Самый большой риск заключается в том, что многие консоли администратора для систем конференц-связи практически не оснащены встроенными средствами обеспечения безопасности. В одном из примеров Муру и его сотрудникам удалось получить доступ к системе юридической фирмы, в которой содержался адрес зала заседаний совета директоров известного инвестиционного банка. Исследователи купили на аукционе eBay подержанное устройство для проведения видеоконференций и обнаружили на его жестком диске старые данные, включая адресную книгу с десятками личных номеров, многие из которых были настроены автоматически отвечать на входящие вызовы из Интернета в целом>261. Как и в случае со старыми принтерами и копировальными машинами, оснащенными жестким диском, прежде чем их продавать или дарить, необходимо тщательно стереть с них данные.
Иногда нам приходится работать над проектом совместно с коллегой, который может находиться в другой части света. Файлами можно обмениваться по корпоративной электронной почте, однако иногда они настолько объемны, что системы электронной почты просто не позволяют переслать их в качестве вложений. Все чаще люди используют сервисы обмена файлами для пересылки объемных документов.
Уровень безопасности таких облачных систем бывает разным.
Четыре крупнейших игрока: Apple iCloud, Google Drive, Microsoft OneDrive (ранее SkyDrive) и Dropbox — предусматривают двухэтапный процесс аутентификации. Это означает, что на ваше мобильное устройство отправляется код доступа для подтверждения вашей личности. И несмотря на то что все эти системы шифруют данные во время их пересылки, вам следует самостоятельно зашифровать их перед отправкой, если вы не хотите, чтобы сама компания или государственные службы получили к ним доступ>262.
На этом сходства заканчиваются.
Двухфакторная аутентификация (2FA) важна, но ее можно обойти путем захвата неиспользуемых учетных записей. Например, недавно я проверял систему клиента, который с помощью общедоступных инструментов добавил двухфакторную аутентификацию Google на свой веб-сайт, подключенный к VPN-сервису. Я сумел обойти ее, завладев учетными данными для доступа к службе Active Directory, принадлежащими пользователю, который не подписался на использование VPN-сервиса. Поскольку я был первым, кто подключился к VPN-сервису, мне было предложено настроить 2FA с помощью Google Authenticator. Если сам сотрудник так никогда и не получит доступ к сервису, то злоумышленник сможет и дальше его использовать.
Для хранимых данных сервис Dropbox использует 256-битное AES-шифрование (которое довольно надежно). Тем не менее оно предполагает сохранение ключей, которые могут предоставить Dropbox или правоохранительным органам несанкционированный доступ к данным. Сервисы Google Drive и iCloud используют для данных в состоянии покоя значительно более слабое 128-битное шифрование. В данном случае существует опасность того, что данные могут быть дешифрованы с помощью больших вычислительных мощностей. Сервис Microsoft OneDrive не утруждает себя шифрованием, что заставляет думать о том, что это сделано специально, вероятно, по настоянию некоторых правительств.