Это вам не SOPA, или как мы перебежчика ловили

Думаю, большинство читателей нашего блога уже успели ознакомиться с весьма небезынтересной новостью об отклоненном американским сенатом законопроекте, запрещающим работодателям требовать от работников указывать идентификационные данные. Этот проект, в отличие от нашумевшего SOPA, особенно лоббировать было, в общем-то, некому. Поэтому практика "отдай мне все пароли" очень даже может прижиться.

На самом деле, особой необходимости в том, чтобы требовать от работника пароли и явки, сегодня у работодателей нет. Нормальная DLP-система на 100% покрывает потребности в контроле действий сотрудников для абсолютного большинства компаний. Наша компания не столь давно подтвердила эту очевидную истину, поймав за руку конкурента, мечтающего сманить к себе сотрудника техподдержки.

26 марта «Контур информационной безопасности SearchInform», установленный во всех офисах организации, зафиксировал факт входящего web-сообщения от сотрудницы HR-департамента компании Инфосистемы Джет Марии Сигаевой.

Данное письмо было отправлено на личный e-mail ведущего инженера службы технической поддержки компании SearchInform.

По итогам обнаруженного инцидента служба безопасности SearchInform отнесла данного сотрудника к группе риска.
28 марта «Контуром информационной безопасности SearchInform» было зафиксировано письменное предложение г-жи Сигаевой, адресованное сотруднику SearchInform, пройти собеседование с заместителем начальника отдела производства компании Инфосистемы Джет Дмитрием Кононовым.


Skype-cобеседование инженера SearchInform с сотрудником Инфосистемы Джет планировалось провести 29 марта с 13.00 до 14.00. В оговоренный промежуток времени файла записи запланированного разговора в базе перехвата SearchInform SkypeSniffer не оказалось. Сотрудник SearchInform был вызван в службу безопасности компании для разъяснения ситуации. Инженер подтвердил факт телефонного собеседования с г-ном Кононовым. Из дальнейшего объяснения сотрудника SearchInform выяснилось, что контакт с представителями Инфосистемы Джет был обусловлен исключительно профессиональным любопытством и желанием узнать свою стоимость на рынке труда. Переход к конкуренту инженером не рассматривался в принципе.

Вот такая иллюстрация очевидного принципа: DLP гораздо лучше, чем передача паролей. Всё в рамках закона, руководство в курсе, конкурент посрамлён. Так почему бы лучше законодательно не обязать всех устанавливать DLP? Идиотские инициативы отпадут сами собой, а инсайдеры и перебежчики получат по заслугам.

Р. Идов,

аналитик компании SearchInform

Показательная порка

Довелось недавно столкнуться с мнением, что "показательная порка" в отношении инсайдеров приносит больше вреда, чем пользы. И что, найдя инсайдера, нужно не только максимально стараться скрыть его личность, но лучше вовсе замолчать факт наличия подобного сотрудника в коллективе.

Основная агрументация в пользу такой точки зрения предельно проста. Во-первых, в связи с несовершенством отечественного законодательства достаточно сложно уволить "по статье" сотрудника, пойманного на инсайдерстве. То есть, организация наживает себе врага, с которым в рамках закона не так просто что-то сделать. Во-вторых, после такого разоблачения и публичного наказания, все остальные инсайдеры спрячутся так глубоко, что ловить их придется очень долго и упорно. И в-третьих, не стоит вообще говорить никому о том, что сотрудников контролируют, чтобы ловить на таком. Почему не стоит? Просто на всякий случай.

Самое интересное, что такую точку зрения выработал для себя человек, ранее бывший самым что ни на есть активным сторонником "публичных порок" любых сотрудников, которые проштрафились на информационной безопасности. Но опыт показал, что работа безопасника настолько несовместима с публичностью, что даже публичные наказания становятся совершенно непозволительной роскошью.

А что вы думаете об этом? Стоит ли публично наказывать инсайдеров?

