28 февраля 2011

Монетизация смерти


— Все государственные служащие, — объяснил Мелит, — носят медальон — символ власти, начинённый определённым количеством тессиума — взрывчатого вещества, о котором вы, возможно, слышали. Заряд контролируется по радио из Гражданской приёмной. Каждый гражданин имеет доступ в Приёмную, если желает выразить недовольство деятельностью правительства. — Мелит вздохнул. — Это навсегда останется чёрным пятном в биографии бедняги Борга.
— Вы позволяете людям выражать своё недовольство, взрывая чиновников? — простонал испуганный Гудмэн.
Роберт Шекли. Билет на планету Транай.
Что характерно, ввод фразы «политика убийств» в гугль – забивает всю первую страницу ссылками на идею Джима Белла или её обсуждение. То же действие в яндексе не приводит даже к приблизительно близким результатам. Но оставим конспирологию и вернёмся к технологии.
Технология работы описана неоднократно. Более того – технически реализуема современными средствами. Но не реализована до сих пор. Если почитать обсуждения этого предмета – то 90% сводятся к маниловским мечтаниям на тему, какая жизнь настала бы тогда, остальные 10% - что это невозможно потому, что мы, дескать, убьём лучших и скатимся в варварство.
На практике нереализуемость идеи совсем в другом. Невозможность её реализации «с открытым кодом». Собственно, даже открытый код полностью не защищает от наличия чёрных ходов. «Тотализатор» же придётся делать закрытым, во избежание перехвата контроля над ним. А кто будет сторожить сторожей?
Самая простая схема мошенничества с использованием этой схемы – это просто сбор заведомо анонимизированных платежей в целях личного обогащения. Причём и ставки можно объявлять, и рейтинги вести, и даже сообщать о выплатах «предсказателям» в случаях, когда ни одна организация не взяла на себя ответственность, как, например, в случае с Качиньским. И она вполне будет работать до первого сбывшегося «настоящего» предсказания. А может, и некоторое время после, предсказателю малополезно поднимать встречную пиар-акцию.
Более сложная – просто таки украдена из голливудского сценария. На первом этапе владелец тотализатора играет честно и зарабатывает баллы популярности. А дальше – начинает эмитировать деньги в систему по схеме излюбленной финансовыми пирамидами и рядом (нац)банков. То есть просто вручную назначать рейтинги, не имея реальных средств на счету «объекта». А после выполнения «заказа» покрывать его оплату со счетов других объектов.
Вот потому-то никто такое ПО и не пишет. Простой «донор» - он как собака. Интуитивно понимает, а сказать не может. А система всё-таки нацелена на умных. Потому пока проще делать деньги на дураках – «отправь СМС и узнай свою судьбу». Опять же – и от представителей власти откупиться проще.
Александр Ерощев
специалист по информационной безопасности компании SearchInform  

25 февраля 2011

Психология преступника


- Семене, давай москаля поб’ємо!
- А якщо він нас?
- А нас за що?
Неполиткорректный анекдот
Несмотря на то, что господь создал нас равными, а полковник Кольт сделал ещё равнее – психология преступника довольно сильно отличается от психологии обывателя. В это трудно поверить, но так оно и есть. Лет семь назад одна моя знакомая стала жертвой уличного ограбления, потеряв с приличную сумму денег и некоторое количество золота. Расставшись с вышеуказанным, она логично рассудила: «Если бы я была преступником, то продала бы золото в другом городе, лица я не рассмотрела, так что поймать бандитов нереально». И, решив не отвлекать милицию на борьбу с заведомо нерешаемой задачей – пришла домой и легла спать. Через пару дней об инциденте узнал я, сообщил знакомому милиционеру… и нарвался на гневную проповедь, на тему «сказано - немедленно звонить 02 – звони, а думать – наша забота!». На мой вопрос, а что бы в таком случае сделала милиция – просветил меня, что сразу бы проверила ближайшие ломбарды на предмет появления свежего золота. Это простейшее действие, если успеть в первую пару часов – даёт результативность порядка 80%. То есть четыре из пяти грабителей ведут себя как персонажи mmorpg и немедленно тащат всю добычу к ближайшему торговцу. Я это так и не смог понять, сумел только запомнить.
Тем не менее, как выяснилось, у меня оставались насчёт преступников, использующих высокие технологии. Уж они-то, казалось бы, не должны попадаться так просто, образование другое. Да. А психология – та же. Последний анекдотический случай – тому прямое подтверждение. Группа не то хакеров, не то социальных инженеров из города Коломыя сумела получить доступ к базе данных одного из банков. По официальной версии банк был американский, впрочем, ряд признаков указывает на украинский. Но это неважно. Важно то, что используя полученную информацию, злоумышленники сумели создать клоны кредитных карт ряда клиентов банка. Какие были дальнейшие действия? Правильно, кардеры перешли через дорогу и купили тележку еды в ближайшем супермаркете. Через неделю, видимо, когда еда кончилась, они, с той же карточкой, пошли в тот же супермаркет. Карточка оказалась заблокированной. Пацаны не растерялись и ушли домой за следующей. А когда принесли её, их уже ждали работники СБ банка, подкреплённые нарядом милиции.
Какие выводы из этого должен делать информзащитник? Первый, как завещал великий Паретто – даже 20% функционала защитных систем – перекроют 80% утечек. Второй – когда нарушитель ведёт себя как все – он слабоуловим. И третий, являющийся выводом из второго. Если большинство пользователей нарушает правила системы – следует менять систему, а не переучивать пользователей.
 P.S.  Когда верстался номер – мне изложили версию, что пацаны нормальные, просто таким хитрым способом они привлекали внимание спецслужб и работу искали. Может быть. Но я бы на работу их не взял. Слишком велик шанс, что они просто идиоты.
Александр Ерощев
специалист по информационной безопасности компании SearchInform  

