Скрытые сообщения, функции или шутки в приложениях и на веб-сайтах обычно называют на хакерском жаргоне пасхальными яйцами. Главная задумка – их нужно находить и получать от них удовольствие, но они не должны быть очевидными сразу.
Одной из самых известных пасхалок в истории коммерческого программного обеспечения, если не самой сложной, был скрытый имитатор полета (это правда!) в Microsoft Excel 97.
How to fly in Excel 97. Open New workbook. Hit F5
. Type in L97:X97 [Enter][Tab]
. Ctrl-Shift-Click on the Chart Wizard icon. Fly using mouse. Hit [Esc]
to end.
Иногда, что забавно, не игры спрятаны в бизнес-приложениях, а бизнес-приложения в играх.
Одна из самых известных компьютерных игр в истории программного обеспечения, первая версия Тетриса для IBM PC, имела скрытую электронную таблицу в качестве пасхалки, или, точнее, в качестве режима босса.
Режим активировался клавишами «босса», часто Ctrl-B или Alt-B, чтобы их можно было быстро нажать и выскакивало пасхальное яйцо в виде электронной таблицы, предназначенной для отвлечения внимания.
Эта пасхалка была предназначены для того, чтобы мгновенно показать экран монитора таким образом, чтобы это выглядело как настоящая работа, если бы ваш босс внезапно появился на горизонте.
Как вы понимаете, скрытый и недокументированный код такого рода в наши дни не так распространен, потому что это не очень хорошо с точки зрения кибербезопасности
В конце концов, если за каким-то эзотерическим заклинанием с использованием клавиатуры и мыши скрывается целый авиасимулятор (в Word 97 пасхальное яйцо было игрой в пинбол), насколько хорошо он был протестирован?
Насколько тщательно был рассмотрен код? Насколько официальным был процесс добавления кода в дерево исходных текстов? Что еще подсовывали разработчики и что вообще не заметили? Знал ли человек, одобривший цифровую подпись поставляемого программного обеспечения, о существовании кода пасхального яйца? Имеют ли клиенты право на официальную поддержку и исправления для пасхального яйца? Если нет, то почему?
При этом даже самая последняя версия Microsoft Edge содержит откровенно секретную игру для серфинга, к которой вы можете получить доступ, посетив специальный URL-адрес edge: // surf:
Что ж, оказывается, что новый веб-сайт Белого дома 2021 года также добавил объявление о вакансии, предположительно в надежде получить некоторую публичность и привлечь соискателей на работу в Цифровую службу США (USDS).
USDS описывает себя как часть государственной службы, целью которой является использование «дизайна и технологий для предоставления более качественных услуг американскому народу», и его цель состоит в том, чтобы привлечь хотя бы некоторых из тех технофилов, которые в противном случае присоединяться к миру коммерческих облачных продуктов и услуг.
Предположительно, это те люди, к котором USDS надеялся обратиться со своим последним объявлением о вакансии, которая была встроена в виде HTML-комментария вверху каждой веб-страницы на сайте Белого дома новой администрации:
Забавно, но HTML-код на главной странице веб-сайта USDS в настоящее время также содержит пасхальное яйцо в виде комментария, но это просто пасхальное яйцо, а не объявление о вакансии:
Пасхальное яйцо на домашней странице USDS.
«Познакомьтесь с крабом Молли, нашим неофициальным талисманом».
О чем это свидетельствует
Такие пасхальные яйца – хорошее развлечение, учитывая, что они предназначены для поиска и не содержат никакой информации, которая должна быть конфиденциальной
Но они преподают нам важный урок кибербезопасности о внедрении подлинных секретов, таких как зашитые пароли и бэкдоры: НЕ ДЕЛАЙТЕ ЭТО!
Как ясно из этого случая, учитывая, как быстро он был замечен и обнародован, попытка сохранить цифровые секреты, полагаясь только на то, что их «не заметят», не защитит вас вообще.
Как только бэкдор в вашей системе обнаружен, вы должны предполагать, что весь мир знает о нем.
Действительно, эта пасхалка доказывает, как быстро скрытые новости могут стать достоянием общественности.
С момента первого появления объявления прошло менее 48 часов, но ссылка в «скрытом» комментарии уже была изменена, поэтому вы переходите на главную страницу USDS, а не на страницу заявления о приеме на работу.
Мы предполагаем, что это связано с тем, что USDS очень быстро получил намного больше заявок, чем планировалось.
Получить консультацию по вопросам кибербезопасности и защиты информации можно в компании InfoTel – IT-интегратор с опытом реализации IT-решений с 2004 г. InfoTel - практический опыт в сфере организации информационной безопасности в локальных и корпоративных сетях. Проектирование и внедрение современных решений по информационной безопасности и защите информации, настройка под индивидуальные бизнес-задачи.
По материалам компании Sophos