Р. Идов,

аналитик компании SearchInform

Удобство - это важно

Эволюция нашего главного продукта, "Контура информационной безопасности", идет не только по пути увеличения защищенности тех компаний, которые его покупают и внедряют, но и по пути упрощения труда безопасника. Что, в конечном итоге, тоже идёт на благо безопасности, потому что, в конечном итоге, чем меньше шаблонных и рутинных действий ему нужно сделать, тем эффективнее он будет работать над действительно серьезными задачами.

По сути дела, сегодня мало какая DLP-система может похвастаться действительно удобной работой. Начинается всё с внедрения: ну скажите, о каком удобстве может идти речь, если внедрять нужно несколько месяцев, да при этом ещё и пускать к секретным документам "консультантов" производителя?

Идем дальше. Интерфейс. Сегодня это один из главных козырей любого Enterprise-приложения. Даже SAP это признала и сделала полный редизайн интерфейса своих решений, о котором теперь всем с гордостью рассказывает. Большинство DLP-систем имеют интерфейс, который широкой публике и показать-то стыдно. Не говоря уже о том, что он до боли напоминает времена Windows 98. Спасибо, как говорится, что не консоль.

И, самое главное, автоматизация. Каков КПД системы, которая заставляет безопасника чуть ли не в ручном режиме просматривать тонны сообщений? А каков той, которая позволяет один раз настроить поиск, и потом сама находит документы десятком разных способов? Думаю, вывод очевиден...

В общем-то, стратегия "удобство безопасника" даёт свои плоды. Мы не зря пишем в каждом пресс-релизе "Компания SearchInform, лидер рынка России и стран СНГ...". Пусть конкуренты, рассказывающие о том, что они так и не смогли выйти на безубыточность, завидуют. Секрет прост... нет никакого секрета.

Р. Идов,

аналитик компании SearchInform

Почем эксплойт?

Думаю, что многие читатели нашего блога уже видели эту новость, но не поделиться ею здесь с вами я, тем не менее, попросту не могу. Она просто захватила моё воображение. Я, конечно, знал, что эксплойты стоят недешево, но не знал, насколько. Теперь всерьез подумываю о том, что поиск эксплойтов может оказаться гораздо более прибыльным делом, чем аналитика в сфере защиты данных от утечек:)

Итак, вот оно:

 

Думаю,  комментарии тут излишне, разве что стоит дать ссылку на саму новость. Самое интересное здесь в том, что цены здесь приведены для продажи эксплойтов не абы кому, а госорганам. Понятно, что они покупают эксплойты для того, чтобы потом выпустить вредоносный код, участвующий в кибервойнах. Думаю, что цены на черном рынке, где эксплойты скупают спамеры и ботоводы, несколько ниже, хотя вряд ли намного. Но дело тут, конечно, не в том, кому продавать, а в том, кому не продавать.

Правильно, не продавать тому, кто этот софт написал. Потому что если ты выгодно "толкнул" эксплойт, то тебе совсем не интересно делать так, чтобы кто-то закрывал уязвимость. Не то чтобы был страх того, что деньги потребуют назад - просто в следующий раз новый не купят. А сами разработчики софта вряд ли смогут выкладывать такие суммы за собственные промахи.

В общем, перспектива для информационной безопасности не очень радужная - уязвимости закрывать невыгодно. Не для производителя софта, конечно, а для того, кто их находит. Так что эра уязвимостей будет продолжаться ещё очень долгое время...

Р. Идов,

аналитик компании SearchInform

По ту сторону баррикад, или перерождение ботовода

Не так давно довелось встретить одного старого знакомого, который когда-то работал программистом в одной конторе, выпускающей различные встраиваемые системы. Платили там неплохо, да и работа была не сказать чтобы совсем уж скучная. Тем не менее, ему захотелось приключений и большего количества денег, и он пустился в эксперименты. После множества различных попыток, начиная с интернет-магазина и заканчивая собственной командой, пишущей софт на заказ, он наконец-то словил финансовую удачу за хвост. В этом ему помог собственный ботнет.

