Я не знаю, сделали ли то же самое с моим ноутбуком в Боготе. Сам жесткий диск был извлечен, а затем установлен на место, при этом винты оказались затянуты слишком сильно. В любом случае мой диск, к счастью, не содержал важной информации.
Как насчет помещения ваших электронных устройств в сейф отеля? Это лучше, чем оставлять эти ценные вещи на виду или в чемоданах? Да, но ненамного. На время участия в недавней конференции Black Hat я остановился в отеле Four Seasons в Лас-Вегасе. Я положил в сейф 4000 долларов наличными, несколько банковских карт и чеков. Через несколько дней я попытался открыть сейф, но код не подошел. Я вызвал сотрудников службы безопасности, и они открыли сейф. Я сразу заметил, что пачка стодолларовых банкнот значительно уменьшилась. В ней осталось 2000 долларов. Итак, куда делись другие 2000 долларов? Сотрудники службы безопасности отеля не имели ни малейшего понятия. Мой друг, занимающийся физическим тестированием на проникновение, попытался взломать сейф, но у него ничего не получилось. Эта история по-прежнему остается загадкой. По иронии судьбы, этот сейф назывался Safe Place (безопасное место).
Немецкая компания G-DATA, занимающаяся разработкой антивирусов, обнаружила, что в гостиничных номерах, в которых останавливались ее исследователи, для сейфа «чаще всего» использовался пароль по умолчанию (0000). В подобных случаях независимо от выбранного вами секретного пароля любой, кто знает пароль по умолчанию, также может получить доступ к вашим ценным вещам. Компания G-DATA подтвердила, что это выяснялось не систематически, а случайно на протяжении нескольких лет 279.
Немецкая компания G-DATA, занимающаяся разработкой антивирусов, обнаружила, что в гостиничных номерах, в которых останавливались ее исследователи, для сейфа «чаще всего» использовался пароль по умолчанию (0000).
Если злоумышленник не знает пароль по умолчанию для сейфа в данном конкретном гостиничном номере, он может открыть его методом грубой силы. Несмотря на то что у менеджера отеля есть аварийное электронное устройство для открытия сейфа, подключающееся к USB-порту, опытный вор может просто отвинтить пластину на передней панели сейфа и использовать цифровое устройство для открытия расположенного под ней замка. Кроме того, он может вызвать короткое замыкание и сбросить настройки, чтобы ввести новый пароль.
Если это вас не обеспокоило, подумайте вот о чем. Компания G-DATA также обнаружила, что данные с устройства для считывания банковских карт в сейфах номеров отеля, с помощью которых вы часто оплачиваете их использование, могут быть прочитаны посторонними, которые могут украсть данные банковской карты, а затем использовать или продать их через Интернет.
В настоящее время для запирания и отпирания двери номера в отелях используются NFC-карты или карты с магнитной полосой. Преимущество заключается в том, что сотрудники отеля могут быстро и легко изменять эти коды доступа со стойки регистрации. Если вы потеряете свою карту, то сможете запросить новую. В замок отправляется простой код, и к тому моменту, когда вы доберетесь до своего номера, новая ключ-карта будет работать. Инструмент MagSpoof, созданный Сэми Камкаром, можно использовать для подбора правильных последовательностей для замка двери гостиничного номера, открываемого с помощью карт с магнитной полосой. Этот инструмент использовался в одном из эпизодов сериала «Мистер Робот».
Использование магнитной полосы или NFC-чипа породило слух о том, что персональная информация может храниться на ключ-картах, используемых в отелях. Это не так. Однако городская легенда продолжает распространяться. Существует очень распространенная история о заместителе шерифа округа Сан-Диего, который якобы выпустил предупреждение о том, что на ключ-карте отеля были обнаружены имя постояльца, его домашний адрес и реквизиты банковской карты. Вероятно, вы получали электронное письмо примерно следующего содержания:
«Сотрудники правоохранительных органов Южной Калифорнии, которым было поручено выявление новых угроз для конфиденциальности персональных данных, недавно обнаружили, какая информация хранится на используемых в отелях ключ-картах.
Несмотря на то что в разных отелях используются разные ключи, ключ, полученный у сети отелей Double Tree для использования на региональной презентации, посвященной проблеме кражи персональных данных, содержит следующую информацию:
• Имя клиента;
• Частично — домашний адрес клиента;
• Номер комнаты в отеле;
• Дата заезда и дата выезда;
• Номер банковской карты клиента и срок ее действия!
Когда вы сдаете эти ключ-карты на стойке регистрации, ваша личная информация становится доступной любому сотруднику, который может просто просмотреть ее с помощью специального сканера. Сотрудник может взять домой несколько карт и, используя сканирующее устройство, перенести информацию на ноутбук и совершить покупки за ваш счет.
Проще говоря, отели не стирают данные с этих карт до их выдачи следующему постояльцу. Обычно они хранится в ящике у стойки регистрации с ВАШЕЙ ИНФОРМАЦИЕЙ НА НИХ!!!
Суть в том, что вам следует брать карты себе или уничтожать их! НИКОГДА не оставляйте и НИКОГДА не сдавайте их на стойке регистрации при отъезде из отеля. Плату за них с вас не возьмут»280.
По поводу правдивости того, что написано в этом письме, было много споров281. По-моему, это полная чушь.
Указанная информация, безусловно, может храниться на ключ-карте, однако это кажется слишком неправдоподобным даже мне. В отелях для каждого постояльца используется что-то вроде токена, числового идентификатора. Связать этот токен с конкретным постояльцем можно только при наличии доступа к серверу, используемому для выставления счетов.
Я не считаю, что вам нужно собирать и уничтожать старые ключи, однако вам, вероятно, все равно захочется это сделать.
Вот еще один распространенный вопрос, касающийся защиты ваших данных во время путешествия: что зашифровано в штрих-коде в нижней части вашего билета на самолет? Что он может о вас рассказать? По правде говоря, не так уж и много, если вы не участвуете в программе поощрения часто летающих пассажиров и не имеете идентификационного номера в ней.
Начиная с 2005 года Международная ассоциация воздушного транспорта (Air Transport Association, IATA) решила использовать посадочный талон со штрихкодом, поскольку применение посадочных талонов с магнитной лентой требовало слишком больших затрат. Согласно оценкам, это должно было позволить сэкономить 1,5 млрд долларов США. Кроме того, использование штрих-кодов на авиабилетах позволяет пассажирам загрузить свой билет из Интернета и распечатать его дома или использовать при посадке вместо него смартфон.
Излишне говорить, что эта измененная процедура потребовала введения некоего стандарта. По словам исследователя Шона Юинга, в штрих-коде на типичном посадочном талоне зашифрована довольно безвредная информация: имя пассажира, название авиакомпании, номер места, аэропорт отправления, аэропорт прибытия и номер рейса282. Однако наиболее чувствительной частью штрих-кода является ваш номер часто летающего пассажира283. В настоящее время все авиакомпании защищают учетные записи клиентов на своих веб-сайтах персональными паролями. Номер часто летающего пассажира — это, конечно, не номер социального страхования, но все равно его обнародование представляет собой нарушение конфиденциальности ваших данных.
