Конкуренция... и всё тут

Конкуренция - это один из плюсов капиталистического общества, заставляющих бизнес активно развиваться, а не сидеть ровно в ожидании подачки со стороны государства. Но это в идеале. В России, как вы сами понимаете, всё может быть совершенно иначе.

Как сообщают "Известия", вредоносная программа, внедренная в систему видеофиксации дорожного движения в Подмосковье, привела к массовому отключению комплексов "Стрелка-СТ" на всех ключевых трассах области.
По мнению экспертов, отключение системы может быть следствием недобросовестной конкуренции на рынке предоставления подобных услуг, в связи с тем, что компания "СК Регион", которая с 2010 года единолично предоставляла государству подобные услуги, проиграла многомиллионный госконтракт.
Отсюда: http://www.itsec.ru/newstext.php?news_id=90423

В общем-то, вполне российская ситуация: уходишь к другому поставщику услуг - получи вирус. Эта практика работает на всех уровнях: сам сталкивался с турагентством, не желавшим возвращать паспорта, когда ваш покорный слуга уже был готов переметнуться к их конкурентам. Только здесь всем кажется, что заражение вредоносным ПО компьютеров, отвечающих за работу системы видеонаблюдения - это что-то сродни форс-мажору, и никто, соответственно, не станет докапываться до истинных причин подобного инцидента...

К чему это я? К тому, что в условиях такой российской конкуренции любой приобретатель услуг должен уделить внимание своей информационной безопасности, в противном случае он может остаться в буквальном смысле у разбитого корыта. У поставщика услуг, борящегося за выгодный контракт, может найтись очень хитро...умный директор, который скажет: "ах, они хотят от нас свалить? Вася, кинь им вирус (выложи их документы в сеть, не отдавай паспорта)". Понятно, что в рамках закона на такого директора можно найти управу, но пока это произойдет, ущерб уже будет нанесен.

Лучше всего, конечно, заранее отказываться от работы с такими поставщиками. Их, как правило, видно за целую версту. Но если не получается, лучше перед "разрывом отношений" обезопасить себя - в данном случае, банально сменить пароли на доступ к системе видеонаблюдения. В общем, лучше перестраховаться, чтобы не стать героем подобных новостных сводок...

Р. Идов,

ведущий аналитик компании SearchInform

Поговорим о Скайпе

О защищенности Skype от постронних глаз и ушей знает всякий. Но не всякий знает, что существуют способы прослушивания Skype и без расшифровки трафика. Причем эти способы могут применяться не только для каких-то неблаговидных целей – они очень удобны для контроля действий сотрудников в рабочее время со стороны работодателя.

Что касается вопроса чтения сообщений и прослушивания голосовой информации, передаваемых через Skype, для этого наиболее часто применяются проверенные годами способы, хорошо работающие не только со Skype, но и с любым другим VoIP-решением – перехват звука со звуковой карты и перехват нажатий пользователя на клавиатуру. Более продвинутые средства мониторинга Skype работают как плагины для самого Skype-клиента и позволяют перехватывать не только голосовой и текстовый трафик, но и пересылаемые через Skype файлы. Само собой, в свете того, что по Skype могут пересылаться и очень интересные файлы, более популярны как раз те решения, которые позволяют «отлавливать» и их.

Самый простой вариант мониторинга «Скайпа», реализуемый буквально «на коленке», выглядит следующим образом: достаточно в том же стандартном Sound Recorder'е выбрать в качестве входного канала Stereo Mixer (в зависимости от звуковой карты, он может называться иначе – например, «What you hear»). Плюс какой-нибудь бесплатный кейлоггер, который можно за пять минут найти с помощью Google, и у вас есть готовая система слежения за сотрудниками. Но у неё есть минусы: вместе с разговором по Skype будет записываться и музыка, которую пользователь слушает в перерывах между ними. То же касается и клавиатурного ввода – вам придётся вручную отделять «зёрна от плевел», то есть сообщения, переданные через Skype, от набранных в Word'е документов. Это вполне удобно для того, чтобы отследить, насколько грамотно работник вообще тратит рабочее время, однако если работодатель, например, хочет защититься от угрозы утечки информации через Skype, то, понятное дело, такой вариант будет очень неудобен.

Р. Идов,

ведущий аналитик компании SearchInform

Пиар такой пиар...