В те времена ещё не было форумов, на которых можно было купить ключ к троянцу, как к какому-нибудь антивирусу, и начать свой "е-бизнес". Писал ботов сам, сидя сутками за монитором и тщательно тестируя их на трёх десятках антивирусов. Работа была непростой, потому и первая версия появилась только месяца через три. Её, впрочем, надолго не хватило, но ещё через полгода антивирусы в абсолютном своём большинстве перестали реагировать на его код. Наступило время активной фазы развития ботнета.

Модель заработка особенно оригинальной не была - троян крал пароли от почты, ICQ и MSN Messenger, рассылая по ним спам. Спам-рекламодатели валили просто толпой, потому что цены для них, понятное дело, были заметно ниже, чем на радио и "белых" интернет-ресурсах. Ботнет рос, бизнес тоже. Знакомый купил квартиру и новый "Ниссан".

Но потом случилось так, что в его машину влетел пьяный на джипе, и знакомому пришлось несколько месяцев провести на больничной койке. Это способствовало переосмыслению понятий добра и зла, после которого ботнет был продан. Продан за достаточно неплохие деньги, которые позволили знакомому не только открыть новый бизнес, уже никак не связанный с интернетом, но и сделать неплохие пожертвования нескольким жертвам ДТП, нуждающимся в лечении за границей. Сколько было на тот момент в сети компьютеров, и за сколько ушел ботнет, знакомый не раскрывает, но говорит, что новый хозяин за год уже успел утроить количество зомби-компьютеров, контролируемых им.

Сейчас он говорит, что очень жалеет о том, что там много времени потратил на такое плохое дело, и что аварией Бог его за это наказал. И считает, что всех вирусописателей и спамеров тоже непременно накажут за их действия.

Р. Идов,

аналитик компании SearchInform

Никого не минует чаша сия...

Не знаю, может быть, многие читатели нашего блога уже видели эту новость, но пройти мимо неё попросту невозможно. Потому что лучшего аргумента против позиции "у нас нет утечек информации и никогда не будет" просто не придумать. Ведь после того, как прочитаешь эту новость, понимаешь, что от этого зла не застрахован никто.

Ватикан начал уголовное расследование в связи с утечками конфиденциальной информации в итальянскую прессу. Газета Ватикана L'Osservatore Romano опубликовала мнение высшего духовенства Римско-католической церкви, назвавшего "слив" информации "тягчайшим проявлением вероломства". Сообщается, что итальянским журналистам стали известны сведения о царящих в Ватикане коррупции и неграмотном ведении дел, а также о конфликтах между представителями высших степеней католической иерархии.

Новость полностью

Не знаю, конечно, насколько хорошо в Ватикане с информационными технологиями и насколько церковному духовенству могла бы помочь внедренная DLP-система, но, думается, что и клиенту, которому говоришь, что даже Папа Римский страдает от утечек информации, вряд ли это достоверно известно.

Между тем, надо сказать, что в последние годы утечки информации стали настоящим бичем крупных и влиятельных организаций (началось это, конечно, с WikiLeaks). Кто будет следующим? Будем ждать...

Р. Идов,

аналитик компании SearchInform

Закономерный вывод

Недавно натолкнулся на интересную новость, суть которой, по большому счету, сводится к тому, что альтернативы сложным паролям, которые предлагаются для использования на мобильных устройствах, так же плохи, как и сами пароли. Собственно, что и требовалось доказать: подход к аутентификации необходимо менять в корне, потому что косметические изменения никаких плодов уже принести просто неспособны.

Новость полностью можно прочитать здесь. Двумя словами можно пересказать её следующим образом: если использовать вместо нелюбимых всеми сложных паролей какие-либо фразы, которые, вроде бы, содержат достаточное количество энтропии для того, чтобы их было сложно подобрать, в реальности даже достаточно скромный словарь дает возможность взломать залпом тысячи аккаунтов.

