Мессенджеры: добро или зло?

До сих пор не приходилось встречать коммерческую организацию, где была бы запрещена электронная почта. Напротив, Skype запрещен очень много где (видимо, из-за того, что не знают о существовании нашего замечательного SkypeSniffer, с помощью которого можно и слушать переговоры через него, и читать переписку). А вот к мессенджерам ("аське", Mail.ru Агенту и т.д.) отношение везде неоднозначное. Почему?

Потому что у них много и плюсов, и минусов. Ну и еще потому что работать без них, в отличие от той же электронной почты, вполне можно, а репутации "вражеской программы непонятного назначения", которая есть у Skype, у мессенджеров нет. Смешно сказать, что приходилось даже слышать от одного достаточно толкового в остальном безопасника, что Skype пересылает переписку и голосовые данные в Америку, где  те складываются и потом спокойно анализируются спецслужбами. Про "Аську, которая, в отличие от глубоко пирингового Скайпа действительно пересылает данные "за бугор", такого он не говорил, что есть симптоматично.

У мессенджеров есть плюсы, и умные компании стараются их использовать. Системы мгновенного обмена сообщениями позволяют заметно сэкономить время сотрудников на походы из комнаты в комнату в случае необходимости срочного получения какого-либо документа или другой информации. При этом, в отличие от звонка через мобильный это почти бесплатно, и последнее преимущество становится особенно ощутимым в роуминге.

Самое интересное, что, по моим наблюдениям, чаще всего мессенджеры в компании становятся жертвой вовсе не борьбы за информационную безопасность, а за трудовую дисциплину - как, кстати, и всякие "Одноклассники". Только последние, в отличие от месседжеров, не несут реальной рабочей нагрузки, и нужны по-настоящему разве что представителям служб по связи с общественностью.

Моё мнение, блокировать мессенджеры бессмыссленно, потому что тот, кому нечего делать, может и пасьянсом заняться. А вот тот, кто хочет выболтать корпоративные секреты, уже может воспользоваться, в случае их запрета, куда более трудно поддающемся контролю мобильным телефоном.

Р. Идов,

аналитик компании SearchInform

Чисто психологический момент

Почему-то, когда говорят об утечках конфиденциальных данных, речь заводят исключительно об экономических аспектах, и практически никогда - о сугубо психологических. То есть, говоря русским языком, о том, сколько любая утечка информации несет с собой геморроя головной боли. А, между тем, думаю, что аргумент получился бы ничуть не менее убедительный, чем потерянные миллионы, а в ряде случаев даже и с лихвой бы их перекрыл.

На самом деле, если рассказать руководителю о  том, что ему не просто придется расстаться со значительной частью дохода компании, но ещё и получить такую нервотрепку, по сравнению с которой любая проверка из налоговой покажется цветочками, то он должен проникнуться важностью защиты от утечек. Вопрос только в одном: почему мы об этом никому не рассказываем?

Вот коллеги-конкуренты из Websence озадачились, похоже, тем же самым вопросом, поскольку провели весьма полезное и любопытное исследование, результаты которого опубликовали в отраслевых СМИ. Главный вывод из собранных Websence данных таков: "ИТ-менеджеры считают, что развод или потеря работы приносят меньше стресса, чем обязанность следить за конфиденциальными данными компании".

Что ж, весьма поучительные данные, если задуматься. Теперь желательно сделать видеоинтервью с каким-нибудь замученным менеджером, пострадавшим от утечки информации, рассказывающим, что после неё жизнь его превратилась в кошмар, и ему требуется помощь психоаналитика, чтобы вернуть её хотя бы в подобие прежнего русла. Такое интервью будет действовать на менеджеров совершенно безотказно.

Р. Идов,

аналитик компании SearchInform

Так все-таки, нужна ли "остановка"?

Со дня на день (а может, уже прямо и сегодня) наша компания выпустит новую версию SearchInform EndpointSniffer с поддержкой блокировки передачи электронной почты. Уже сейчас предвижу шквал возласов со стороны скептиков: "Ага, все-таки и вы тоже реализовали это! Значит, всё-таки не бывает DLP-системы без остановки, она нужна всем!" Нужна-то, может и нужна, да только не так часто, как может показаться.

