30 мая 2013

Остерегайтесь китайских подделок!

Пока мы тут всеми силами развиваем свою софтверную промышленность, китайцы не дремлют, а идут по проторенному и хорошо знакомому им  пути (и, надо сказать, весьма успешному, если судить по другим отраслям китайской экономики): копируют и подражают. И уже сейчас у них это выходит достаточно неплохо, если говорить о программном обеспечении.
К чему это я?  К тому, что довелось сегодня прочитать такой вот занимательный обзорчик китайского антивируса: Антивирусная байда. Казалось бы, при чем  тут подделки? А при том, что работает антивирус  на движках "Касперского" и "Авиры". Китайский же в нем, в основном, интерфейс, который, сами понимаете, написать заметно легче, чем  саму антивирусную составляющую. Всё происходит в точности как с автомобилями, где китайцы  не тратятся ни на разработку новых платформ, ни, в принципе, на дизайн, а просто берут то, что уже успешно разработали японцы  и европейцы. Чертовски удобный, а, главное, предельно экономичный подход.
Китайцы - давно известные мастера использования  разработанных другими ноу-хау и технологий. Известно немало троянов, заточенных специально под похищение "автокадовских" файлов и пересылку их в Поднебесную. Китай активно развивается, ему некогда (да и незачем) разрабатывать своё, если можно просто взять то, что плохо лежит, у иностранцев. Нет, конечно, есть китайские компании, которые занимаются  R&D - например, приятная русскому уху Huawei. Но их там еще меньше, чем у нас - честных чиновников.
В общем, есть первые звоночки. Ждем в скором будущем китайскую Windows, китайский FineReader и, конечно же, китайскую DLP-систему. Думаю, что что-то похожее там уже есть, просто пока так активно не афишируется, как антивирусы.
А если серьезно, то китайцев действительно стоит бояться, если вы живете продуктами своего интеллектуального труда. И DLP-система, как и антивирус, в защите от плагиаторов важное подспорье.
Р. Идов,
ведущий аналитик компании SearchInform

29 мая 2013

Суть и методы контроля ноутбуков



По вполне понятным причинам те приёмы защиты, которые применяются для предотвращения утечек информации через корпоративную сеть, неэффективны в случае с ноутбуками. Поэтому для контроля лэптопов применяются так называемые endpoint-решения (от английского endpoint – крайняя точка). Эти решения отличаются тем, что работают не на удалённом сервере, как обычные компоненты подавляющего большинства DLP-систем, а на самом портативном компьютере. То есть, они работоспособны независимо от того, к какой сети подключен компьютер (и подключен ли вообще). Но при этом endpoint-решения ведут себя по-разному внутри корпоративной сети и вне нее.


Находясь в рамках защитного контура, endpoint-модуль на ноутбуке постоянно поддерживает связь с центральными компонентами DLP-системы, передавая им перехваченную информацию и сверяясь с заданными политиками информационной безопасности. Но как только ноутбук отключается от корпоративной сети, модуль переходит в режим автономной работы. В этом режиме он собирает данные о действиях пользователя, сохраняя информацию о переданных документах, написанных сообщениях и других входящих и исходящих данных на самом лэптопе. Затем, когда сотрудник вернётся со своим переносным компьютером в офис, все данные будут переданы для анализа соответствующему компоненту системы защиты, и специалисты по безопасности смогут узнать обо всех нарушениях корпоративных политик, которые потенциально могли привести к утечкам информации.
Конечно, такая защита не так эффективна, как защита корпоративной сети, однако она позволяет своевременно узнавать о возможных инцидентах, связанных с информационной безопасностью, и предотвращать их последствия. При этом модуль, работающий на ноутбуке, может устанавливаться таким образом, чтобы пользователь, работающий за компьютером, ничего не подозревал о его наличии.
Нужно отметить, что страхи по поводу утечек информации, которые не могут быть остановлены подобной системой, обычно преувеличены. Следует помнить, что наиболее опасны заранее спланированные систематические утечки, которые endpoint-модуль как раз выявляет с большой степенью достоверности. С отсутствием возможности блокировать случайные утечки (например, отправленные по неосторожности не тому адресату письма), увы, придётся смириться.

