Палка о двух концах

Закон "О персональных данных" - палка о двух концах. С одной стороны, все-таки такой закон необходим в современных реалиях, в том числе, и в российских. С другой стороны, всё-таки отечественные законодатели иногда формулируют свои мысли так, что возникают не просто уязвимости, а настоящие дыры, через которые можно протащить не то что телегу с лошадью, а целые вагоны нефти. Но суть не в этом.

Показать ущербность закона "О персональных данных" решили сразу несколько изданий. Мне больше всего понравилась вариация сургутской газеты, всем очень рекомендую ознакомиться. Ещё одна статья от них же на ту же тему. Конечно, как они сами признают, всё несколько утрированно, но зато сделано так, что, что называется, комар носа не подточит.

Несмотря на шутливость статей, проблема поднята серьезная. Говоря об операторах персональных данных, мы обычно как-то упускаем из вида, что это могут быть не только медицинские учреждения, турфирмы и т.п., но и СМИ. А между тем, они имеют совершенно особенный статус в отношении персональных данных. Ведь как можно опубликовать статью о чиновнике-коррупционере, спросив у него предварительно разрешения? Понятно, что в ближайшее время таких чиновников благодаря работе нашей доблестной полиции совсем не останется, но как быть хотя бы в эти пару-тройку лет?

Ну а то, как прекрасно можно штрафовать СМИ, если они всё-таки напечатают "неправильную" статью, вообще показательно. Очень удобный закон получился для тех, кому есть что скрывать от общественности. Да, приватность - это наша работа, но согласитесь, что иногда она идет во вред обществу, в целом.

В общем, есть мнение, что закон "О персональных данных" еще не раз и не два будет активно обсуждаться средствами массовой информации не в самом положительном ключе. Что, в принципе, справедливо и даже правильно.

Р. Идов,

аналитик компании SearchInform

Оправданный скепсис масс

Довелось давеча читать на одном белорусском ресурсе, с которым мы работаем, статью, посвященную тому, насколько индустрия информационной безопасности бессильна перед существующими угрозами. Статья, конечно, так и дышит присущим журналистам стремлением объять необъятное и дилетантизмом, но она весьма показательна как восприятие индустрии ИБ человеком, который в этой индустрии не работает.

Наверное, что-то всё-таки пошло не так, если любое неосторожное действие несет в себе угрозу. Ведь в реальном мире сравнительно немного мест, где нужно вести себя подобным образом - пешеходные переходы, например. Почему же в виртуальном пространстве всё обстоит иначе?

Впрочем, это еще полбеды. Ведь, если провести аналогию с реальным миром, то даже крепкий шлем и бронежилет, в который вы одеваетесь, чтобы перейти улицу, вовсе не гарантируют ничего. Они могут либо сработать, либо не сработать, примерно с одинаковой долей вероятности. Согласитесь, это тоже не совсем нормально.

Полностью

К сожалению, автор не задумывается о том, что в обычной жизни человека, который шагает под поезд, тоже ждет несколько незавидная участь. А большинство тех, кто страдает от вредоносного программного обеспечения и других ИБ-напастей, именно так и поступает с точки зрения человека, занимающегося ИБ профессионально. Зачем же удивляться вполне закономерным результатам?

Опять-таки, если сравнивать с реальной жизнью, то каждый знает, что нужно мыть руки перед едой и закрывать кран, и чинить его, если он течет. В виртуальной же жизни моет руки (пользуется файрволом) хорошо если каждый пятый, а уже об утечках данных, которые могут "затопить" кого хочешь, и говорить нечего - только десятая часть бизнесменов понимает, чем они им вообще угрожают.

Да, беда индустрии ИБ в том, что все правила, в отличие от бытовой безопасности, не слишком очевидны, потому что мы привыкаем к ним не с детства, а намного позже. Фактически, вся Всемирная паутина сегодня - это большой детский сад, где пользователи едят песок, выбегают на проезжую часть и делают прочие небезопасные вещи. Не из-за злого умысла, а просто по незнанию.

Думаю, со временем ситуация изменится, но сегодня критиковать за такое положение дел индустрию ИБ - занятие недальновидное и, честно говоря, неблагодарное. Впрочем, журналистам  же нужно о чем-то писать...

