`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Не устраненная уязвимость – истерия для масс

Думаю вы уже успели узнать очередные «ужасные» новости о Chrome и Safari, которые, без сомнения, стали заметными ИБ-событиями прошедшей недели. Интерес к подобным новостям, в принципе, всегда понятен – все-таки Chrome – один из популярнейших браузеров, который делает не кто-нибудь, а «Корпорация Добра», которой приятно перемыть кости. Что непонятно, так это почему поднялась паника вокруг данного заурядного события.

Вообще-то про эту функцию подавляющего большинства браузеров (а не только «Хрома») известно любому мало-мальски опытному пользователю. Идем в настройки того же Firefox, нажимаем «Защита», потом «Сохраненные пароли» и смотрим их точно так же, как в случае с Chrome по ссылке выше. Вот мы и стали злостными хакерами, ура-ура!

Продолжаем «взломы». Запускаем менее известный на Западе, но очень популярный у нас браузер Opera. Штатным средством посика Windows ищем файл «wand.dat». В нем Opera хранит пароли – не поверите – в зашифрованном виде. Заходим в Google (для этого и нужно было запускать «Оперу»), ищем и находим по первой же ссылке утилитку Unwand, ноторой скармливаем найденный файл. И что бы вы думали? Опять-таки, видим все пароли.

В общем, суть, я думаю, ясна. Понятно и то, что ни один браузер «не заботится о нашей безопасности». Страх и ужас.

Также понятно, что хранить пароли в браузере тому, кому на них не наплевать – последнее дело, как и вагонные споры. Есть специальные программы для хранения паролей, а вообще, лучше пароли запоминать в голове, а не на компьютере. У меня, к примеру, нет в браузере ни одного сохраненного пароля, при том, что для всех сайтов они разные, и это не 111, 222, 333 и так далее.

Так что никакой новости для тех, кто «в теме», вся эта истерика по поводу Chrome и других браузеров не несет. Она рассчитана на массу безграмотных пользователей, которые и понятия не имели, что там дальше происходит после нажатия но кнопку «запомнить пароль». Так что, пользуясь случаем, хочу напомнить вам, чтобы вы напомнили ИМ про то, как НЕ следует хранить пароли :)

Не устраненная уязвимость – истерия для масс

Обсудим тенденции

Несмотря на летнее затишье, новостей в мире информационной безопасности на удивление много. Их мы сейчас и обсудим в формате дайджеста.

Самая, пожалуй, тревожная и трендообразующая новость пришла из Белоруссии: там собираются регулировать законодательно поведение пользователей в социальных сетях. Не секрет, что многие удивительные законы российский «взбесившийся принтер» заимствует именно из страны процветающего социализма, поэтому можем ожидать, что подобный закон может в обозримом будущем появиться и в России, а там и в Украине.

Знаете, самое удивительное, что лично я не сильно против подобного закона, только не от российских законодателей. Почему? Потому что социальные сети нуждаются в нем, так как они как никакое другое проявление интернета моделируют оффлайновое общество, но законами оффлайнового общества не регулируются. Я бы, например, запретил регистрацию в соцсетях до 13-14 лет, установил обязательную норму по двухфакторной авторизации… Впрочем, скорее всего, у нас это будет в духе последних законов про религии и усыновление, потому что «хотели как лучше, а получилось как всегда».

Еще одна радостная новость, которую хочется обсудить, посвящена банковским картам. Согласно данным исследования компании DataGenetics, проанализировавшей 3,4 млн четырехзначных пин-кодов, один из 10 столь распространен, что взломщики угадывают его с первой попытки. Как ни странно, новость действительно радостная, потому что 10% – это отличная цифра для такой ненадежной штуки, как PIN-код. Правда, в реальности у злоумышленника три попытки, то есть, вероятность успешного подбора пин-кода составляет уже около 20%, что не так и плохо. В общем, мы в лишний раз убедились, что пин-коды – зло, и будущее за оплатой смартфонами с NFC-чипами.

Ну, и на закуску такая новость: Twitter изменил метод двухфакторной аутентификации, исключив отправку SMS. При каждой попытке войти в учетную запись пользователям будет приходить уведомление с запросом подтверждения учетных данных.

