Сегодня я хочу поговорить о переходе количества в качество и наоборот, когда дело касается таких хорошо знакомых каждому из нас явлений, как приватность и слежка. В последнее время о глобальной слежке со стороны правительств и мировых корпораций было сказано и написано очень и очень много, однако как-то при этом все обходили стороной один очень важный момент, связанный с тем фактом, что PRISM и другие системы иже с ней - суть системы слежки автоматизированной. А потому они не в состоянии действовать иначе, чем заложено из алгоритмами. А значит, их, как и системы антиспама, вполне можно обойти.

Вы еще не под наблюдением АНБ? Если пользуетесь сетью Tor и другими криптографическими программами — то вас наверняка поставили на заметку. Если нет, то есть очень легкий способ туда попасть: установить плагин ScareMail, который выпускается для всех популярных браузеров.

ScareMail добавляет в каждое письмо уникальный текст, содержащий немало слов из гипотетического списка АНБ, таких как «рюкзак» и «пароварка» (недавно одного гражданина США задержали за использование этих подозрительных поисковых запросов). За шаблон взято произведение «451 градус по Фаренгейту», в котором существительные и глаголы заменяются на «пугающие» ключевые слова из списка АНБ.

С "Хакера"

Действительно, когда "белых ворон"  получаются целые толпы, система уже будет не в состоянии отличить аномальную белую ворону от нормальной черной, и станет неэффективной. Осталось только добиться того, чтобы количество пользователей этого замечательного плагина составило хоть сколь-нибудь заметную величину.

Ту же модель можно использовать и в любых других случаях, когда частная инициатива маскируется за "многими". Особенно это полезно в свете роста популярности различных криптовалют для вывода тех же биткоинов:

Одна из крупнейших афер в истории сети Bitcoin происходит прямо сейчас. 96000 BTC, а это почти сто миллионов долларов, по состоянию на текущий момент, было выведено со счетов клиентов, поставщиков и администраторов сайта SheepMarketplace (SMP) в минувшие выходные. SMP был одной из главных площадок, пришедших на замену SilkRoad, который был закрыт в октябре, а теперь, в результате этой аферы закрыт и сам SMP. Пока трудно точно утверждать, что именно происходит, но пользователи сайта пытаются разгадать эту головоломку на популярном сайте reddit.com в саб-реддите r/sheepmarketplace.

С Хабра

Статью по последней ссылке, несмотря на её величину, рекомендую прочитать целиком, потому что она отлично иллюстрирует "лучшие практики" сетевого мошенничества с биткоинами. Если вы пользуетесь этой криптовалютой, то к прочтению вообще обязательно.

Ну, и немного неожиданный вывод из всего этого - а так ли нужна вообще вся эта анонимность, за которую истово борется современное общество? Винт Серф, один из отцов современного интернета, например, считает, что нет в приватности ничего такого сверхважного, чтобы так уж переживать по её поводу.

Винт Серф, который с недавних пор работает на почетной должности в компании Google, пояснил свою позицию. Он говорит, что приватность как гарантия сохранности личной информации человека — сравнительно недавнее изобретение человечества. Еще несколько столетий или даже десятилетий назад никто не мог гарантировать человеку секретность его личной жизни. В те времена многие жили в маленьких городах без домашних телефонов, а почтальон прекрасно знал, кому и от кого приходят письма. Обычному человеку были практически недоступны секретные коммуникации. В небольшом городке или деревне каждый знал о каждом практически все. Жизнь людей была буквально как на ладони.

Снова "Хакер"

А вы согласны с корифеем, или всё-таки не считаете, что дело создателей ScareMale - бессмысленная трата времени?

Толпа белых ворон

Мы с вами уже неоднократно обсуждали в нашем блоге одну важную, заметную, но от этого как-то не желающую становиться менее острой проблему, а именно — нежелание пользователей обращать достаточно внимания на информационную безопасность при возможности получения разных "плюшек" в виде "лайков" и прочей бесполезной ерунды.

Новые сообщения, иллюстрирующие эту проблему, появляются с пугающей, я бы сказал, частотой. Как вам, к примеру, это:

Корпорация Symantec выяснила, что многие пользователи популярного сервиса Instagram добровольно передают логин и пароль своего Instagram-аккаунта специальному приложению InstLike с целью бесплатно получить дополнительное число лайков и подписчиков. В результате, пользователи InstLike отдают контроль над своим аккаунтом, превращая его в бота, который ставит лайки и подписывается на аккаунты других людей.

