Все больше и больше людей используют мобильные устройства в повседневной жизни. Рюкзак гаджетов постепенно заменяется одним единственным смартфоном. Здесь тебе и фотокамера с возможностью HDR-съемки, и радио, и записная книжка, и органайзер, и даже телевизор (в китайских поделках). Отдельно идут игры и различные рабочие приложения. К последним можно отнести, скажем, облачную «1С:Бухгалтерию», управлять которой можно со смартфона, используя возможности сотового оператора.

На сегодняшний день законодателями мировой мобильной моды являются Apple и Google. Взаимодействие через различные маркеты стало нормой. Такими же обыденными стали и AirPush-уведомления.

Знакомая картинка, не правда ли?

Изначально AirPush-уведомления представляли собой лишь полезную нагрузку. Разве можно представить себе журнал звонков, SMS или Skype без такого удобного инструмента?

Все было гладко до поры, до времени. Не так давно и до нас добрался новый вид мобильных угроз – AirPush-фишинг. Что такое «фишинг» мы с вами прекрасно знаем, я лишь хочу акцентировать внимание на новом способе его реализации.

Основной источник фишинга – эти самые «невинные» push-уведомления, появляющиеся при установке тех или иных приложений. Их наличие свидетельствует о том, что разработчик заключил контракт с рекламодателем. Эта модель имеет ряд преимуществ, так как вместо хоровода баннеров (особенно в бесплатных версиях игр и приложений), выводится диалоговое окошко, которое можно закрыть.

Но дело в том, что если у вас выскочило объявление о бесплатном обновлении игры\ приложения, вы, скорее всего, согласитесь и нажмете «ОК». И вот тут могут возникнуть проблемы. Бывает так, что сами объявления – совершенно не те, за кого себя выдают. То есть вам предлагается обновить нужное приложение, а при переходе ссылка ведет на «левый» сайт. Помните волну «липовых» обновлений Opera Mini? И неважно, что он у вас может быть вовсе не установлен, задача-то у мошенников совсем другая – ваши деньги. Чтобы избежать опустошения счета, достаточно быть в-н-и-м-а-т-е-л-ь-н-ы-м. Однако если вы не обладаете рядом экстрасенсорных способностей, необходимо еще кое-что. Условно подобный инструмент можно назвать AirPush-детектором. Название говорит само за себя.

Навскидку AppStore ничего полезного из подобных программ не находит. Думаю, причина кроется в премодерации всех приложений. Однако, раз в год, как говорится… И история с завирусованной Angry Birds Rio – тому подтверждение. Android Market придерживается более свободной идеологии в плане модерирования, поэтому и программ здесь побольше. Сообщество рекомендует Addons Detector, Air Push Detector и AirBlock. Лично их не видел, поэтому могу лишь посоветовать только то, о чем прочитал. Больше всего хвалят первую утилиту, так как она может выполнять не только функцию сканера (то бишь посмотреть, куда ведет push-уведомление).

В общем, лучшее решение обозначенной проблемы, на мой взгляд – разумное сочетание обновления приложений с предварительной проверкой. Также не помешает поставить антивирус. По крайней мере, создатели «зеленого паука» утверждают, что их продукт AirPush-фишинг-«монстров» отлавливает.

Уже и не вспомню, откуда растут ноги этого народного творчества, а гуглить, признаюсь, лень. Как можно догадаться по названию, сегодня речь пойдет людях, чьими способностями я на самом деле восхищаюсь. В первую очередь, потому что сам когда-то хотел быть программистом. Так вот, задумался я над таким вопросом: выгодно ли программисту работать в ИБ? Рассуждениями на эту тему и хочу поделиться.

С программистами не все так однозначно в вопросе «где выгодно работать?», как, например, с теми же «сэйлами». У последних все просто: в сфере ИБ работать выгодно, потому что рынок быстро развивается, проценты с продаж те же, но суммы самих продаж гораздо выше. Продукт продают одни (то есть не продают сегодня семечки, а завтра – двигатели к ракетоносителям), работают по конкретному портрету клиента и так далее.

Программистам же с первого взгляда в любой сфере живется неплохо. Однако если чуть пристальней изучить вопрос, то можно обнаружить и некоторые преимущества работы в ИБ, по сравнению с другими ИТ-сферами\ пирамидами\ параллелограммами:

1. Стремительно развивающийся рынок ИБ. Как мировой, так и конкретно в СНГ. Здесь плюс в том, что чем больше рынок, тем больше на нем компаний, предлагающих свои услуги. И, следовательно, больше работодателей. Так сегодня у программиста появляется огромное поле для маневров, и если он хорош, то руководство будет всячески стремиться повысить его лояльность к компании и не дать конкурентам его «переманить».
2. Этот плюс снова касается роста рынка ИБ. Особенностью сегмента является его индифферентность к кризисным колебаниям. Именно он был едва ли не единственным на рынке IT, кто в 2009 г. показал положительную динамику.
3. Дабы не думать в одиночку, вопросом сегодняшнего поста я озадачил своего коллегу, технического директора компании SearchInform Андрея Галатина. «У программиста в области ИБ всегда будет достаточно предложений по работе, – считает Андрей. – Вопросами информационной безопасности сегодня активно занимаются по всему миру, и расширение рынка ИБ уже вряд ли остановится. Заметьте: 2006 г., Россия принимает ФЗ №152 «О персональных данных», 1 января 2011 г. в Украине вступает в силу закон №2297-VI «О защите персональных данных», а ровно год спустя первые серьезные подвижки произошли и в Беларуси – появился новый стандарт безопасности. Вместе с законами придут и штрафы. По сути, мы движемся сейчас к европейской модели. На мой взгляд, что-то наподобие британского ICO (Information Commissioner’s Office – организация, занимающаяся расследованиями инцидентов утечек информации. Не путать с International Coffee Organization :-)) необходимо и нам».
4. В продолжение размышлений над плюсами и минусами работы программиста в сфере ИБ, нужно отметить, что недостаточно рассматривать этот вопрос только с практической точки зрения. Думаю, вы согласитесь со мной, если скажу, что программирование – это творческий процесс. Именно творческую составляющую можно выделить в «плюс». Кодинг в ИБ дает большой опыт в создании сложных систем с повышенными требованиями к отказоустойчивости, ко времени реакции. Для многих задач не существует типовых решений, а это значит, что их решение не сведется к копипасту кусков кода с какого-нибудь pastebin или из хабрахабровского Q&A.

А что думаете вы, коллеги? Выгодно ли работать программистом в сфере ИБ?

Не стоит надеяться, что наши дети
будут лучше нас… Наши родители
тоже на нас надеялись.

Эта шутка показалась мне весьма подходящей к сегодняшнему посту. Речь пойдёт вот об этом исследовании, спонсором которого выступила Cisco. Опрос проводился в 14 странах среди 2800 молодых людей в возрасте от 21 до 29 лет. Его результаты вызвали цепочку ассоциаций, которыми и захотелось поделиться.

Главная проблема, открывшаяся в ходе опроса – игнорирование молодыми сотрудниками компаний политик безопасности. Порядка 70% заявили, что делают это довольно часто.

Также в ходе опроса удалось выяснить наиболее распространённые причины пренебрежения. Так, 33% уверены, что просто не делают ничего плохого. 22% признались, что политики мешают им работать с неавторизованными программами и приложениями. 19% опрошенных отметили, что у них политики вовсе не применяются. Некоторые (18%) заявили, что во время работы у них нет времени задумываться о безопасности. И наконец, 15% банально забыли про необходимость применения таких политик.

Интересно то, что 61% опрошенных уверены, что они не несут ответственности за защиту информации и устройств, считая это обязанностью ИТ-отдела или поставщика услуг.

Что тут сказать? Практически на каждой конференции SearchInform в рамках Security Road Show мы говорили о необходимости проведения в компаниях инструктажей по действующим политикам безопасности. В целом, в 2011 году ситуация (в России) улучшилась, однако по-прежнему требует внимания.

Проводится ли вашей организацией инструктаж сотрудников для разъяснения политик информационной безопасности?

Как решают вопросы в компании?

Опрос показал, что на Западе в отношении мобильных устройств хорошо прижилась сталинская логика решения проблем – нет устройства, нет проблемы. Чаще всего компании ограничивают онлайн-игры (37% опрошенных), социальные сети (порядка 33%) и применение iPad\iPod (10% и 15% соответственно).

На мой взгляд, подобное решение проблем – архаизм. В ближайшее время в этом плане нам всем придётся эволюционировать. DLP-системы с идеей «не запрещать, но контролировать» становятся более конкурентноспособными в современных реалиях.

И если на данный момент мы можем мониторить не только рабочие станции сотрудников, но и ноутбуки, то вскоре возможно всерьёз придётся задуматься и о мобильных устройствах. Этот вывод не взят с потолка маркетологами, а продиктован рынком.

14 декабря (то есть буквально на днях) появилась информация от компании «АйТи», опубликовавшей результаты исследования рынка корпоративной мобильности в России. Было опрошено более 100 ИТ- и бизнес-руководителей средних и крупных компаний и организаций, представляющих различные отрасли экономики.

Опрос выявил, что в мобильном доступе сегодня нуждаются не только руководители организаций (83%) и подразделений (81%), задающие тон в деловом применении современных мобильных устройств. В России отчетливо видна тенденция к формированию категории сотрудников, называемой IDC «мобильными профессионалами» (сотрудники, которым значимую часть времени приходится работать вне своего рабочего места, и, тем не менее, они нуждаются в обеспечении полнофункционального, своевременного и безопасного мобильного доступа к корпоративным ресурсам).