Р. Идов,

аналитик компании SearchInform

Twitter в нашей жизни

Не секрет, что социальные сети - это настоящий кладезь для тех, кто ищет подробную и общедоступную информацию практически о любом человеке. Но это всё обычно звучит красиво в теории, на практике же мало кто доходит до настоящего сбора подобных сведений в соцсетях. Поэтому автоматизированные средства сбора информации - это действительно большое зло, даже если они сделаны исключительно в демонстрационных целях. Впрочем, давайте обо всём по порядку.

Сайт WeKnowYourHouse.com собирает и обобщает информацию о физическом местоположении пользователей Twitter. Он вычисляет домашний адрес человека, публикуя эту информацию в открытом доступе, и в некоторых случаях даже показывает фото здания, из которого тот пишет сообщения, позаимствованное из Google Street View. Принцип действия полностью автоматического сервиса прост. Приложение Twitter на многих смартфонах способно передавать информацию о местонахождении пользователя. Сайт WeKnowYourHouse.com определяет эту локацию только в тех твиттер-сообщениях, в которых встречается слово home ("дом"). С помощью Google Maps определяются географические координаты и адрес.

Источник

Если кто-то написал скрипт just for lulz, то кто-то другой сможет написать такой скрипт и для извлечения профита. Согласитесь, удобно: смотришь по поиску, что кто-то написал, что уезжает на 3 дня из дома, потом смотришь, где его дом, и готово - просто идеальный сервис для домушника. Других способов применения тоже масса, особенно если вычислять не только дом. Сколько мужей и жен будут уличены в неверности со всеми вытекающими из этого последствиями!

В общем, конечно, демонстрация полезна, но она, к сожалению, может натолкнуть склонных к криминалу талантливых программистов к разработке помогающих различным криминальным элементам сервисов, что, мягко говоря, не слишком желательно. Думаю, в скором времени появятся такие же сервисы для "прятания" своего положения от соцсетей, как средства анонимизации IP-адресов. Хотя пока соцсети - дело добровольное, конечно, но тот, кто уже в них наследил, находится под угрозой.

В общем, будем наблюдать, дамы и господа, будем с интересом наблюдать...

Р. Идов,

аналитик компании SearchInform

Злоумышленники внедряют проверенные схемы осуществления «атак на заказ» в сферу телекоммуникаций

Исходя из данных экспертов Arbor Sert, злоумышленники в последнее время возобновили  классическую практику предоставления платных услуг относительно осуществления Arbor Sert. Помимо этого, в перечне все чаще появляется список DDoS-атак на телекоммуникационные системы.

Отметим, что впервые ряд рекламных сообщений, предлагающих ряд платных DoS b Arbor Sert, был замечен правоохранительными органами в 2010 году. Именно тогда было отмечено возникновение подобных сервисов повышением спроса на ряд подобных услуг. Причем, толкнуть пользователя на «заказ DDoS-атак» могут, как идеологические и политические взгляды, так и желание совершить ряд вполне практичных финансовых преступлений. Ряд различного рода атак на ряд телекоммуникационных систем представляет собой отвлекающий маневр, который позволяет злоумышленников совершать ряд более серьезных преступлений, которые впоследствии могли оставаться незаметными на протяжении достаточно длительного периода времени.

Как сообщают исследователи Arbor Sert, в этом году ими было обнаружено несколько новых рекламных предложений о проведении ряда традиционных DDos-атак, в числе которых оказался и список телефонных атак, которые предоставляются злоумышленниками в среднем за 20$ в день. Помимо этого, злоумышленники предлагают спам-рассылку по цене 20$ за 1000 СМС- сообщений. Как установили эксперты, на «рынке» предоставления услуг по осуществлению DDOs- атак различные поставщики могут устанавливать разнообразные расценки. К примеру, вторая из обнаруженных исследователями реклам содержала информацию  о совершении DDos- за 5$ в час, а еще одна компания предлагала аналогичные услуги за $ 180 в неделю. 

Учитывая современные тенденции развития телекоммуникационных систем, следует обращать повышенное внимание на качество предоставляемых услуг, а также уровень предлагаемого сервиса. Необходимо уделять повышенное внимание условиям предоставляемых услуг.  