Отсюда

Или, вот, к примеру, еще интереснее:

Компания Amdocs обнародовала результаты исследования, которое продемонстрировало, что большинство клиентов готовы делиться своими персональными данными, включая информацию о семье и профилях в социальных сетях, если оператор может взамен гарантировать более высокое качество обслуживания.

Подробнее: http://www.cnews.ru/news/line/index.shtml?2013/06/24/533176

"Это всё интересно", скажете вы. Но что с этим делать? На мой взгляд, если речь идет не о корпоративной безопасности, а о личных аккаунтах, то безопаснее всего будет просто дать каждому юзеру в руки ответственность за свои аккаунты. Человеческая природа такова, что охота пуще неволи, и тут ничего не поделаешь. Но на работе надо как-то обуздывать это безудержное стремление к "лайкам", что на практике достаточно проблематично. Поэтому без контроля действий персонала с помощью DLP-системы вряд ли получится обойтись.

Старая сказка на новый лад

Думаю, вы уже в курсе, что самый популярный в мире интернет-магазин планирует полностью автоматизировать доставку товаров за счет использования дронов. Ну, как планирует... Я  бы сказал, скорее, фантазирует.

Ну, или в движении:

В общем, конечно, вряд ли мы сможем увидеть это в ближайшие год-два, но вообще говоря, с этим вырисовывается серьезная проблема, связанная с информационной безопасностью. Дело в том, что дроны будут автоматически доставлять товары по заданному  адресу. Значит, чтобы получить чужой товар, будет достаточно изменить адрес где-то в оперативной памяти дрона.

Есть также такой вариант, как GPS-спуфинг, о котором мы говорили этим летом. Правда, конечно, чтобы заниматься таким, нужно будет, как минимум, знать, что дроны доставляют. Вряд ли будет интересно перехватывать какие-нибудь копеечные заказы  с книжками. А вот парочку новых айфонов, летящих к своему счастливому обладателю, почему бы и не перехватить?..

В общем, думаю, что как только "Амазон"  начнет более-менее серьезно тестировать такую систему (если до этого вообще дойдет, конечно),  мы будем читать сводки об очердных "кулхацкерах", нашедших в дронах или системе распределения заказов какую-нибудь уязвимость. Но без этого в наше время уже никак...

Утопия от "Амазона"

Страхи перед удаленными сотрудниками во многих компаниях можно назвать если не необоснованными, то, по крайней мере, несколько преувеличенными. Как показывают исследования компании SearchInform, работающие дистанционно сотрудники виновны менее чем в 5% всех случаев утечек конфиденциальных данных. В исследовании учтено, что в опрошенных компаниях доля удаленных сотрудников составляет около 7%, поэтому данное исследование не стоит интерпретировать как свидетельство того, что удаленные работники «генерируют» мало утечек исключительно по причине собственной малочисленности.

В чем же дело? Очевидно, что факторов здесь достаточно много, но наиболее важным представляется более высокая мотивация работающего удаленно персонала по сравнению с обычным «офисным планктоном». Также не стоит сбрасывать со счетов, что тот, кто добился привилегии работать не в офисе, а дома, на достаточно хорошем счету у начальства, и уже имеет некоторый вес в компании.

При этом удаленная работа сулит компании значительную экономическую выгоду, что понимают многие западные компании. Так, известная компания Sun Microsystems перед своей покупкой компанией Oracle перевела около 20% сотрудников на удаленный вариант работы, за счет чего сэкономила несколько сот миллионов долларов. Но, конечно, для того, чтобы цифры экономии не померкли перед цифрами ущерба от утечек конфиденциальных данных, стоит соблюдать некоторые правила в отношении удаленных работников – к счастью, совсем не сложные.

Первое, и самое важное правило, которым следует руководствоваться в отношении работающего удаленно сотрудника – это нельзя пытаться распространить на него те же политики безопасности, которые работают у вас в офисе. Даже если ваша компания использует VPN-сеть для доступа сотрудника к корпоративным информационным ресурсам, и работает он на выданном работодателем ноутбуке, не получится применить к такому сотруднику все те же правила, что и к офисным работникам. А это значит, что политику информационной безопасности придется дополнить разделами специально для работающих удаленно, причем положения этих разделов должны быть адаптированы в соответствии с реальными возможностями работодателя по контролю удаленных сотрудников.