Как известно, спрос рождает предложения. Так что вскоре вслед за смартфонами в корпоративный сектор придут планшеты, а следом и решения по защите данных на них. Более 65% ИТ-руководителей в России осознают необходимость таких решений, рассматривая возможность или уже планируя соответствующие внедрения в течение ближайшего времени.

Как думаете, к чему мы придём? Впитают ли современные DLP-системы в себя функционал средств управления использования мобильных устройств (MDM/EMM – Mobile Device Management/Enterprise Mobility Management) или же на рынке информационной безопасности появится новое направление?

Вступление. Жили себе мирно два почтенных семейства: Монтеки Правительство и Социальные сети. До поры до времени не обращали друг на друга внимания. Но росли Социальные сети, заручались популярностью и влиянием, формировали общественное мнение. Правительству это, конечно, не нравилось. Старый слуга Правительства Телевидение уже не справлялся, однако уменьшить жалование вряд ли бы согласился. И назрело решение как-то само собой: остудить пыл Социальных. Да вот как сделать так, чтобы на качающейся табуретке, троном именуемой, удержаться потом?

Сцена первая. Выход из сумрака

Тут в нашем спектакле появляется новый герой – МВД. Старый вояка, у которого как раз подрос молодой да прыткий внук Управление «К». Собственно, от скорого до расправы внучка и «прилетает» свежая идея: «Зарегистрируйся под реальным именем, сообщи настоящий адрес – и общайся, – заявил Мошков (для справки: начальник бюро специальных технических мероприятий Министерства внутренних дел России Алексей Мошков. Ярый сторонник введения фейс-контроля в рунете.). – Если ты – честный, законопослушный человек, зачем прятаться?». А идея, как и слово, не воробей – раз запостил, потом из КЭШа не удалишь. И пошла рябь по информационному пространству, возмущение по волнам эфира. Раскрыть данные легко, но только кто их потом защищать будет? Абсурдность явная, но народ слишком хорошо знает, какие решение порой принимаются в ранг законов. Аргументы от МВД убедительные, не поспоришь: «Через Интернет экстремистские группы организуются, ведут агитацию, а также координируют свои акции». Но нужно ли рубить с плеча? Может если подумать головой, можно найти более рациональное решение? Уверен, оно есть.

Взять тот же «Контакт». По тривиальному запросу «порно» получаешь полную страницу его самого. Вопрос: неужели до сих пор, порвав ни одну глотку лозунгами «за безопасный Интернет для наших детей» и вбухивание миллионов рублей в «детский фаервол» для школ, нельзя было достучаться чем-нибудь тяжёлым до светлых голов руководителей этой сети? Банальный фильтр хотя бы самых очевидных слов снизил бы угрозу в разы. Но нет. Всё по прежнему.

К счастью в семействе Правительства не стали слушать скорых идей и Министр внутренних дел России Рашид Нургалиев заявил, что он негативно относится идее полного упразднения анонимности в сети Интернет. Заодно и ранние заявления опроверг.

Сцена вторая. Явление соседа-маразматика

Но у любой семьи всегда найдутся советчики, которые точно знают «как лучше». И у Правительства тоже нашёлся сосед-маразматик, который «усё гэта прайшоу». На заседании совета парламентской ассамблеи ОДКБ он так и заявил: «Мы научились бороться против этого зла». Только что скрывается за громкими высказываниями? Социальные сети в соседней с Украиной и Россией стране контролируются очень просто. Действительно, никаких революций нет: в дни, когда вольные жители хотели собираться, на уровне провайдеров блокировался доступ к социальной сети. Также один раз была создана поддельная фишинговая страница, информация с логинами и паролями с которой уходила неизвестно кому. Правда, затем от такого ведения дел отказались. И правда, зачем, когда есть закон «О массовых мероприятиях», в который внесли несколько интересных изменений. Согласно тексту документа, разрешение городских властей на проведение акции нужно получать в случаях, когда планируется «совместное массовое присутствие граждан в заранее определенном общественном месте (в том числе под открытым небом) и в установленное время для совершения заранее определенного действия или бездействия». Вот и весь контроль. Страх наказания.

Эпилог

Правильным решением для двух семейств сейчас будет добровольное раскрытие анонимности. В социальной сети каждый должен иметь право доказать, что он именно тот человек, которым является. К сожалению «Контакт» по прежнему думает только о звёздах. В этом плане гораздо больше подвижек у белорусского аналога «Всети». Порнографии, кстати, у них тоже нет. Facebook и Twitter тоже движутся в правильном направлении. Хоть бы не заплутали. Трагикомедия с элементами фарса получается. Как думаете, чем закончится?

Как горячие пирожки в базарный день разлетелось последнее высказывание Криса Дибона из Google, руководителя по работе с открытым ПО. Как вы знаете, он пристыдил компании, которые производят и продают антивирусные решения для смартфонов, назвав их «шарлатанами и мошенниками».