Елена Харламова,

аналитик компании SearchInform

И года не прошло!

Фразеологизм, вынесенный в заголовок, конечно, в данном случае не следует понимать буквально. Потому что год-то как раз прошел, да ещё и не один. Но в подобных вопросах, как говорится, лучше поздно, чем никогда. А о чем речь-то, спросите вы. Что ж, действительно, виноват, поспешил. Давайте поговорим обо всём по порядку.

За последнее время Google все чаще попадает под огонь критики за свои методы работы с персональными данными, а также за неоднознаную политику компании в области сбора информации. Буквально недавно интернет-гигант урегулировал претензии со стороны американской Федеральной Комиссии по торговле, заплатив за несанкционированный сбор данных 22,5 млн долларов. По следам всех этих событий, компания сегодня объявила о создании так называемой команды быстрого реагирования Google Red Team, которая будет в режиме реального времени решать вопросы, связанные с приватностью данных, а также прайвиси-рисками для корпоративных и частных пользователей, работающих с продуктами компании.
Отсюда
Не так давно я писал про заботящуюся о своих пользователях, страдающих от фишинга, социальную сеть Фейсбук. Что ж, похоже, Гугл переплюнул своего молодого соперника, потому что концепция, предложенная поисковым гигантом, выглядит рациональнее и работоспособнее. Впрочем, нельзя сказать, что это самое лучшее, что компания могла бы сделать в текущей ситуации.
На мой взгляд, всё-таки проблемы необходимо решать на уровне самой архитектуры современных программных продуктов. Но, конечно, это слишком дорого для крупных компаний, имеющих уже довольно старые продукты, архитектура которых проектировалась давно, и поэтому уже несколько устарела.
В общем, будем и интересом ждать, когда и другие компании по примеру Гугла создадут подобные подразделения. Уверен, что долго ожидать нам с вами не придется...

Р. Идов,

аналитик компании SearchInform

Зачем сотрудники пересылают запароленные архивы?

Сотрудник, пересылающий конфиденциальные корпоративные данные за пределы компании, с виду ничем не отличается от всех остальных сотрудников, честно выполняющих возложенные на них работодателем обязанности. Однако ряд действий, которые производит сотрудник, заставляют подозревать его в инсайдерской деятельности.

Одним из таких действий является пересылка защищенных с помощью пароля архивов. Вполне естественно, что некоторые документы по работе сотрудники пересылают внутри архивов, чтобы сэкономить время на отправку и не опасаться того, что адресат забудет сохранить на свой компьютер какой-то из отправленных ими файлов. Однако, в подавляющем большинстве организаций сотрудники не имеют совершенно никакой нужды в защите таких архивов с помощью пароля. Именно поэтому случаи, когда сотрудники все-таки пересылают защищенный с помощью пароля архив, должны автоматически быть интересны для отдела информационной безопасности компании.

Правда, стоит, конечно, отметить тот факт, что вовсе не обязательно в таких архивах будет содержаться конфиденциальная информация. Как показывает практика, многие сотрудники пересылают с их помощью собственные фотографии или видеофайлы, различные материалы непристойного содержания, и даже просто картинки с «приколами». Тем не менее, поскольку в автоматическом режиме совершенно невозможно узнать, находятся в запароленном архиве конфиденциальные документы или фотографии с корпоратива, на которых главный бухгалтер пляшет на столе, отделу информационной безопасности приходится расследовать каждый из случае пересылки документов в защищенных архивах отдельно. Кроме того, даже в том случае, когда пересылка запароленного архива не связана с утечкой информации, всё равно она свидетельствует о неэффективном использовании рабочего времени, что должно также стать поводом для санкций против пересылающего защищенный архив сотрудника.

Возникает закономерный вопрос, каким именно образом можно получить информацию о том, что сотрудники пересылают защищенные паролями архивы? Для этих целей организации применяют специальные программные продукты – средства мониторинга информационных потоков в компании. Одним из таких средств, хорошо зарекомендовавшим себя в организациях любого размера и формы собственности, является «Контур информационной безопасности SearchInform».