Спору нет, пиариться нужно всем. Но некоторые пиар-акции ничего, кроме смеха, не вызывают. Потому что хакеры, пикетирующие стенд известной компании на выставке - это как-то вообще не укладывается ни в какие представления ни о хакерах, ни об этой компании. Впрочем, давайте лучше обо всём по порядку.

В первый день Всемирного мобильного конгресса 25 февраля 2013 г. в Барселоне у павильонов выставки прошел пикет с требованиями защиты хакеров от разработок "Лаборатории Касперского".
Судя по фотографиям, в мероприятии приняли участие около 50 человек. Демонстранты держали плакаты и транспаранты "Kaspersky, go home" ("Касперский, убирайся домой"), "Defend hackers" ("Защитите хакеров"), "Kaspersky Lab gives me nightmares" ("Лаборатория Касперского" - мой кошмар), "Save hacker-s jobs! Stop Kaspersky Lab!" ("Сохраните работу хакерам, остановите "Касперского") и т.п.

...

В "Лаборатории Касперского" сообщили CNews, что хакерский флешмоб был инициирован самим антивирусным разработчиком в целях привлечения внимания к его выставочной экспозиции.
Источник: CNews.ru

Как говорится, хорошо, хоть сознались. Но всё равно, как-то грустно за "Лабораторию Касперского" -  подобные пиар-акции говорят о кризисе идей в компании, за которым неизбежно следует её упадок. Даже, честно говоря, не очень понятно, что в последнее время происходит с "ЛК" и её основателем - странная история с похищением сына, теперь вот ещё это... Будет грустно, если "ЛК" станет такой же, как и отпочковавшиеся от неё когда-то наши конкуренты. Пиар-ход получился чрезвычайно толстым и неудачным. Будем надеяться, что виновные понесут наказание, а "ЛК" не станет повторять своих ошибок.

Р. Идов,

ведущий аналитик компании SearchInform

Приметы времени

На дворе, что ни говори, 21-й век. И теперь крадут не только кредитки или айпады, но и кое-что поважнее и посущественнее. Да-да, я буду сейчас говорить именно о краже личности - хотя, помнится, в этом блоге об этом явлении я и так уже неоднократно писал. Но проблема всё равно остаётся весьма и весьма актуальной, поэтому писать нам об этом ещё не раз и не два.

Согласно результатам исследования американской Javelin Strategy & Research, в США за весь прошлый год жертвами кражи личности стали 12,6 миллионов местных жителей. Доход мошенников при этом превысил $21 миллиард.
Аналитики также выяснили, что каждый четвертый пострадавший от этого вида мошенничества заявил о хищении номера социального страхования, что в США считается наихудшим результатом кражи личности, поскольку может повлечь довольно тяжелые последствия для жертвы.
Подробнее: http://www.securitylab.ru/news/437879.php

Ну, в общем-то, ситуация действительно из серии "а что ж вы хотели?". Потому что предпосылок для кражи личности в современном обществе, что в американском, что в российском, более чем достаточно.

Во-первых, уже несколько лет идёт настоящий бум на социальные сети. Они сегодня есть в буквальном смысле для кого и для чего угодно: для учителей, путешественников, кошек... Во-вторых, вместе со всеобщей "социализацией" идет и интеграция самых разных сервисов. Твиттер, Фейсбук, Инстаграм... И это только вершина айсберга, потому что на самом деле здесь уже настоящий клубок, в котором вряд ли кто-либо из пользователей может увидеть все связи, даже если частью из них и пользуется. Все эти сервисы завязаны на один почтовый ящик, и поэтому злоумышленнику уже больше не надо искать возможность украсть данные со 100500 ресурсов - достаточно получить доступ к почте.

Есть и менее значимые аспекты проблемы, вносящие, тем не менее, свою лепту. На западе, например, почти всё можно сделать виртуально или через телефон. У нас это пока не так ощутимо, но всё ближе. Сами соцсети тоже собирают "теневые" профили тех, кто у них еще не зарегистрирован... В общем, факторов масса.

Так в чем же дело? Дело в том, что когда злоумышленника раскрывают и "обезвреживают", данные, которые он собрал, никуда не исчезают. Она наверняка есть где-то в "облаке", или ещё каким-то образом "забэкаплена". И ей очень даже могут воспользоваться другие желающие. Поэтому и количество инцидентов будет расти в геометрической прогрессии (я именно о кражах личности, если что).

Р. Идов,

ведущий аналитик компании SearchInform

(Не)приемлемые риски

Когда речь заходит об информационных рисках, часто от руководителей разного уровня приходится слышать о том, что для их организации никаких таких рисков не существует. Поэтому, думаю, будет совсем не лишним поговорить немного об информационных рисках. Чтобы понять, какие риски есть, всё-таки придется провести кое-какое исследование...

Вы можете обратиться к консалтерам, которые сделают всё за вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это будет очень хороший, но вместе с тем и весьма недешёвый вариант. Но если с деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает практика, для большинства компаний эта задача вполне может решаться и без привлечения сторонних экспертов.

В общем случае процесс оценки рисков выглядит так: построение модели информационной инфраструктуры организации, выявление взаимозависимостей отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые могут приводить к реализации указанных угроз для каждого ресурса; оценка вероятности реализации каждой угрозы и её возможных последствий. Последний пункт этого списка – самый сложный на практике, поскольку для определения вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка информации) необходима статистика, которой в распоряжении организации может и не быть. Впрочем, распространённые методики оценки рисков, которые легко можно найти в специализированной литературе и даже во Всемирной паутине, позволяют оценить риски и без применения большого объёма статистических данных.

После оценки вероятности и стоимости необходимо оценить также степень критичности каждой из угроз для всей информационной системы в целом (для этого можно применить собственную шкалу с положительными баллами). Результирующую степень риска можно положить как произведение трёх величин: вероятности, стоимости и критичности. Соответственно, защищать нужно в первую очередь те информационные ресурсы, для которых степень риска максимальна. То есть, необходимо выделить какой-то максимально допустимый уровень угрозы, выше которого защита должна быть особенно мощной. На практике этот уровень вычисляется исходя из выделенного на нужды ИБ бюджета.

На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать которые рекомендует законодательство, не очень много ресурсов из другого списка – того, который составили вы сами на основе оценки рисков. В этом нет ничего страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные угрозы.

Р. Идов,

ведущий аналитик компании SearchInform

Бизнес на инцидентах

Ни у кого не возникнет возражений, я думаю, если я скажу, что то, с чем сегодня активно борются ИБ-специалисты по всему миру, является для определенных кругов весьма и весьма выгодным бизнесом. Однако сами по себе инциденты в сфере ИБ до последнего времени бизнесом назвать было сложно. Но сегодня ситуация постепенно меняется. Во всяком случае, в определенных сегментах этого непростого рынка.

До недавнего времени, злоумышленник, желающий встать на путь киберпреступлений, но не обладающий необходимыми знаниями, искал способы, для того чтобы попасть на закрытые специализированные форумы, посвященные интересующей его тематике и часами "просиживал" в чатах, чтобы завоевать доверие потенциальных "коллег". Тем не менее, как сообщил эксперт Webroot Данчо Данчев (Dancho Danchev), эти времена канули в Лету. По словам специалиста, сейчас в целях привлечения новых клиентов разработчики вредоносных инструментов и сервисов начинают предлагать свои услуги на общественных форумах. Среди предложений, носящих разнообразный характер, присутствуют атаки на отказ в обслуживании телекоммуникационных сетей (Telecommunications Denial of Service, ТDoS).

С моего любимого новостного сайта

Поясню, в чем отличается то, что описано  в новости, от того, к чему мы все, в общем-то, привыкли (хотя звоночки были и раньше, к примеру, тот же Citadel, но всё же...). Раньше человек, который откликался на объявления типа "взломаю любой нужный вам почтовый аккаунт за $100" с 90%-й вероятностью нарывался на мошенников, которые просили перечислить те самые $100 на кошелек WebMoney/счет в сингапурском банке, после чего переставали выходить на связь со своей жертвой.

Сейчас же эти объявления вешают совсем другие люди, которые, как ни парадоксально, дорожат своей репутацией. И если потенциальный заказчик засомневается в их честности, то весь бизнес будет немного под угрозой, что, сами понимаете, не есть хорошо. Опять-таки, и суммы здесь крутятся совсем другие, и профессиональный уровень организаторов атак заметно выше.

Но интереснее другое. В той же новости читаем:

Данчев отметил, что существуют также другие покупатели подобных услуг – легальные компании, желающие подорвать бизнес своих конкурентов путем блокирования их мобильной и стационарной связи.

То есть, говоря русским языком, мы имеем дело с обратной стороной того же явления, что и заказные утечки информации. Что, в принципе, вполне ожидаемо и даже легко объяснимо. Ведь этот рынок ещё, можно сказать, совсем не окучен предприимчивыми хакерами, а платежеспособность у его участников просто колоссальная.

Думаю, что в обозримом будущем масштаб данного явления будет только нарастать, причем, вполне возможно, даже в геометрической прогрессии. Впрочем, конечно, как говорится, поживем - увидим.

Р. Идов,

ведущий аналитик компании SearchInform

Зачем Dr.Web полез в консалтинг?

Скажите, вы любите консалтеров? Этих умно говорящих мужчин в золоченых очках и светлых пиджаках, рассказывающих о довольно-таки очевидных вещах менторским тоном и требующих баснословных гонораров за свои ценные советы? Сами консалтеры тоже любят сетовать на жизнь и на не очень большие заработки. Но всё-таки есть вендоры, которым не дают покоя лавры консалтеров. В частности, речь о Dr.Web.

Я, признаться, был очень удивлен, когда наткнулся на эту новость:
Компания «Доктор Веб» сообщила о начале предоставления новой услуги. В случае возникновения признаков совершения киберпреступлений с использованием вредоносного или потенциально опасного ПО, причинивших ущерб организации, можно будет провести экспертизу силами специалистов компании. С ее помощью устанавливаются причины и механизмы произошедшего, выявляется степень предполагаемой ответственности лиц, причастных к инциденту, и даются необходимые технические и организационно-правовые рекомендации для устранения последствий.
Уникальной составляющей услуги, говорится в сообщении компании, является психологическая оценка сотрудников компании-заказчика, которая поможет выявить инсайдеров в случае, если инцидент произошел по вине или при пособничестве кого-либо из персонала.
Все исследования в рамках экспертизы производятся с соблюдением требований действующего законодательства.
Отсюда
Честно говоря, ничего, кроме недоумения, эта новость у меня поначалу не вызвала. Вообще можно даже сказать, что Dr.Web пытается взять на себя функции даже не какого-то консалтера, а надзирающего аудитора. Особенно интересен пассах про психологическую оценку. Как они собираются это делать? Уже разработан какой-то специальный тест, который позволит отличить инсайдера от не-инсайдера? Так, может, это вообще можно узнать по энцифалограмме или там анализу крови? А что, если психологи ошибется, и инсайдеров не найдется? Скажут "ну простите, мы что могли - сделали"?
В общем, судя по всему, кому-то в компании Dr.Web просто стало скучно, и он решил то ли потроллить публику, то ли сделать то же самое с собственной компанией. В любом случае, подобные сомнительные услуги серьезному вендору никак не к лицу. Еще куда ни шло бы это в портфолио какого-нибудь особенно выдающегося консалтера, но Dr.Web... В общем, запасаемся попкорном и ждем развития событий.
Р. Идов,
ведущий аналитик компании SearchInform

Немного экономики

Всем известно, что утечки информации наносят финансовый ущерб бизнесу, но не каждый сможет с уверенностью сказать, с чем именно это может быть связано. Поэтому поговорим немного о том, каким именно образом утечки конфиденциальных данных могут навредить компании с экономической точки зрения.

Итак, вот как выглядит список основных источников ущерба:

• Упущенная выгода в результате испорченного имиджа;
• Штрафы со стороны регуляторов;
• Компенсации по судебным искам;
• Снижение котировок акций (для акционерных компаний) в результате вброса на рынок инсайдерской информации;
• Прямые убытки: стоимость разработки технологических решений, стоимость проигранных в результате утечек данных тендеров и т.д. 

Каждая утечка информации несет ущерб посредством, как минимум, одного из перечисленных выше пунктов, наиболее серьезные же утечки способны "задействовать" весь этот список, что, понятное дело, благодаря эффекту синергии усиливает общую сумму ущерба, иногда даже и в разы.

Посчитать ущерб по каждому из этих пунктов достаточно сложно, особенно когда утечка только произошла, но можно сказать, что компании склонны недооценивать, и достаточно сильно, потери по первому пункту и несколько завышать свои ожидания потерь по пунктам 2-3.

Для чего оценивать возможный ущерб от утечек информации? Прежде всего, для того, чтобы понять, какую цену в действительности имеет конфиденциальная информация, которой обладает организация, а также оценить выгоду от внедрения системы защиты от утечек информаци.

Р. Идов,

ведущий аналитик компании SearchInform