В чем суть? Twitter будет генерировать ключ каждый раз заново, оставляя его на телефоне, при этом ключ – это не обычный цифро-буквенный код, а 2048-битный RSA-ключ. Что мы можем вынести из этого информационного сообщения? Что все популярные сервисы, которыми пользуются официальные лица и серьезные организации, должны воспользоваться чем-то подобным, чтобы исключить кражу учетных записей. Потому что цена подобного инцидента, как и любого другого инцидента ИБ, может быть слишком высока… И тенденция такова, что скоро с обычным телефоном не залогинишься в Твиттере, как и со смартфоном на непопулярной платформе. Так что все-таки в покупке айфонов есть смысл :)

Обсудим тенденции

Бизнес-аналитики забыли про ИБ

Ахилл бежал, а черепаха
Влекла его к земному краю.
Герой подумал не без страха:
«Я что-то тут не догоняю!»
Константин Ефетов

Этот забавный стишок в эпиграф вынесен не зря. Этот, с позволения сказать, мысленный эксперимент из эпохи Древней Греции напоминает мне развитие информационной безопасности. Все повторяется. В каждой сфере появляется что-то, что будет удобным и полезным, что повысит продуктивность тех, кто работает в ней. Это что-то становится популярным, и рано или поздно появляются те, кто хочет эксплуатировать эту популярность – с выгодой для себя, с ущербом для всех остальных.

За примерами, как говорится, далеко ходить не надо. Взять тот же интернет, который изначально задумывался для удобства ученых, и только с приходом популярности оказалось, что ему нужно больше безопасности. Мобильные телефоны, и особенно смартфоны – аналогично. Как мы буквально вчера говорили, теперь еще и GPS. Ну, а на очереди и системы бизнес-аналитики.

Использующиеся для бизнес-аналитики многомерные кубы данных подвержены атакам через язык запросов. Крупнейшие вендоры не задумываются о том, что с помощью атак этого класса злоумышленники могут получать доступ к файлам и удаленно исполнять код, считают эксперты по безопасности.

Подробнее

Настоятельно рекомендую, если вы еще не в курсе, ознакомиться с текстом по ссылке – судя по всему, это именно то, чем мы, ИБшники, будем заниматься уже буквально завтра.

Что мы видим? Вновь те же проблемы: сначала сделали, а потом задумались о безопасности. Возникает закономерный и наивный в своей простоте вопрос: почему бы не плясать от обратного, сначала хотя бы продумать варианты защиты, а затем разрабатывать?

На мой взгляд, ответ прост: дорого и невыгодно так поступать. Все системы проектируются без «запаса прочности», точно так же как в гражданской жизни вокзалы и аэропорты строятся без средств защиты от террористов. Все навешивается потом. Можно сказать, что тут еще и работает некомпетентность тех, кто разрабатывает это все, в сфере ИБ. А вы как думаете?

Бизнес-аналитики забыли про ИБ

Информационная безопасность: начало августа

Поскольку в последнее время произошло много всего такого, что хочется обсудить, я отойду от привычного формата комментирования одной новости и предложу вашему вниманию некий дайджест, естественно, не без собственных комментариев :)

Для начала поговорим о GPS-спуфинге. Думаю, вы уже о нем слышали и читали, но пройти мимо такой интересной темы выше моих сил. Суть: ученые «угнали» яхту, подменив сигнал GPS своим собственным. Сейчас все спорят, насколько эта модельная ситуация реализуема в виде реальной атаки. Достаточно неплохо аргументы обеих сторон изложены здесь.

Мое мнение таково: все эти атаки реализуемы достаточно сложно, именно в силу дублируемости GPS другими навигационными системами. Т.е. это работает только тогда, когда капитан судна (водного ли, воздушного ли), образно говоря, выключает голову и верит одному GPS'у. Т.е. атака все-таки не настолько универсальна, чтобы выключать в панике все GPS'ы, но вот с беспилотными аппаратами (в т.ч. с гугломобилями, которые скоро начнут колесить по Америке) она будет «прокатывать» на ура. Так что, видимо, для защиты GPS-сигнала и американцам придется использовать еще и ГЛОНАСС, который в силу его низкой популярности пока не интересен злоумышленникам.

