28 ноября 2014

Кризис - время инфобеза



Конкуренция между компаниями зависит от тех условий, в которых они находятся. Чем сложнее эти условия для компаний, тем в итоге жестче конкуренция между фирмами. Если рынка «на всех хватает», то и компании уживаются достаточно мирно друг с другом, в этих случаях конкурирующие фирмы даже умудряются договариваться между собой. 
Но сегодня реалии уже серьезно поменялись, причем данные изменения сильно коснулись финансового рынка. Теперь уже конкуренция намного более жесткая, и во время конкуренции компании уже применяют «грязные приемы». Среди прочего, это может быть и приобретение у сотрудников компаний-конкурентов инсайдерской информации. Ее может использовать сама компания-покупатель, либо она может огласить данные, пытаясь подорвать бизнес конкурирующей фирмы. А в условиях кризиса утечки информации могут принести даже больший ущерб, чем в «обычной жизни». Потому оставлять данную проблему без внимания было бы по-настоящему безрассудно. А самым правильным методом борьбы с такими явлениями можно назвать увеличение контроля за действиями сотрудников, среди которых могут быть и инсайдеры.
Как утверждает статистика, кризис оказывает влияние на активность инсайдеров. В сравнении с прошлым годом серьезно возросло количество сообщений в прессе, связанных с утечками данных. Компания SearchInform провела исследования в прессе, в ходе которых выяснилось, что за последние четыре месяца этого года российская пресса смогла насчитать в России на 16% больше утечек данных, чем за прошлый год в целом. Что касается доли умышленных утечек засекреченных данных, то она составляет 38%. 
Во времена кризиса часто заработать на «инсайдерстве» стараются те сотрудники компаний, которым пришлось ощутить на себе уменьшение зарплат. Торговать конфиденциальной информацией могут и сотрудники коммерческих фирм, и сотрудники государственных организаций. 
Как удалось установить благодаря исследованиям кадрового холдинга АНКОР, примерно 13% работников ИТ-отделов в различное время получали предложения о предоставлении за деньги данных, которые являются конфиденциальными или составляют коммерческую тайну их работодателя. В общей сложности информацию, которая принадлежит официальному работодателю, для подработки используют примерно 22% сотрудников.
Так что, дамы и господа, санкции и грядущий кризис - это горячее время для служб ИБ. Готовьтесь!

27 ноября 2014

Дорожное яблоко

Пост этот рождался долго и в муках, но очень уж бурно развивается тема. Тема очень простая - информационная безопасность устройств, которые используются нами в своей повседневной жизни.
Для начала - небольшая вводная, которая и натолкнула меня на этот пост:
Альянс автопроизводителей (Alliance of Automobile Manufacturers, AAM) и Ассоциация мировых автопроизводителей (Association of Global Automakers, AGA), в которые входят такие концерны, как General Motors и Toyota Motor, направили в американскую Федеральную комиссию по торговле письмо, в котором изложили набор принципов, направленных на защиту прав автомобилистов на неприкосновенность частной жизни.
Письмо подписано 19 автомобилестроительными компаниями, которые обещают позаботиться о сохранности информации, отправляемой электроникой машины на серверы производителей или генерируемой бортовым компьютером. Эти данные не будут переданы властям без судебного постановления, проданы страховым компаниям или использованы в рекламных целях, в том числе для работы геолокационных сервисов, передает агентство Associated Press.
http://www.3dnews.ru/905184
То есть, уже даже автопроизводители задумались о том, что конфиденциальность - это важно, причем очень. И что дальнейшее развитие автомобильной отрасли ставит под угрозу существующую сегодня пусть и зыбкую из-за наличия номеров и камер, но все-таки пока еще довольно реальную конфиденциальность автовладельца.
Но автомобили - это капля в море. Думаю, все слышали о такой любопытной вещи, как интернет вещей? Очевидно, что эта штука будет развиваться семимильными шагами, о чем уже напрямую свидетельствует статистика известных исследовательских компаний:
По оценкам аналитиков Gartner, в 2015 году количество устройств, подключенных к Интернету вещей, вырастет по сравнению с 2014 годом на 30% до 4,9 млрд. К 2020 году количество таких устройств в мире достигнет 25 млрд. Влияние Интернета вещей будет ощущаться во всех отраслях экономики и во всех аспектах жизни общества.
http://www.osp.ru/news/2014/1117/13026534/
То есть, общение по интернету вашей кофеварки и вашего автомобля - это уже не научная фантастика, а реальное будущее завтрашнего дня. И всё это общение будет сопровождаться, как водится, тоннами разных уязвимостей:

В августе этого года известные хакеры Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) из консалтинговой компании SR Labs сообщили о «фундаментальной уязвимости устройств USB». В октябре они опубликовали код программы для взлома компьютера по USB и с тех пор проверили сотни различных устройств разных производителей на наличие бага. Полный список проверенных устройств см. здесь.
Были проверены все USB-контроллеры от 8 крупнейших мировых производителей: Phison, Alcor, Renesas, ASmedia, Genesys Logic, FTDI, Cypress и Microchip.. Результаты проверки неоднозначные. Хорошая новость в том, что около половины устройств не подвержена уязвимости. Плохая новость: вы не можете сказать, какая конкретно половина.
Буквально каждая модель флешки, веб-камеры, концентратора или адаптера для флеш-карт поставляется с разной начинкой, в зависимости от партии. В одной партии может быть уязвимый контроллер, а в другой — уже нет. Модель контроллера не обозначена на упаковке. Узнать её можно только после вскрытия прибора. Приходится использовать устройство вслепую.
http://xakep.ru/badusb-v-raznyh-kontrollerah/
Очень интересная складывается ситуация, не находите? Уязвимости могут быть в любом устройстве, а за счет того, что все они общаются друг с другом по сети, через кофеварку вирус можно загрузить в автомобиль - и вперед, устраняем в авариях конкурентов, крадем баллы за топливо, заработанные на заправках - в общем, развлекаемся, как душе угодно! И это уже не завтра, это уже начинается сегодня:
По данным издания The Guardian, электронные сигареты, безусловно, полезнее для легких, однако могут причинить существенный вред компьютеру. Так, заряжающиеся через USB сигареты являются одним из новейших векторов кибератак. Особую опасность представляют дешевые устройства от неизвестных производителей, получающие физический доступ к системе пользователя.
По словам одного из пользователей Reddit, один из IT-специалистов столкнулся с тем, что его компьютер оказался зараженным вредоносным ПО, попавшим на него через электронную сигарету. Пользователь обнаружил на своей системе вредонос, источник которого невозможно было определить. После проверки всех традиционных способов заражения он решил испробовать и другие возможности.
http://www.securitylab.ru/news/462249.php
Так что, как говорится, все становится страньше и страньше. И поэтому забота об ИБ переходит из ранга специфических компетенций, какими раньше была любая работа с ЭВМ, в элементарный навык любого человека, живущего в современном мире. Такой же, как использование банковской пластиковой карты или поведение на городских улицах с оживленным транспортным и пешеходным движением.

25 ноября 2014

Цензура? Да что вы знаете о цензуре!..



Если говорить об интересах государства в сфере слежки за пользователями, то непременно важно помнить о цензуре. Кстати, в интернете цензуру уже даже получилось автоматизировать. В качестве примера можно привести Китай. Недавно, в конце 2013 года, Джеффри Нокел, аспирант Университета Нью-Мексико, доказал существование модуля-шпиона в китайском варианте Skype. Этот модуль пересылает логи переписки со словами, которые не рекомендованы к использованию в Китае. Перечень слов, которые запрещены для китайских пользователей, Нокел смог установить во время наблюдений за активностью собственной сети при вводе, как предполагалось, цензурируемых слов. Также он смог определить значащие последовательности символов во время анализа зашифрованной базы данных для ключевых слов, которая, кстати, обновляется ежедневно.
Среди тех слов, которые являются не рекомендованными к употреблению для китайских пользователей Skype Нокел выделяет Tiananmen и названия таких организаций, как «Репортеры без границ», BBC News, Human Rights Watch, а также места запланированных акций и некоторые другие.
Такая цензура стала возможной благодаря тому, что в Китае правом на распространение дистрибутива Skype обладает только местная фирма TOM-Skype, отделение китайского провайдера TOM Online. Вполне возможно, что этот сценарий впоследствии будет повторен в России. Просто один из «антитеррористических» законопроектов, которые были внесены в Госдуму 15 января текущего года, включает поправки в закон «Об информации, информационных технологиях и о защите информации». Юридических и физических лиц, которые начинают деятельность по распространению данных в сети интернет или же деятельность по обмену данными пользователей, могут обязать регистрироваться в специально существующем для этих целей госоргане. Среди прочего, это социальные сети, хостинг-провайдеры, различные сервисы для обмена сообщениями (причем сообщениями любыми – не только текстовыми, но и аудио-, и видеосообщениями) и ресурсы, предназначенные для общения.
Владельцев сайтов также могут обязать сохранять данные о приеме, доставке и передаче различной информации (такой как звуки, изображения и тексты) а также любые действия, которые совершаются пользователями на протяжении последних шести месяцев. Такую информацию им придется предоставлять по запросу органов, которые осуществляют оперативно-розыскную деятельность или же тех, которые обеспечивают безопасность России. Microsoft уже подтвердила готовность прилежно соблюдать российское законодательство.

