Приховані повідомлення, функції або жарти в додатках і на вебсайтах зазвичай називають на хакерському жаргоні пасхальними крашанками. Головний задум - їх потрібно знаходити та отримувати від них задоволення, але вони не повинні бути очевидними відразу.
Однією з найвідоміших пасхалок в історії комерційного програмного забезпечення, якщо не найскладнішою, був прихований імітатор польоту (це правда!) в Microsoft Excel 97.
How to fly in Excel 97.Open New workbook. HitF5. Type inL97: X97 [Enter] [Tab]. Ctrl-Shift-Click on the Chart Wizard icon. Fly using mouse. Hit[Esc] to end.
Іноді, що кумедно, не ігри заховані в бізнес-додатках, а бізнес-додатки в іграх.
Одна з найвідоміших комп'ютерних ігор в історії програмного забезпечення, перша версія Тетриса для IBM PC, мала приховану електронну таблицю в якості пасхалка, або, точніше, як режим боса.
Режим активувався клавішами «боса», часто Ctrl-B або Alt-B, щоб їх можна було швидко натиснути й вискакувало пасхальне яйце у вигляді електронної таблиці, призначеної для відволікання уваги.
Ця пасхалка була призначені для того, щоб миттєво показати екран монітора таким чином, щоб це виглядало як справжня робота, якби ваш бос раптово з'явився на горизонті.
Як ви розумієте, прихований і недокументований код такого роду в наші дні не так поширений, тому що це не дуже добре з точки зору кібербезпеки
Зрештою, якщо за якимось езотеричним заклинанням з використанням клавіатури та миші ховається цілий авіасимулятор (в Word 97 пасхальне яйце було грою в пінбол), наскільки добре він був протестований?
Наскільки ретельно було розглянуто код? Наскільки офіційним був процес додавання коду в дерево вихідних текстів? Що ще підсовували розробники й що взагалі не помітили? Чи знала людина, яка схвалила цифровий підпис програмного забезпечення, про існування коду пасхального яйця? Чи мають клієнти право на офіційну підтримку й виправлення пасхального яйця? Якщо ні, то чому?
При цьому навіть сама остання версія Microsoft Edge містить відверто секретну гру для серфінгу, до якої ви можете отримати доступ, відвідавши спеціальний URL-адресу edge: // surf:
Що ж, виявляється, що новий вебсайт Білого дому 2021 року також додав оголошення про вакансії, імовірно в надії отримати деяку публічність і залучити здобувачів на роботу в Цифрову службу США (USDS).
USDS описує себе як частину державної служби, метою якої є використання «дизайну і технологій для надання більш якісних послуг американському народу», і його мета полягає в тому, щоб залучити хоча б деяких з тих технофілів, які в іншому випадку приєднаються до світу комерційних хмарних продуктів і послуг.
Імовірно, це ті люди, до яких USDS сподівався звернутися зі своїм останнім оголошенням про вакансії, які були вбудовані у вигляді HTML-коментаря у верхній частині кожної вебсторінки на сайті Білого дому нової адміністрації:
Цікаво, але HTML-код на головній сторінці вебсайту USDS зараз також містить пасхальне яйце у вигляді коментаря, але це просто пасхальне яйце, а не оголошення про вакансії:
Великоднє яйце на домашній сторінці USDS.
«Познайомтеся з крабом Моллі, нашим неофіційним талісманом».
Про що це свідчить
Такі крашанки - гарна розвага, враховуючи, що вони призначені для пошуку і не містять ніякої інформації, яка повинна бути конфіденційною
Але вони викладають нам важливий урок кібербезпеки про впровадження справжніх секретів, таких як зашиті паролі й бекдори: НЕ РОБІТЬ ЦЕ!
Як зрозуміло з цього випадку, з огляду на те, як швидко він був помічений і оприлюднений, спроба зберегти цифрові секрети, покладаючись тільки на те, що їх «не помітять», не захистить вас взагалі.
Як тільки бекдор у вашій системі виявлено, ви повинні припускати, що весь світ знає про нього.
Дійсно, ця пасхалка доводить, як швидко приховані новини можуть стати надбанням громадськості.
З моменту першої появи оголошення пройшло менше ніж 48 годин, але посилання в «прихованому» коментарі вже було змінено, тому ви переходите на головну сторінку USDS, а не на сторінку заяви про приймання на роботу.
Ми припускаємо, що це пов'язано з тим, що USDS дуже швидко отримав набагато більше заявок, ніж планувалося.
Отримати консультацію з питань кібербезпеки та захисту вашої інформації можна в компанії InfoTel - IT-інтегратор з досвідом реалізації IT-рішень з 2004 р. InfoTel - практичний досвід у сфері організації інформаційної безпеки в локальних і корпоративних мережах. Проектування і впровадження сучасних рішень з інформаційної безпеки й захисту інформації, налаштування під індивідуальні бізнес-завдання.
По матеріалам компанії Sophos