Второе правило заключается в тщательной фильтрации задач, которые организация ставит перед работающим удаленно сотрудником. В идеале, каждое из передаваемых удаленному работнику поручений должно проходить экспертизу отдела информационной безопасности или другого подразделения, отвечающего за данное направление в организации. Не в идеале можно ограничиться достаточно подробными инструкциями на эту тему в политике информационной безопасности, чтобы руководитель удаленного сотрудника мог, в случае наличия сомнений, проверить, имеет ли он право поставить перед удаленным работником ту или иную задачу. Но всё же лучше поначалу подключить отдел ИБ для контроля.

Имеет смысл подписать с удаленным работником соглашение о неразглашении (хотя это стоит делать со всеми сотрудниками). Ну, и, конечно, максимально подробно разъяснить ему, чего стоит ждать в случае нарушения этого соглашения.

Так ли страшна удаленная работа?..

DLP — это по-прежнему довольно дорого для не очень большой компании, поэтому многие ищут способы сэкономить. Но экономить нужно с умом. Об этом и будет этот пост.

Благодаря тому, что многие DLP-системы имеют модульную структуру, компании могут воспользоваться этим для того, чтобы оптимизировать свои расходы на приобретение самой системы. К примеру, если в компании никто не использует ICQ, то нет смысла приобретать модуль для его контроля — гораздо полезнее будет приобрести модуль для контроля Skype. Впрочем, нужно понимать, что если хотя бы один канал передачи данных окажется без должного контроля, то вся затея с внедрением DLP-системы может оказаться напрасной, потому что она будет похожа на тщательно охраняемые ворота с большим замком, вокруг которых забыли построить забор.

Отдельно стоит сказать о том, как можно оптимизировать с помощью DLP-системы затраты на персонал. Чем более качественный в DLP-системе модуль автоматизированного анализа перехваченного трафика, тем меньше персонала потребуется, чтобы обеспечивать информационную безопасность в организации. Ведь если даже для маленькой компании, где работает два десятка человек, анализировать вручную каждое письмо (даже если взять для примера только электронную почту, закрыв глаза на остальные каналы передачи данных), то потребуется изрядно расширить штат за счет специалистов по безопасности, которые будут заниматься этой работой. Именно по этой причине многие DLP-системы зарубежного производства остаются практически бесполезными на практике – ведь поддержка русского языка в подавляющем большинстве из них оставляет, мягко говоря, желать лучшего.

Необходимо отметить, что для того, чтобы приобретенная вашей компанией дорогостоящая DLP-система действительно работала на благо организации, необходимо применять её не только как инструмент обнаружения утечек информации и, по возможности, их пресечения. Информационная безопасность компании не заканчивается на утечках конфиденциальных данных, и DLP-система как нельзя лучше пригодится для планомерной работы специалиста по безопасности. Что можно сделать с её помощью?

Для выявления сотрудников, нерационально расходующих свое рабочее время необходимо вручную составлять «топы» самых активных пользователей ICQ, Skype, электронной почты, социальных сетей и т.д. Сотрудник, проводящий слушком много времени за не относящимися к его непосредственным служебным обязанностям разговорами, должен быть показательно наказан после доклада о его поведении на рабочем месте его непосредственному руководителю.

Как оптимизировать расходы на DLP

Феномен социальных сетей продолжает исследоваться учеными-психологами, и на сегодняшний день, к сожалению, приходится констатировать, что результаты этих исследований не слишком утешительны. Всё новые угрозы, выявляемые ими в социальных сетях, заставляют по-новому относиться к этому казавшемуся раньше совершенно безобидным явлению.