В своё время я рассуждал в этом блоге о том, почему пароли не так хороши, как нам всем хотелось бы. Пожалуй, можно говорить о том, что недостатки характерны для всей той защиты, которая базируется на каких-либо кодовых словах или вообще текстовых данных. Но, повторюсь, с этими недостатками приходится мириться, потому что альтернативы либо чрезвычайно дороги, либо ещё менее эффективны. Что, как говорится, и требовалось доказать...

Р. Идов,

аналитик компании SearchInform

Очередной развенчанный миф

Возможно, этот пост покажется скучным, но тема весьма животрепещущая, хотя и несколько избитая в последние дни профильными изданиями, работающими в сфере ИБ. Речь пойдёт о троянах под Mac, которые ещё недавно были диковинкой (ну, примерно как сейчас трояны под Windows Phone, с оговорками про возможности самих настольной и мобильной платформ, соответственно). Сегодня они стали уже рядовым явлением.

Хотел сказать, насколько поменялось отношение самих Mac-пользователей к безопасности. Помнится, один мой знакомый фанат "яблок" лет так пять-шесть назад, расхваливая мне свой компьютер, перечислял в списке прочих его достоинств полное отсутствие какого бы то ни было антивирусного программного обеспечения. Сегодня он уже укомплектован не хуже бывалого "виндузятника" и даже хвастается, что его хороший антивирус при последнем сканировании нашел целых три трояна.

Это я к чему? Да всё к тому же - не бывает невзламываемых систем, не бывает абсолютной защиты, и ваша система хорошо защищена ровно до тех пор, пока её дорого взламывать. Как только цена становится адекватной (в данном случае, читай, сама система достаточно распространенной для того, чтобы писать под неё малварь), неожиданно выясняется, что вся  радужная картина защищенности лопается, как мыльный пузырь.

То же самое с утечками информации. Она не утекает ровно до тех пор, пока её цена не слишком высока для того, чтобы утечка окупилась (я не говорю об утечках ради самого факта утечки, чтобы навредить плохому боссу). Как только информация начинает чего-то стоить, сразу появляется те, кто её сливает. Закон рынка, так сказать...

Р. Идов,

аналитик компании SearchInform

Есть ли жизнь после утечки?

Из всех обсуждений, связанных с утечками информации, обычно как-то обходят стороной такой вопрос, что делать компании, если все-таки утечка уже случилась. Обычно все статьи на ресурсах для "айтишников" и руководителей посвящены тому, как утечки предотвратить, а специализированные ИБ-ресурсы и вовсе закапываются в обсуждениях стандартов и сертификации, и очень мало внимания обращают на такие "мелочи", как повседневная российская практика.

И, тем не менее, утечки случаются (и как-то всё чаще), и во весь рост встает вопрос, заданный ещё русским классиком: что делать? Понятное дело, сперва (опять же, по классике) надо найти виноватых. А что потом? Как показывает практика, большинство компаний после этого стремится максимально замолчать инцидент, пытаясь запугать своих сотрудников, которые могут рассказать кому-либо о произошедшей утечке, а иногда даже и прессу, которая о ней каким-либо образом прознала и сообщила одной строкой в незаметном уголке сайта.

Некоторые, более умные и предусмотрительные, начинают вести речи в стиле "ну и что? ничего страшного не случилось, вот у тех-то - там да...". Выступают по радио и телевидению, показывают повешенных у себя в холле инсайдеров, приводят в студии суровых офицеров безопасности с лицами охранников сталинских лагерей, которые сквозь зубы говорят пару фраз, смысл которых сводится к одной: "с моим приходом всем инсайдерам - ...!" (не жить, короче).

Ещё более хитрые напрягают маркетологов, которые за пару дней круглосуточной работы готовят новую рекламную кампанию, которая не оставляет никаких сомнений в надежности допустившей утечку информации компанию.

