Что ни говори, а мобильные устройства – это тренд. Даже в области информационной безопасности, куда все новые веяния приходят сравнительно не быстро. Но вот очередная новость говорит нам о том, что в обозримом будущем мобильные устройства наверняка будут играть ещё бОльшую роль в жизни компаний, поскольку они смогут активно включаться в корпоративный электронный документооборот.

«Аладдин Р.Д.» официально показал аппаратные ридеры смарткарт для работы с электронной подписью для устройств на iOS (и других платформах), которые могут использоваться в системах электронного документооборота, дистанционного банковского обслуживания и других приложениях, требующих надежного подтверждения личности.
Подробнее

Собственно, сбываются прогнозы всевозможных аналитиков, которые предрекали очевидные, в общем-то, вещи, такие, например, как рост числа конфиденциальной информации, проходящей через планшеты, смартфоны и прочие подобные устройства. В общем и целом, понятно, что вслед за этим и DLP-системам придется «подтягиваться», то есть, обеспечивать охват мобильных устройств.

Всё это усугубляется тем, что, похоже, в будущем граница между тем же планшетом и ноутбуком, похоже, окончательно сотрется, что мы видим на примере тех же самых планшетов-трансформеров, занявших почетное место в разных обзорах устройств на любом компьютерном сайте. Очевидно, что офисный планктон, который должен контролироваться DLP-системой, будет в первых рядах тех, кто приобретет себе эти пресловутые трансформеры.

Так что будем готовиться к тому, что вендоры один за другим начнут «выкатывать» DLP-системы с поддержкой iOS, Android и прочих подобных платформ, которых сейчас, похоже, становится всё больше. Запасаемся попкорном и наблюдаем за развитием событий, дамы и господа!

Вектор развития DLP-систем

Кто должен защищать сведения, являющиеся коммерческой тайной организации? Очевидно, что данная обязанность ложится на плечи той организации, которая является правообладателем закрытой информации. Для обеспечения защиты компании или государственного учреждения разрабатывается специальный документ – Положение о коммерческой тайне, который регулирует права и обязанности сотрудников организации по защите коммерческой тайны.

Это одна из мер, которые организация предпринимает для защиты своих конфиденциальных данных. Но она не должна быть единственной, потому что законодательство предусматривает целый перечень мер для защиты коммерческой тайны. В этот перечень входят следующие мероприятия:

• составление списка документов, подпадающих под определение «коммерческая тайна»;
• выработка перечня и осуществление учета всех, кто имеет доступ к составляющей коммерческую тайну информации, а также тех, кому эта информация была временно предоставлена или передана;
• ограничение доступа к составляющим коммерческую тайну документам, включающее в себя установление порядка обращения с этой информацией и контроль за соблюдением установленного порядка;
• включение порядка использования конфиденциальной информации и ответственности за его нарушение в трудовые и гражданско-правовые договоры с работниками и контрагентами;
• установление признаков конфиденциальности документов и носителей с ними (нанесение грифа «Коммерческая тайна» на документы, а также оптические и другие носители информации, с обязательным указанием реквизитов правообладателя).

Как видите, защита документов, составляющих коммерческую тайну компании, сопряжена с выработкой ряда достаточно сложных нормативных актов. К этой работе имеет смысл привлечь юристов, которые уже имеют опыт в данной области, поскольку данные документы будут в дальнейшем являться залогом не только успешного проведения в жизнь прописанных в них политик информационной безопасности, но и возмещения компании ущерба сотрудниками, допустившими утечку информации или иное повлекшее за собой убытки незаконное обращение с конфиденциальными документами.

Пара слов о коммерческой тайне

Существует теория, что производители DLP-систем плетутся в хвосте компьютерной эволюции. Теория, во многом оправданная. Ведь сначала изобретают очередной канал утечки, и лишь затем придумываются перехватчики трафика с него. Или не придумываются, а повторяется мантра вроде «Skype не нужен твоей фирме, молодой инфозащитник!». При этом забывая уточнить, что скайп — как та вода, всегда найдёт, как к соседям просочиться.

В принципе, по той же причине бегут позади и антивирусы. Ибо сначала делают очередной патч для ОС, с новыми, улучшенными дырами, затем в эти дыры лезет всякая зараза, и лишь затем для этой заразы делают обновление к «антивирю».