Поехали дальше, опять-таки, на транспортную тематику.

Мексиканский владелец Ford Focus Рикардо Магалланес подал в суд на компанию Ford Motor Company за халатность, которая привела к утечке кода от центрального замка его автомобиля. Злоумышленники воспользовались машиной Рикардо для того, чтобы переправить через границу 50,8 кг марихуаны.

Отсюда

Ford предсказуемо «отмазался» от утечки, скинув ответственность на дилеров, но зато перед нами живая жертва такой утечки, потерявшая не только деньги, но и время, и здоровье за полгода пребывания в мексиканской тюрьме. Кто сказал, что утечки информации не опасны? Но суть не в этом. В современном мире уже даже не нужно самому оставлять где-то свои данные, чтобы стать жертвой утечки – за вас это может сделать кто и что угодно, включая ваш собственный автомобиль.

Кстати, такая новость заставляет переосмыслить недавний запрет на публикацию кодов для взлома элитных авто. Все-таки, что ни говори, иногда лучше держать язык за зубами, даже если тщеславие требует обратного.

Ну и, наконец, самое свежее.

Компания BlackBerry (ранее – RIM) выпустила бета-версию бесплатного приложения BlackBerry Messenger (BBM) для операционных систем Android и iOS, сообщает Pocket-lint. Приложение пока доступно для ограниченного круга пользователей – участников программы тестирования.

Подробнее.

Что тут сказать. Опоздали RIM, а жаль, BlackBerry была и остается самой защищенной из современных мобильных платформ. Хотя, конечно, и не самой удобной и уже далеко не самой престижной. Что, впрочем, только лишний раз доказывает, что современный человек думает только о престиже и развлечениях, забывая о безопасности. Поэтому наша работа, дамы и господа, еще очень долго будет оставаться очень и очень востребованной.

Засим позвольте откланяться, спасибо за внимание.

Информационная безопасность: начало августа

Безопасность 3D-принтеров

Пока мы боремся с компьютерными вирусами и утечками информации через сотрудников компаний и государственных организаций, в мире появляется новая проблема, которая добавит работы специалистам по информационной безопасности. Речь идет о 3D-принтерах — устройствах, которые имеют шанс изменить нашу с вами жизнь куда более радикальным образом, чем смартфоны и планшеты.

Не так давно на 3D-принтере распечатали настоящий ракетный двигатель, а это вам не прототипы из гипса печатать. То есть, 3D-печать уже сейчас готова к тому, чтобы заменить собой более старые, и, соответственно, более дорогие и ресурсоемкие технологии, причем в производстве не только, так сказать, товаров народного потребления, но и самых разных вещей. К примеру, оружия. И это уже нехорошо, это уже проблема.

Начнем с того, что 3D-принтеры, в отличие от самого оружия, продаются без каких-либо ограничений практически во всех странах, и купить их можно всем, включая и тех, кто состоит на учете у психиатра. Но и это полбеды. Дело в том, что оружие, распечатанное на 3D-принтере, не металлическое, а пластиковое (не считая бойка, но это уже мелочи). И при этом ничуть не менее боеспособное, чем обычное, из металла. Что вызывает полную неспособность традиционных систем безопасности, работающих на основе детектирования металлов, его как-либо обнаружить. Этим и пользуются досужие журналисты, распечатавшие себе пистолеты и проносящие их куда не надо (см. по последней ссылке, там много такого).

Что же с этим всем делать, спросите вы? Как пишут на Хабре, после появления «The Liberator» власти США потребовали автора убрать чертежи пистолета из общего доступа, а Сенат предложил пересмотреть Акт о необнаруживаемом огнестрельном оружии. Это всё, безусловно, здорово, но поможет ли это в реальном распространении распечатанного на принтере оружия?.. Ответ, думаю, всем понятен без лишних слов.