24 февраля 2011

Преступление и наказание (не совсем по Достоевскому)

Каким образом нужно реагировать на инциденты в области информационной безопасности, являющиеся, по большому счёту, в львиной доле случаев просчетами персонала? Русский менталитет подсказывает, что правильным ответом будет "настучать по голове виноватому и запретить всё нафиг, чтобы неповадно было". Что, собственно, в большинстве случаев и делается, как то ни прискорбно.
А ведь правильным ответом должно быть "проанализировать ситуацию, а затем уже делать выводы и принимать меры". И меры принимать тоже вдумчиво - если утечка не злонамеренная и не самая критичная для бизнеса, то инструктаж работников может дать гораздо более желательный для работодателя эффект, чем "стучание по голове".
В качестве примера хочу привести недавно появившуюся новость от том, как это делается "у них":
"Потеряв 21 анкету для получения гражданского паспорта Идентификационная и паспортная служба (ИПС) Великобритании получила от Управления по информационной безопасности (УИБ) лишь строгий выговор.
Согласно источнику, утечка произошла еще в мае прошлого года. Тогда паспортная служба сразу поставила в известность управление, а также граждан, чьи данные были потеряны.
По словам главы надзорного отдела УИБ Мика Горрила, управление было обеспокоено этим происшествием, однако благосклонно отнеслось к организации, поскольку надлежащие меры для предотвращения подобных инцидентов в будущем были предприняты достаточно быстро.
В результате глава паспортной службы Сара Рапсон подписала обязательство о том, что сотрудники пройдут обязательное обучение политикам информационной безопасности по хранению и работе с персональными данными. Кроме того ИПС будет обязано регулярно контролировать соблюдение правил безопасности при работе с конфиденциальной информацией, а так же корректность работы устройств по обработке данных
".
Что было бы у нас? Думаю, что ответ очевиден. Обязательно бы "полетели головы", была бы показательная порка виновных (и всех тех, кого сочли таковыми), куча слов о том, что нужно сделать для укрепления безопасности и... как то ни странно, никакого улучшения ситуации в целом. Поэтому, дорогие безопасники, давайте вместе поучимся у зарубежных коллег тому, как нужно реагировать на инциденты недорогие и малозначимые, чтобы проводить реальную профилактику действительно опасных и значимых инцидентов.
Р. Идов, 
специалист по информационной безопасности

23 февраля 2011

Кто ищет – тот всегда найдёт


Блаженны ищущие и алчущие правды, ибо они правду узрят…
Иисус
Что есть истина?
Пилат