Единственное, чего я пока не встречал - это своевременного и внятного уведомления всех, кто может пострадать в результате утечки данных, о том, что она произошла. Как-то обычно не до того...

А как вы думаете, есть ли жизнь после утечки? Какие рекомендации даете своим клиентам/друзьям/знакомым, что делать, если утечка уже произошла?

Р. Идов,

аналитик компании SearchInform

Небезынтересный вопрос

Давеча довелось мне вести ученую беседу с другими господами, работающими в сфере ИБ, о любимой своей теме - мобильных вирусах. И задал мне один ученый муж каверзный вопрос, на который я, признаться, не смог дать ответа: а есть ли вредоносное ПО для Windows Phone? Не для старой доброй Windows Mobile, а для новой системы, с помощью которой Microsoft и Nokia решили покорить попробовавший айфоны мир.

Конечно, нельзя сказать, что сейчас вопрос вредносного ПО для Windows Phone особенно актуален - пока эта платформа не получила распространения, сравнимого с Android или iOS. Но, может быть, эта платформа, появившаяся поднее теперешних лидеров рынка, лучше защищена от вредносного программного обеспечения, чем они?

Конечно, скорее всего, сегодня отсутствие заметного количества информации о вредоносах под новую мобильную систему от Microsoft означает, что пока серьезные вирусописатели просто не интересуются этой платформой из-за её малой распространенности. Ситуация, в общем-то, получается аналогичной той, которая была с настольными платформами от Microsoft и Apple, только теперь они, если можно так сказать, поменялись местами. Теперь более распространенной и, соответственно, более уязвимой является платформа от Apple.

Так что, думаю, в обозримом будущем мы станем свидетелями появления малвари для Windows Phone, если, конечно, сама эта платформа не загнется от недостатка внимания со стороны пользователей. В общем, поживем - увидим.

Р. Идов,

аналитик компании SearchInform

Не совсем о безопасности

Когда на отраслевых сайтах, публикующих новости по ИБ, проскакивает разнообразный научпоп, трудно удержаться и не почитать. Вообще, у нас в компании долгое время даже на общей кухни лежали журналы "Популярная механика" - очень интересное издание, всем рекомендую. Но речь, конечно, вовсе не об этом журнале, и даже не о научпопе, а об одной новости, которая привлекла моё внимание.

Как пишут на Хакер.ру, компания Oxford Nanopore Technologies представила миниатюрный определитель последовательности оснований в молекуле ДНК стоимостью менее $900. Устройство MinION выглядит совсем как обычная флэшка, но при этом умеет автоматически расшифровывать геном, работая от USB-порта вашего ноутбука.

Сложно даже представить сегодня, какие перспективы таит в себе эта маленькая техническая революция и для медицины, и для многих других отраслей человеческой деятельности, включая и нашу с вами любимую ИБ. Ведь каждый не только сможет проверять правильность многих диагнозов с помощью домашнего ДНК-секвенсора, но и, например, узнавать о том, кому это принадлежит волос на пиджаке мужа (страшно даже представить, как вырастет число разводов...).

Но для ИБ подобные устройства означают совершенно новое слово в биометрических решениях для аутентификации, о которых я уже говорил в этом блоге не один раз. Предельно надежное средство для достаточно быстрой аутентификации всего за $900 - ну не мечта ли? Конечно, его тоже можно обмануть (посмотрите фильм "Гаттака", очень хорошая ирония над всей биометрией). Но уж точно не легче, чем сканер отпечатков пальцев или голосовой замок.

В общем, очень интересная разработка, за судьбой которой очень даже стоит последить самым что ни на есть внимательным образом.

Р. Идов,

аналитик компании SearchInform

P.S. Вступайте в наши группы в социальных сетях: http://www.facebook.com/pages/SearchInform/150693461644845 и http://vkontakte.ru/club22126882, там публикуется много интересных новостей из мира ИБ!