Для отслеживания пересылки защищенных архивов создается «алерт», который как раз и срабатывает при обнаружении подобного рода архива в общем потоке трафика. Специалист по информационной безопасности получит уведомление об обнаружении архива с паролем, пересылаемого по любому из возможных каналов, включая электронную почту, HTTP, FTP, протоколы мгновенного обмена сообщениями, Skype и т.д.

После обнаружения защищенного архива имеет смысл провести проверку на предмет передачи пароля по тому же или другому каналу передачи данных. Кроме того, будет полезно провести срез активностей пользователя, отправившего подозрительный архив, с целью выявления других инцидентов с его участием. Если сотрудник занимается инсайдерской деятельностью, без сомнения, очень скоро это выяснится по его разговорам и переписке.

Р. Идов,

аналитик компании SearchInform

Сапожник без сапог, или нестареющая классика

Скажите, какое еще словосочетание кроме банального "сапожник без сапог" приходит в голову, когда слышишь или читаешь об инцидентах с утечками данных, в которых фигурирует сам крупный DLP-вендор? Честно говоря, лично у меня никаких других ассоциаций почему-то попросту нет. Впрочем, давайте, что ли, обо всём по порядку.

В результате взлома, скомпрометированной оказалась база данных пользователей Интернет-сервиса Road Runner Safe Storage, принадлежащего Symantec.

Скомпрометированная база данных содержала регистрационные данные пользователей ресурса, включая имена, электронные адреса, пароли, секретные вопросы и ответы на них, а также платежные адреса для пользователей, которые оплачивали услуги при помощи пластиковых карт.

Отсюда

В принципе, скажет кто-то, ничего страшного, с кем ни бывает, ведь и на старуху бывает проруха - всем это давно известно. Но всё-таки согласитесь, одно дело, когда утечку информации допускает какой-нибудь магазин или социальная сеть, и совсем другое, когда кто-то, кто, по идее, должен быть экспертом в области защиты данных. Как говорится, ложки нашлись, а осадок остался.

Но я пишу это вовсе не для того, чтобы "попинать" Symantec. Просто подобные инциденты лишний раз напоминают о том, что безопасность - вовсе не каменная стена, которая гарантированно защищает от неприятностей. Что всё равно старая добрая теория вероятности отыскивает лазейку в любой системе защиты, и инциденты происходят. А значит, надо быть к этому готовым - морально, физически и финансово.

А еще это довольно сильный удар по "облакам", которые в последнее время начали заметно укрепляться. Компаниям будет трудно поверить в безопасность облачных сервисов, если даже те из них, которые ради этой самой безопасности и были созданы, допускают утечки информации.

Р. Идов,

аналитик компании SearchInform

Число "жертв соцсетей" растет, однако...

Ни для кого не секрет, что некоторые работодатели достаточно ревностно относятся к тому, что их сотрудники постят в социальных сетях. Особенно если они делают это с корпоративных страничек. Многих даже увольняли за то, что их посты не понравились руководству компании, в которой они работали. Буквально на днях появилась информация об очередной "жертве соцсетей" из России.

Казалось бы последняя история «увольнения через twitter» уже миновала Хабр, но что-то пошло не так. Social-media manager Сбербанка Екатерина Лобанова, опубликовавшая в твиттере sberbank шутку про пенсионерок лишилась работы. Шутка выглядела следующим образом: «Народный лайфхак: Если на стене мелом написать «Сбербанк», у стены образуется очередь из 30 пенсионерок. Кто пробовал?»

Отсюда

Конечно, публикация несколько двусмысленных сообщений с корпоративного аккаунта - это действительно действие довольно рисковое. Но не секрет, что бывают и случаи, когда сотрудника увольняют и за публикации с личного аккаунта в социальной сети или блоге. И я думаю, в этом нет ничего плохого, это очень и очень правильно. Почему? Попробую объяснить.

Во-первых, из соображений имиджа. Компания не должна платить деньги человеку, который бросает на неё тень. И вообще ассоциироваться с таким человеком не должна, это вредит бизнесу. Поэтому мгновенное увольнение любых проштрафившихся сотрудников даже за минимальную публичную оплошность, способную вызвать негативную реакцию общественности - естественная защитная реакция работодателя.