Роман Идов,
ведущий аналитик компании SearchInform

28 мая 2013

«Облака» и персональные данные



К персональным данным, которые операторы доверяют поставщикам облачных услуг, относится всё то же самое, что и ко всем остальным данным, о которых речь шла выше. Впрочем, существует ряд законодательных аспектов применения «облаков» при обработке персональных данных, о которых следует знать, прежде чем принимать решение об использовании облачных сервисов.
Прежде всего, стоит отметить, что до сих пор среди экспертов нет единодушия по поводу трактовки норм федерального закона «О персональных данных» в отношении «облаков». Первое, о чем следует помнить – это необходимость получения согласия от субъекта на обработку данных сервис-провайдером, который является в данном случае третьей стороной в отношениях между субъектом и оператором ПД. При этом при получении согласия от субъектов операторы должны указывать своих сервис-провайдеров и список операций, которые те будут производить над персональными данными.
Наиболее «узким» моментом выполнения законодательных требований провайдерами облачных услуг является применение сертифицированных ФСБ криптографических средств защиты. Вполне понятно, что проблема возникает, в первую очередь, с зарубежными сервис-провайдерами, хотя ряд российских также до сих пор не могут предложить своим клиентам сертифицированную защиту. Здесь, по-видимому, наилучшим вариантом будет тщательных отбор сервис-провайдеров для того, чтобы остановиться в итоге на том из них, который предлагает сертифицированную защиту.
Больным вопросом для «облаков» остается и трансграничная передача персональных данных. Недостаточная ясность законодательства в данном вопросе оборачивается головной болью для сервис-провайдеров и их клиентов, поскольку многие облачные сервисы располагаются физически на серверах в Европе и в Америке. Впрочем, как отмечают представители самих сервис-провайдеров, в данном случае большая часть «облаков» оказываются в весьма удобным для заказчика положении, поскольку закон позволяет осуществлять трансграничную передачу ПД без ограничений в те страны, которые обеспечивают адекватную защиту. В данном случае показателем адекватности вполне может служить факт ратификации Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. Эта конвенция принята в подавляющем большинстве западных стран.
Р. Идов,
ведущий аналитик компании SearchInform

К чему может привести SQL-инъекция



Кажется, нет в мире ИБ уже более затасканного примера, чем SQL-инъекция. Это классический вариант атаки, проводимой по недосмотру разработчиков того или иного Web-ресурса, и активно эксплуатируемой злоумышленниками для получения незаконного доступа к указанному ресурсу. Распространены SQL-инъекции, вследствие распространенности уязвимостей, пригодных для их организации, чуть более чем повсеместно.
http://static.trackback.it/625X0/www/trackback/it/img/sqlinjection1.jpg
Но вопрос не в том, как часто они встречаются, а в том, к каким последствиям могут привести. Довольно часто от возможности организации SQL-инъекции владельцы сайтов отмахиваются, как, к примеру, владельцы бизнесов – от возможности утечки конфиденциальной информации из их компании. Аргументы просты: даже если на нашем сайте окажется внедренное с помощью SQL-инъекции вредоносное ПО, мы его быстро удалим, и нас везде разбанят. Поэтому нет острой необходимости в том, чтобы тратить средства на аудит безопасности и закрытие «дырок» в сайте. К сожалению, часто оказывается, что это, мягко говоря, чересчур оптимистичный взгляд на вещи.
«Для взломов банкоматов и хищения $45 млн хакеры использовали SQL-инъекции», ‑ пишут нам в новостях. Как вы думаете, сайт, через который были украдены эти деньги, может сказать, что не видит в  SQL-инъекциях ничего особенно страшного?
Из той же новости: "Злоумышленники, скорее всего, получили важную информацию, скомпрометировав пользовательский web-портал при помощи SQL-инъекции. Далее, вероятнее всего, были использованы кейлоггеры и инструменты удаленного доступа, которые предоставили киберпреступникам доступ к CVC или CVV-данным, хранящимся на магнитных полосах предоплаченных кредитных карт, - отмечает эксперт. – Они также получили доступ к базе данных банковских идентификационных номеров (BIN) и продублировали необходимую информацию, при помощи которой получили доступ к счетам по закрытой сети банкоматов. Далее они использовали специальное оборудование, при помощи которого записывали информацию о счетах на магнитную ленту банковских или подарочных карт, а также на электронные ключи от отельных номеров. При помощи созданных таким образом поддельных карт, злоумышленники снимали денежные средства со счетов жертв в банкоматах".
Промолчим о том, что ко всей этой информации злоумышленники могли бы получить доступ и в том случае, если бы эти данные были похищены в результате заранее спланированной или случайной утечки. Дело в том, что тот, кто плюет на безопасность, рано или поздно должен платить. Это правило, в котором не бывает исключений, если, конечно, говорить о какой-то более-менее продолжительной последовательности случаев наплевательства на безопасность.
Думаю, что вы сами можете привести немало примеров того, что незначительная, на первый взгляд, проблема оказывалась причиной крупных финансовых убытков или даже гибели людей. На языке юристов такая ситуация называется преступной халатностью. К сожалению, когда речь идет об информационной безопасности, о понятии преступной халатности почему-то забывают…
Р. Идов,
ведущий аналитик компании SearchInform