21 ноября 2014

Контроль и его правовые аспекты



Во время контроля работы сотрудников очень большое значение имеет и соблюдение правовых норм, которые связаны с подобным контролем. Обычно работодатели боятся, что отслеживание работы сотрудников в итоге приводит к претензиям контролирующих органов или же к судебным искам, подаваемым самими работниками против руководства. Однако, внимательно изучив законодательство, можно понять, что опасения практически беспочвенные.
В российской конституции предусматривается 23-я статья, гласящая следующее: «1. Каждый пользователь обладает правом на неприкосновенность своей частной жизни, на личную и семейную тайну, а также на защиту чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Особенно отметим, что первая часть повествует о частной жизни, к которой трудовая деятельность граждан не относится. Если же говорить о части второй этой статьи, то эксперты по безопасности полагают, что право на тайну переписки не будет нарушено, если чтение и анализ переписки производит компьютер, а не человек.
Более-менее подходящее обоснование контроля за деятельностью сотрудника в рабочее время можно найти в Трудовом кодексе. В частности, он предусматривает 91-ю статью, она гласит, что рабочим временем признано время, в течение которого сотрудник, в соответствии с правилами трудового распорядка и с условиями трудового договора должен выполнять свои трудовые обязанности. И далее возможности работодателя уже определяются, по большей части, как раз правилами внутреннего распорядка, в них, кстати, должны закрепляться обязанность сотрудника задействовать рабочее оборудование исключительно в рабочих целях, а также право работодателя контролировать работу сотрудника.
Можно сказать, что снимки экрана ПК сотрудника, которые сделаны в рабочее время, не нарушат прав гражданина. Ведь в рабочее время он обязан использовать рабочее оборудование (в данном случае речь идет о ПК) только лишь в рабочих целях. При этом у работодателя есть право контролировать работу сотрудников.
Сложнее с DLP-системами, работающими именно с перепиской сотрудников. Однако большинство таких систем обладают поддержкой работы в автоматическом режиме, анализ информации в этом случае происходит на основе специальных алгоритмов, при этом в нем не принимают участия специалисты, отвечающие за информбезопасность компании. Выбирая систему защиты от утечек нужно особое внимание уделять тем алгоритмам обнаружения конфиденциальной информации трафике компании, которые применяются системой. Фактически, это алгоритмы поиска, потому что чем более сильными поисковыми возможностями обладает DLP-система, тем намного более эффективной будет защита от утечек данных, которую обеспечивает система.

19 ноября 2014

Инсайдеры: такие разные и такие похожие!