Во-вторых, сотрудник должен быть лоялен компании. В конце концов, работодатель сделал для него очень много: выделил его из толпы и дал ему возможность социализироваться, получать деньги и покупать свои любимые айфоны и форд-фокусы. Что же делает неблагодарный хомячок? Кусает руку, которая его кормит. Конечно, эта рука должна в ответ щелкнуть хомячка по носу. Не беда, если иной раз щелчок окажется излишне болезненным - зато другие хомячки получат возможность научиться на его ошибках.

В-третьих, сотрудник, который написал что-либо негативное о компании - потенциальный вредитель и инсайдер. Поэтому безопаснее будет уволить его ещё до того, как ему придет в голову сделать что-либо, что сможет еще сильнее повредить компании.

Может быть, кто-то со мной не согласится? Милости прошу в комменты.

Р. Идов,
аналитик компании SearchInform

Хотят как лучше, выйдет как всегда?

Очередную любопытную инициативу выдвинула московская мэрия. Честно говоря, даже не  знаю, как к ней относиться. Вроде бы, отцами города руководят самые что ни на есть благие побуждения. С другой стороны, как тут не вспомнить бессмертное черномырдинское "хотели как лучше, получилось как всегда".

Мэрия Москвы намерена к декабрю приступить к сбору данных о передвижениях жителей через сигнал их мобильных телефонов. Для этого властям предстоит договориться с сотовыми операторами, чтобы те предоставляли данные о передвижениях абонентов в столице. Об этом 15 августа пишет газета "Известия" со ссылкой на источник в мэрии. Цель дорогостоящего проекта (некоторые эксперты оценили его в несколько миллионов долларов) состоит в том, чтобы с помощью данных о местонахождении жителей отследить их маршруты и таким образом составить модель транспортных потоков городов. Такая "карта" чиновникам нужна для улучшения ситуации на дорогах.

Источник

В общем и целом, конечно, всё хорошо. Данные можно обезличить, и тогда не нужно бояться, что чиновник из мэрии или нанятый им подрядчик будет торговать моими или вашими маршрутами передвижения. На практике же, скорее всего, никто не будет делать лишнюю и ненужную ему лично работу по обезличиванию. Значит, налицо - утечка самой что ни на есть конфиденциальной информации. И очень скоро можно будет увидеть баннеры с надписями "узнай, где ходила вчера твоя жена!".

Даже если данные будут обезличены, будут ли они обезличены в достаточной мере? Пока сложно сказать, какая именно информация заинтересует московскую мэрию, поэтому очень может случиться так, что специалист сможет выудить из этой якобы "обезличенной" информации нужные ему сведения.

В общем, вопросов пока что много. Но пока это всё только проект, который вполне может и не воплотиться в жизнь. То есть, как обычно, поживем - увидим, но пока кое-какие опасения возникают. Будем надеяться, они не оправдаются.

Р. Идов,

аналитик компании SearchInform

Прогресс семимильными шагами

Пока одни ещё только присматриваются к облачным технологиям, другие уже вовсю их используют. И это, в принципе, нормально, потому что "облака" - это действительно удобно и даже местами экономично. Но дело не в этом, а в том, что сегодня "облака" уже вполне серьезно рассматриваются организациями как вариант замены привычных им десктопных и серверных решений.

Результаты опроса 4 тыс. ИТ-специалистов из семи стран, проведенного Ponemon Institute, показали, что примерно половина из них использует внешние облачные сервисы для хранения конфиденциальных данных. Однако подходы к шифрованию информации существенно отличаются. Около 38% организаций шифруют данные в момент передачи данных в облако через Интернет, 35% кодируют их до передачи, в результате чего данные хранятся уже в зашифрованном виде, а 27% шифруют свою информацию непосредственно в облачной среде. 

Отсюда

В общем, облака сегодня уже действительно достаточно распространенная вещь. И, что весьма характерно, несмотря на всеобщий скептицизм по поводу их безопасности (ну хорошо, не всеобщий, а распространенный в профессиональных кругах среди специалистов по ИБ), никаких серьезных инцидентов, которые наделали бы много шума, пока не было. Из-за этого, в принципе, мы видим рост числа компаний, которые пользуются "облаками".

