30 декабря 2011

Новогоднее

Что ж, друзья, вот и ещё один год практически остался позади. Подводить итоги, наверное, особого смысла нет - они у каждого свои. О наших можно почитать здесь. Тем не менее, традиционно принято считать начало нового года каким-то своеобразным рубежом, за которым начинается что-то новое.
Сложно сказать, насколько эти ожидания оправдаются - было бы, конечно, интересно услышать в комментариях, что вы ждете от 2012-го (кроме прогнозируемого конца света, конечно же). Лично я, пожалуй, в сфере информационной безопасности ничего существенно нового не ожидаю - только закономерное развитие уже давно и хорошо известных трендов. Разве что, конечно, хотелось бы, чтобы не было неприятных сюрпризов типа Stuxnet'ов на атомных электростанциях, но, боюсь, этого как раз будет больше, чем достаточно.
Но не будем о грустном. Хочу сейчас всем вам пожелать, прежде всего, конечно, персональной безопасности и успеха в работе - ну и всех прочих составляющих жизненного успеха. Спасибо, что читаете этот блог - мы в следующем году постараемся  сделать его ещё более интересным и познавательным.
Р. Идов,
аналитик компании SearchInform

27 декабря 2011

Деавтоматизация?

Очередная новость об уязвимостях SCADA-систем. Как говорится, уже даже соскучиться успели, ничего о них не писали давненько. Ну, что тут сказать - наверное, после всего, что рассказали аналитики и эксперты мировому сообществу по поводу Stuxnet'а, добавить что-либо действительно будет крайне сложно.

Очевидно, что будет нарастать степень недоверия обществу к тому, что принято называть ещё с советских времен автоматизацией производства. В этом, в общем-то, нет ничего принципиально нового и, я бы сказал, страшного тоже нет - ещё до выхода "Терминаторов" было понятно, что обыватель боится компьютеров. Теперь компьютеров будет бояться и руководитель, начитавшийся про проблемы со SCADA и не желающий подвергать своё предприятие подобным рискам. Не разбирающийся в информационной безопасности директор завода скорее свернет программу внедрения SCADA-системы, чем доверит такой, как оказалось, ненадёжной штуке своё предприятие.
Конечно, не буду утверждать, что после этой или ещё пары новостей такой отказ от автоматизации примет массовый характер, но проблема определенно наличиствует. А лечится она только одним способом - повышением культуры информационной безопасности среди руководящих кадров на производствах. Образование в этой сфере должно вестись на государственном уровне, и не просто для "галочки", а для реального повышения уровня осведомленности об угрозах и уровня адекватности их восприятия.
Впрочем, реально ждать подобного, к сожалению, не приходится, ибо нужна экономическая заинтересованность руководителей в постижении азов инфобеза. Как её реализовать - вопрос, к сожалению, слишком сложный лично для меня...
Р. Идов,
аналитик компании SearchInform

23 декабря 2011

Ещё один способ получить конфиденциальную информацию

Существует не так уж мало легальных или, во всяком случае, почти легальных способов получить чужую конфиденциальную информацию. Что с ней делать потом - это уже другой вопрос, и эти действия легализовать будет уже заметно сложнее. Но, в принципе, добыв информацию, уже можно найти ей какое-нибудь интересное применение.
Суть предлагаемого метода в скупке "бэушных" электронных девайсов - телефонов, планшетов, ноутбуков, настольных ПК, или даже просто "флэшек", винчестеров и т.д. Кто перед продажей чистит свой девайс от своей же собственной конфиденциальной информации? Да по сути, практически никто. В лучше случае - удалит файлы или отформатирует носитель, считая, что этого должно быть достаточно. Что и говорить, после подобной "подготовки" восстановить конфиденциальные данные не составляет никакого труда.
Думаю, что злоумышленники уже на всю катушку пользуются этим простым и эффективным способом. С одной стороны, конечно, он довольно-таки затратный, потому что нужно тратить деньги на покупку девайсов. С другой стороны, если купить их достаточное количество, то можно найти, например, винчестер, принадлежавший какому-нибудь крупному руководителю, и тогда стоимоть данных на нём с лихвой окупит все затраты на приобретение всех тех девайсов, которые в поисках искомых данных пришлось "перелопатить".
Мораль простая: в который раз напоминаю о необходимости качественно очищать память любого устройства перед тем, как продавать ему кому-либо. Впрочем, думаю, что мои призывы останутся незамеченными....
Р. Идов,
аналитик компании SearchInform

20 декабря 2011

Дедукция, сэр!