Поэтому нужно придумывать какой-то более эффективный способ. И он существует. Нужно, чтобы каждый 3D-принтер уже имел в себе защиту от печати того, что печатать не следует. Принтеры нужно принудительно «завязывать» на подключение к Интернету. Правительству нужно мониторить выход чертежей оружия и вести базу сэмплов, плюс добавить «эвристики». То есть, чтобы была возможность распознать чертёж, похожий на оружие. В итоге, каждый принтер должен быть оборудован таким софтом.

А вот дальше возможны варианты. При распечатке «запрещённого» контента принтер может вообще отказываться работать (как Photoshop когда-то отказывался работать, если обнаруживал отсканенные деньги — может, это и сейчас так, знатоки, просветите). Или может просто отсылать уведомление в соответствующие органы.

Конечно, будут ложные срабатывания, когда кто-нибудь захочет распечатать своему сынишке водяной пистолет, его могут даже приложить лицом об стол правоохранительные органы, где-то такого даже расстреляют для острастки, но это малая цена за общественное спокойствие. И это единственный способ обезопасить себя от маньяков с пластиковыми пистолетами в руках. Думаю, что в ближайшее время мы станем свидетелями его реализации.

Безопасность 3D-принтеров

Детский инфобез – 2

Не так давно мы с вами уже обсуждали проблему детей в сфере информационной безопасности, о которой обычно говорят редко и мало. Сегодня хотелось бы вернуться к обсуждению этой проблемы.

Поводом стал выпуск новой версии Android'а. Хотелось бы остановиться на такой ее возможности, как работа с несколькими учетными записями разной степени «ограниченности» на одном устройстве. Не этого ли мы хотели, чтобы защищать своего ребенка от своего же смартфона и наоборот?

«Родители теперь могут быть спокойны по поводу того, к какому контенту и каким приложениям имеют доступ их дети», – говорит Хьюго Барра, «директор по Android» в Google. Новые аккаунты не просто разграничивают доступ к разным частям операционной системы и приложениям, но и позволяют менять их функционал – например, теперь можно оставить приложение работающим, но отключить только встроенные покупки.

Можно только поприветствовать то, что производители наконец-то начали встраивать родительский контроль в смартфоны по умолчанию, хотя нельзя не признать, что индустрия «тормозила» долго и со вкусом: идея подобной функциональности буквально витала в воздухе еще едва ли не с самых первых «нокиевских» смартфонов под Symbian.

Странно, кстати, что первыми ее реализовали в Google, а не в Apple – все-таки, что ни говори, при Джобсе «яблочники» были новаторами хоть куда, чего не скажешь о них же при Куке. Но это уже лирика.

В общем, все владельцы Android-смартфонов с радостью ждут обновления, чтобы не бояться давать телефон любимому чаду. Впрочем, не забывая при этом, что в отношении вирусов и прочих гадостей Android по-прежнему далеко не так безопасен, как iOS.

Детский инфобез – 2

DLP-системы в финансовом секторе

Финансовые организации предъявляют к DLP-системам особые, достаточно высокие, требования, и поэтому далеко не каждая система защиты от утечек данных, подходящая, скажем, производственной компании, подойдет финансовой. На какие особенности DLP-системы стоит обратить внимание перед решением о её приобретении? Их список достаточно велик:

  1. Отсутствие угрозы для непрерывности бизнес-процессов организации;
  2. Поддержка максимально большого числа каналов передачи данных, по которым может произойти утечка (электронная почта, ICQ, Skype, внешние носители информации, отправляемые на печать документы и т.д.);
  3. Возможность внедрить систему без необходимости обеспечения доступа сторонних специалистов к защищаемой конфиденциальной информации и без остановки деятельности организации во время внедрения системы;
  4. Развитые возможности по анализу перехваченных DLP-системой данных и широкие возможности поиска конфиденциальной информации в них;
  5. Возможность выявления не только точных копий конфиденциальных документов, но и их изменённых вариантов;
  6. Масштабируемость системы (т.е. возможность легко подключить к корпоративной системе защиты конфиденциальной информации новые компьютеры).

Можно сказать, что все качественные DLP-системы сегодня удовлетворяют указанным требованиям, в большей или меньшей степени. Но нужно помнить, что при выборе DLP-системы ИБ-отдел финансовой компании ориентируется на многие другие показатели, которые могут уже достаточно сильно отличаться (например, у большинства зарубежных DLP  есть вопросы с поддержкой русского языка).