Что же можно обо всем этом сказать? Что вполне логично, когда безопасностью облачных сервисов занимаются всерьез и профессионально, отсутствуют и инциденты, и другие неприятности. Чего не скажешь о многих компаниях, которые даже не удосуживаются вникнуть в азы информационной безопасности для себя, и из-за этого постоянно страдают.

Так что облачные сервисы - это совсем неплохо. Только надо тщательно выбирать сервис-провайдера, потому что всё-таки риск есть, и чем опытнее провайдер, тем риск меньше. Но зато, как правило, и его услуги дороже. Но тут, как и всегда с безопасностью, есть смысл немного переплатить, чтобы избежать дорогостоящих последствий.

Р. Идов,

аналитик компании SearchInform

Не все утечки одинаково полезны

Не секрет, что не каждую утечку информации легко монетизировать. Не саму, конечно, утечку, а похищенные или просто свалившиеся на халяву данные. Недавняя утечка, произошедшая, между прочим, не где-нибудь, а в России, является в этом плане более чем выгодной для торговцев чужими данными.

Один из сотрудников «Ведомостей» получил спам с предложением купить за $500 «эксклюзивную базу подписчиков скидочных порталов и интернет-магазинов». «Это база потенциальных покупателей вашей продукции и услуг, все пользователи оплачивают товары онлайн с помощью Visa, Webmoney, «Яндекс.Деньги», — рекламирует «новинку» пользователь Skype под ником Datagrade. Он прислал «Ведомостям» образец базы с персональными данными 16 384 москвичей — именами и фамилиями (впрочем, попадаются пользователи с именем и фамилией «12345») и адресами электронной почты. У 3615 из них также указаны номера телефонов, чаще — мобильных. Корреспондент «Ведомостей» позвонил на десяток номеров. Четыре человека ответили на звонки, и у всех имена совпали с указанными в базе. Никто из них не смог вспомнить ни один интернет-сервис, в котором он указывал свои персональные данные.

Полностью: http://www.vedomosti.ru/tech/news/2719451/kupon_na_utechku#ixzz23YF2KcwL

Что тут скажешь. Скидочные сервисы - это действительно клондайк для тех, кто хочет нажиться на любителях халявы. Ведь таким можно продавать и дешевые дженерики виагры, и массу прочей ахинеи, которую так любят рекламировать спамеры. Впрочем, кто реально должен заинтересоваться этим, так это банки. Думаю, что среди любителей скидок найдется немало поклонников и "выгодных" кредитов, на которых можно неплохо подзаработать.

К чему я об этом всём говорю? Да к тому, что обладатели различных сервисов, данные клиентов которых достаточно просто монетизировать, должны ещё более тщательно, чем все остальные, распланировать всю свою защиту от утечек информации. Потому что чем более, так сказать, ликвидны данные, тем более ожесточенную охоту на них будут вести разные не совсем чистые на руку деятели. Ведь выгоднее украсть данные клуба миллионеров, чем сообщества любителей Москвича-412.

Опять-таки, и политика компаний в отношении персонала также должна быть тем жестче, чем более ликвидны данные клиентов. Ко всему прочему, это обуславливается еще и отношением клиентов: тот, кому всё равно, обычно и не лезет в такие места. А клиенты подобных сервисов довольно щепетильны, и могут быстро отвернуться от любимого места в сети после утечки информации.

Р. Идов,

аналитик компании SearchInform

Похвальная инициатива

Многие ли интернет-сервисы всерьез заботятся о безопасности своих пользователей? Конечно, точной статистики у меня нет, но, думаю, если провести  серьезное полномасштабное исследование, то, скорее всего, итоговый процент оных окажется просто-таки исчезающе малым. Что, в принципе, и понятно, потому что особенно много денег им такая забота не принесет. 

На этом фоне особенно похвальной выглядит антифишинговая инициатива Facebook:

Крупнейшая в мире соцсеть Facebook призвала пользователей сообщать о попытках фишинговых атак, перехвата персональной информации злоумышленниками, на специально созданный электронный ящик, говорится в корпоративном блоге Facebook.
Пользователи Facebook могут сообщать о попытках фишинга на электронный ящик phish@fb.com. Администрация соцсети проверит сообщения и при необходимости обратится к разработчикам браузеров с просьбой о блокировке доступа к фишинговым ресурсам, а также к хостинговым компаниям и государственным органам для закрытия мошеннических веб-сайтов.

Источник

Конечно, Facebook как никто другой страдает от фишеров, и именно поэтому крупнейшая и популярнейшая в мире социальная сеть должна бороться с ними всеми возможными способами. Но от фишеров страдают и другие, чуть менее пропиаренные ресурсы. И подавляющее большинство из них смотрит на эту проблему, мягко говоря, не слишком пристально. Потому что проблема не у них, а у пользователей, и какой тут с них спрос.

Если же взглянуть на проблему шире, то мы увидим достаточно эффективный и дешевый способ борьбы с угрозами. А именно: увидел что-то подозрительное - напиши нам. И доверие повышается со стороны лояльных клиентов, и проблема, которая могла бы остаться незамеченной, уже не пройдет мимо зоркого ока отдела информационной безопасности.

Конечно, применительно ко внутренней безопасности этот метод надо применять максимально остророжно, дабы избежать цветущего махровым цветом стукачества. Но в плане безопасности внешней эту тактику можно и нужно взять на вооружение, и результаты не заставят себя долго ждать.

Р. Идов,

аналитик компании SearchInform

Загадочная инновация

Сегодня новость о странной инновации от Гугла преподнесла лента новостей на нашем корпоративном сайте. Думаю, что не один я удивился, прочитав эту заметку, но, на мой взгляд, она вполне заслуживает того, чтобы обсудить её несколько более подробно.

Компания Google представила свою последнюю инновацию, в рамках которой в поисковую выдачу будут включены сообщения из почтового ящика Gmail-пользователей. Своими действиями компания намерена предоставлять пользователям наиболее точные результаты поиска, что поставит поисковик Google на одну ступень по уровню релевантности с персональными компьютерами и мобильными устройствами.

Полностью

Думаю, что не нужно говорить лишний раз о том, что в нашем мире нет совершенных алгоритмов и средств защиты важной информации от посторонних глаз. А это означает, что не за горами тот день, когда поисковая система покажет вам содержимое чужого почтового ящика. Или, в более пессимистичном варианте, ваш почтовый ящик покажут кому-то другому. Это неизбежно, как утечки персональных данных из банков и страховых компаний. И может иметь даже более неприятные последствия, чем упомянутые утечки.

Что особенно интересно, в отличие от тех же социальных сетей почта на Gmail'е содержит массу действительно критически важной для владельца аккаунта информации. Поэтому, в принципе, утечка каких-то данных из социальных сетей не так сильно и критична. И совсем другое дело - личная электронная почта. Это вообще, можно сказать, святая святых современного электронного человека, и относится он к ней тоже соответствующим образом. Неужели в Google не понимали всех рисков, планируя новую разработку? Или всё-таки игра стоит свеч, и можно рискнуть ради удобства пользователя?

В общем, как только это нововведение станет массовым, я рекомендую всем компаниям обновить свои политики безопасности, порекомендовав пользователям отключить возможность показа своей электронной почты из результатов поиска. Что называется, от греха подальше. Хотя, конечно, вполне возможно, что поисковый робот всё равно будет обрабатывать содержимое ящиков на Gmail'е, и "отписаться" от такой услуги будет, мягко говоря, не слишком просто. Что ж, тогда можно в политиках прописать использование других почтовых служб. Само собой, в виде рекомендации - в рабочих целях должна быть рабочая почта.

А вообще, честно говоря, печально, что соображения безопасности приносятся в жертву удобству пользователей. Понятно, что маркетинг важен, но в данном случае, боюсь, цена за него будет чересчур высока.

Р. Идов,

аналитик компании SearchInform

Чем обернется мечта?

Не думаю, что будет большим преувеличением сказать, что человечество уже давно мечтает видеть сквозь стены. И эта мечта, похоже, как никогда близка к своей "сбыче". Но нам, как специалистам по безопасности, боюсь, ничего хорошего данное событие в себе не несет, потому что стены - это, знаете ли, древнейшее обеспечение для изобретения конфиденциальности. А какая может быть конфиденциальность, если через них всё прекрасно видно?

Учёным из Университетского колледжа Лондона удалось разработать устройство, позволяющее "видеть" сквозь стены. За основу Карл Вудбридж и Кевин Четти взяли сеть Wi-Fi. Устройство анализирует радиоволны беспроводной сети, когда те отражаются от движущегося объекта, в этот момент происходит изменение частоты и длины волны. Частота радиоволн уменьшится, если объект будет удаляться от источника Wi-Fi. Две антенны - важные составляющие изобретения. Одна из них регистрирует исходный сигнал, а вторая - радиоволны Wi-Fi. Таким образом, прибор может зафиксировать местоположение, скорость и направление передвижения объекта. Сейчас проходят испытания устройства. Так, за кирпичной стеной в 30 сантиметров оно "рассмотрело" точное количество движущихся людей.

Отсюда

Сам по себе метод, использующий Wi-Fi, также интересен, потому что в отличие от других уже имеющихся сегодня технологий "прочтения" стен эта будет очень и очень дешевой, а значит, вполне себе массовой. Со временем, думаю, впрочем, и другие технологии подтянутся, усовершенствуются, и будут уже не только различать количество людей, но и считывать содержимое экранов ноутбуков, работающих за стеной. Но это ещё не скоро.

Пока же налицо очередной инструмент промышленного шпионажа. И в обозримом будущем станут актуальными и востребованными услуги по защите от подобного рода инструментов. Хотя сейчас это, конечно, скорее экзотика, интересная больше спецслужбам. Но если хотите застолбить за собой этот рынок, то имеет смысл начать работать в этом направлении уже сейчас.

В общем, мы с вами можем наблюдать рождение очередного противостояния между прогрессом и безопасниками. Да, наша работа состоит, в некоторой степени, в том, чтобы противодействовать чрезмерному внедрению прогресса в те области, где хотелось бы чего-то более традиционного - например, конфиденциальности. Но это не так уж и плохо, как вы считаете?

Р. Идов,

аналитик компании SearchInform

Очередные проколы

Говоря об информационной безопасности, не обойтись без обсуждения отдельных недоработок и проколов, которые, к сожалению, имеют место в любой отрасли. Но в случае с ИБ их цена может быть очень велика - я говорю даже не о злобных хакерах, которые захватили АСУ атомной станции, а о стоимости каждой небольшой, казалось бы, потери данных, доступа к аккаунту и т.д. Поэтому нужно, как принято у японцев, каждый день хоть понемногу улучшать то, что ты делаешь, чтобы результат был хорошим, и учиться на чужих ошибках.

На сей раз спонсором таких ошибок стал не кто-нибудь, а корпорация Apple. Вот как это было:

урналист Мэт Хонан (Mat Honan), который работает на несколько IT-изданий, в частности Gizmodo и Wired, сообщил в своем блоге , что неизвестные хакеры взломали его учетную запись в iCloud.
Взлом, для которого хакеры использовали методы социального инжиниринга, был осуществлен 3 августа 2012 года. Позвонив в техподдержку Apple, якобы от имени Хонана, злоумышленникам удалось правильно ответить на все вопросы безопасности и впоследствии подобрать семизначный пароль к учетной записи журналиста.
Подробнее: http://www.securitylab.ru/news/428034.php

В чем же здесь ошибка Apple? Если знать всю процедуру восстановления пароля, то увидеть её несложно. Дело в том, что хотя вопросов целых три, их нельзя поменять, то есть, они стандартные для всех пользователей. Это, конечно, не такое эпичное наплевательство на защиту, как девичья фамилия матери для блокировки-разблокировки банковских карт, но тоже не самая лучшая демонстрация профессионализма безопасников Apple.

Конечно, вряд ли бы журналист, который не удосужился даже применить двухфакторную аутентификацию для своего гугловского аккаунта, стал бы заморачиваться изобретением собственных вопросов для Apple. Но для многих других людей такая возможность была бы очень и очень полезной. Я, конечно, не думаю, что этот инцидент как-то повлияет на подходы к безопасности внутри "яблочной" корпорации, но, возможно, те, кто прочитают мой пост, учтут этот ляп при проектировании собственных систем безопасности.

Р. Идов,

аналитик компании SearchInform