На днях произошёл забавный случай: впервые за 5 лет в аську пришёл спам. И ладно бы просто пришёл, но нет. Сам способ достоин упоминания и описания. Плюс ко всему, в дело включилась моя фантазия.
В процессе разговора со знакомой вдруг от неё пришло такое сообщение:
Специально вставляю картинку, а то мало ли любителей «кликнуть» найдётся. Тем не менее, «угонщики» асек сменили философию. Дело в том, что не так давно Mail.ru Group вовсю пиарили новый функционал своих детищ из сферы интернет-мессенджеров. Главной «фичёй» стала возможность одновременно быть подключённым с нескольких мест. То бишь по сути Mail.ru продублировали у себя функционал Skype. Но вместе с плюсами, пришли и свои минусы. Раньше, если кто-то заходил в твою аську, это было сразу видно, так как тебя выкидывало с соответствующей ошибкой. Теперь же подобного не происходит, и нет гарантий, что вас никто не слушает.
Всё это, при должной фантазии, даёт спамеру неплохие шансы не вызвать подозрения своими ссылками. Конечно, в данном случае, текст на английском, сразу же вызвал подозрение (на самом деле не только он. Подробный анализ ссылки будет ниже). К примеру, сообщение вида «*оффтоп* зацени, <ссылка>», лично у меня вызвало бы меньше подозрений.
Но вернёмся к нашей ссылке. Она скорее всего приведёт нас к какой-то гадости. Давайте подумаем, как можно увериться в её вредоносности, не совершая переход.
Каждому в глаза бросается что-то своё, поэтому перечислю всё просто по порядку.
Первое, что вызывает подозрение – домен «.сс». Он имеет особую репутацию в мире зловредов и периодически становится эпицентром скандалов. Вот недавний.
Идём дальше, само слово «tiny» призвано уменьшить нашу подозрительность, намекая на то, что был использован сервис сокращения ссылок. Он действительно был использован, т.к. при внимательном рассмотрении ссылка заканчивается на DCS8037_jpeg. Здесь расчёт на невнимательного пользователя, который подумает, что точку просто не видно.
В дополнение ко второму пункту стоит сказать, что грамотный человек, получив такую ссылку, от собеседника, должен задуматься, а с чего вдруг тот стал пользоваться сервисом сокращений ссылок.
Третье, и последнее, на что стоит обратить внимание, это название. Злоумышленники хотят убедить нас, что это безобидная ссылка на фото. Причём, как видно из ссылки, оно было загружено без изменения имени. Однако ни один фотоаппарат не маркирует свои снимки словами «Picture». Более того, расширение снимков обычно JPG, но никак не jpeg. Конечно, никто не мешает нам поставить для пущей убедительности в ссылку хоть «CR2», но знайте, что такой формат даже Picasa не «переваривает».
Какой же итог? Новые возможности «аськи» дали старт новому направлению атак, рассчитанных на тех пользователей, которые сначала кликают по ссылке, а только потом думают. Как вы могли убедиться, для анализа порой достаточно лишь включить дедукцию.
Алексей Дрозд,
аналитик компании SearchInform

17 декабря 2011

Подрастающее поколение

Не стоит надеяться, что наши дети
будут лучше нас… Наши родители
тоже на нас надеялись.
Эта шутка показалась мне весьма подходящей к сегодняшнему посту. Речь пойдёт вот об этом исследовании, спонсором которого выступила Cisco. Опрос проводился в 14 странах среди 2800 молодых людей в возрасте от 21 до 29 лет. Его результаты вызвали цепочку ассоциаций, которыми и захотелось поделиться.
Главная проблема, открывшаяся в ходе опроса – игнорирование молодыми сотрудниками компаний политик безопасности. Порядка 70% заявили, что делают это довольно часто.
Также в ходе опроса удалось выяснить наиболее распространённые причины пренебрежения. Так, 33% уверены, что просто не делают ничего плохого. 22% признались, что политики мешают им работать с неавторизованными программами и приложениями. 19% опрошенных отметили, что у них политики вовсе не применяются. Некоторые (18%) заявили, что во время работы у них нет времени задумываться о безопасности. И наконец, 15% банально забыли про необходимость применения таких политик.
Интересно то, что 61% опрошенных уверены, что они не несут ответственности за защиту информации и устройств, считая это обязанностью ИТ-отдела или поставщика услуг.
Что тут сказать? Практически на каждой конференции SearchInform в рамках Security Road Show мы говорили о необходимости проведения в компаниях инструктажей по действующим политикам безопасности. В целом, в 2011 году ситуация (в России) улучшилась, однако по-прежнему требует внимания.
Проводится ли вашей организацией инструктаж сотрудников для разъяснения политик информационной безопасности?
Подрастающее поколение

Как решают вопросы в компании?
Опрос показал, что на Западе в отношении мобильных устройств хорошо прижилась сталинская логика решения проблем – нет устройства, нет проблемы. Чаще всего компании ограничивают онлайн-игры (37% опрошенных), социальные сети (порядка 33%) и применение iPad\iPod (10% и 15% соответственно).
На мой взгляд, подобное решение проблем – архаизм. В ближайшее время в этом плане нам всем придётся эволюционировать. DLP-системы с идеей «не запрещать, но контролировать» становятся более конкурентноспособными в современных реалиях.
И если на данный момент мы можем мониторить не только рабочие станции сотрудников, но и ноутбуки, то вскоре возможно всерьёз придётся задуматься и о мобильных устройствах. Этот вывод не взят с потолка маркетологами, а продиктован рынком.
14 декабря (то есть буквально на днях) появилась информация от компании «АйТи», опубликовавшей результаты исследования рынка корпоративной мобильности в России. Было опрошено более 100 ИТ- и бизнес-руководителей средних и крупных компаний и организаций, представляющих различные отрасли экономики.
Опрос выявил, что в мобильном доступе сегодня нуждаются не только руководители организаций (83%) и подразделений (81%), задающие тон в деловом применении современных мобильных устройств. В России отчетливо видна тенденция к формированию категории сотрудников, называемой IDC «мобильными профессионалами» (сотрудники, которым значимую часть времени приходится работать вне своего рабочего места, и, тем не менее, они нуждаются в обеспечении полнофункционального, своевременного и безопасного мобильного доступа к корпоративным ресурсам).
Как известно, спрос рождает предложения. Так что вскоре вслед за смартфонами в корпоративный сектор придут планшеты, а следом и решения по защите данных на них. Более 65% ИТ-руководителей в России осознают необходимость таких решений, рассматривая возможность или уже планируя соответствующие внедрения в течение ближайшего времени.
Как думаете, к чему мы придём? Впитают ли современные DLP-системы в себя функционал средств управления использования мобильных устройств (MDM/EMM – Mobile Device Management/Enterprise Mobility Management) или же на рынке информационной безопасности появится новое направление?
Николай Луцкевич,
эксперт по информационной безопасности компании SearchInform

16 декабря 2011

Социальные сети. Трагикомедия в одном действии

Вступление. Жили себе мирно два почтенных семейства: Монтеки Правительство и Социальные сети. До поры до времени не обращали друг на друга внимания. Но росли Социальные сети, заручались популярностью и влиянием, формировали общественное мнение. Правительству это, конечно, не нравилось. Старый слуга Правительства Телевидение уже не справлялся, однако уменьшить жалование вряд ли бы согласился. И назрело решение как-то само собой: остудить пыл Социальных. Да вот как сделать так, чтобы на качающейся табуретке, троном именуемой, удержаться потом?
Сцена первая. Выход из сумрака
Тут в нашем спектакле появляется новый герой – МВД. Старый вояка, у которого как раз подрос молодой да прыткий внук Управление «К». Собственно, от скорого до расправы внучка и «прилетает» свежая идея: «Зарегистрируйся под реальным именем, сообщи настоящий адрес – и общайся, – заявил Мошков (для справки: начальник бюро специальных технических мероприятий Министерства внутренних дел России Алексей Мошков. Ярый сторонник введения фейс-контроля в рунете.). – Если ты – честный, законопослушный человек, зачем прятаться?». А идея, как и слово, не воробей – раз запостил, потом из КЭШа не удалишь. И пошла рябь по информационному пространству, возмущение по волнам эфира. Раскрыть данные легко, но только кто их потом защищать будет? Абсурдность явная, но народ слишком хорошо знает, какие решение порой принимаются в ранг законов. Аргументы от МВД убедительные, не поспоришь: «Через Интернет экстремистские группы организуются, ведут агитацию, а также координируют свои акции». Но нужно ли рубить с плеча? Может если подумать головой, можно найти более рациональное решение? Уверен, оно есть.
Взять тот же «Контакт». По тривиальному запросу «порно» получаешь полную страницу его самого. Вопрос: неужели до сих пор, порвав ни одну глотку лозунгами «за безопасный Интернет для наших детей» и вбухивание миллионов рублей в «детский фаервол» для школ, нельзя было достучаться чем-нибудь тяжёлым до светлых голов руководителей этой сети? Банальный фильтр хотя бы самых очевидных слов снизил бы угрозу в разы. Но нет. Всё по прежнему.
К счастью в семействе Правительства не стали слушать скорых идей и Министр внутренних дел России Рашид Нургалиев заявил, что он негативно относится идее полного упразднения анонимности в сети Интернет. Заодно и ранние заявления опроверг.
Сцена вторая. Явление соседа-маразматика
Но у любой семьи всегда найдутся советчики, которые точно знают «как лучше». И у Правительства тоже нашёлся сосед-маразматик, который «усё гэта прайшоу». На заседании совета парламентской ассамблеи ОДКБ он так и заявил: «Мы научились бороться против этого зла». Только что скрывается за громкими высказываниями? Социальные сети в соседней с Украиной и Россией стране контролируются очень просто. Действительно, никаких революций нет: в дни, когда вольные жители хотели собираться, на уровне провайдеров блокировался доступ к социальной сети. Также один раз была создана поддельная фишинговая страница, информация с логинами и паролями с которой уходила неизвестно кому. Правда, затем от такого ведения дел отказались. И правда, зачем, когда есть закон «О массовых мероприятиях», в который внесли несколько интересных изменений. Согласно тексту документа, разрешение городских властей на проведение акции нужно получать в случаях, когда планируется «совместное массовое присутствие граждан в заранее определенном общественном месте (в том числе под открытым небом) и в установленное время для совершения заранее определенного действия или бездействия». Вот и весь контроль. Страх наказания.
Эпилог
Правильным решением для двух семейств сейчас будет добровольное раскрытие анонимности. В социальной сети каждый должен иметь право доказать, что он именно тот человек, которым является. К сожалению «Контакт» по прежнему думает только о звёздах. В этом плане гораздо больше подвижек у белорусского аналога «Всети». Порнографии, кстати, у них тоже нет. Facebook и Twitter тоже движутся в правильном направлении. Хоть бы не заплутали. Трагикомедия с элементами фарса получается. Как думаете, чем закончится?
Николай Луцкевич,
эксперт по информационной безопасности компании SearchInform