Психологи выделяют несколько типов злонамеренных инсайдеров, в зависимости от их мотивации и способа распространения полученной в компании информации:
·  Любопытный. Главный мотив действий этого злонамеренного инсайдера – банальное любопытство, помноженное на неумение держать язык за зубами. В основном он распространяет информацию через форумы, социальные сети и т.д. Можно считать, что это наименее опасный тип инсайдера.
·         Мстительный. Сотрудник с мнимыми или действительными обидами на своих руководителей и/или сослуживцев. Наиболее часто такой инсайдер действует, уже уволившись из компании, но предварительно, конечно же, прихватив с собой кое-что из принадлежащих ей данных. Самый распространенный тип.
·    Корыстный. За деньги этот человек не только охотно сменит работодателя, но и принесет новому боссу что-нибудь интересненькое от старого: базу заказчиков, отчет о продажах, бизнес-план… Ну, или продаст что-то такое, не увольняясь, если это будет достаточно выгодно. Обычно достаточно хитер, чтобы не попадаться сразу, но рано или поздно попадается, когда все ниточки сходятся на нем.
·   Справедливый. Человек, который не ищет ни личной выгоды, ни стремится «насолить» работодателю. Его мотив – какие-то более высокие материи, высшая справедливость, которую он надеется восстановить с помощью утечки. Классический пример – Эдвард Сноуден. Обычно посылает информацию в СМИ или публикует её на Wikileaks.
Независимо от типа злонамеренного инсайдера, поймать его проще всего с помощью всё той же DLP-системы. Как правило, инсайдер не действует спонтанно, последующий «слив» данных требует предварительной подготовки по сбору данных в компании. На этом этапе важно отследить этот сбор с помощью анализа информационных потоков внутри организации, чтобы затем поймать инсайдера с поличным при попытке распространения конфиденциальных корпоративных данных, за что и наказать публично. Также будет совсем не вредным выявлять контакты каждого из сотрудников с конкурирующими компаниями, чтобы пресекать попытки нечестных конкурентов купить через них принадлежащие организации данные.
В любом случае, для того, чтобы исключить появление инсайдеров в трудовом коллективе, необходимо производить тщательный отбор персонала в компанию с участием специалистов отдела информационной безопасности и, желательно, психологов. Это позволит снизить количество утечек конфиденциальных данных, но, конечно, вовсе не отменяет необходимости внедрить в компании высококачественную DLP-систему.

17 ноября 2014

Свое и чужое, или какой должна быть ИБ по-русски

Часто приходится слышать мнение о том, что одна из главных проблем российской ИБ - это отсутствие собственных качественных технических средств для решения многих задач. Эти средства, будь они программными ли, аппаратными ли, покупают на западе и потом внедряют у нас, что негативно влияет на безопасность всей страны. Проблему часто трактуют шире, как характерную для любых технологий, но тут я говорить за всех не буду.
На самом же деле, проблема, на мой взгляд, прежде всего не в средствах, а в методах, которые бездумно импортируются, а не разрабатываются на местах. Да, в эпоху глобальной экономики так проще, быстрее, и вообще удобнее и даже наверное на какое-то недолгое время эффективнее, но, увы, так всегда продолжаться не может. Потому что методы, разработанные людьми с западными ценностями и с западным мышлением, не всегда, мягко говоря, применимы в России. Как, кстати говоря, и в других странах Советского Союза.
Простой пример - использование DLP-систем. Давно известно, что на западе DLP-систему используют для того, чтобы соответствовать требованиям регуляторов и пугать сотрудников её всемогуществом, дабы те не расслаблялись. В России же такие системы нужны именно для того, чтобы находить тех, кто "сливает" информацию конкурентам или другими способами гадит своему работодателю. Регулятор у нас, пусть уж он не обижается, проблема далеко не первостепенной важности.
Из-за таких довольно глубоких отличий в самых коренных вопросах и возникает проблема с инструментами. Но ведь это только поверхность айсберга! Потому что и методики, и даже базовые понятия у нас импортные. Из этого и проистекают все сложности, с которыми сталкивается российская ИБ при адаптации западных "франшиз".
Конечно, вы скажете, что не нужно изобретать велосипед, когда можно просто купить патент на него, или, как делают китайцы, привезти на родину, раскрутить, и наладить производство таких же, только из бамбука, и в 40 раз дешевле. Но иногда всё же изобретение велосипеда творит великие вещи. Примером может стать известная когда-то только в довольно узких кругах социальная сеть "ВКонтакте". Которую многие называли "русским Фейсбуком". Но посмотрите на оригинал и копию. Между ними масса различий на столь глубоком уровне, что многие кто привык к одной соцсети не могут нормально пользоваться другой. И то, что "контактик" чрезвычайно популярен в России, но не очень прижился в Европе, говорит о многом, на мой взгляд.
Если же велосипед не изобретать, то сложится ситуация как когда-то в великой Советской стране, которая не смогла импортом технологий решить своих проблем. Недавно прочитал очень интересную публикацию про историю заимствований технических решений в СССР. Не хотелось бы, чтобы эта история повторялась.

15 ноября 2014

Почему рекламщики - враги безопасников



Всё очень просто: в «слежке» за потребителем больше всех заинтересована именно рекламная отрасль. Намерения можно назвать вполне невинными – слежка производится с целью увеличить релевантность, демонстрируя лишь то, что будет интереснее всего покупателю. В Интернете выбор инструмента отслеживания во многом определяется тем, чем занимается собственно компания. Большие сообщества производят анализ той информации, которая загружается пользователями и пересылается ими. В качестве примера можно привести поисковые системы. Изначально они анализировали исключительно поисковые запросы. Но впоследствии эти системы уже начали «влезать» в личные сообщения и в почтовую переписку. Тем же путем пошли и соцсети – для этого была придумана система «лайков», а также способы для ее анализа.
Когда увеличилась популярность смартфонов, параллельно начали расти и аппетиты маркетологов. Facebook, к примеру, в начале года  представила серьезное обновление для собственного мобильного приложения – эта версия потребует дополнительные разрешения, такие как разрешение на чтение текстовых сообщений MMS и SMS, доступ к адресной книге, а также – к данным о звонках, списку приложений, которые были установлены пользователем, и некоторой другой информации. Программа имеет возможность скачивать информацию, не уведомляя при этом пользователя, добавлять новую информацию в адресную книгу, а также изменять данные в ежедневнике.
При этом отдельным сайтам нужны уже совершенно другие инструменты для «слежки». Прежде всего, для этого используются системы для отслеживания именно поведения посетителей на сайте – такие как Вебвизор от Яндекс, Google Analytics и некоторые другие аналогичной направленности.
Анализ производится благодаря выявлению характерных особенностей в поведении посетителей. Фиксируется, прежде всего, «взгляд» пользователя. Дело в том, что во время чтения информации на странице сайта многие водят мышью туда, куда они смотрят. Это, нужно подчеркнуть, происходит не у всех пользователей, но хотя бы у части – точно. Также системами учитываются «клики» мышки, на основании чего выстраивается «карта кликов». Плюс учитываются и «точки прерывания просмотра».
Успешный посетитель – тот посетитель, который сделал заказ. В этом случае анализируется, что этот посетитель видел на сайте, и, особенно, на он обращал внимание, когда приобрел товар. Если посещение сайта было неудачным – потребуется определить, когда посетитель ушел, и постараться установить, почему он это сделал. После этого требуется что-то поменять на ресурсе, и сравнить результаты с предыдущими параметрами, чтобы определить, как поменялось поведение посетителей после данных перемен. Если не изменилось никак, то и изменений посетители не заметили.
И все-таки, иногда производители «переходят черту», стремясь узнать больше о своих клиентах. Для примера можно вспомнить знаменитые «умные» телевизоры компании LG. Софт LG Smart Ad для этих телевизоров производит сбор о поведении пользователя в сети (в том числе и информацию о ключевых словах, которые используются при поиске), собирает и другую информацию о пристрастиях зрителя, а в итоге данные задействуются при показе таргетированной рекламы.
На этом этапе еще нет ничего предосудительного. Причем производитель дает возможность отключить режим «Collection of watching info» («Сбор данных о просмотре»). И вот здесь начинается самое странное – даже если пользователь отключил данный режим, данные все равно отправляются. Передаваемая информация включает уникальный номер телевизора, название просматриваемого канала, и другие данные о нем.
Причем отправка таких данных происходит каждый раз, когда пользователь решает переключить канал. А если пользователь подключил к телеприемнику съёмный носитель, то устройство считает с него списки файлов, которые также будут отправлены в LG. Интересно, что и производитель, и Управление Федеральной службы по надзору в сфере связи не видят в этом ничего криминального. Реально работающим способом бороться с этим можно назвать блокировку через домашнюю сеть отправки информации на некоторые адреса.
Всем хороших выходных, и остерегайтесь бешеных рекламщиков!