Случаев таких совсем немного, и поэтому мы все их разберем:

1) Нужно установить драконовские меры безопасности, чтобы ничего не утекло. Кажется, что если тормознуть трафик, то и утечь данные не смогут. На самом деле, если кому-то очень сильно нужно, чтобы они всё-таки утекли, то они, поверьте, обязательно утекут. И если вы сегодня остановите почту, запретите запись на флэшки, отрубите Скайп, то нет никакой гарантии, что завтра сверхсекретный документ просто не сфотографируют.

2) Нужно не допустить утечку критически важных данных. Такие данные обычно составляют около 1% от общего объема информации, которй организация хочет защитить от утечек. Конечно, остановка тоже ничего не гарантирует (см.выше), но зато даёт дополнительный барьер, что несколько уменьшает риски.

3) Нужно, чтобы система формально соответствовала некоторым представлениям о "прекрасном". Здесь остановка играет роль фальшрешетки радиатора на современных автомобилях: вроде и не нужна, но без неё не покупают.

Есть еще пара случаев, но в основном требования заказчиков сводятся к пунктам 2 и 3. Поэтому мы не отказываемя от мысли что остановка трафика, в принципе, не очень-то и нужна при грамотной работе с персоналом, но она нужна когда систему покупают. Пусть ею потом никто и не будет пользоваться. Ну а как говорится, клиент всегда прав.

Р. Идов,

аналитик компании SearchInform

Гострояны: а если бы у нас?

Всё никак не может затихнуть скандал, связанный с государственным применением троянских программ в Германии. В общем-то, ничего удивительного нте ни в применении, ни в том, что  публика так глубоко возмутилась. Интересно только, что было бы, если бы вместо Германии подобное обнаружилось в России.

Лично мне думается, что несмотря на все те прогрессивные изменения, которые наблюдаются в сфере информационной безопасности в последние годы, наши сограждане пока ещё не очень-то серьезно относятся к таким вщам, как приватность, персональные данные и далее по списку. И, положа руку на сердце, вряд ли когда-нибудь мы в этом плане достигнем тех же результатов, что и Европа: там подобные, если хотите, культурные ценности, формировались десятками лет. У нас же до сих пор чувствуется влияние советской эпохи.

Так что у нас скандал такого масштаба был бы в принципе не возможен. Почему? Да потому что не будет самого необходимого предмета большого скандала - шока среди широких масс. Они давно готовы морально к такому повороту событий, тем более что те же СОРМ и борьба под флагом СОРМа со Скайпом уже вполне подготовили народ и к более "интересным" вещам.

И в самом деле, а стоит ли немцам так переживать по поводу правительственных троянов у себя на компьютерах? Ведь наверняка у многих из них, если не у большинства, есть и без того замечательные и весьма густонаселенные зоопарки всякой малвари, невозбранно крадущей их данные и сшпионящей за ними. Так не все ли равно, кто именно выпустил очередной троян?

Но в том-то и дело, что не все равно. Государство - оно не просто так, оно гарант прав и свобод граждан. И когда оно начинает делать что-то не так с этими правами и свободами, то народ закономерно теряет доверие к такому государству. И тогда может быть как в Ливии, или, во всяком случае, как в Тунисе. Думаю, немцы, конечно, до такого не дойдут, но звоночек для них тревожный. У нас же народ сам, фактически, отказался от некоторых европейских прав и свобод, так что и нарушения их, с точки зрения общества, не будет.

Мораль: Россия - это вам не какая-нибудь там Германия.

Р. Идов,

аналитик компании SearchInform

Вопрос в эффективности

Еженедельно, если не чаще, появляются сообщения об очередном "выловленном" и понесшем заслуженное наказание спамере. В русскоязычной прессе такие сообщения появляются реже, в англоязычной - чаще (что и не удивительно, учитывая лидирующие позиции России в мировом спаме). Но каждый раз, когда я читаю такую новость, у меня напрашивается вопрос: а насколько эффективна поимка спамеров? Способна ли она всерьез ослабить позиции спам-индустрии?

Позволю себе провести параллель между спамерами и сотрудниками, продающими конфиденциальную информацию, которых по-русски принято называть инсайдерами. В отличие от первых, вторые несут прямую угрозу среде, в которой действуют, но при этом масштабы их дейстувий несравнимо меньше, в том числе и в денежном эквиваленте. Соответственно, инсайдеров и ищут усерднее, и поймать их заметно проще хотя бы даже просто за счет того, что масштаб даже очень круной компании не сравним с масштабами Всемирной паутины.