26 мая 2013

Тренд: мобильные угрозы



Увеличение количества пользовательских цифровых устройств отрицательно сказывается на обеспечении информационной безопасности в компаниях. Сегодня многие руководители, а вслед за ними и рядовые сотрудники, стараются быть всегда на связи, и именно поэтому им необходимы смартфоны и планшеты. В связи с этим остро стоит вопрос обеспечение безопасности при доступе к корпоративным данным с пользовательских устройств.

Как показало исследование компании Dimensional Research, проведенное по заказу Dell, сегодня 87% компаний практикуют использование своими сотрудниками личных устройств в рабочих целях. Причем это оказываются не только смартфоны (которые используются в 80% компаний), но и портативные компьютеры (в 69% компаний).
Не секрет, что одной из наиболее важных проблем, связанных с использованием личных устройств, является обеспечение защиты корпоративных данных от утечек, в том числе, и персональных данных клиентов и сотрудников компании. Эта проблема действительно масштабна: 64% ИТ-специалистов отмечает, что не могут контролировать все устройства, подключаемые к корпоративной сети.
К сожалению, подобных исследований по состоянию дел в России в настоящее время нет, но можно предположить, что ситуация, особенно в тех компаниях, которые работают в крупных городах, аналогична той, которая наблюдается во всём мире. Поэтому российский компании также сталкиваются с проблемами ИТ-консьюмеризма. К сожалению, в большинстве случаев их решают традиционным для России «не пущать и запрещать», в то время как было бы гораздо эффективнее контролировать использование сотрудниками собственных устройств: например, обязать перед их использованием установку системными администраторами специальных модулей, позволяющих отслеживать передаваемый устройствами трафик и анализировать его при возвращении устройства в корпоративную сеть.
В настоящее время на мобильных платформах еще нет такого значительного количества вредоносного ПО, как на настольных, в связи с чем наиболее значимой угрозой является потеря мобильных устройств вместе со всеми находящимися на них данными. В неприятные истории, связанные с потерянными ноутбуками, флэшками и смартфонами, на которые были записаны конфиденциальные документы. Так, например, в декабре 2009-го крайне громкий скандал разгорелся в Великобритании, где о пропаже ноутбука с секретными документами сообщило военное министерство.
Угрозу потери важных данных вместе с устройством, на котором они хранились, можно также дополнить угрозой кражи такого устройства. Причем последствия второй из этих угроз гораздо более значительны, поскольку кража конкретного устройства говорит о том, что эти данные кому-либо понадобились для совершения явно не предвещающих ничего хорошего для организации действий. Кроме того, это дает повод заподозрить наличие в организации инсайдеров, работающих в интересах конкурирующих или просто недружественных структур.
В настоящее время существует ряд аппаратных и программных решений для «флэшек» и ноутбуков, позволяющих удаленно уничтожать находящиеся на них данные в случае определенного числа неудачных попыток аутентификации пользователя, желающего получить к ним доступ. К сожалению, устройства с поддержкой подобной функциональности сегодня стоят достаточно дорого, и лишь у небольшого числа организаций найдется возможность купить для всех своих сотрудников устройства, оборудованные такими системами. Стоит также заметить, что такая защита является «палкой о двух концах», то есть, не исключены и даже весьма вероятны случаи, когда она сработает против самих сотрудников организации.
Р. Идов,
ведущий аналитик компании  SearchInform