DLP-системы в финансовом секторе

Редко упоминаемые аспекты обеспечения информационной безопасности

Несмотря на всю важность защиты от утечек информации, обеспечение информационной безопасности организации на ней не заканчивается. Для того чтобы компания или государственное учреждение могли себя чувствовать защищенными в информационном аспекте, необходимо наблюдать за кулуарной борьбой внутри организации, осуществлять мониторинг информации о компании, появляющейся на интернет-ресурсах; следить за соблюдением сотрудниками должностных инструкций, касающихся работы с информацией.

Пренебрежение этими вопросами, как показывает опыт некоторых организаций, с которыми мы работали, может закончиться весьма печально и для компании, и для самого сотрудника. В одной фирме начался постепенный, но неуклонный уход сотрудников, который, на первый взгляд, не был обоснован вообще ничем: не было ни ухудшения финансовых условий, ни увеличения нагрузки, ни переезда офиса в неудобное для кого-либо место... После того, как сразу двое ценных сотрудников, работавших там уже не один год, подали заявление об увольнении по собственному желанию, руководство решило срочно пресечь «бегство» своих подчиненных и выяснить, в чем же дело. В ходе приватной беседы с руководителем кадрового отдела выяснилось, что поводом для увольнения стала полученная ими из неизвестного источника информация о грядущих кадровых переменах в руководстве компании. Только благодаря приобретенной этой организацией DLP-системе удалось выявить сотрудника, рассылавшего с помощью Skype сообщения о кадровых перестановках. Как выяснилось позже, этот сотрудник надеялся таким способом сместить одного из руководителей и занять его место. Сложно сказать, удалось бы ему это, или нет, но нанести своей компании серьезный ущерб, связанный с уходом ведущих кадров, он вполне смог бы — но руководство фирмы мудро и своевременно озаботилось вопросами информационной безопасности.

Другой пример, который хочется привести, связан как раз с поведением сотрудников одной из организаций во Всемирной паутине. В одну из компаний позвонил клиент, который выразил удивление тем фактом, что на одном из наиболее популярных форумов данной тематики оставлен анонимный отзыв. Он был написан якобы от лица одного из сотрудников указанной компании, и выставлял её руководство в крайне неприглядном виде, что совершенно не соответствовало реальному положению вещей в организации. Простейший поиск с помощью «Яндекса» позволил обнаружить еще несколько форумов и блогов, на которых также периодически размещались подобные комментарии. Мониторинг корпоративного интернет-трафика очень быстро выявил сотрудника отдела продаж, который таким образом мстил руководству компании за незаслуженное, по его мнению, лишение премии. Сотрудник, конечно же, был уволен, но скольких клиентов недосчиталась компания из-за пренебрежения вопросами информационной безопасности и недостаточного контроля за деятельностью своих сотрудников, сложно даже представить.

Мониторинг исполнения сотрудниками должностных инструкций также, как ни странно, лежит в сфере информационной безопасности. Так, например, нередко сотрудники, работающие сразу в двух местах, нарушают правила внутреннего распорядка одного работодателя в интересах второго. Так, к примеру, сотрудница одного из банков, одновременно подрабатывающая в логистической компании, способствовала получению кредита последней, хотя данная компания не имела достаточно средств для обеспечения такого крупного кредита. А случаи злоупотребления своим служебным положением в интересах родственников и знакомых и вовсе не поддаются никакому счету. Кроме того, нельзя забывать и о неумышленных утечках, когда сотрудники, для того, чтобы поработать с теми или иными документами дома, пересылают их на почтовые ящики на бесплатных сервисах, подвергая, таким образом, своего работодателя риску утечки информации. Именно поэтому и есть необходимость в мониторинге активности сотрудников на рабочих местах.

Стоит обратить внимание на то, что современные DLP-системы позволяют в полной мере контролировать работу сотрудников, перехватывая любую отправляемую последними информацию и предоставляя специалистам по безопасности удобные инструменты для её анализа. Таким образом, современные DLP-системы можно считать не просто средствами предотвращения утечек данных, а универсальными средствами контроля сотрудников и обеспечения информационной безопасности организации.