О том, что социальные сети – настоящие пожиратели свободного (а в некоторых случаях и рабочего) времени знает, пожалуй, каждый, кто имел неосторожность однажды в одной из них зарегистрироваться. Но это, оказывается, не самое большое зло. Профессор Массачусетского технологического института Шерри Теркл называет поведение, привычное для активных пользователей социальных сетей, патологическим. По его мнению, из-за социальных сетей люди становятся в буквальном смысле изолированными от реальности, так как технологии берут верх над человеческим. «Происходит подмена реальных человеческих взаимодействий связями в кибер-реальности, что является жалкой имитацией настоящего мира», ‑ говорится в одной из его работ. Что ж, пожалуй, с этим мнением должны согласиться многие, чьи друзья или знакомые оказались «проглочены» социальными сетями.

Синдром зависимости, впрочем, характерен для определенной части населения; и зависимость от социальных сетей в этом плане ничуть не лучше зависимости, скажем, от тех же компьютерных или азартных игр. Но есть и непосредственный риск для здоровья, характерный именно для социальных сетей – его нашли израильские ученые, решившие проанализировать влияние социальных сетей на женский организм. «В исследовании ученых из Израиля под руководством профессора Яэля Латцера приняли участие 248 девочек и девушек в возрасте от 12 до 19 лет. Их просили предоставить информацию по поводу того, как они проводят время в интернете, какие программы смотрят по телевизору и как это отражается на их самооценке. Девочки также заполняли вопросник, по которому можно было оценить, не находятся ли они на пороге булимии, анорексии, каков их уровень удовлетворенности собственным внешним видом. Итоги исследования показали, что чем больше времени девочки проводили на социальных сайтах, чем чаще они страдали от булимии и анорексии, низкой самооценки. Такие девочки придерживались нездоровой диеты и вообще неправильно оценивали важность питания», – пишет Софт@Mail.ru.

В общем-то, конечно, такие исследования достаточно спорны, потому что не учитывают влияния множества других факторов, но самое главное они всё-таки иллюстрируют – социальные сети не так уж безобидны, и помимо «бесцельно прожитых лет», которые они обеспечивают каждому своему более-менее активному пользователю, они способны наградить его определёнными психологическими проблемами, которые затем, в конечном итоге, выливаются в проблемы с телесным здоровьем. Конечно, на фоне других факторов – плохой экологической обстановки, стрессов на работе и т.д. – это может быть не столь важно, но кто знает, не станет ли именно общение в социальной сети той последней каплей, от которой чаша переполнится, и здоровье безвозвратно пошатнется?

Так что осторожнее с таким малоизученным на сегодняшний день явлением, как социальные сети. Помните, что каждый их пользователь – участник масштабного социального эксперимента, и как эксперимент отразится на нём самом, не знает никто.

Социальные сети: массовый психоз?

Учиться на чужих ошибках - умение, которое можно по праву назвать одним из самых полезных в жизни. Потому что это дешево, а на своих ошибках учиться - очень и очень дорого. К сожалению, это получается далеко не у всех, но стремиться к этому надо. Особенно это верно в сфере ИБ, потому что здесь ошибки могут обойтись в совершенно астрономические суммы.

Поучиться же я сегодня предлагаю на ошибках не кого-нибудь, а всенародно любимой мебельной корпорации IKEA:

Два топ-менеджера французского подразделения шведской компании по производству мебели IKEA были задержаны по подозрению в слежке за персоналом и клиентами. Утверждается, что подозреваемые получали незаконный доступ к полицейской базе данных.

IKEA интересовалась о кандидатах, претендующих на работу в компании, а также покупателях, которые подали в суд на производителя мебели. Отметим, что некоторые клиенты уже подали в суд на компанию, обвиняя ее в том, что она уже на протяжении пяти лети осуществляет незаконную слежку.

В России и вообще на постсоветском пространстве вряд ли нашлась бы компания, у которой могли бы возникнуть подобного рода проблемы, здесь даже считается чем-то вроде моветона не проверить всех кандидатов на вакантные должности чуть ли не на полиграфе, и, само собой, "прогнать по базам".

А вообще, проблема решается очень просто - нужно только подсунуть кандидату бумажку с предложением согласиться на сбор и обработку данных о нем. Не захочет - а нужен ли такой строптивый сотрудник вашей компании? С неудобными клиентами таким образом, конечно, не поступишь, но тут очень большой вопрос, что дадут данные, которые можно о них собрать? Если вы хотите найти компромат и как-то на них воздействовать, стоит трижды подумать, к каким это, в итоге, приведет результатам.