Но главным признаком технического отставания систем, контролирующих не программную среду, а пользователя, является отсутствие фальшивок. Хотите фальшивый антивирус — пожалуйста! Хотите фальшивое сетевое оборудование — и это есть на рынке!

Входим на рынок контроля человека... и всё. Кто-то расставляет в офисах видеокамеры. Кто-то пишет ПО для учёта и контроля рабочего времени. Кто-то для контроля утечек. Кто-то — даже для построения графов отношений внутри организаций. Ни одной фальшивки. Всё вышеупомянутое — работает, а потому и себестоимость имеет соответствующую, и в поддержке, и обслуживании нуждается. Фактически — единственным игроком на рынке контроля человека являются корпоративные астрологи.

Полагаю, пора начинать с ними конкурировать. Да, всякие приложения для расчёта эфемерид уже есть. Но для их обслуживания всё ещё требуется... хм... адепт. Это не есть хорошее решение в век глобальной автоматизации. Представьте себе — нанять корпоративного волшебника, выдать ему даты и места рождения всех сотрудников с точностью до минуты (некоторые знают только день и город), а потом этот шарлатан вместо тёплого лампового пергамента всё равно использует компьютер? Нет. Это пора прекращать.

Как это должно выглядеть? Просто и незамысловато. В серверную часть забиваем данные сотрудников. Ммм... Чтоб не выяснять минуты... система у нас будет нумерологическая, по именам. Агенты, расставленные на машины пользователей будут «анализировать» их действия для определения мотивированности и лояльности по отношению к организации. На практике, разумеется, они не будут делать ничего. Данных в сервере будет достаточно. А как же это будет работать? Да легко. При создании учётной записи будет генерироваться случайный уровень лояльности. От сорока до шестидесяти процентов. Каждый месяц эта величина будет случайным образом изменяться. Плюс-минус десять-пятнадцать процентов. Ну, можно ещё поиграться с положительной и отрицательной обратной связью, для интереса. А руководитель, глянув на имеющиеся тренды — сможет поощрить лучших и наказать или выгнать худших. Доказательства? Да. Что характерно — такая система безопасности, в отличие от настоящих DLP — никоим образом не может нарушить законодательства. Переписку здесь никто и никогда не читает. И не хранит.

Разработки на систему мизерные, а цену можно поставить даже чуть выше, чем на настоящий продукт. Целевую аудиторию это убедит в том, что продукт серьёзен.

P.S. Сей документ считать бизнес-планом.

Кармическая инфобезопасность

Не так давно порталы по информационной безопасности облетела новость: СБУ задержала команду кардеров, которые занимались изготовлением и продажей устройств для скимминга. Считывая данные с магнитной ленты карты и фиксируя вводимый пин-код, скиммеры позволяли злоумышленникам проводить практически любые махинации с пластиковыми картами.

«Ну и что особенного в этой новости?», — скажут многие и будут правы. В последнее время новостей об этом виде преступлений в Украине и России становится все больше. Кардинг постепенно набирает обороты, и очевидно, что типичная аутентификация с помощью пин-кода сегодня никого не остановит. Есть ли альтернатива? Само собой. О наиболее интересных и надежных способах не стать жертвой кардеров мы сегодня и поговорим.

Биометрическая аутентификация

Новинка из Японии. Система, разработанная Ogaki Kyoritsu Bank, позволяет пользоваться карточным счетом лишь после сканирования отпечатков пальцев. Получить доступ к счету можно приложив ладонь к сенсорной панели, наличие при себе кредитки совсем не обязательно. Система начнет работать в сентябре.

Кроме того, по-прежнему остаются популярны классические системы биометрической аутентификации: проверил отпечаток – получил возможность пользоваться карточкой.

Плюсы такого подхода очевидны: чтобы получить доступ к счету, нужно быть конкретным человеком, и никак иначе. Однако отсюда же следует и недостаток

Сложности также могут возникнуть при оборудовании терминалов для биометрической аутентификации. Опыт производства и внедрения подобных устройств для широкой аудитории практически отсутствует, и затраты переоборудование банкоматов тоже необходимо учитывать. А люди у нас не привыкли даже к пользованию электронной валюты, и уж тем более непривычной будет работа с отпечатками пальцев.

Кроме того, еще в 2008 г. было получено устройство Biologger, который позволяет скопировать необходимые для доступа отпечатки пальцев. Повсеместное распространение биометрической аутентификации приведет всего лишь к перепрофилированию кардеров, так что использование этого метода защиты – временное решение.

К тому же, никто не отменял классических сценарий ужастиков и боевиков, когда при необходимости биометрического доступа преступники просто отрезали необходимые части тела.

Двухэтапная аутентификация

Весьма популярный способ подтверждения прав доступа. Сейчас используется практически везде: от электронной почты до онлайновых платежных систем типа Webmoney или Яндекс.Денег. Думаю, все сталкивались с такой реализацией – на телефон приходит SMS код, после ввода которого можно получить доступ к необходимому сервису.

Способ прост в реализации и не требует установки каких-либо дополнительных устройств – достаточно лишь немного дописать программную начинку банкомата, а мобильные телефоны сейчас есть у каждого.

Однако с распространением смартфонов начали появляться и программы-перехватчики SMS, которые в сочетании с классической схемой скимминга дают злоумышленникам полные права доступа. Правда, на один раз – по прилетевшей SMS жертва мошенников будет знать о несанкционированном доступе к счету.

Но как ни странно, эта проблема имеет очень простое решение – использование устаревших моделей телефонов без полнофункциональных ОС. Троянца на такой аппарат не закинуть, а для перехвата SMS придется использовать мощные устройства, которые применяются в спецслужбах. И чаще всего затраты на такой перехват сообщений не окупят возможную прибыль мошенников.

NFC-чипы и эмуляция карт

Технология беспроводной передачи данных NFC известна еще с 2003 г., однако активно применяться начала совсем недавно. Особенно такая возможность передавать небольшое количество информации на очень малое расстояние пришлась по нраву банкам - мобильные устройства, которые поддерживают использование NFC-чипов, стали использовать для эмуляции пластиковых карт.

Выглядит система очень привлекательно: пользоваться карточкой не обязательно, достаточно просто поднести к считывающему устройству смартфон и таким нехитрым способом воспользоваться банкоматом, оплатить покупку и т.д. Технология сочетает в себе и стандартную аутентификацию через пароль, и двухэтапную – через наличие доступа к телефону.

Но тогда возникает резонный вопрос: какой смысл в использовании NFC-чипа, если фактически он работает по принципу обычной авторизации через SMS, только код вводить не надо? Удобно, не спорю, но с точки зрения безопасности разницы нет – при наличии доступа к телефону злоумышленник может точно также воспользоваться картой.

Этот минус мог бы быть компенсирован отсутствием обнаруженных уязвимостей, но это не так. Телефон на Android с NFC-чипом уже взломан. В первом случае с помощью фальшивого считывающего устройства были перехвачены данные, которые передавались от эмулятора карты к банкомату, а во втором – получен доступ к самому телефону.

А это снова возвращает нас к классической схеме кардинга – внедрить в банкомат скиммер, который украдет все данные, необходимые для доступа к карте. Меняется лишь технология, но принцип остается тот же. И повсеместное использование новой методики взлома – лишь дело времени.

А как ни странно, но при наличии такого обилия новых технологий наиболее простой, надежной и доступной для каждого остается двухэтапная аутентификация с помощью SMS.

О сколько нам аутентификаций чудных…

Всё-таки, что ни говори, а одними только компьютерами информационная безопасность ограничиваться не должна. То есть, конечно, в компании должны работать DLP-система, файрвол, антивирус, система разграничения прав доступа и прочие полезные вещи. Но кое-какие задачи с их помощью решить просто невозможно. И тогда в ход идут технологии «физического» мира.

Систему учёта рабочего времени, которая не привносит в жизнь офиса никаких неудобств и даже не создает новых корпоративных ритуалов, можно создать с помощью технологии радиочастотной идентификации. Компания NephSystem Technologies, производитель промышленных RFID-систем, представила такое решение. Оно состоит из активных меток и считывателя NSAR-800.

Подробнее

Идея применения RFID в целях учета времени, скажем прямо, не нова. Полученная система получится явно более удобной, чем используемая во многих офисах «карточная» система, когда сотрдники открывают дверь офиса с помощью специальной карточки, а затем по времени открытия-закрытия двери определяется и время, проведенное сотрудников в офисе. RFID-метку можно встроить в значок или пропуск, и тогда можно будет избежать ситуаций, когда кто-то якобы «забыл дома» предмет с RFID.

Но RFID-метки можно удобно использовать и для отслеживания перемещения сотрудников внутри офиса. И если сотрудник, например, отдела продаж вдруг зачем-то идет в серверную, и проводит там явно больше времени, чем нужно для того, чтобы понять, что попал не туда, куда шел, то это повод для разговора с таким сотрудником представителя отдела безопасности.

Сейчас, когда трендом является не только кража виртуальная, но и кража носителей информации с данными, система RFID-меток может стать просто неоценимым подспорьем в нелегком труде отдела информационной безопасности. Поэтому я очень надеюсь, что в один прекрасный день эти решения станут такими же распространенными, как «карточки»-пропуска.

Интересное решение

Как известно, благими намерениями… Особенно часто эта прописная истина почему-то касается сферы информационной безопасности. Наверное, потому что в этой сфере достаточно легко сделать что-то таким образом, чтобы потом, несмотря на кажущуюся правильность шагов, долго удивляться «непредвиденному» результату. Впрочем, давайте лучше обо всём по порядку.

Правительство Индии выступило с предложением поставлять со всем аппаратным обеспечением, продаваемым на территории страны, специальные брошюры, призванные повысить осведомленность покупателей в сфере киберугроз. Однако производители указывают на риск нанесения ущерба логистическим цепочкам и предупреждают о возможных материальных убытках.
Согласно заявлению индийского министра IT-индустрии Капила Сибала (Kapil Sibal), каждый настольный компьютер, мобильный телефон, модем или USB накопитель, привезенный в страну с целью продажи, должен быть предварительно переупакован вместе с вкладышами об угрозах информационной безопасности «Cybersecurity Awareness Brochure».

Источник

Как говорил известный отечественный политический деятель, хотели как лучше, а получилось как всегда. Можно сказать, что индийское правительство идет к верной цели неверным путем (хотя, конечно, молодцы, что обратили внимание на проблему, у нас высшие чиновники, похоже, даже и понятия не имеют о том, что она вообще существует).

Во-первых, сама идея того, что нужна инструкция по безопасности. Скажите, вы хоть один мануал к телефону, планшету, да даже просто миксеру читали? А если таких мануалов в коробке не один, а несколько – то есть, как здесь предлагается, один посвящен самому устройству, второй, видимо, гарантии, как обычно, а третий – безопасности? Думаю, что все они будут благополучно проигнорированы счастливым покупателем. Тем более, индусы – не дисциплинированные немцы, они даже когда программировать учатся, книг не читают, отсюда и знаменитый «индийский код».

Во-вторых, перепаковка. Индия – страна не особо богатая, и отдавать лишние деньги за то, что соотечественники сделают свою упаковку к собранному соседями-китайцами девайсу вряд ли там будет кому-то приятно. Что мешает те же инструкции, если так хочется, давать «вприкуску» в красивом конверте?

В общем, как будто не индусы эту идею выдвинули, а наши отечественные законодатели. И цель благая, и вроде бы всё делается для просвещения – а так, прошу прощения, криво и косо… В общем, дорабатывать идею наверняка придется, иначе вместо пользы Индия получит от неё только очередные проблемы.

Когда система проектируется и реализуется без оглядки на вопросы информационной безопасности, то в процессе эксплуатации рано или поздно появляется ситуация, когда нужно срочно делать патчи и латать дырки. И хотя огромное количество отрицательных примеров отлично показывает, что не стоит экономить на привлечении безопасников к проектированию систем, тем не менее, всё новые компании наступают на те же грабли. Не стала исключением и Mail.ru Group.

Давным давно, когда один пользователь аськи пересылал другому какой-то файл, их клиенты соединялись друг с другом напрямую через Интернет и осуществляли передачу. Сейчас при пересылке файла сам файл закачивается на сервера, принадлежащие Mail.ru, а получателю отправляется только ссылка на такой файл. Ссылка выглядит как «http://files.icq.net/files/get?fileId=XXXXXX», где XXXXXX – это набор букв и цифр, указывающих на файл. Скачать конкретный файл можно, только в точности зная эту последовательность. Безопасно? Нет. Файлы по аське пересылают миллионы людей, и даже указывая произвольные комбинации, можно легко получить доступ к файлам случайных пользователей.

(Источник, грузится долго - много чужих фотографий)

Про пересылку фотографий документов через Сеть по любому незащищенному каналу можно говорить долго и со вкусом, но всё-таки даже в таких случаях те службы, где пользователь может сам контролировать судьбу своих данных (например, FTP'шник на своём персональном сайте) выглядят явно более предпочтительно, чем такие, как «аська» или файлообменники. Но речь сейчас, в общем-то, совсем не о том, что пользователи любят пересылать документы через ICQ, а о том, компания Mail.ru лажанулась. Точнее ЛАЖАНУЛАСЬ.

Какие уроки можно извлечь из этого? Пересылать файлы нужно ТОЛЬКО по защищенным каналам (VPN – самое то), а если вдруг, не дай Бог, что-то важное необходимо передать по той же аське или, хуже того, по электронной почте, причем в адресе отправителя или получателя есть mail.ru, hotmail.com, gmail.com и прочие yandex.ru, то пересылать всё нужно только в запароленном архиве, причем пароль должен иметь длину не меньше десятка знаков, и не 1234567890, а что-то посерьезнее. Хотя и парольная защита – та еще гадость, но это уже совсем другой разговор.

В общем, как обычно, не стоит доверять ни владельцам сервиса, которым вы пользуетесь, ни тому, кому вы что-то пересылаете. Нужно три раза подумать, прежде чем что-то пересылать, потому что предосторожности лишними никогда не бывают.

Без оглядки на безопасность

Есть немного пищи для размышлений – в виде статистики по количеству утечек в России в различных отраслях. Статистика за 2011 г., итоги за прошлый еще не подводили.

Статистика, я бы сказал, несколько неожиданная. Потому что логика подсказывает, что на первом месте должны стоять банки, не так ли? Но на нём по какой-то не совсем очевидной причине стоит промышленность. Аналогичным образом, непонятно, почему утечек в дистрибуции больше, чем в ИТ-компаниях. Ведь всегда говорилось о том, что утечки – бич бизнеса, связанного с обработкой информации, то есть, ИТ и банки под это определение подходят явно лучше, чем промышленные компании и энергетика.

Попробую предложить своё объяснение, а вы, если захотите, можете не согласиться.

Основная причина – в том, что утечки происходят во всех компаниях одинаково часто, то есть, распределение количества инцидентов по отраслям более-менее равномерное. Просто в России намного больше промышленных предприятий и дистрибьюторских компаний, чем банков и ИТ-компаний. Соответственно, и абсолютная величина утечек в промышленности больше при равных относительных величинах.

Из этого со всей неизбежностью следует, что нет отраслей, в которых нет оснований опасаться утечек информации. То есть, вот так вот просто – нет. Если вы занимаетесь строительством, вы можете пострадать точно так же, как и тот, кто разрабатывает игры под «айфоны». Впрочем, из-за того, что этот факт мало кто воспринимает, существует и вторая причина подобного распределения утечек. Она заключается в том, что банки и ИТ-компании лучше подготовлены к борьбе с ними, в то время как те же промышленность и энергетика обращают на эту угрозу значительно меньше внимания. То есть, при равной вероятности утечек, шансов на их предотвращения в банке или ИТ-компании больше, чем на заводе или электростанции.

Ну, и еще, напоследок, немного статистики по каналам утечек. Она выглядит так:

• электронная почта – 29%
• http (куда включены и соцсети) – 23%
• внешние носители информации – 18%
• протоколы мгновенного сообщения, такие как ICQ – 13%
• документы, отправляемые сотрудниками на печать – 10%
• Skype – 6%

Ну, здесь, думаю, ничего особенно неожиданного вы не увидели.

Немного пищи для размышлений

Социальная инженерия, социальные сети... Ассоциативный ряд, думаю, вполне себе понятен. Непонятно только, при чем тут могут быть кошки. Но дело в том, что социальные сети сегодня настолько популярны, что предприимчивые сетевые дельцы создают их даже специально для мохнатых зверей. Общаться, понятное дело, будут не сами коты и кошки, а их владельцы. Но, думаю, как и в "человечьих" социальных сетях, будут вполне себе обычные возможности для фишинга, социальной инженерии, спама и прочих прелестей современной сетевой жизни, о которых четвероногие питомцы даже не догадываются.