Аргументация Дибона проста: «Антивирусные компании играют на ваших страхах, чтобы продавать бесполезную защиту для Android, RIM и iOS. Ни у одной мобильной платформы не существует «вирусной» проблемы, с которой сталкиваются компьютеры на Windows и некоторые Mac’и. Известные проблемы незначительны из-за используемой модели «песочницы».

Примечательно, что многие «компании-шарлатаны» Дибону ответили.

Давайте взглянем на ситуацию независимо, а не исходя из интересов какой-либо стороны.

Безусловно, опасность для смартфонов существует. Более того, ситуация будет лишь усугубляться, так как популярность этих устройств растет. А всем известно, что спрос порождает предложения. В нашем случае – вирусные. По статистике, представленной в недавнем отчете Juniper Networks, количество «зловредов» под Android с июля текущего года увеличилось на 472%. Одна из причин такой «популярности» – менее строгая проверка кода приложений в Android Market'e.

Основная цель практически любого вируса на вашем смартфоне – кража средств. Различаются лишь способы: есть прямые (скрытая отправка SMS или звонков на платные номера), есть косвенные (кража средств аутентификации пользователя в системе онлайн-банкинга). Однако в последнее время растет популярность другого способа – кражи вообще всего, что «плохо лежит». В октябре доля вредоносных приложений, крадущих личные данные пользователей со смартфонов, увеличилась до 34% от общего числа «зловредов» под Android. Теперь на сервера злоумышленников могут отправиться не только контакты и архивы SMS, но и фотографии вместе с GPS-координатами. Стоит беспокоиться?

Так ли страшен чёрт?

Поводы для беспокойства есть, пока. По крайней мере, касаемо платежей с мобильных телефонов, все не так плохо. Я говорю про NFC-чипы. В новую модель чипа встроен накопитель объемом 760 Кб. Этого вполне достаточно для записи различной информации, например, данных по кредитной карте, балансу виртуального счета и т.д. Что любопытно, чип может работать даже при отключенном телефоне, и даже если аккумулятор внезапно сядет среди рабочего дня, владелец мобильника не останется без платежного средства. Более того, сообщается, что чип Secu-NFC будет устанавливаться не только на смартфоны Samsung, но и на устройства других производителей.

Другое дело, что пока неизвестно, когда эта технология придет в СНГ. «Яндекс» активно пропагандирует связывать кредитки с их онлайн-счетом. Оплата через мобильный телефон становится все более удобной. Уже запущен проект по оплате посредством смартфона проезда в общественном транспорте. Только вот как обеспечить безопасность персональных данных? Так ли страшен «чёрт»?

Терроризм – очень удобный повод для правительств при решении каких-то своих задач. Удобный в том плане, что им можно подкрепить практически любое свое действие, связанное с доступом к конфиденциальным данным. Помните летнюю шумиху в России с участием ФСБ и Skype? Есть у группы «Агата Кристи» песня под названием «В интересах революции». И оно вполне подходит в качестве общего названия для тех событий «Арабской весны», свидетелями которой мы стали не так давно. И далеко не последнюю роль в минувших волнениях сыграли Skype и BlackBerry, не позволяя спецслужбам беспрепятственно слушать, о чем договариваются «подозрительные личности».

Тему Скайпа песочили\мочалили\мусолили\ уже много раз. Поэтому сегодня я хотел бы заострить внимание на канадской компании RIM, и ее интересном подходе к обеспечению конфиденциальности разговоров своих клиентов… до поры, до времени.

Для тех, кто не в курсе, кратко пробегусь по основным фактам. RIM – канадская компания, известная в бизнес-кругах своими смартфонами BlackBerry и различными решениями для них. По сути, слово BlackBerry стало нарицательным обозначением высококлассного коммуникатора. Ну а главной его особенностью является использование специального сервера (BlackBerry Enterprise Server, BES) и возможности шифрования по стандарту AES для защиты сообщений от перехвата. Именно эти «особенности» набили оскомину спецслужбам разных стран, раз за разом вовлекая RIM в эпицентр шпионских скандалов.

К примеру, французские чиновники активно пользовались коммуникаторами этой компании, в том числе для передачи секретных данных. В Великобритании же смартфоны BlackBerry использовались хулиганами для организации массовых беспорядков и координации действий.

В общем, чтобы мирно сосуществовать со спецслужбами, руководству RIM приходиться идти на уступки и тем или иным образом давать спецслужбам запрашиваемую ими информацию.

Кручу-верчу, ключи шифрования выдавать не хочу

Какие же варианты решения придумали канадцы? После конфликта с правительством Индии, которое грозилось прекратить деятельность компании на территории страны, RIM пошла на беспрецедентный шаг и открыла центр дешифровки сообщений BlackBerry. Центр непосредственно предназначен для помощи индийским спецслужбам в перехвате и анализе сообщений, пересылаемых пользователями платформы.