Так вот, к чему это я? К тому, что если инсайдер - вор, то спамера можно скорее назвать незаконным предпринимателем, причем "мелконезаконным", не дотягивающим по тяжести  злодеяния даже до содержателя публичного дома, не то что до наркоторговца. Возможно, если бы государство не запрещало спам, а сделало его легальной отраслью, то спамеров и вовсе привлечь могли бы максимум за неуплату налогов. И конкурсы бы проводили: "Лучший спам-предприниматель Тамбовской области".
Если поимка инсайдера (и это подтверждается многочисленными фактами) действительно становится неплохой прививкой против процветания инсайдерства как явления в коллективе, то в случае со спамерами всё обстоит совершенно иначе. То есть, действительно эффективными становятся меры против  целых провайдеров, но в эпоху ботнетов и это не очень работает. По сути, поимки спамеров - не более чем желание властей показать, что со спамом действительно идет борьба. Она-то идет, кто ж спорит. Только кто в ней побеждает?..
Р. Идов,
аналитик компании SearchInform

Интернет, живущий своей жизнью

Думаю, после изобретения компьютерных вирусов, живущих совершенно автономной жизнью, размножающихся и распространяющихся независимо от людей по темным закоулкам полупроводников, никого не удивляет уже другая самостоятельная активность компьютеров. Вот уже и интернет на радость ленивым становится более и более самостоятельным, а значит и все менее зависящим от воли пользователя.

К чему это я? А к тому, что вскоре "Одноклассники", столь любимые офисным планктоном нашей страны, введут одну совершенно замечательную "фишку", подсмотренную ими на Facebook. Речь идёт об автоматическом распознавании лиц на фотографиях и не менее автоматическом "отмечании" профилей тех, кого удалось распознать. Технология, понятное дело, разрабатывается не самими "Одноклассниками", и даже не "Фейсбуком", а сторонней компанией, но речь сейчас не о ней.

Речь даже и не о том, насколько это сложная технология. И даже не о том, какова вероятность неправильного распознавания того или иного лица в зависимости от качества фотографии. А о том, какие нарушения приватности подобного рода функция может повлечь. Ведь, согласитесь, далеко не все фотографии из тех, на которых вас могут отметить, стоит показывать широкой публике, которая "дружит" с вами в социальных сетях. Например, тому же начальству (о дружбе с ним в соцсетях можно вообще говорить долго и со вкусом, но как ни крути, у многих оно в друзьях).

Казалось бы, проблемы нет, с настройками приватности можно добиться того, что никакие сервисы автоматического распознавания лиц не будут страшны. Но проблема в том, что большая часть пользователей предпочитают не ковыряться в настройках, а оставлять всё по умолчанию, то есть, в данном случае, никто не запретит роботу отметить вас на каких-то "интересных" фото (и не факт что именно вы там и есть). И пользователь, нормальный среднестатистический пользователь, полезет в настройки уже только после того, как гром грянет. И если в цивилизованной Америке можно будет хотя бы получить моральное удовлетворение, засудив Facebook, то у нас "Одноклассники" вряд ли серьезно пострадают из-за нового сервиса.

Р. Идов,

аналитик компании SearchInform

Конкуренция - двигатель прогресса

На блоге Алексея Лукацкого интересная презентация про "Апокалипсис российской ИБ". Там много и сразу про всё, и, безусловно, презентация полезна и даже обязательна к ознакомлению для каждого, кто так или иначе связан со сферой информационной безопасности.

Всю презентацию комментировать не буду, потому что этому можно посвятить целую монографию. Хотел бы немного остановиться на одном из первых слайдов, где говорится об "укрепляющемся положении зарубежных производителей на отечественном рынке ИБ". В общем-то, поскольку г-н Лукацкий работает в одном из таких производителей, Cisco, то в подобном заявлении нет ничего странного. Более того, я вполне допускаю, что в среднем по больнице по ИБ-индустрии в России подобная тенденция действительно наблюдается. Однако если делить ИБ на сегменты, и смотреть на каждый из сегментов в отдельности, то можно заметить, что не везде всё так плохо. Во всяком случае, если говорить о защите от утечек информации, то здесь до сих пор зарубежные вендоры отстают от отечественных, пусть даже Anti-Malware и думает иначе (у них вообще довольно своебразное представление о том, что можно считать средством защиты от утечек).

В чем причина? Причина в том, что подобного рода продукты нуждаются в очень качественной поддержке русского языка таким важным компонентом, как аналитический модуль. А продукты, которые разработаны изначально под англоязычные документы, почему-то с русским языком заводить крепкую и прочную дружбу совсем не спешат. В связи с этим и те, кто не просто выбирает по бренду, а реально оценивает работоспособность продукта, нередко остается недоволен зарубежными разработками.

Да и во многих других сегментах (антивирусы, файрволлы, антиспам и т.д.) позиции российских разработчиков также весьма прочны. Конечно, нельзя мешать end-user-продукты с enterprise-решениями, но на самом деле сегментов, где российские разработчики средств ИБ имеют хорошие позиции и демонстрируют уверенный рост.

Хотя, спору нет, конкуренция достаточно серьезная, и выдерживают её не все. Но бить в набат (по крайней мере, по этому поводу) не стоит.

Р. Идов,

аналитик компании SearchInform

Не мешает поучиться

Что ни говори, а все-таки в такой сфере, как информационная безопасность, заимствование чужого положительного опыта - весьма эффективная тактика, потому что каждые "грабли", наступая на которые, как известно, приобретаешь опыт, обходятся очень и очень дорого. Соответственно, нужно использовать любую возможность обойти "грабли" при помощи чужого опыта - благо, возможностей таких предостаточно.

Вообще, как показывают жизненные наблюдения, чем более прописную истину требуется постичь экспериментальным путем, тем более тернистым этот путь оказывается. И иногда для того, чтобы понять смысл защиты конфиденциальных данных, требуется получить ущерб от утечки, эквивалентный сотне-другой тысяч "вечнозеленых". Хотя можно было бы их сэкономить, просто проконсультировавшись с теми, кто уже бывал в такой ситуации. Или прочитать об их опыте - благо, таких публикаций в сети более чем достаточно.

Другой пример - инструктаж по соблюдению политик информационной безопасности. Казалось бы, азы, ничего сложного в том, чтобы его провести, не может быть в принципе. Но что имеем на практике? В каком количестве компаний он реально проводится? Наши данные говорят о том, что он есть примерно в 70% организаций, мои личные наблюдения - о половине. Но ведь такая простая вещь должна быть в 100% организаций. Что нужно делать для того, чтобы руководители действительно задумались о необходимости такого инструктажа? Очевидно, показывать всё на личном примере. Как, например, это делает Symantec.

Как говорит CIO Symantec, обеспечение безопасности данных компании не ограничивается использованием программно-аппаратных средств: одним из ключевых элементов политики ИБ является "обработка" персонала. "Мы тщательно инструктируем сотрудников по вопросам безопасности, просвещаем в области обеспечивающих ее технологий и их использования - так, чтобы весь персонал являлся частью корпоративной ИБ-системы", - рассказывает CIO Symantec.

Думаю, было бы совсем не плохо, если бы компании проводили бы какие-то тренинги, в которых рассказывали бы о том, как именно стоит инструктировать персонал по поводу соблюдения политик ИБ. Это было бы точно заметно более полезно, чем "страшилки" об утечках данных или вирусах, которые любят в нашей индустрии.

Р. Идов,

аналитик компании SearchInform

Фишинг как способ компрометации конкурентов

Фишеры любят слать письма от имени каких-нибудь весьма и весьма известных и популярных контор, чем, надо сказать, немало подрывают их репутацию для далеких от ИТ и ИБ пользователей. Ну представьте сами, как некая гипотетическая домохозяйка может дальше доверять Фейсбуку после того, как при переходе по ссылке из письма от него она получила вредоноса, заблокировавшего напрочь вход в Window. Ну, а если письмо пришло не от Фейсбука, а от еще менее известной конторы? Улавливаете?

Думается мне, что фишинг в обозримом будущем грозится стать наиболее популярным способом не вполне честной конкуренции в самых разных отраслях. Особенно если у того, кто занимается фишингом, окажется в руках слитая кем-то из сотрудников конкурирующей компании база клиентов. Тогда и результаты фишинга будут превосходить все ожидания, ведь вряд ли кто-то из клиентов, далеких от понимания реалий информационной безопасности, будет всерьез разбираться, прав или не прав тот, от чьего имени рассылаются письма с вредоносным кодом. Опять-таки, и заверения пострадавшей стороны о том, что рассылка - вовсе не его рук дело, также вряд ли будут всерьез приняты во внимание.