Вслед за людьми просторы интернета начали активно осваивать и домашние любимцы – недавно было объявлено о рождении Catmoji, первой полноценной социальной сети для кошек. Как утверждают разработчики из Малайзии, запустившие данный ресурс, прежде всего они хотели создать сайт, который понравится обладателям котов и кошек. На таком сайте эти люди смогут выкладывать фотографии своих домашних любимцев, и при этом не бояться негативных комментариев от других пользователей, которые не любят кошек.

Вроде бы, ничего особенного - ну, подумаешь, ещё одна социальная сеть, мало их уже сделано, что ли? Но всё дело в том, что социальная сеть нацелена на обмен фотографиями. Кошек обычно фотографируют их хозяева в домашней обстановке. Значит, фотографии могут быть весьма ценным источником информации о том, что происходит у котовладельца дома. Но это мелочь по сравнению с тем фактом, что такая социальная сеть будет очень удобна для использования приемов социальной инженерии.

Ведь если вы регистрируетесь в тех же "Одноклассниках", то, не являясь настоящим одноклассником кому-либо, втереться в доверие - занятие довольно трудоемкое. Нужно собирать по крупицам информацию, выдавать себя за другого... А здесь достаточно сказать, что любишь кошек, чтобы стать лучшим другом тому, кто их действительно любит. Соответственно, порог вхождения в доверие для "кошачьей" социальной сети заметно ниже, чем для соцсетей обычных, что потенциально грозит активным размножением любителей попользоваться социальной инженерией.

Не знаю, конечно, как долго просуществует этот проект, но что-то мне подсказывает, что если он закроется в скором времени, ничего особенно хорошего мы не потеряем. А вот с точки зрения безопасности обретем кое-что точно.

Социальная инженерия и кошки

Я все ждал, когда же после публикаций нового пользовательского соглашения Instagram (того самого, по которому Facebook имеет все мыслимые и немыслимые права на ваши фотографии) американцы займутся своим любимым спортом – начнут засыпать Цукерберга и компанию судебными исками. Ну что же, наконец-то дождался.

Житель Калифорнии подал в федеральный суд в Сан-Франциско иск на сервис Instagram с жалобой об одностороннем изменении правил его использования, сообщает Reuters. Жалоба была подана вслед за публикацией нового лицензионного соглашения, которое будет действовать с января 2013 г. Юридическая фирма Finkelstein & Krinsk, выступившая от лица истца, утверждает, что при удалении учетной записи в Instagram пользователь теряет права на фотографии, размещенные в нем до этого.

Впрочем, не думаю, что шансов на победу у этого жителя Калифорнии много – наверняка юристы Facebook перед тем, как выкатить на-гора такое чудо-соглашение, прорабатывали варианты защиты от активно недовольных пользователей сервиса Instagram. Но я, тем не менее, пожелаю ему удачи. Потому что новые правила использования Instagram – это, безусловно, нечто, что ни в какие ворота не лезет.

Хотя, надо сказать, что многие российские компании, стремясь оградить себя от, как говорилось в одном хорошем фильме, «всяких инцестов», изобретают не менее интересные документы. Обычные соглашения о неразглашении рядом с ними – детский лепет. Например, мне доводилось держать в руках документ, в котором запрещалось «жениться и выходить замуж за сотрудников и сотрудниц компаний-конкурентов». Так что Facebook – вовсе даже не родоначальник всяких забавных документов, граничащих с маразмом, а иногда и переходящих эту тонкую и незаметную грань.

Тем же, кто активно пользуется Facebook'ом и Instagram'ом, стоит задуматься о том, сколько всего вы туда уже запостили, и стоит ли продолжать подобным образом развлекаться. Задуматься, конечно, стоило и раньше, потому что все здравомыслящие люди понимают, что социальная сеть – не совсем та организация, которая будет сильно заботиться о сохранении приватности данных пользователей. Если что-то однажды успело попасть в Интернет, то заставить его исчезнуть, мягко говоря, не очень просто. И с этим необходимо считаться каждому пользователю любой социальной сети.

В общем, запасаемся попкорном и наблюдаем за судебным процессом. Думаю, что мы о нем в новостях услышим, увидим и прочитаем еще не один раз.

Публика возмущается