Продолжая "хакерскую" тему

Сегодня хочу продолжить начатую пару дней назад тему атак и их отношения  к государственной безопасности.  Тема, хочу сказать, вообще практически неисчерпаемая. На  сей раз хочу обсудить борьбу с сетевыми атаками в Соединенных Штатах.

В результате ряда громких нападений на американские компьютерные сети, за которыми, как предполагается, стоят китайские правительственные хакеры, власти США начали рассматривать возможность введения различных мер, ограничивающих государственные закупки китайского компьютерного оборудования. Об этом сообщает Reuters.

Наибольшее беспокойство данная инициатива вызвала у крупных американских компаний из частного сектора, в том числе Apple, HP, Lenovo, Dell и т.п., поскольку значительная доля их продуктов частично или полностью производится в Китае.
Из предложения по введению ограничений, которое уже получило предварительное одобрение Конгресса США, следует, что под запретом приобретения государственными организациями находятся все устройства, частично или полностью, произведенные или собранные китайскими организациями или организациями, субсидируемыми со стороны КНР.
Стоит отметить, что ранее в США уже вводились подобные ограничения, однако они затрагивают лишь коvпанию Huawei.
SecurityLab.ru

В общем-то, идея о том, что не нужно закупать критически важную электронику за рубежом, не нова, и вряд ли заслуживает обсуждения. Здесь интереснее то, что американские, в общем-то, компании - Dell, HP и прочие Apple, оказались "за бортом", потому что их оборудование собирают во всё том же Китае. Понятное дело, что для того, чтобы быть конкурентоспособными, отказаться от этого нет никакой возможности - американская сборка  будет просто золотой.

Что же будут делать все эти ИТ-гиганты? Очевидно, что самый простой путь - выпустить для американских госорганизаций специальную линейку дорогих, но изготовленных в Америке устройств. Но это сложно, потому что производственных мощностей для этого вряд ли будет достаточно - их нужно строить, а спрос-то на такую технику есть уже прямо сегодня.

В общем, ситуация получается интересная. Хотя, надо отметить, раз речь идет только о Китае, то можно покупать компьютеры из той же Малайзии... Хотя, думаю, что к моменту принятия закона эту лазейку прикроют.

Россия, как обычно, такими "мелочами" не интересуется. У нас даже операционной системы отечественной толком нет (не говорите про Альт-Линукс, пожалуйста), где тут задумываться о "железе".

Р. Идов,

ведущий аналитик компании SearchInform

Очередная полезная инициатива

В Японии, конечно, теперь всё настолько высокотехнологично, что нам их в ближайшие 20-30 лет никак не  догнать. Но давайте посмотрим на то, что там происходит сегодня, чтобы узнать, чего нам ожидать в не очень скором времени.

Япония создаст отдел полиции по борьбе с киберпреступностью. Об этом сообщило Agence France-Presse со ссылкой на Национальное полицейское агентство Японии. Отдел будет состоять из 140 сотрудников и будет расквартирован в Токио, Осаке и других крупных городах. Киберполицейские будут изучать источники угроз, а также расследовать уже происшедшие атаки. В их обязанности войдет защита электронных систем государственных и военных организаций, а также электростанций и нефтехранилищ. Специалисты будут набираться из частных компаний. Помимо профессиональных навыков, они будут обязаны владеть английским, китайским, корейским и русским языками.

http://www.itsec.ru/newstext.php?news_id=91024

Что и сказать, киберполиция - это уже давно не роскошь, а требование времени. Кстати, обратите внимание на требование по поводу русского языка - это самое наглядное подтверждение тому, что мы с вами имели удовольствие обсуждать буквально вчера.

Очень мудро даже не само постановление о создании киберполиции, хотя, конечно, чего уж там, японцы  однозначно молодцы. Хочется очень поприветствовать инициативу по набору киберполицейских из различных частных компаний, где, несомненно, гораздо больше шансов встретить по-настоящему квалифицированного специалиста. Впрочем, конечно, для того, чтобы реализовать это, нужно предложить конкурентоспособные условия  работы и оплаты труда. Впрочем, в Японии работать на государство - почетно.