Ещё одна фраза, которую я часто слышу от сотрудников безопасности – «на всех сразу тестировать не будем, протестируем самых подозрительных». А на каком основании они подозрительные-то? Ведь доказанных нарушений за ними пока нет? В то же время некто, находящийся на хорошем счету – вполне может быть крысой. Родственник руководителя? Совладелец бизнеса? Не аргумент. Видели и таких, не волнуйтесь. Последний удививший меня случай – это когда отец кинул на деньги сына. Чему после этого удивляться – я даже не знаю.
Вспоминается ситуация из школьных дней. В учебнике математики была опечатка. На страничке с ответами. И именно эту задачу милейшая Раиса Павловна задала в качестве самостоятельной работы, умышленно позволив пользоваться учебником. Больше половины из нас сумели получить «верный» ответ. Тот, что в учебнике. Вторую половину урока мы посвятили тому, что молчали и думали…
По-умному это называется теорией стигмы. Состояние наблюдаемого зависит от позиции наблюдателя. Поставьте эксперимент. Поручите одному заму к концу недели предоставить рапорт на повышение случайно выбранного сотрудника. А второму предоставить – рапорт на увольнение того же сотрудника. С обоснованиями и в обстановке строжайшей секретности. Оба – предоставят. Более того, в течение недели понаблюдайте за изменениями в поведении обоих в отношении указанного товарища. Будет интересно.
Потому в некоторых организациях приняты встречные проверки. Решили поощрить – даём поручение проверить его негативно настроенному сотруднику. Решили наказать – напротив, проверяет «адвокат дьявола». Например, в практике одного из наших клиентов был случай, когда некий логистик регулярно отправлял грузы по экономически неоптимальному маршруту. Что однажды было замечено службой финансовой безопасности, которая сделала из происходящего однозначные выводы. А вот проведённая встречная проверка, использовавшая данные контура информационной безопасности – показала несколько иные результаты. Сотрудник действительно принимал неоптимальные решения… но исходя из заведомо ложных данных, которые ему предоставлялись другим сотрудником. Справедливость восторжествовала, порок наказан, но… к сожалению, это чуть ли не единственный известный мне случай применения DLP в «мирных» целях.
И мы ещё удивляемся неприятию работниками внедрения систем. Безопасность должна быть щитом, равно прикрывающим всех. А не только мечом, карающим «особо достойных». Как только сотрудник будет знать, что внедрение системы защитит его от подковёрных интриг, а то и даст шанс карьерного роста на основании собранных ею данных – сотрудник сам пожелает её. Вот только действий инфозащитников в этом направлении я не вижу…
Александр Ерощев
специалист по информационной безопасности компании SearchInform  

21 февраля 2011

И снова о WikiLeaks...

Пока немного поутихли страсти вокруг WikiLeaks, можно собраться с мыслями и немного проанализировать результаты деятельности конторы, созданной господином Ассанжем. И сделать кое-какие предположения относительно её будущего, которое представляется в свете некоторых недавно всплывших сведений не таким уж и безоблачным...
Натолкнула меня на размышления одна весьма интересная публикация, рассказывающая об опыте работы весьма известной газеты с информацией, которая передавалась ей Ассанжем и компанией. В общем-то, ситуация вполне закономерная - американские СМИ просто вынуждены, в отличие от самой WikiLeaks, "консультироваться" по поводу уходящих в массы документов. И здесь, наверное, дело не только в санкциях, которые последовали бы за публикациями, не санкционированными "сверху", но во многом и в знаменитом американском патриотизме, заставляющем ежегодно на День независимости вывешивать перед домом флаг и делать другие не менее странные с точки зрения постсоветского человека действия.
Так вот о WikiLeaks. Сейчас, когда из сенсации этот сайт превращается, в общем-то, в рядовое информационное агентство, которое, хотя и предоставляет достаточно большое количество "жареных" фактов, уже не способно вызвать такую бурную истерию при одном своём упоминании, а сложности в работе, связанные со спецификой контента, и заключающиеся в согласовании публикаций по его мотивам со спецслужбами, всё равно останутся. Таким образом, СМИ за право опубликовать уже не такой интересный контент будут иметь прежнюю порцию головной боли, что, очевидно, будет способствовать снижению интенсивности потока контента со стороны WikiLeaks в СМИ.
В свою очередь, иссыхающий ручеек контента означает и иссыхание денежных поступлений, на которые существует мировая организация правдорубов. Улавливаете мысль? Очевидно, что чем меньше денег будет у WikiLeaks, тем меньше информаторов она сможет купить, и тем меньше у неё будет интересной для журналистов информации, а чем меньше информации, тем меньше денег, и т.д. по спирали.
Правда, мешают этим стройным рассуждением два соображения. Первое - ведь пресса есть не только в США, и та же ФСБ вряд ли будет препятствовать публикации фактов об Америке в России. А уж если говорить о всяких Исландиях, которые вообще никому ничего не должны, то становится понятным, что не так уж и быстро исчезнут у WikiLeaks заинтересованные "рупоры". Второе соображение заключается в том, что утечка, как мы все знаем, не всегда происходит за деньги, то есть часть данных всё равно будет передаваться в WikiLeaks почитателями свободы информации, просто из каких-то идейных соображений.
Поэтому копать могилу для WikiLeaks рано. Но интерес к детищу Ассанжа значительно упадёт, ситуация стабилизируется, и лишь периодически WikiLeaks будет напоминать о своей былой славе обнародованием каких-нибудь особенно громких данных.
Р. Идов,
эксперт по информационной безопасности