Чужие грабли

Думаю, все еще помнят новость о рекордной утечке паролей Adobe, которую у меня наконец-то нашлось время прокомментировать. На всякий случай, так как уже прошло какое-то время, напомню, в чем там всё дело.

В первом сообщении о краже паролей миллионов своих пользователей компания Adobe сказала, что гражданам нечего опасаться, потому что пароли зашифрованы. Пока сообщество не получило базу с паролями, фраза о «зашифрованных» паролях была непонятной. Можно было предположить, что Adobe имела в виду хеширование. Ведь алгоритмы хеширования тоже формально являются алгоритмами шифрования. В случае нормального хеширования с использованием соли можно было бы не опасаться, что злоумышленники расшифруют базу паролей.

http://www.xakep.ru/post/61554/default.asp

В общем, выяснилось, каким именно способом шифровали пароли, а дальше на помощь взломщикам пришла статистика:

Например, значение EQ7fIpT7i/Q= (base64) встречается 1 911 938 раз.

При этом

В последние годы проводилось немало статистических исследований парольных баз. Поэтому известно, что самый популярный пароль в интернете — 123456.

Это всё очень занимательно, но мы это всё знали и раньше. Что нам дает именно случай с Adobe? Что даже если ваш пароль хорош, и даже если сервис его хорошо зашифровал, это не гарантирует вам безопасность. Почему? Потому что тем больше информации утечёт, тем больше к ней можно будет применить статистических предположений.

Мне это всё напоминает вывод, который герой Айзека Азимова сделал в первой книге трилогии Академии (Основания). Чтобы предсказывать будущее, не нужно учесть абсолютно все связи во вселенной - достаточно взять планету-мегаполис, на которой фактически оказались существа со всей Вселенной.

По той же схеме, кстати, действуют алгоритмы Фейсбука, "волшебным" образом узнающие, где сделана та или иная фотография. В общем, не зря "большие данные" признаны одним из важнейших трендов в ИТ в последние годы. Потому что их анализ дает не только ключи  к кошелькам через рекламу, но и помогает в менее законных способах отъема тех самых денег...

О вреде непроверенных предположений

Поводом к написанию данного поста послужило определённое количество новостей, которое субъективно превысило определённый «порог игнорирования». Не секрет, что сегодня различные атаки всё больше социализируются. Так или иначе, но определённые приёмы социальной инженерии нет-нет да «засветятся» в новостной сводке. В частности, речь идёт о технике «кви про кво», которую проще и понятнее именовать «кража личности».

Кви про что?

Схема атаки проста: выдать себя за другую персону, которой «жертва» доверяет. Самый банальный пример – «страшилки», которыми родители запугивали в детстве, наверное, каждого из нас. «Не открывай никому дверь! Там маньяки, которые доверчивым детям, говорят, что они почтальоны\водопроводчики, а потом топят в ванной». Реальные же истории более прозаичны.

Цель №1

Чаще всего «кража личности», естественно, используется в мошеннических целях. Рассмотрим на конкретном примере. Тридцатилетний Брэндон Прайс – житель Питтсбурга связался по телефону с филиалом Citibank и, представившись Полом Алленом, сооснователем Microsoft, попросил сменить адрес счета с Сиэтла на Питтсбург. Помимо этого, к счету был добавлен новый телефонный номер. Позже он вновь связался с банком и сообщил от лица сооснователя Microsoft, что утерял свою дебетовую карту, однако о краже ее сообщать не хочет. Прайс попросил банковского сотрудника прислать ему на адрес в Питтсбурге новую карту. На следующий день мошеннику удалось получить карту, активировать ее и сразу же применить в целях платежа по ссуде в Банке вооруженных сил США в размере 658 тысяч долларов уже на собственное имя. В этот же день он с помощью карты попытался совершить денежный перевод посредством системы Western Union на сумму в $15 тыс. Помимо этого, Прайс при помощи карты оплачивал свои приобретения в ряде американских магазинов, что удалось запечатлеть камерам наблюдения. Арестовали Прайса второго марта 2012 года.

Этот случай очень хорошо иллюстрирует главную цель злоумышленников – деньги. Но «главная» не означает «единственная». На втором и третьем месте в приоритетах мошенников находятся распространение вирусов и управление общественным мнением. Разберём по порядку.

От мала до велика

Вирусы сегодня очень удобно распространять через социальные сети. Достаточно проделать определённую подготовительную работу по «залайкиванию» френдов. Соответственно, имея большую базу подписчиков, можно делиться с ними «приколами», «крутыми видео», «новыми сериями любимых сериалов» и прочим контентом, способным привлечь внимание людей. Как вы понимаете, главной задачей является заставить «жертву» перейти на скомпрометированный ресурс. Примечательно, что логика схемы сегодня усложняется. Поясню на примере отчёта Websense.

Мошенники создали поддельную учетную запись LinkedIn, которая на данный момент имеет более 400 контактов и используется как для просмотра профилей потенциальных жертв, так и для их перенаправления на некий сайт знакомств.

Для увеличения эффективности используется премиум-аккаунт LinkedIn – это позволяет выполнять поиск по рабочим функциям, размеру компании и уровню старшинства, а также слать сообщения напрямую, без необходимости быть в друзьях у «жертвы». Вся эта информация в дальнейшем используется для проведения атаки.

Специалисты компании полагают, что мошенники используют сайт знакомств в качестве приманки. Они отметили, что хоть сайт на данный момент не содержит вредоносного кода, но его IP-адрес, как и весь ASN, ранее был привязан к доменам, которые содержали списки ссылок на C&C серверы для нескольких наборов эксплоитов.

Теперь пройдёмся по общественному мнению. Здесь в качестве примера очень интересно связать некоторые исследования и тендеры.

В рамках исследования «Pew Research Centre» (проведено в марте-апреле 2013. Опрашивались по 1000 человек в каждой стране + вероятность ошибки до 7.7%),  опубликованного 3 сентября 2013, было изучено отношение к России в 38-ми странах мира, на основании чего был сделан вывод о негативном восприятии России в 36 странах. Позитивно к России относятся, якобы, только жители Греции (63%) и Ю. Кореи (53%).

Российский фонд Vox Populi провел «защитное» исследование: c 9 по 13 сентября было собрано и проанализировано свыше 770 тыс. сообщений о России в СМИ и соцмедиа от 440 тыс. авторов из 231 страны. Исследование показало, что в индивидуальном отношении людей к России преобладает позитив, в то время как в официальных источниках (СМИ, информагентства, официальные лица) — преобладает негатив. Ниже показана аналитика по данным (СМИ и соцмедиа) 74 тыс. жителей США, высказавшихся за 4 дня сентября по теме Россия:

Под «официозом» в данном случае подразумеваются официальные СМИ, известные политологи и экс-чиновники.

Какие выводы можно сделать? То, что «ящику» доверять нельзя, адекватные люди поняли давно. Фокус доверия в этой связи сместился в сторону «открытых и свободных» соцсетей, где контент формируют независимые пользователи. Но здесь как раз-таки и выходит на сцену «кви про кво». Что мешает государству формировать общественное мнение силами обычных граждан? Много чего. Поэтому хорошо бы этот процесс сделать подешевле и понезависимее от тех самых граждан. Как? Да хотя бы вот так.

Служба внешней разведки (СВР) в начале 2012 года провела три закрытых тендера под кодовыми обозначениями «Шторм-12», «Монитор-3» и «Диспут» на сумму более 30 млн. рублей, целью которых является выработка новых правил мониторинга блогосферы. Главной задачей методики должно стать «массовое распространение информационных сообщений в заданных социальных сетях с целью формирования общественного мнения». Заказчиком выступила ФКУ "Войсковая часть N54939". В рамках тендера «Диспут» разработка программы для «исследования методов разведки интернет-центров и региональных сегментов социальных сетей» оценивалась в 4,41 млн. рублей. По тендеру «Монитор-3» (на сумму 4,99 млн. рублей) претенденты должны были предложить исследование методов негласного управления в интернете. По тендеру «Шторм-12» (на 22,8 млн. рублей) - провести научно-исследовательскую работу по разработке «средств продвижения специальной информации в социальных сетях». Логика работы всего комплекса такова: мониторить блогосферу будет система «Диспут», затем полученную информацию проанализирует система «Монитор-3». Вброс нужной информации в соцсети на основе полученных данных возложат на систему «Шторм-12». К слову, исполнителем по всем трем конкурсам стала компания «Итеранет».