Так что в ближайшем будущем должна появиться новая подотрасль в сфере обеспечения информационной безопасности: защита от фишинговых атак для того, от чьего лица рассылаются фишинговые письма. Сложно пока сказать, как это всё будет реализовано, но по законам экономики, спрос рождает предложение, а спрос на такие услуги будет, значит, и появление предложения неизбежно.

Р. Идов,

аналитик компании SearchInform

Наконец-то добрались и до QR-кодов

С того самого момента, как ваш покорный слуга услышал о QR-кодах, он всё ждал, когда же наконец вирусописатели и прочие злоумышленники начнут с их помощью распространять свою малоприятную продукцию. Что ж, свершилось, эти ребята не обманули моих ожиданий. Хотя, стоит признаться, чтобы воплотить в жизнь идею, лежавшую на поверхности, понадобилось довольно много времени.

Да, вы можете с помощью вашего смартфона сосканировать QR-код, а он перенаправит вас на URL с вредоносным файлом (APK или JAR). Такие QR-коды существуют и пользуются все большим спросом. Сегодня люди, которые пользуются смартфонами, часто ищут программное обеспечение для своих устройств с помощью обычного компьютера. Если пользователь находит что-то интересное, то для того, чтобы загрузить это в смартфон, он должен вручную ввести URL в браузер своего телефона. Это не очень удобно, поэтому такие веб-сайты имеют QR-коды, которые легко сканируются, пишет securelist.

Все-таки смартфоны, несмотря на всё их удобство, несомненно являются злом с точки зрения информационной безопасности. Мало того, что с их помощью очень легко вынести конфиденциальную информацию из организации, так ещё и вредоносные программы атакуют их не хуже, чем раньше десктопы. Пусть теперь говорят, что мобильные антивирусы - это принципиально бесполезная трата денег. Схема с магазинами приложений, в которой все программы верифицируются производителем платформы, оказалась не такой уж хорошей, как казалось сначала.

Позволю себе ещё обратить внимание публики на то, что QR-вирусы (позволю себе называть их так) ориентированы на платформу Android, которая и без того уже успела отличиться в плане сбора пользовательских данных. Это только ещё больше укрепляет моё мнение о том, что Android - не самый удачный выбор для корпоративных смартфонов, да и в целом для людей, дорожащих своей информацией. Ну, а какой выбор удачен, думаю, повторять не нужно - не зря несмотря на успехи Android по-прежнему корпоративной мобильной платформой № 1 во всём мире остаётся BlackBerry.

Может быть, конечно, Google и придумает какую-то защиту от вредоносных  QR-кодов, встроенную прямо в операционную систему. Но, думается мне, что всё-таки их появление означает рост продаж для производителей мобильных антивирусных продуктов.

Р. Идов,

аналитик компании SearchInform

Героя не получилось

Давно уже не следил за судьбой WikiLeaks и его бесстрашного основателя. И вот не далее чем вчера решил, когда выдалась свободная минутка, все-таки загуглить, что же нового слышно о Джулиане Ассанже. Новости оказались, в общем-то, вполне ожидаемыми. Интерес к персоне главного "разоблачителя" солидно поулегся, и даже его автобиографию широкая публика, как оказалось, вовсе не жаждет читать. В чем же причина?

Думается мне, что сегодня количество скандалов и сплетен настолько велико в мировом масштабе, что небольшой их процент, подливаемый в общий огонь сайтом Ассанжа, оказался не таким уж и большим, как казалось вначале. С одной стороны, и действительно важная информация, как ни крути, утекает далеко не каждый день, а с другой, WikiLeaks из-за своей довольно-таки темной сущности не пользуется репутацией надежного источника информации. Что, в принципе, и правильно, потому что уж мы-то с вами понимаем, что под видом утечки информации можно скормить вероятному противнику практически любую правдоподобную дезу.

Ну и все-таки в массовом сознании нет того массового недовольства властями, секреты которых раскрывает Ассанж, чтобы всерьез и надолго начать считать героем того, кто, по сути, копается в грязном белье властьимущих на радость разным газетчикам и телерепортерам. Поэтому, в своё время достаточно "наигравшись" с персоной Ассанжа, публика вернулась к своим делам, в то время как самому Ассанжу нужно продолжать поддерживать интерес к себе.

Посмотрим, конечно, как дальше будут развиваться события, но что-то мне подсказывает, что пик популярности WikiLeaks уже далеко позади...

Р. Идов,

аналитик компании SearchInform