Ранее спецслужбам приходилось преодолевать больше препятствий для того, чтобы получить нужную информацию: власти указывали данные об абоненте, данные которого надо было дешифровать, а также юридическое обоснование необходимости дешифровки, после чего компания и производила указанную операцию, предоставляя властям данные переговоров. Недовольство объяснялось потерянным временем на улаживание юридических формальностей. Тем не менее, даже сейчас индийские спецслужбы говорят, что им необходим еще более широкий доступ.

По другому пути решили пойти в России. Долгое время ввоз смартфонов BlackBerry там был вообще запрещен. Причина та же – спецслужбы в стране не могли получать доступ к трафику сообщений этой платформы, что создавало лазейку для террористов. RIM, со своей стороны, отказывалась выдать ключи шифрования. Поэтому операторы сотовой связи начали подключать абонентов через VPN-канал от корпоративной сети до площадки оператора. Таким образом, у «сильных мира сего» появилась возможность контролировать проходящую почту с помощью СОРМ-2.

Вскоре операторы все же организовали «подобие» шифрования, подключив услугу BlackBerry Internet Service, однако, трафик по-прежнему идет по пути, описанному выше. Но BIS может использовать для передачи данных не только сеть оператора, но и Wi-Fi. Что делают власти? Правильно, они запрещают его и заставляют аппаратно отключать.

Что же ждет нас? Настолько ли оправдано шифрование RIM, если в страну компания допускается только после того, как будет придуман способ прослушки для спецслужб?

Помните поговорку «В чужом глазу и соринку увидит, а в своем...»? Мне показалась, что она довольно иронично отражает суть данного поста. Речь пойдет о защите информации в блогах.

Вряд ли кто-то станет отрицать, что Интернет уже не только догнал, но и обогнал (например, по интерактивности) многие СМИ. Одним из самых распространенных и популярных источников информации сегодня стали блоги. Фамилии блоггеров называть нет смысла. Тот же автор РосЯмы, думаю, на слуху у многих.

Но давайте абстрагируемся от политического контекста и просто представим себе следующую ситуацию. Допустим, у нас есть информация, которой мы хотим поделиться. Причины могут быть самые разные: от экспертного мнения по той или иной проблеме до банального графоманства. Важно другое — нам хочется двух вещей:

1. Поделиться своей информацией с людьми;

2. Чтобы люди знали, что именно я являюсь автором этой информации.

Представьте себе: вы пишете актуальную интересную статью, тратите силы и средства на глубокое исследование вопроса и вот, наконец, публикуете статью в вашем блоге... А в ответ — тишина...Увидели, прочитали, не «зацепило». Но вот через пару дней статья всплывает на более «раскрученном» ресурсе, а в выдаче поисковика вашего блога нет. Можно до хрипоты спорить о вариантах раскрутки, SEO, цИТ и PR. Но можно подойти к проблеме с качественно иной стороны: статью «украли», потому что смогли это сделать. Но можно ли оставить вора «с носом»? Можно ли защитить свою информацию в своем же блоге?

Прежде, чем разбираться со следствием, рассмотрим причину.

Зачем защищать свою информацию?

Некоторые скажут «Ну и пусть. Подумаешь, скопировали». И вообще, «мне блог нужен так, для души. Я в нем пишу исключительно для себя».

Все бы так, если бы вы в этом случае не обманывали себя. Никто не пишет «для себя» там, где это может прочесть кто-то еще. Если человек завел себе блог — он хочет, чтобы его читали. Поэтому не удивительно, что когда некто перепостит вашу статью к себе в блог от своего же имени и получит большой отклик, вас это вряд ли обрадует.

Разница в затраченных усилиях, конечно, колоссальна: с одной стороны — вы, вложивший свое время и силы, а с другой — обычный «копипастер», все телодвижения которого свелись к перепосту без указания первоисточника, либо к забиванию ссылки атрибутами noindex или nofollow.

Обидно? Еще бы! Вот почему важно защищать свою информацию.

Как это сделать?

Во-первых, доводилось ли вам встречать различные вариации фразы «при публикации материала ссылка на первоисточник обязательна»? Уверен, что приходилось. За этим набором слов кроется вполне здравый смысл. При условии, что текст статьи опубликован без изменений, а также присутствует прямая индексируемая ссылка на оригинал, автор всегда будет в выигрыше. Особенно если сайт, на котором разместили копию, «круче» по всем параметрам,и он — в выдаче поисковика. Такой вариант вполне приемлем, и любой профессионал в SEO пояснит вам это лучше, чем я. Однако, можно применить и более серьезный подход.

Во-вторых. На помощь приходит Яндекс.Вебмастер. Не так давно компания ввела в своем сервисе новую «фишку» под названием «Оригинальные тексты». Сам Яндекс описывает ее так:

«Если вы публикуете на своем сайте оригинальные тексты, а их перепечатывают другие интернет-ресурсы, предупредите Яндекс о скором выходе текста. Мы будем знать, что оригинальный текст впервые появился именно на вашем сайте, и попробуем использовать это в настройке поисковых алгоритмов».

Воспользоваться функцией можно перейдя в панели Вебмастера в меню по ссылке «Содержимое сайта → Какие данные можно передать?». Находите в списке «Оригинальные тексты» и жмете"Включить«.После этого в меню появится ссылка на сервис.

Таким образом, теперь перед публикацией нового текста необходимо зайти в сервис, занести текст в форму и отправить Яндексу. Заявка будет обработана, и в дальнейшем поисковик будет знать, что автор именно вы, а не кто-то иной.

Вместо «В-третьих»

Так как же это все относится к теме информационной безопасности? Столкнувшись с новыми возможностями Вебмастера, я сразу задумался: а как же Яндекс все это дело реализует? Из инструкции, которой предлагается следовать, можно косвенно сделать вывод о том, что будет использоваться fingerprint текста. Он же «цифровой отпечаток», если угодно. Однако метод цифровых отпечатков лично у меня вызывает сомнения. Не спорю, он будет эффективен при копировании текста без внесения значительных изменений. Но что, если подойти к процессу копирования «творчески». Или же скопировать текст с грамматическими ошибками? Или заменить буквы на аналогичные латинские? Сможет ли Яндекс отловить такие тексты?

P.S.

Для многих из нас защита информации стала профессией. Но абсолютное большинство людей до сих пор слабо понимает, насколько важно не допускать утечки конфиденциальных данных. Мы можем по семь раз в день рассказывать им о том, во сколько миллионов долларов обходятся компаниям ошибки их сотрудников — отправленные на неправильные адреса важные письма, и прочее, прочее. Но мужик-то все никак не перекрестится... Так может, стоит попробовать достучаться до таких «неверующих» и с такой стороны, ведь самолюбие есть у каждого, и стоит его неоднократно задеть, чтобы это заставило человека как минимум задуматься.

Описанные выше способы далеко не единственны. Как, на ваш взгляд, еще можно защитить информацию в своем блоге?

Если помните, в школьном курсе физики рассказывается о «золотом правиле» механики. Не хочу уподобляться ретранслятору Википедии, поэтому акцентирую ваше внимание на смысле, который в нем заложен: результат может быть достигнут разными способами, но если нам в чем-то удалось «выиграть», то в чем-то мы «проиграли». Механика рассматривает эту проблему с точки зрения пути и силы. Я же предлагаю осветить вопрос со стороны анонимности в Сети.

Что будет, если дать пользователю анонимность? Отсутствие регистрации, модерации, и как следствие, полная безнаказанность за свои поступки. Примеров подобных ресурсов - уйма. И итог практически любого действия на подобных ресурсах всегда один – мат, троллинг и анархия. Безнаказанность и ложное чувство свободы побуждает человека делать в Интернете то, на что в реальной жизни он бы не отважился. Вы бы оскорбили первого же встречного, который спросил у вас «который час»? А в Сети такое сплошь и рядом.

То, что контроль нужен, не вызывает вопросов. Но насколько жестким он должен быть?

В 2007 г. власти Южной Кореи решили ввести систему использования в Интернете настоящих имен. В итоге, совсем недавно это привело к крупнейшей утечке личных данных граждан страны. Хакерская атака на популярные сайты Nate и Cyworld в прошлом месяце «унесла» 35 млн. пользователей – точнее, их имена, логины/пароли, email-адреса, номера мобильных телефонов, а также регистрационные номера резидентов (уникальные идентификаторы, выдающиеся всем корейцам при рождении). Между прочим, эти регистрационные номера вот уже несколько лет по закону требуется сообщать при регистрации на сайтах, имеющих более 100 тыс. пользователей. Небывалая утечка текущего года заставила правительство Южной Кореи пересмотреть свою позицию и отказаться от подобной системы.

Этот пример – единственный в своем роде, но не единственный по самой идее. Так, другой практики решили придерживаться наши белорусские соседи, запустив в жизнь «знаменитый» Указ №60. В частности, собственникам пунктов коллективного пользования интернет-услугами (ПКП) предлагается идентифицировать интернет-пользователей, а также вести учет и хранение персональной информации клиента. Другими словами, чтобы попасть в Интернет, человек должен предъявить на выбор паспорт, военный билет, водительское удостоверение, пенсионное удостоверение, студенческий билет, паспорт моряка или другие документы, где есть фотография, ФИО, номер и орган, выдавший удостоверение. Стоит ли говорить, что такой подход обречен на провал как минимум потому, что может похоронить идею бесплатных Wi-Fi хотспотов на корню.

Это подтверждает один из сотрудников крупного байнетовского портала: «У нас в офисе довольно часто проходят различные мероприятия. И это удобно, когда человек может свободно попасть в Интернет, чтобы написать пост, твитнуть и т.д. Однако, из-за указа №60 мы не можем (хотя очень хотели бы) снять пароль с нашего Wi-Fi. В этом случае по закону мы будем обязаны собирать с граждан персональную информацию, но права на подобную деятельность у нас нет».

Как видите, в вопросе анонимности в сети не следует занимать ни одну из крайних позиций. Нужно искать «золотую середину» (что-то много золота сегодня :-).

Правильную ли политику ведет Google, запрещая в своей соцсети псевдонимы? Не превратится ли их сеть в инструмент социальной инженерии? Или может это уже произошло?

Германия запретила Facebook собирать биометрические данные и распознавать людей на фотографиях. Однако подобный подход помог полицейским Великобритании поймать мародеров во время недавних беспорядков.

Корейцы подают 27-тысячный иск Apple за «слежку» через iPhone, а Обама регистрируется на геолокационном сервисе, что позволит следить за его перемещениями.

Существует ли вообще эта «середина»? Можно ли контролировать такие махины, как Twitter и Facebook? Может, стоит проводить регистрацию только реальных пользователей (для регистрации необходимо отослать скан паспортных данных, к примеру), но раскрывать их данные только по запросу властей? Тогда, по крайней мере, будет понятно, кто должен защищать эти данные.

Как Вы считаете, где она, «золотая середина»?

Каждый специалист по информационной безопасности знает, что такое спам и что такое фишинг. Но задумывались ли вы когда-нибудь над тем, почему люди продолжают попадаться на одну и ту же удочку? По-моему, дело не только в технической реализации, но и в психологии. Об этом и поговорим.

Что было?

Если исключить целенаправленный инсайд в компании, то пальму первенства среди причин утечек клиентских баз можно присудить человеческому фактору. Он может проявляться как в банальной невнимательности, так и в недостаточном профессионализме работника.

В качестве примера к первому варианту можно привести компанию «Беспроводные информационные технологии», работающую на острове Сахалин. Как раз по неосторожности\ невнимательности\ халатности ее сотрудников весной этого года была допущена крупная утечка служебной информации организации: в открытый доступ попали конфиденциальные данные 11 тысяч клиентов компании. Причины могут быть самые разные: от перепутанного адреса в электронном письме, до «случайного» нажатия мышкой в каком-нибудь cheсk-box'е, отвечающем за публикацию в открытом доступе.

Иллюстрацией второго варианта может послужить недавняя шумиха вокруг «Яндекса». Сеть наполнилась слухами о свободном доступе к секретным документам правительства РФ и различным документам «для служебного пользования» посредством вышеупомянутой поисковой системы. На мой взгляд, касательно данных инцидентов в первую очередь стоит обратить внимание на профессионализм вебмастера, которому следовало бы уделять пристальное внимание файлу robots.txt. Как легко догадаться, это текстовый файл, предназначенный для роботов поисковых систем. Вебмастер может указать в этом файле параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы в отдельности. То есть владелец сайта или вебмастер всегда может позаботиться о том, чтобы поисковые роботы обходили стороной страницы, содержимое которых не должно попасть в общий доступ через поисковые системы.

В противном случае конфиденциальная информация о клиентах пускается в свободное и рискованное плавание по Сети.

Что будет?

Даже если третьим лицам известен лишь электронный адрес вашего почтового ящика, это уже создает определенный дискомфорт в виде спама. Многие люди почему-то уверены, что спам с предложением купить виагру со скидкой приходит лишь тем, кто любит проводить время на сайтах «для взрослых». Но мало кто задумывается, что, может быть, на том же «взрослом» ресурсе никаких данных человек не оставлял, а адрес его почтового ящика попал в руки спамеров, к примеру, через непрофессионально сделанную форму заказа в интернет-магазине. Вебмастер мог просто забыть запретить индексировать эту страницу поисковиком.

Тем временем, если в руках у злоумышленника оказалось чуть больше информации, чем адрес электронного ящика, есть вероятность, что спамом дело не ограничится, и на сцену выйдет фишинг-атака. Главной целью подобной атаки является сбор конфиденциальной информации о пользователе: его логины и пароли, данные по кредитным картам. Как правило, жертве фишинга высылается правдоподобное на вид письмо от организации, с которой пользователь ведет дела в реальной жизни. В письме обычно предлагается перейти по ссылке и ввести там свои данные. После ввода пароля ничего, разумеется, не происходит, но данные уже отправлены мошенникам.

Опасно быть уверенным в том, что подобная проблема вас не коснется. Практика убеждает в обратном. В октябре 2008 г. правительство Франции официально подтвердило, что с банковского счета президента были украдены «небольшие суммы денег» вследствие того, что воры получили доступ к его персональным данным и кодам доступа.

Скорее всего, Николя Саркози просто открыл фишинговое письмо. Но почему он решил открыть именно его?