16 февраля 2011

Третья разновидность лжи


80% аварий совершают трезвые водители и только 20% - пьяные.
Статистика.
В соседнем блоге удивляются весьма странным показателям статистики по инцидентам. Меня этот факт удивляет несколько меньше. Я уже поднимал тему проблем остановки в одной из первых статей. И получившиеся статистические выкладки подтверждают мою теорию, что реализация остановки есть победа маркетинга над здравым смыслом.
Итак – дано. На предприятии внедрена DLP-система с остановкой конфиденциальной информации. В соответствии с логикой внедрения мы должны сразу получить пик статистики по утечкам (собственно, совпадающий с началом графика, поскольку до внедрения у нас статистики как таковой не было). После чего количество непредумышленных утечек должно сокращаться, а умышленных – и вовсе обнулиться. В абсолютных цифрах так или почти так и происходит. Лояльный пользователь пишет сообщение, оно останавливается, пользователь понимает, что об этом впредь писать нельзя. В сферическом вакууме в конечном итоге мы получим пользователя, который не допускает случайных утечек, а потому относительная доля случайных утечек в сравнении с умышленными должна падать. Но не падает. Почему?
Есть две версии. Первая – напрямую показывает ценность DLP как таковых. Если в абсолютных величинах число злонамеренных утечек уменьшается быстрее, чем случайных – то доля последних будет расти. Например, в компании «Уголок инсайдера», по данным внедрённой в начале года системы за 2009й год произошло 6 случайных утечек и 4 намеренные. Массовая доля случайных – 60%. Руководство компании сделало соответствующие выводы в отношении причастных и за 2010й год произошло всего 3 случайных утечки и 1 намеренная. И на фоне общего снижения числа инцидентов – доля случайных утечек выросла до 75%. То есть получилось как в эпиграфе.
Вторая – не исключает воздействие первой, но дополняет её. Проблемой системы с остановкой является то, что она учит. Учит, как не следует делать не только лояльного сотрудника, но и сотрудника, заведомо нацеленного на слив. И однажды – таки научит. Он будет притворяться идиотом и попадаться на мелочах до тех пор, пока система будет его останавливать. А также учиться на чужих ошибках, зафиксированных системой. Как только она его не остановит – инсайдер получит неконтролируемый службой безопасности канал. После чего, замечу, будет продолжать попадаться на мелочах, чтоб «поумнение» не показалось внезапным. На примере всё той же компании – у нас будет 3 случайных утечки, 1 намеренная распознанная и неизвестное число тех, на которые система не отреагировала вообще. Статистически мы увидим то же падение в абсолютных цифрах и тот же рост случайных в относительных. С единственной разницей. У нас в организации будет работать человек, знающий, что система по факту – не работает.
Да, я знаю, что в большинстве систем без останова – этот останов возможно отключить. И это – правильно. Я даже рекомендую это делать. Тогда система становится для злонамеренного инсайдера чёрным ящиком. Он знает, что она есть, но не знает, среагировала ли на его действия. Попал он под пристальный взгляд сотрудников инфобеза или нет? Какой из применённых каналов уже раскрыт, а какой нет? Что он вообще сливает, важные данные, или любезно подсунутый информационный шум?
Остаётся вопрос. А зачем тогда делать системы с остановом? А затем, что их очень удобно рекламировать. Наша система, дескать, предотвращает (!) утечку, а ненаши – вот нет! А позже – и прочие подтягиваются. Потому, что проще приделать так разрекламированную свистелку, чем объяснить всем и каждому, что она не помогает, а местами – даже вредит.
Александр Ерощев
специалист по информационной безопасности компании SearchInform