Ложка мёда

Справедливости ради стоит отметить, что поддельные личности используются и «во благо». В частности, для аудита безопасности и отлова «нехороших дядей-педофилов».

К примеру, эксперимент «белых хакеров» показал: для того, чтобы выудить секретную информацию, достаточно прикинуться симпатичной девушкой и немного пофлиртовать с суровыми «агентами».

Спецслужбы США при помощи специалистов компании World Wide Technology создали поддельные аккаунты молодой привлекательной девушки в соцсетях Facebook и LinkedIn. В качестве модели для создания поддельных аккаунтов использовалась реальная девушка по имени Эмили Уильямс. Она работала официанткой в кафе неподалеку от офиса правительственного агентства. При этом никто из сотрудников организации ее не узнал.
После непродолжительного общения с «жертвой»-мужчиной «девушке» удалось выудить секретную информацию. Сотрудники организации были так увлечены новой знакомой, что не заметили явных несоответствий в ее анкете. Например, там было указано, что она обладает 10-летним опытом в IT-коммуникациях, при этом ей было всего 28 лет.

Ну а самое интересное, по словам исследователей, в том, что подобный эксперимент проводился и с мужчиной в главной роли. Вот только столь поразительных результатов поддельному «Казанове» добиться не удалось.

Что до педофилов, здесь результатами поделились голландцы. Голландские активисты из организации Terre des Hommes завершили эксперимент по идентификации педофилов в чат-комнатах. Для этого они применили метод ловли «на живца», причем в качестве приманки использовали компьютерную модель 10-летней филиппинской девочки под ником Sweetie. Непосредственно в чате работали активисты Terre des Hommes.

За десять недель операции на контакт со Sweetie в разных чатах вышло более 20 000 мужчин, из них около 1000 человек из 71 страны предложили ей деньги. Большинство преступников — из богатых западных стран: 254 из США, 110 из Великобритании. На третьем месте Индия (103 человека). Что характерно, не удалось обнаружить ни одного пользователя из России.

Выводы?

«Кража личности» в Сети – процедура весьма и весьма лёгкая в исполнении. Масштаб проблемы ширится, а журналисты время от времени любят «нагонять панику», не разобравшись в вопросе. Дело в том, что большинство приёмов, применяемых злоумышленниками, не выдерживают сколь-нибудь серьёзной проверки. Вспомните хотя бы описанный случай с «крутыми агентами» и симпатичной девушкой. Несоответствия были на поверхности, но агенты их просто проигнорировали. Поэтому лично для меня профилактика кражи личности сводится к простой поговорке: «доверяй, но проверяй».

Сколько личность ни воруй, всё равно получишь... PROFIT!

Использование бесплатных почтовых сервисов для рабочей переписки – это не просто моветон, это серьезная угроза безопасности вашей компании. Поэтому использование таких сервисов в рабочее время и на рабочем месте нужно, как минимум, строго контролировать. Причем, не нарушая законодательства.

Трудно сказать, почему сотрудники так любят использовать бесплатную почту вместо корпоративной. Возможно, всё дело в привычке к интерфейсу Mail.ru, Yahoo и «Яндекса», возможно, всё дело в желании иметь доступ к почте отовсюду, а не только с рабочего места. Правда, с современными смартфона и планшетами это становится легким делом с любым почтовым ящиком. Сравнительно небольшой процент сотрудников пользуются бесплатными сервисами для распространения корпоративных секретов, принадлежащих целиком и полностью своему работодателю. Впрочем, вредят компании не только они, а все, кто пользуется бесплатными сервисами электронной почты для ведения деловой переписки.

Обычно главное, на что обращает внимание руководство, – это «несолидность» использования адресов не на корпоративном домене. Что и говорить, если компания претендует на лидерство в том или ином сегменте рынка, и позиционирует себя как современная и продвинутая организация, адреса на визитках и буклетах, заканчивающиеся на “…@mail.ru” выглядят, скажем прямо, достаточно странно. Хотя многие производители тех же продуктов питания не стесняются даже печатать такие адреса на этикетках своих продуктов. Но имиджевые потери от использования бесплатных почтовых сервисов – ничто по сравнению с потерями информации, и особенно с её утечками.

За что отвечает бесплатный почтовый сервис? Ни за что. Если вы, может быть, читали пользовательское соглашение любого бесплатного почтового сервиса, которое «подписывали» при регистрации, то знаете, что в нем в обязательном порядке есть пункт «отказ от ответственности». Поэтому и за сохранность писем, которые вы передали, и за доступ вас к вашему аккаунту никто не отвечает. Вспомните, как часто появляются новости об утечках и взломах паролей к бесплатным почтовым серверам. В следующий раз среди десятков, а то и сотен тысяч скомпрометированных учетных записей может оказаться и ваша. И если вы сохраняли копии документов, которые пересылали своим клиентам, то последние окажутся под угрозой – теперь вашим ящиком могут распоряжаться мошенники, рассылая с него похожие как две капли воды на ваши коммерческие предложения, ссылки с которых ведут на мошеннические сайты. Вряд ли клиент, перешедший по такой ссылке и получивший «трояна», укравшего деньги с его банковской карты, будет и дальше оставаться лояльным вашей компании. А ведь это только одна из множества возможных схем действий злоумышленников после получения доступа к вашему почтовому ящику, и далеко не самая неблагоприятная для вас.

Вывод прост: на рабочем месте пользоваться бесплатными сервисами нельзя. С оговорками, конечно: если корпоративный почтовый сервер «лежит», а отправить важно письмо нужно архисрочно, то тут уж все средства хороши. Но знать, что использовать бесплатные почтовые сервисы – плохо, и совсем не использовать их – это две разные, очень разные вещи. Чтобы удостовериться, что персонал не использует «запрещенные приемы» (то есть, те самые бесплатные сервисы электронной почты) необходимо контролировать их использование.

Первая мысль, которая приходит в голову – это блокировать доступ к ним (хотя бы к самым популярным) с помощью настроек корпоративного файрволла. Но эта идея не слишком хороша. Во-первых, как уже было написано выше, бывают экстренные ситуации, когда нужна «палочка-выручалочка» в виде того же Mail.ru или Gmail. Во-вторых, всяких бесплатных почтовых сервисов в мире столько, что закрыть доступ к ним всем не представляется возможным. Значит, нужно придумать какой-то способ осуществлять неблокирующий контроль подобных сервисов.

Это очень удобно делать с помощью DLP-системы – программного продукта, созданного для контроля информационных потоков в компании и предотвращения утечек конфиденциальной информации из неё. DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. На самом деле, такая система является универсальным средством выявление неправомерных действий сотрудников.

Стоит отдельно остановиться на легальности использования DLP-систем. Некоторые сотрудники считают, что работодатель нарушает их конституционное право на конфиденциальность переписки, используя DLP-систему для анализа их почты, в том числе, и для выявления фактов пользования бесплатными почтовыми сервисами без явной необходимости подобных действий. На самом деле, в рабочее время сотрудники должны работать по правилам работодателя и вести не личную, а деловую переписку, которую работодатель имеет право контролировать. Это обстоятельство, а также использование системы ИБ указывается в трудовых договорах и дополнительных соглашениях, которые сотрудники подписывают при трудоустройстве. Т.е. сотрудников ставят в известность о наличии системы ИБ в организации. В таком случае имеет место уже не нарушение тайны переписки, которого и не происходит благодаря работе DLP-системы в автоматическом режиме, а контроль работодателем целевого использования одного из предоставляемых сотруднику ресурсов – подключения к Интернету.

Отдельно стоит рассмотреть вопрос, что же делать с сотрудником, который был «пойман с поличным» на использовании бесплатной почты. Наиболее эффективно, конечно, будет дифференциальное наказание. Если дело было в неработающем сервере корпоративной почты, то наказывать следует системного администратора, а сотрудника за находчивость можно будет даже поощрить. Если выяснится, что сотрудник просто передал какой-то один файл по старой привычке, то достаточно будет провести с ним профилактическую беседу. А вот если налицо случай инсайдерской деятельности и распространение конфиденциальных данных за пределы компании, то здесь уже следует наказывать по всей строгости, обязательно донося информацию о наказании до остальных сотрудников.

Так что, как видите, контролировать использование сотрудниками бесплатной почты, оставаясь в рамках закона, совсем не сложно. Главное – пользоваться для этого правильными средствами.

Бесплатная почта – зло. Но зло контролируемое, причем легально!