Ну а в целом, конечно, обидно, дамы и господа. Пока у нас  занимаются разной ерундой вроде черных списков, в Японии действительно решают проблемы информационной безопасности на государственном уровне. Это в современных условиях, как сказал бы Владимир Ильич, архиважно. Жаль, что у нас этого до сих пор не понимают.

Р. Идов,

ведущий аналитик компании  SearchInform

Россия и "хакерские рейтинги"

Разговорились намедни с коллегами о том, почему Россия так часто попадает разные "хакерские рейтинги", и причем, надо сказать, далеко не на последние места. Спешу, как всегда, поделиться своим мнением:)

На самом деле, ничего удивительного в таких данных нет, Россия уже давно и прочно вошла во всевозможные «хакерские» рейтинги, и многие из них не первый год возглавляет. Вторая страна, которая так же активно «хакерствует» в Сети – это Китай, но если в Китае эта активность в чем-то (я бы сказал, почти во всём) обусловлена интересами правительства, то у нас, напротив, активность хакеров можно объяснить, в том числе, и отсутствием интереса государственных органов к из деятельности.

Россия удобна и для отечественных киберпреступников, и для зарубежных, именно поэтому её показатель по числу исходящих атак и превышает другие страны в разы. Хорошая телеком-инфраструктура (а телекомунникационная отрасль у нас, пожалуй, одна из немногих, кто не отстает от запада) плюс знаменитая строгость российских законов, компенсирующаяся необязательностью их исполнения, создают благоприятную среду для деятельности тех, кого часто называют хакерами. Россия сдает в аренду сервера, которые используют зарубежные сетевые «деятели», атака же выглядит так, как будто проводится россиянами.

Каков процент отечественных «хакеров»? Конечно, здесь трудно давать точные оценки, но я уверен, что их в этом числе в разы меньше, чем европейских и американских, которым, в отличие от наших, действительно есть что терять в случае раскрытия их действий. Тем же китайцам Россия как площадка для атак не очень интересна, потому что их особенно никто не трогает (даже наоборот) на родине.

Можно ли изменить ситуацию? Думаю, для этого нужны, прежде всего, политическая воля и законодательные изменения, с чем есть некоторые затруднения. Впрочем, это уже тема для другого рода разговоров...

Р. Идов,

ведущий аналитик компании SearchInform

А ля гер ком а ля гер

О кибервойнах не писал только ленивый. Мы тоже их тут уже обсуждали в нашем корпоративном блоге. Но реалии сегодняшние наши таковы, что обсуждать их в последнее время поводов всё больше и больше. Главный их генератор - это, конечно, страна победившего Чучхе, которая после смены правителя заметно активизировалась на военном поприще.

По данным издания Associated Press, южнокорейские эксперты в области информационной безопасности обвинили Северную Корею в подготовке киберармии. В ходе расследования ряда атак на компьютерные системы страны, исследователи пришли к выводу, что сбой в работе 32 тыс. компьютеров и серверов, принадлежащих трем основным телекоммуникационным сетям и трем крупнейшим банкам Южной Кореи, был организован специальным подразделением, которое намерено перенести национальное противостояние в киберпространство.

http://www.itsec.ru/newstext.php?news_id=90922

В общем-то, здесь, надо сказать, Северной Корее сильно повезло, потому что Южная Корея - государство весьма развитое, и запуск одного Стакснета на их заводы и электростанции может позволить добиться не менее оглушительного эффекта, чем применение того самого ядерного оружия, которым Пхеньян так любит потрясти на досуге. Южной Корее, впрочем, тоже по-своему повезло.

Дело в том, что такого уровня компьютеризации, как у южан, у северян не будет еще лет пятьдесят, как минимум. Им и не надо, у них есть атомная бомба. Соответственно, и специалисты, которые могли бы заниматься созданием своих троянов и проведением кибератак, мягко говоря, в дефиците. Конечно, они есть, их готовят, холят и лелеят, но сами понимаете, насколько легко подготовить специалиста по кибератакам в условиях, максимально приближенным к СССР 50-х годов. Это вам не Израиль, за полгода написавший Stuxnet.

Возникает закономерный вопрос: действительно ли Северная Корея проводит атаки против Южной? Или, скажем, кое-кто (не будем показывать пальцем) под видом кибератак занимается банальным промышленным шпионажем? Вопрос чисто риторический, никто на него вам ответа не даст. Геополитика - дело тонкое, ловля рыбки в мутной воде... Но повод для размышлений, думается, есть.

Мораль какая? Простая. Если вас атакуют, не стоит сразу во всё обвинять давних врагов. Лучше присмотритесь к новым друзьям, они иногда могут быть наааамного опаснее.

Р. Идов,

ведущий аналитик компании SearchInform

Как обезопасить компанию от утечек персональных данных сотрудников, клиентов и партнеров?

Давно уже не было в нашем корпоративном блоге сугубо практических постов. Что ж, давайте попробуем хотя бы немного, но исправить ситуацию и поговорим о благодатной для всякого безопасника теме - персональных данных.

Данные о клиентах и партнерах – святая святых любой компании, которая мало-мальски дорожит собственной репутацией. В то же время, эти данные представляют значительный интерес для конкурентов, журналистов и прочих лиц, которые не должны иметь к ним доступа. Всё это создает благоприятную почву для сотрудников, желающих подзаработать на перепродаже закрытых корпоративных данных третьим лицам.

Отдельно стоит отметить необходимость защиты персональных данных клиентов. Эта защита не просто является законодательным требованием – её необходимость продиктована той ролью, которую сегодня играют персональные данные в жизни общества и каждого человека. С помощью одних только персональных данных мошенники имеют возможность получить доступ к электронной почте и другим информационным ресурсам человека, а также к его банковским счетам. Особенно опасны утечки персональных данных из финансовых организаций: банков, страховых компаний, коллекторских агентств, поскольку их базы содержат исчерпывающую информацию, необходимую для осуществления мошеннических операций.

Пожалуй, ничто так не вредит репутации компании, как утечка персональных данных клиентов, многие из которых после подобных инцидентов оказываются для неё безвозвратно потерянными. Среди них могут оказаться и крупные клиенты, уход нескольких из которых серьезно подорвет позиции компании на рынке. Впрочем, при утечке данных о корпоративных клиентов исход, как правило, аналогичен: многие из них предпочитают уйти к конкурентам, лучше справляющимся с защитой своей информации. Партнеры компании, как правило, также весьма щепетильно относятся к разглашению своих данных, и поэтому утечка информации может стать причиной расторжения многих договоров с ними.

Утечка данных о клиентах и партнерах может являться как случайной, так и преднамеренной, т.е. некоторые сотрудники могут специально передавать эту информацию за пределы организации. К счастью, сегодня у компаний есть возможность одинаково эффективно противостоять и халатности сотрудников, и их злому умыслу с помощью специальных средств защиты от утечек данных, например, таких, как «Контур информационной безопасности SearchInform».

Проводить мониторинг утечек данных о клиентах и партнерах компании целесообразно по названиям соответствующих организаций с использованием простого фразового поиска. Для этого нужно создать алерт, в котором в качестве запроса указать список основных партнеров и клиентов организации. Имеет смысл проводить подобный мониторинг для всех без исключения каналов передачи информации, хотя такой подход и увеличивает нагрузку на сервер, поскольку интерес представляют не только факты передачи документов, связанных с клиентами или партнерами, за пределы организации, но и обсуждение ключевых клиентов и партнеров сотрудниками по Skype, ICQ и т.д. Эти обсуждения могут иметь также важное значение для обеспечения информационной безопасности компании.

Для отслеживания персональных данных клиентов можно воспользоваться советами по борьбе с утечками персональных данных сотрудников компании.

В случае обнаружения случайной непреднамеренной утечки, как и при большинстве других инцидентов, связанных с нарушениями политик информационной безопасности, лучше всего провести с сотрудником разъяснительную беседу и инструктаж. А вот в случае преднамеренной передачи закрытых данных за пределы компании необходимо инициировать расследование и поднимать вопрос о гораздо более серьезных санкциях по отношению к виновному.

Р. Идов,

ведущий аналитик компании SearchInform

Немного о похищении данных в Сети

Как персональные, так и любые другие данные могут быть похищены различными способами. Чтобы говорить о том, каким образом пользователь может защититься, нужно сначала рассмотреть методы, которыми действуют злоумышленники. Вот наиболее распространенные из них:

• Фишинг: пользователь сам оставляет свои данные на подставном сайте, который маскируется под сайт известной компании, социальной сети и т.д.
• Вредоносное программное обеспечение: многие в своей жизни сталкиваются после посещения сомнительных сайтов с ворующими пароли или даже файлы «троянами»;
• Социальная инженерия: получения сведений от пользователя при помощи подставных аккаунтов якобы известных пользователю лиц;
• Физическая кража данных при реализации удаленного доступа к системе пользователя;
• Утрата данных в результате программных или аппаратных сбоев, а также действий, совершенных третьими лицами (как правило, сервисами, в которых пользователь хранит свои данные);
• Утрата данных в результате их случайного размещения на общедоступных источниках.

Пожалуй, детально разбирать каждый из этих пунктов смысла нет. Сегодня каждый школьник знает, что для того, чтобы защититься от вредоносного программного обеспечения, необходим качественный и регулярно обновляемый антивирус, а для того, чтобы защититься от непосредственного хищения данных нужен файрвол, который отобьет внешние атаки. Для того, чтобы обезопаситься от фишинга, необходимо сразу удалять все письма, которые приходят якобы от администрации ресурса, потерявшего ваш пароль, а прежде чем размещать где-либо какой-либо файл, нужно три раза взвесить все «за» и против, чтобы потом не пришлось горько пожалеть.

Но знать это и руководствоваться ежедневно этими нехитрыми на первый взгляд правило – это, что называется, «две большие разницы». Поэтому в рамках компании необходимо проводить регулярные инструктажи по информационной безопасности, во время которых сотрудникам будут напоминать о том, что прописные истины в сфере информационной безопасности – вовсе не то, что можно игнорировать, находясь на своём рабочем месте. После подобных инструктажей (можно назвать их тренингами) стоит устраивать мини-экзамены или мини-зачеты по изложенному в их ходе материалы, с применением поощрительных мер по отношению к «отличникам» и дисциплинарных взысканий по отношению к тем, кто не смог вынести из инструктажа никаких практических знаний.

Роман Идов,

ведущий аналитик компании SearchInform

Ботнеты - дело прибыльное

О ботнетах я пишу реже, чем об утечках информации, но проблема от этого вовсе не становится менее значимой:) В мировом масштабе можно даже сказать, что ботнеты - более серьезная проблема, потому что страдает от них намного больше человек, чем от утечек данных. А всё почему? Да потому, что заниматься ботнетами очень просто и прибыльно.

Аналитическая компания spider.io обнаружила масштабный ботнет, который насчитывает более 120 тыс. хостов, расположенных в США. Все боты работают на базе ОС Microsoft Windows и пользуются браузером Internet Explorer, который выполняет JavaScript. Деятельность ботнета наносит рекламным агентствам ущерб в размере $6,2 млн ежемесячно.

http://www.itsec.ru/newstext.php?news_id=90826

Конечно, ставить знак равенства между убытками рекламщиков и доходами ботоводов будет несколько глупо и наивно, но даже если взять коэффициент 1:20 (вполне реальный, исходя из моих знаний об интернет-рекламе), то доходы в более чем $300k/месяц выглядят очень неплохо. А ведь это еще и не самый большой ботнет - я бы даже сказал, что довольно мелкий, да и заработать на том же спаме можно, думаю, куда больше.

А зарабатывать на ботнетах проще, да и риска меньше. Написать бота можно за неделю, ещё пару месяцев у хорошего программиста уйдет на то, чтобы научиться прятать его от основных антивирусов. Если с программированием плохо, всегда можно отдать это дело на аутсорсинг - желающие, поверьте, найдутся, если искать. Надо только придумать, как на нем зарабатывать, но это тоже пару дней на профильных форумах, чтобы идея родилась сама собой.

И, заметьте, в отличие от утечек информации, никто не будет стремиться снять с вас скальп за вашу такую деятельность. Стоит ли удивляться, что ботнетов расплодилось такое количество?..

Р. Идов,

ведущий аналитик компании SearchInform

ВУЗы и ИБ

Хочу поднять одну проблему, связанную с информационной безопасностью. Связанную довольно тесно, но для многих не совсем очевидным образом. Речь идет о преподавании ИБ в ВУЗах. На мой взгляд, об этой проблеме говорят еще меньше, чем о собственно ИБ, что, несмненно, никак не способствует её скорейшему решению.

С ВУЗами, которые готовят безопасников, всё сложно. Как показывает опыт, дисциплины часто читают старые преподаватели матанализа, в то время как должны были бы читать практики, понимающие, что именно необходимо предпринимать для обеспечения ИБ в компании. Но их в отечественных ВУЗах, увы, днем с огнем не сыщешь. Вернее, они, конечно, есть, но в совершенно недостаточных для обеспечения приемлемого уровня образования количествах.

Что с этим делать? Понятно, что насильно практикующих безопасников к студентам не загонишь, да и не у всех есть возможность заниматься преподаванием. Поэтому возможны два варианта. Первый - это как делается сейчас, безопасник, фактически, постигает все трудности профессии в полевых условиях. Но тут есть одно "но". Если неопытного программиста всё-таки можно посадить на не сильно важный проект или просто дать задание готовить какие-то модули для внутреннего пользования, то с неопытным безопасником такой номер, что называется, не проходит. Потому что от его работы зависит, фактически, весь бизнес, и ценой неопытности может стать дорогостоящий ИБ-инцидент, который при неблагоприятном стечении обстоятельств может послужить причиной полного уничтожения бизнеса компании. Кто захочет так рисковать? 

Второй вариант - это авторизованные учебные центры при компаниях,  над одним из которых сейчас работаем и мы. Это будет получаться несколько дороже для самих выпускников ВУЗов, но зато заметно дешевле для их работодателей. Думаю, что в перспективе без "корочек" одного из таких учебных центров найти работу в ИБ без опыта будет нереально.

Но таких центров нужно очень много (как, впрочем, и безопасников), поэтому, возможно, всё-таки ВУЗам стоит задуматься о том, чтобы самим идти к практикам и пытаться вовлекать их в образовательный процесс. Тогда, глядишь, совместными силами и удастся подготовить толкового специалиста.

Р. Идов,

ведущий аналитик компании SearchInform

Догнать и перегнать Китай

Всё-таки иногда зарубежные новости из мира ИБ заставляют задуматься о современной российской действительности, которая, скажем прямо, далеко не всегда радует меня и коллег. Даже китайцы заботятся об ИБ больше, чем мы. Впрочем, почему "даже"? Они давно обошли Россию и вообще весь бывший СССР по многим направлениям. Но давайте обо всём по порядку.

Во время кампании, проходившей в 23 регионах китайских провинций, местная полиция арестовала 1 026 подозреваемых в незаконном получении или перепродаже персональных данных, сообщило Министерство общественной безопасности КНР. Как передает информационное агентство Синьхуа, в результате произошедших 7 марта арестов полиция Пекина, Шанхая и других городов совместными усилиями ликвидировала 263 преступных группировки, раскрыла 651 случай незаконного сбора и продажи персональных данных.

Отсюда

Интересует ли проблема персональных данных российскую полицию? Честно говоря, в этом есть достаточно большие сомнения, причем не только у меня, но и у наших клиентов. Ещё никто из них, сталкиваясь с утечками данных (включая и данные персональные) не решился обратиться в полицию - по крайней мере, до того, как провел собственное расследование инцидента.

Это проблема, конечно, гораздо глубже. Она заключается в приоритетах. Развитие информационного общества - это один из приоритетов современного Китая, и руководство этой страны прекрасно понимает, что это невозможно без развития информационной безопасности. Которая начинается с малого - с безопасности персональных данных граждан страны. Сами граждане тоже пока этого не понимают, но у нас, к сожалению, даже и не пытаются понять...

В общем, догнать и перегнать Китай, товарищи, как бы грустно это ни звучало.

Р. Идов,

ведущий аналитик компании SearchInform