Верю-не верю

Профессиональные мошенники охотно пользуются различными психологическими приемами, провоцирующими жертву на открытие и прочтение заветного письма. Не спорю, от верстки e-mail-рассылки зависит многое, но чтобы ее оценить, нужно сначала захотеть открыть письмо. И тут уже необходим действительно «вкусный» заголовок, после прочтения которого пользователь, собственно, и решает: читать дальше или отправить письмо в корзину. В создании заголовка существуют свои нюансы. Остановлюсь лишь на тех, которые показались мне наиболее значимыми:

1. Содержательность. Читатель должен понять, о чем письмо. Иначе все остальные уловки не будут иметь смысла.
2. Краткость. Получателю должно быть сразу понятно, интересно ли ему это письмо.
3. Персональность. Личное обращение может вызвать больше доверия к письму.

Это не все приемы, которые могут быть использованы при составлении поддельного письма. Чтобы осуществить действенную фишинг-атаку, преступник должен не только располагать определенной информацией о жертве, но и обладать некоторыми знаниями в области психологии и маркетинга.

«Возвращайся, сделав круг»

Человеческий фактор, как причина случайных утечек – пожалуй, главная причина бед конечных пользователей, попавшихся на удочку фишера. Придется смириться, ведь «все мы – люди»?.. Очевидно, если мы хотим защитить себя и своих, положим, клиентов от подобных неприятностей, можно постараться исключить «случайные» утечки как вид. Помочь в этом может грамотно настроенная DLP-система.

Напоследок хотелось бы еще раз вспомнить прописную истину, которую должен знать каждый пользователь: помните, серьезные ресурсы не рассылают письма с просьбой выслать им ваши логин-пароль. И вопрос «почему?» здесь неуместен.

Нет, речь пойдет не о тарифах на роуминг. Давайте порассуждаем о безопасности мобильных устройств в общем и о безопасности мобильных телефонов – в частности.

Трудно представить себе современную успешную компанию, в которой не используются мобильные устройства. Телефоны, смартфоны, КПК, коммуникаторы, планшеты, ноутбуки, нетбуки. Если вы человек занятой, и день расписан поминутно, то наверняка у вас часто возникает необходимость работать с важными данными вне офиса. Многие читают почту и ведут переписку со своего мобильника, некоторые пошли еще дальше, установив SMS-банкинг и оплачивая счета напрямую с телефона. Но что если доступ к вашим данным получит «третья сторона»?

Что мы имеем…

…на сегодняшний день? Разнообразные классы мобильных устройств могут представлять разную степень опасности. Я имею ввиду не столько круг задач, которые можно выполнять на том или ином устройстве, сколько возможность это устройство защитить. Ноутбуки и нетбуки вполне можно причислить к обычным компьютерам. Для них разработано достаточно решений, обеспечивающих защиту от утечек. Если есть желание отслеживать движение важных данных в случае, когда сотрудник поехал в командировку с корпоративным ноутбуком, то для этих целей уже также разработаны решения. К примеру, недавно вышедший EndpointSniffer 3.5 от SearchInform.

А вот ситуация с планшетами, смартфонами и подобными устройствами несколько сложнее. Практики их использования в корпоративной среде фактически нет. Однако аналитики уверенно прогнозируют рост их доли в этом сегменте. На сегодня статистика не утешительна: специалисты из «G Data Software» утверждают, что лишь один из двадцати смартфонов\планшетов защищен от вирусов. В то же время руководитель Trusteer – известной компании-производителя средств клиент-банковской безопасности – прогнозирует возрастание доли зараженных мобильных устройств к 2013 г. до 5%. Самое время начать задумываться о безопасности.

Что мы можем?

Давайте сфокусируемся на мобильных телефонах. Мощности планшетов растут, равно как и их конкурентоспособность в сравнение со среднестатистическим офисным компьютером. Их операционные системы все больше приближаются к «стандартным» ОС, а это значит, что вскоре и к планшетам можно будет применить уже имеющиеся решения для обычных ПК.

Что касается мобильных телефонов, не все так плохо, как можно было подумать вначале. Популярные мобильные платформы – такие как iOS, Android и Symbian, – имеют неплохие встроенные механизмы самозащиты. Также на помощь могут прийти различные программы. Но проблема как раз в том, что далеко не каждый сотрудник компании может настроить VPN-туннель между корпоративной сетью и устройством. Во-первых, нужно знать о самом факте существования подобных средств, а во вторых – уметь их грамотно применять. С программами легче, их сегодня может установить практически любой. Однако, большинство таких программ-«охранников» могут лишь включать громкий звук при попытке злоумышленника «увести» ваш телефон. Некоторые позволяют выслать с украденного аппарата SMS с CellID и удаленно отформатировать память. На этом функционал, в общем-то, и заканчивается.

Но что делать, если телефон не украден, а владелец просто попался на кликджекинг, просматривая со своего смартфона страничку на Facebook? А если вместо кликджекинга был случайно пойман кейлоггер, отправляющий введенные вами пароли третьим лицам?

Интересно услышать ваше мнение по данным вопросам, а также по теме защиты компании от утечек ее конфиденциальных данных через мобильные устройства сотрудников. Ведь «информационная безопасность компании» и «авось» – взаимоисключающие понятия.