14 декабря 2011

Эволюция анализа данных

Речь пойдёт об анализе больших массивов неструктурированных данных. Но сначала пару слов вступления. Не так давно на глаза мне попалась небольшая заметка, в которой упоминался отчёт IBM о неструктурированных данных. Ежегодное увеличение структурируемых данных составляет 32%, резервных копий на 49%, а неструктурируемых данных уже на 63%. По оценкам специалистов IBM, в большой компании до 90% данных представляют собой просто нагромождение информации. Обрабатывать её традиционными способами неэффективно, да и непонятно как. Собственно, именно поэтому появились специальные аналитические движки и сервисы. Они используют распределенную архитектуру и не требуют предварительной обработки данных для анализа. При этом можно использовать данный инструментарий как по модели публичного облака, так и развернуть соответствующий кластер внутри компании. Возможно и сочетание обоих подходов, что активно продвигается, в частности, EMC. Причем, в отличие от многих серверов баз данных, все эти системы хорошо работают и в виртуальных средах. Лично мне кажется, что обработка таких массивов данных – золотая жила. И вот почему.
 
Анализ неструктурируемых данных, хранимых как в корпоративных информационных системах, так и в общедоступных источниках, позволяет получать весьма ценную для бизнеса информацию. Можно отслеживать успешность проводимых компанией акций, анализируя сообщения в блогах и социальных сетях на определённую тематику. Можно отслеживать глобальные интересы пользователей и планировать продажи того или инога товара. Wal-Mart использовала такие методы для планирования спроса на определенные классы товаров, пользующиеся самым высоким спросом во время сезона штормов. При этом выводы исследования оказались неожиданными, поскольку самым востребованным после батареек товаром стал один из видов печенья, который может долго храниться без холодильника и не требует никакой кулинарной обработки.
Применение новых технологий порой появляются там, где их никто не ожидает. К примеру Disney применяет средства анализа больших данных для планирования продаж своей продукции, а также для верстки сетки киносеансов. Аналогичным образом, насколько известно, действует и российская сеть кинотеатров «КАРО Фильм».
А какие горизонты открываются для анализа открытой информации из социальных сетей! Действительно, какие? Ваши варианты?
А. Дрозд,  
аналитик компании SearchInform

06 декабря 2011

Разделение ответственности

Говоря об утечках конфиденциальных данных, мы постоянно подчеркиваем, что виноваты в них. в первую очередь, те, кто их допустил, а также те, кто стал непосредственным "переносчиком" информации за пределы закрытой среды, в которой она должна существовать. В то же время, все внешние получатели данных, просматривающие их из любопытства или из корыстных целей, обычно в списках виноватых не фигугируют. Ну не парадокс ли?
Парадокса, конечно, нет, потому что современная парадигма информационной безопасности такова, что "запрещено всё, что не разрешено". Но всё идет к тому, что международное регулирование интернета введет в работу запретительный принцип - "запрещено всё, что не разрешено". С одной стороны, да, цензура и всё такое. С другой стороны, это реальное разделение ответственности между тем, на ком сейчас её слишком много, и теми, на ком её сейчас вообще нет.
Может, это, конечно и кажется сегодня дикостью, но я убежден, что введение запретительного принципа и ответственности за просмотр "нелегального контента" позволит если не радикально решить проблему утечек информации, то заметно уменьшит их количество. Потому что сама утечка перестанет быть утечкой, если никто не изучает утекшую информацию.
Конечно, до введения таких запретов ещё довольно далеко, но, скажем так, это вполне реальная перспектива. Другое дело, как это скажется на отрасли ИБ. Думается, не лучшим образом...
Р. Идов,
аналитик компании SearchInform

05 декабря 2011

Откуда такой интерес?..

После каждой новой атаки на ЖЖ телефон разрывается от звонков журналистов, просящих рассказать им о подробностях. И каждый раз поражаюсь: откуда такой интерес к деталям DDoS-атак? Неужели публике интересно, каким именно образом можно организовать такую атаку и её предотвратить? 
Не то чтобы возникали мысли о вредности подобных подробностей для широкой публики - вряд ли домохозяйка сразу же пойдет на всенародно любимую "низкоорбитальную ионную пушку", чтобы организовать DDoS-атаку на сайт создателей нелюбимого сериала. Но, думается, что юные неокрепшие умы, почитавшие о DDoS-атаках, могут начать и геройствовать. Но здесь уже ничего не поделаешь: тогда нужно вообще запретить любые публикации о реальной жизни и писать исключительно о цветочках и бабочках.
Ну а вообще, конечно, DDoS-атаки перед выборами - это хороший повод для тех, кто работает в индустрии ИБ, напомнить о себе (что мы, собственно говоря, с успехом и делаем). Ещё лучший способ пропиариться для СМИ, хотя, конечно, не всегда - многие из атакованных и так от недостатка внимания со стороны читателей/слушателей/зрителей совсем не страдают.
Ну, а самое главное - никто никогда не спрашивает про цель атак. Понятно, что про это интереснее спрашивать не у ИБ-шников, а у политиков. Но у них ответы всегда односторонние, они видят мир в разрезе "ваши-наши", а значит, всем все ясно - происки врагов и неиначе. В то время как человек не столь предвзятый может гораздо глубже проанализировать причинно-следственные связи в DDoS-атаках. Но вот именно к ним, почему-то, интереса у прессы не наблюдается...
Р. Идов,
аналитик компании SearchInform

03 декабря 2011

Страхование от ошибок в ПО

Всё и всех сегодня взламывают. Недавно пришли новости о том, что пришла очередь и планшета канадской компании Research In Motion, чья продукция на фоне "яблок" и "андроидов" кажется плосто бастионом безопасности. Грустно, но такова жизнь.
К сожалению, как показывает практика, какие бы деньги ни были портачены на обеспечение безопасности, невозможно создать абсолютно невзламываемый софт. Какого бы аспекта безопасности это не касалось: защиты ли от неавторизованного использования, выполнение чужого кода, защиты данных, с которыми работает приложение... К сожалению, современные системы настолько сложны, что сама эта сложность практически не оставляет никакой возможности сделать одну из них невзламываемой. И во многом именно это и позволяет существовать нашей отрасли.
В связи со всем этим есть идея: нужно ввести новый вид страхования для разработчиков программного обеспечения: от критических ошибок в ПО, допущенных при его проектировании или реализации. Соответственно, страховой случай наступает в случае определенных финансовых потерь из-за таких ошибок. Ну, а рассчитать сумму не так уж сложно - все формулы страховщикам известны, статистика набрана. Не так часто выявляются такие ошибки, чтобы подобный вид страхования стал нерентабельным.
Или, как вариант, другая страховка - уже для пользователя. Но здесь, конечно, мешает известный принцип "AS IS" ("сам купил, сам и разбирайся"). Принцип этот, перекочевавший в сферу программного обеспечения из сферы товарного производства, является, на мой взгляд, одним из худших примеров атавизмов и ведёт к непрекращающемуся ухудшения качества ПО. Может быть,  именно с его пересмотра стоит начать в первую очередь?..
Р. Идов,
аналитик компании SearchInform