferencijoms kompanijos tampa lengvu programišių grobiu.
Vaizdo konferencijų technologijos kompanijas daro labai pažeidžiamas. Naujose sistemose įdiegta savybė, kuri automatiškai priima įeinančius skambučius, tad vartotojams nereikia spausti mygtuko „priimti“ kiekvieną kartą, kai jiems skambina. Taigi tokiu atveju bet kas gali paskambinti ir žvalgytis po kambarį, o vienintelis jų buvimo ženklas bus mažytė lemputė ant valdymo pultelio ir tylus vaizdo kameros sukimasis.
Plačiai atvertos durys
Prieš porą mėnesių HD Moore'as parašė kompiuterinę programą, kuri internete ieškojo už ugniasienės esančių ir automatiškai įeinančius skambučius priimančių vaizdo konferencijų sistemų. Per mažiau nei dvi valandas jis aptiko 5 tūkst. „plačiai duris atvėrusių“ konferencijų kabinetų įvairiose advokatų kontorose, farmacijos kompanijose, naftos perdirbimo įmonėse, universitetuose ir medicinos centruose.
Jam pavyko įsmukti į kalėjime esantį kambarį, kuriame advokatas bendravo su kaliniu, universiteto medicinos centrą ir net rizikos kapitalo įmonės metinį susirinkimą, kurio metu ekrane buvo galima įžvelgti įmonės finansinius rezultatus. Pasak HD Moore'o, dauguma vaizdo konferencijos įrenginių parduodami net be pagrindinių saugumo priemonių, o autoatsakiklis įjungiamas pagal nustatymą.
„Esmė yra ta, ar organizacijos žino apie joms gresiančius pavojus, – teigė jis. – Tačiau, kaip parodė mūsų tyrimas, net turtingiausios rizikos kapitalo įmonės to nesuvokia ir netaiko net pagrindinių saugumo priemonių.“Įsilaužti gali net šešiamečiai
Tyrimų bendrovės „Wainhouse Research“ vyresnioji analitikė Ira M. Weinstein teigia, kad svarbios organizacijos, kaip JAV gynybos departamentas ar bankai, savo sistemas apsaugo ugniasiene. Vis dėlto HD Moore'as per savo eksperimentą pastebėjo, kad patekęs į vieną sistemą vėliau jis gali peršokti į kitas sistemas, kurias saugo ugniasienė.
Taip nutiko ir su „Goldman Sachs“. Į patį banko valdybos kabinetą HD Moore'as nepateko, nes, kaip pats teigė, nenorėjo peržengti leistinų ribų. M. Tuchenas pabrėžė, kad tai padaryti galėtų bet kuris pakankamai apie kompiuterius išmanantis šešiametis vaikas.
FAKTAI: Vaizdo konferencijų sistemos
Pagrindinės vaizdo konferencijų įrangos gamintojos yra „Polycom“, „Cisco“, „LifeSize“ ir „Sony“
Kompanijų naudojamos vaizdo konferencijos pasižymi gera vaizdo ir garso kokybe
Brangiausios vaizdo konferencijų įrangos kaina gali siekti 25 tūkst. JAV dolerių
Praėjusiais metais vos per kelis mėnesius vaizdo konferencijoms JAV kompanijos išleido 693 mln. JAV dolerių
Per vaizdo konferencijų sistemas programišiai gali patekti į didžiųjų kompanijų valdybos kabinetus
Mindaugas Samkus