Редко упоминаемые аспекты обеспечения информационной безопасности

Детский инфобез

Не подумайте чего плохого, но тема вырисовывается действительно интересная, и, что самое главное, чертовски актуальная, если ещё не для нас, то для тех стран, которых мы изо всех сил стараемся догнать. Речь идет о том, что дети пользуются устройствами своих родителей, и это, сами понимаете, самым что ни на есть непосредственным образом влияет на защищенность оных устройств.

Согласно результатам опроса, проведенного японским НИИ общих вопросов образования Benesse, 22,1% детей двухлетнего возраста ежедневно имеют дело со смартфонами. Ненамного уступают двухлетним дети на год старше: 21,6% трехлетних детей каждый день пользуются смартфонами своих родителей. В опросе принимали участие родители детей от нуля до шести лет. Выяснилось, что 4% малышей в возрасте до полугода ежедневно приобщаются к высоким технологиям с помощью смартфонов.

РИА Новости

Конечно, спасение утопающих — дело рук, как известно, самих утопающих, и в инфобезе всё обстоит в точном соответствии с этой поговоркой. Мы просвещаем пользователей относительно того, как им минимизировать свои угрозы, но как нам быть в том случае, если пользователю всего-то два года?..

Тут есть, конечно, проверенный временем рецепт под названием «ремнем по попе». То есть, забрать смартфон, и при попытке получить к нему доступ — щедро раздавать упомянутое выше верное и безотказное средство. Но сейчас, говорят, так детей не воспитывают, да и надолго ли это поможет, если ребенок может взять устройство, дождавшись, к примеру, пока родитель уснет, и тогда заказать ничего не подозревающему папе на eBay машину?..

Родительский контроль? Так тоже не от всего он защищает. Пароль на доступ к телефону? А если сами забудете?.. В общем, пока что проблема, что называется, непахана, и можно, наверное, построить на ней достаточно неплохой бизнес, ежели задаться такой целью.

Кстати, может быть, у вас есть мысли по поводу того, как правильно следует подобную проблему решать?

Детский инфобез

Хорошая тактика для каждого безопасника

Чтение новостей о сильных мира сего в очередной раз натолкнуло на мысли о том, что нам всем тоже есть чему у них поучиться. На сей раз речь идет о выплатах наград за обнаружение уязвимостей в тех или иных популярных приложениях. «Ну а при чем тут мы?», спросите вы. На самом деле, на мой взгляд, подобная практика подходит не только крупным производителям разнообразного софта, но и любой компании, которая хочет усовершенствовать собственную систему обеспечения информационной безопасности.

Ведь как обычно бывает? Кто-то находит в корпоративной системе безопасности какое-то узкое место, служба безопасности, боясь получить за это по голове от руководства организации, всеми правдами и неправдами замалчивает информацию об этом, пытаясь нередко прямо-таки «утопить» того, кто «имел наглость» найти, так сказать, уязвимость. Ну а сама уязвимость что? Прекрасно себе живет и существует. Иногда, правда, бывает несколько по-другому. Кто-то, найдя уязвимость, скажем, в корпоративном сайте, оставляет ненавязчиво на нём свой «автограф», после чего и подрядчику, выполнявшему сайт, и, зачастую, службе ИБ становится очень даже не весело.

Так вот, правильная цель любой организации в подобных ситуациях — это избавляться от всех возможных уязвимостей. Поэтому нужно, во-первых, отказаться от «пропесочивания» службы ИБ при их обнаружении (речь вовсе не только об уязвимостях корпоративного сайта — имеется в виду уязвимость в самом широком смысле этого слова). А для того,чтобы заинтересовать тех, кто способен находить уязвимости, нужно объявить награду за их обнаружение. Не обязательно, конечно, такую баснословную, как Microsoft за уязвимости Internet Explorer, но и не совсем копеечную. Ну и, конечно, нужно позаботиться о том, чтобы информация об уязвимостях использовалась по назначению.

Хорошая тактика для каждого безопасника

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT