В своём блоге Артём Агеев опуликовал пять относительно честных способов злоупотребления ФЗ-152 "О персональных данных" со стороны государственных чиновников. По своей сути этот закон призван защищать граждан от покушения коммерческих компаний на тайну частной жизни граждан. Поэтому в нём предусмотрены нормы проведения проверок со стороны государства за соблюдением требований этого закона. Однако чиновники начали применять этот закон для решения собственных проблем. И хотя новые редакции ФЗ-152 лучше защищают бизнес от произвола чиновников, тем не менее злоупотребления по-прежнему остаются.

В частности, Артём Агеев привёл пример слишком большого числа проверок по Краснодарскому краю. В планах проверок Роскомнадзора значится всего 18 организаций, которых ведомство должно было поверить за год, однако за три месяца его деятельности уже было выписано 178 штрафов. Дело в том, что в ФЗ-152 есть норма, которая позволяет выписывать штраф просто в том случае, когда организация не ответила на письменный запрос ведомства или не опубликовала на сайте политику обработки персональных данных. В результате, у чиновников появилась возможность получить деньги не проводя реально ни каких проверок. Кроме того, проблемой является получение разрешений со стороны компаний. В частности, приведён случай, когда от больницы потребовали уничтожить ранее собранные разрешения только по тому, что законодательно их получать не нужно. Регуляторы также могут на основании ФЗ-152 отозвать лицензию у компании или даже совсем признать её деятельность незаконной. Вывод Артём Агеев делает такой: "Крупным организациям стоит иметь ввиду, что законодательство в области персональных данных с легкостью может быть использовано для рейдерства."

Впрочем, Михаил Емельянников считает, что в такой ситуации виноваты не только чиновники, но и сами организации, которые часто являются некомпетентным по части собственной юридической защиты. "Проблема подобных проверок в компетентности и проверяющих, и проверяемых", - считает он. Так что компаниям либо придётся платить деньги государству, либо специалистам, которые защитят их от него. Впрочем, Алексей Волков в своём блоге ещё в апреле 2012 года рассказал случай из собственной практики, где оператору удалось самостоятельно решить проблему с проверкой Роскомнадзора. После успешного отпора проблем у оператора с персональными данными уже не было.

Отдельный пример атаки с помощью ФЗ-152 на социальные сети. Артём Агеев привёл пример, когда учитель опубликовал в "Одноклассниках" фото своего класса и был оштрафован за то, что не собрал у своих учеников разрешения на публикацию фото. Вряд ли такое действие государства можно назвать защитой прав на частную жизнь - после такого, по идее, каждый зарегистрированный в социальной сети будет думать нужно ли ему что-то публиковать в ней. Поэтому такие действия чиновников можно расценивать скорее как давление на социальные сети. Собственно, сейчас уже понятно, что закон о персональных данных будет использован государством для давления на социальные сети - для этого, в частности, был по мнению Михаила Емельянникова был принят федеральный закон №97, называемый "О блогерах", который в том числе вносит измерения в ФЗ-152 с требованием хранить персональные данные россиян на территории России. Правда, вступит он в силу только 1 сентября 2016 года.

Впрочем, Сергей Борисов привёл обратный пример, в котором ФЗ-152 был использован гражданами для давления на правоохранительные органы. В частности, была организована массовая акция по обращению в суд на ГИБДД с целью признать незаконными результаты видеофиксации нарушений. Кроме того, на письмах с требованиями штрафа за зафиксированные нарушения по решению Верховного суда должна стоять цифровая подпись инспектора. Таким образом, закон всё-таки может быть использован в том числе и для борьбы граждан против чиновников.

Облачные провайдеры традиционно предлагают два типа сервиса - бесплатный и платный. Часто в платный входят некоторые дополнительные услуги, которые индивидуальным пользователям не особенно нужны. Однако в некоторых случаях плата взымаетя просто за расширение уже используемых ресурсов. Например, облачные сервисы синхронизации традиционно предлагают определённый объём бесплатно, а за дополнительные гигабайты уже придётся доплатить. Они рассчитывают, что пользователи установят их программное обеспечение и в дальнейшем перейдут на платную основу. К сожалению, в России пользователи ушлые, и могут годами пользоваться только бесплатным набором услуг. Поэтому и операторам облачных сервисов приходится использовать различные приёмы для того, чтобы стимулировать бесплатных пользователей к покупке дополнительных сервисов.

В качестве примера можно рассмотреть "Яндекс.Диск", который предлагает размещать бесплатно до 10 Гбайт, а дальше предлагает заплатить небольшую абонентскую плату. В принципе, я использую сервис для организации доступа к своим фотографиям, что удобно - сервис предлагает установить собственную программу для синхронизации данных, которая в фоновом режиме синхронизирует данные с сайтом. Работать с ней удобно - загрузил нужные файлы в специальную директорию и послал ссылку всем заинтересованным. Программа сама перенесёт данные на сервер, с которого все остальные смогут их скачать. Аналогичные приложения есть и для мобильных платформ, хотя в них функционал несколько ограничен.

Однако с некоторого момента я обнаружил, что бесплатное место очень быстро закончилось. Я начал анализировать и обнаружил забавную вещь. Программа "Яндекс.Диска" настроила мой браузер так, чтобы сохраняемые файлы помещались в специальную директорию на "Яндекс.Диске". А поскольку я иногда скачиваю презентации PowerPoint или PDF, а также программы, то этот раздел у меня не пустует. При этом один раз я перенастроил браузер на сохранение данных на локальном диске, но через какое-то время обнаружил, что настройки опять поменялись. Было сильное желание удалить "Яндекс.Диск", но я содержался. Вполне возможно, что в недрах настроек "Яндекс.Диск" и есть что-то про возможность перенастраивать браузеры, но всем же лень искать, а я не исключение.

Второй особенностью "Яндекс.Диск" оказалось то, что он перехватывает обработчик USB, и, при обнаружении на съёмном носителе фотографий, предлагает скопировать их сразу в облако. При этом по умолчанию включена галочка "Всегда скачивать для данного устройства". Если я соглашусь, то в следующий раз он меня спрашивать уже не будет. Я посмотрел в соответствующую директорию и обнаружил, что как минимум один раз согласился на эту операцию. При этом я каждый раз устанавливаю галочку на пункте "Никогда не спрашивать для данного устройства" и каждый раз вопрос повторяется, хотя я в фотоаппарате использую только одну карточку.

А недавно я обнаружил новый приём. При нажатии на кнопку Print Screen полученный скриншот по умолчанию передаётся в специальную программу, которая также является частью проекта "Яндекс.Диск". Она позволяет обрабатывать скриншоты, но сохраняет она их, как вы прекрасно понимаете, в том же обычном хранилище. Размер скриншотов также не очень большой, но он опять же не является нулевым.

В результате, бесплатное пространство обычного сервиса очень быстро заканчивается. Конечно, разработчиков облачных сервисов можно понять - они заботятся о пользователях. Чтобы им было удобно иметь все скачанные из Интернет картинки, все сделанные фотографии и видео, все скриншоты доступными для всех устройств пользователя. При этом совсем не обязательно лишний раз задавать вопросы пользователю - зачем приручать его нажимать кнопку "ОК"?

Однако для самих пользователей такое поведение в общем-то нужно программы может оказаться опасным. Дело в том, что облачные сервисы, как правило, привязаны к почте (в случае "Яндекс.Диска" он является частью "Яндекс.Почты"), которая защищена простым паролем - его легко можно подобрать или перехватить. За примерами проблем с облачными сервисами далеко ходить не нужно. В результате, в руках у злоумышленников может оказаться не только почтовая переписка, но и интимные фото и видео, сканы важных документов или другая ценная для пользователя информация, которая по идее не должны попасть в чужие руки. Действия же разработчиков подобных бесплатных сервисов увеличивают ценность хранимой в облаке информации, что стимулирует хакеров придумывать всё новые и новые способы взлома этих сервисов и нанесения вреда пользователям. В результате, опасность этих "бесплатных" сервисов будет со временем только увеличиваться.

Истерия вокруг Windows XP очень похожа на «Ошибку 2000», когда все боялись наступления этого самого двухтысячного года. Сколько бюджетов было на это заложено, сколько нового оборудования продано, а сколько заработано на исследованиях и консультациях… В общем, «не было никогда и вот опять», — как говаривал Черномырдин. Теперь все с подачи Microsoft хоронят Windows XP — тоже нужны новые операционки, новое оборудование, а главное консультации по переходу на более современное. На самом деле переход на новую версию ОС — это, часто, переход на новое железо и именно на эти деньги рассчитывают Microsoft, Intel и другие высокотехнологические потребители денег.

А мне вот кажется, что у этой операционной системы началась новая жизнь. С неё давно уже ушли те, кому нужно постоянно ставить обновления, чтобы быть в тренде, пользователи игр и интернетов, любители понаставить всякого софта и забыть о нём. Остались только те, кто использует эту операционку для работы, для кого более современные поделки в общем-то ни чего не добавляют, кроме ресурсов, необходимых на всякие красоты. Конечно Microsoft заинтересован в переводе всех на новые версии, и, естественно, для наиболее упёртых была придумана и раскручена легенда про небезопасность Windows XP и массовые атаки после окончания поддержки этой ОС. Аналитики говорят, что защищенность Windows XP вдруг резко — за один день — уменьшится в пять раз. Но зачем менять то, что работает. Особенностью таких «рабочих» конфигураций операционки является стабильное окружение, отсутствие потребности в новых программах и ограничение в ресурсах. Это позволяет сделать практически идеальную среду для защиты.

Раз уж ни каких исправлений и новых программ в систему устанавливать не нужно, то достаточно просто зафиксировать стартовую последовательность операционной системы, чтобы в неё не смог встроиться ни один вредонос. Для этого можно защитить BIOS от модификации паролем, исполнимые файлы операционной системы сделать доступными только для чтения, а любую попытку установки новой программы или изменения конфигурации в реестре считать за вредоносную активность. Правда, нужно предварительно настроить «Мои документы», временные директории и место для хранения системных журналов на другой диск, который, естественно, открыть в том числе и на запись, если это нужно. В результате, можно получить почти идеальную защиту.

Конечно, дыры в такой системе останутся, поэтому переполнение буферов и другие атаки будут вполне актуальны, но вредоносны не смогут закрепиться в системе. Поэтому чем чаще такая система будет перезагружаться, тем лучше. Тем не менее защитным механизмам в неизменяемой среде будет работать лучше и эффективнее — достаточно контролировать её неизменность и пресекать необычное поведение приложений, что считать признаком нападения. Можно специально для такой задачи адаптировать какой-нибудь Open Source продукт, типа ClamAV, а можно воспользоваться и коммерческими разработками — продукты для реализации подобных принципов вполне есть у Symantec и Safe'n'Sec, так что совсем не обязательно отказываться от работающих продуктов по причине их якобы небезопасности. Можно просто поменять парадигму защиты Windows XP, не надеясь на предавшую своё детище Microsoft.

Всё возрастающий курс криптовалюты BTC может привести к настоящим войнам в сети Bitcoin, которые развернуться между криминальными группировками. Сейчас мощность транзакционной базы данных Bitcoin настолько возросла, что участвовать в создании новых блоков становится не выгодно. Связано это с защитным механизмом самой системы — так называемой сложностью транзакции, которая устанавливается раз в две недели. Механизм управления сложностью создания новых блоков заложен в Bitcoin для того, чтобы ограничить скорость создания новых блоков и сделать её примерно постоянной — 1 блок в 10 минут. Именно поэтому не эффективно неограничено увеличивать мощность сети Bitcoin — встроенный механизм усложняет вычисление новых блоков и большая часть вычислительных ресурсов работает вхолостую.

Судя по последним новостям криминал очень заинтересовался криптовалютой и старается всеми силами увеличить свои счёта. Пока для этого используется в основном два метода — воровство кошельков пользователей и создание зомби-сетей для майнинга новых блоков и получения за это причитающейся комиссии. В результате мощность сети Bitcoin так выросла, что простому смертному с одним компьютером можно самостоятельно вычислить валидный блок только при очень большом везении. Поэтому, создаётся ощущение, что экстенсивный путь развития вычислительной сети Bitcoin закончился. Просто докупить или даже захватить холявных ресурсов уже не достаточно — нужны новые идеи заработка на криптовалюте. И вот тут-то и может оказаться востребованной идея bitcon-войн.

Дело в том, что скорость получения криптовалюты зависит не от используемой участником вычислительной мощности, но от доли собственных вычислительных ресурсов в сети Bitcoin. При этом долю можно повышать как за счёт наращивания собственных ресурсов, так и с помощью уменьшения остальных. Текущая ситуация такова, что увеличить собственную долю участия в сети Bitcoin с помощью добавления своей вычислительной мощности уже стало экономически не выгодно. Поэтому востребованным может оказаться второй путь — тёмный путь разрушения чужих майнеров.

Суть его в том, чтобы вместе с наращиванием собственной вычислительной мощности атаковать любые чужие майнеры. Для этого можно устраивать DDoS-атаки на узлы сети, вмешиваться в протокол таким образом, чтобы вполне валидные блоки не признавались таковыми, модифицировать посторонние майнеры так, чтобы они генерировали невалидные блоки или множество других приёмов. Цель их одна — разрушить целостность транзакционной базы данных Bitcoin. Вполне возможно, что подобные выходки начнутся уже в следующем году.

Есть и совсем неприятный приём, который также может быть использован для увеличения собственной доли в сети Bitcoin. Связан он с той самой сложностью, о которой было сказано выше. Проблема в том, что этот показатель слишком высок, поэтому на создание нового валидного блока приходится тратить слишком много ресурсов. Однако, имея под рукой достаточно большую зомби-сеть, можно манипулировать и этим показателем сложности. Если в какой-то момент количество новых блоков, найденных за две недели будет очень маленьким, то защитный механизм сети Bitcoin вынужден будет снизить сложность. Достигнуть этого можно с помощью DDoS-атаки на майнеров сети. Например, если кто-то из владельцев зомби-сетей переключит её на две недели с майнинга на атаку чужих майнеров, то, возможно, валидных блоков за это время будет выработано меньше. Сложность уменьшится, и следующие две недели зомби-сеть будет заниматься уже майнингом и вычислять блоки с большей скоростью. По истечении двух недель сеть опять переключается в режим атаки, и так далее. Такой приём можно назвать раскачкой цены для увеличения собственной доли майнинга в среднем.

Как на это отреагирует сеть Bitcoin, а тем более курс BTC — это, пожалуй, самый интересный вопрос.

Исследователь безопасности Драгос Руйи (Dragos Ruiu) обнаружил вредоносный код, который позволяет установить соединение даже через воздушный зазор. Он использовал компьютеры, которые были загружены с установочного диска, не имеют беспроводных адаптеров и Bluetooth, ни когда не подключались к Интернет и с которых всё-равно может утекать информация если с ним в комнате находится другой компьютер подключенный к Интернет. Было установлено, что утечка происходит с помощью установки ультразвукового соединения с помощью современных звуковых карт. Во всяком случае при удалении звуковой карты с компьютера утечка прекращается.

Предполагается, что функциональность, которая позволяет установить подобное несанкционированное соединение, является частью BIOS или Unified Extensible Firmware Interface (UEFI), или какого-нибудь другого встроенного программного обеспечения. Причём проблема впервые была замечена на компьютерах фирмы Apple, а потом - и для операционной системы Open BSD. Сейчас исследователь зафиксировал сигнал с помощью микрофона и пытается проанализировать как именно удается с его помощью передавать информацию. В частности, обнаружилось, что сигналы передавались на нескольких частотах: на частоте 35 КГц передаются импульсы 128 раз в секунду, а на частотах с 18 по 24 КГц обнаруживается QAM-кодировка со скоростью передачи 400 Кбит/с. Окончательно код и метод установления соединения не установлен.

Конечно, новость из серии глобального заговора производителей против частной жизни пользователя. Даже есть исследователь затеял мистификацию, навеянную Хелловином, тем не менее важность самой идеи передавать информацию через воздушный зазор неоспорима. Это означает, что даже с отдельно стоящего компьютера с помощью специально интегрированного троянца в программном обеспечении, например, работы с TPM, можно скачать информацию. Это потребует определенного изменения в подходах к защите важной информации и разработки методов выявления скрытых каналов взаимодействия.

Облака - это услуги информационной безопасности. Потому, что как минимум без надёжной аутентификации пользователь просто не получит доступ к своим данным. Про это рассуждает Михаил Ашарин, технический специалист Rainbow Security.

1. Какие методы идентификации пользователей требуются для перехода на облачные технологии?

При переходе на облачные технологии не требуется кардинальной модификации методов аутентификации, уже применяемых в большинстве современных корпоративных информационных систем. Для доступа в облачные сервисы, как правило, потребуется выбрать наиболее удобные с точки зрения использования и надежные с точки зрения защищенности методы аутентификации. Это, прежде всего, двухфакторная аутентификация по одноразовым паролям и строгая двухфакторная аутентификация по цифровым сертификатам.

Одноразовый пароль – это динамический пароль, который генерируется каждый раз для события аутентификации, не подходит для повторного использования. Такие пароли могут генерироваться и доставляться пользователям различными способами, но, с учетом того, что основное отличие облачной инфраструктуры от корпоративной по существу заключается в большей масштабируемости и более широкой географической распределённости, на первый план выходит использование для получения одноразовых паролей мобильных гаджетов. Вторым вариантом получения одноразового пароля, который, конечно, может применяться и совместно с вышеупомянутым в качестве резервного, является использование программного токена, устанавливаемого на смартфон пользователя. Это можно сделать, например, из AppStore или Google Play. В этом случае для генерации корректного одноразового пароля пользователь вместо статического пароля вводит на смартфоне известный только ему PIN-код.

Для выделенного обслуживания в облачных сервисах также может использоваться упомянутая выше строгая двухфакторная аутентификация по сертификатам. Хотя этот метод доступа к «облаку», как правило, требует от пользователей наличия дополнительного аппаратного аутентификатора (и, соответственно, его обслуживания), но зато предоставляет более защищенный канал доступа. В качестве аппаратного устройства для безопасного хранения пользовательского цифрового сертификата, чаше всего используется портативный USB-токен. В этом случае проверка клиентского сертификата для успешной идентификации пользователя на предоставленном облачном сервисе возлагается на специальный сервер аутентификации. Более того, облачный сервис-провайдер должен взаимодействовать с инфраструктурой открытых ключей (PKI).

2. Какие продукты нужны операторам облака для организации надежной аутентификации пользователей?

В контексте вышеизложенного становится ясно, что для внедрения продвинутых методов идентификации при построении облачных технологии необходима интеграция облачного сервис-провайдера со специальными решениями, выполняющими роль сервера аутентификации. С учетом современных высокотехнологических требований к безопасности и обслуживанию облачной инфраструктуры, такой сервер аутентификации должен поддерживать разнообразные устройства и методы аутентификации, в том числе и многоуровневые, встроенный механизм интеграции с внешним SMS-шлюзом для доставки одноразового пароля по независимому GSM-каналу, расширяемые политики доступа и ролевой принцип управления. С другой стороны, решение должно предоставлять необходимые сервисы обслуживания для операторов (техническую поддержку) и самообслуживания (например, настраиваемые веб-порталы для удобного самостоятельного обслуживания пользователями своих аутентификаторов – активация, замена, разблокировка, отзыв, ресинхронизация, временный доступ и так далее). Оптимальным продуктом, поддерживающим весь вышеизложенный функционал и вместе с тем содержащий все возможные дополнения для организации надежной и удобной аутентификации в облачной среде, является сервер аутентификации ActivID 4TRESS Authentication Server от компании HID.

3. Насколько усложняют работу с облаком процедуры надежной аутентификации пользователей?

Если оценивать влияние на простоту процесса аутентификации в облачной среде по соотношению надежности и удобства применения, то методы доступа к облачным сервисам по одноразовым паролям, полученным через личные мобильные устройства, или по цифровым сертификатам с использованием выдаваемых портативных USB-токенов (например, для VIP-клиентов или пользователей с повышенными правами), практически не усложняют и не замедляют работу в облаке конечных пользователей. Кроме того, замечено, что упомянутые методы не только не создают трудностей, но и в отличие от простой аутентификации по статическим паролям вызывают у пользователей ясное понимание и чувство уверенности в надежной защите собственной конфиденциальной информации при работе в облаке.

4. Насколько легко можно интегрировать процедуры надежной аутентификации в современные продукты для построения облачных решений?

Трудоемкость интегрирования вышеописанных процедур аутентификации в уже функционирующие современные продукты для построения облачных решений сильно зависит от разнообразия и глубины предлагаемых такими решениями средств интеграции с технологической инфраструктурой. Например, один из самых универсальных серверов аутентификации ActivID 4TRESS Authentication Server от HID предоставляет для гибкой и оперативной интеграции с облачной средой такие средства как интуитивно понятный пользовательский веб-интерфейс администратора, а также средства разработчиков (SDK) и поддержку стандартных кроссплатформенных технологий взаимной интеграции, таких как SOAP, SAML и других.

Социальная инженерия - это способ получения важной информации не техническими методами. Зачем взламывать или подбирать пароль, когда его можно просто спросить или поменять? Всегда есть человек, который знает пароль - достаточно его найти и обмануть. Да, изначально социальная инженерия была придумана для выведывания паролей. Мастером и популяризатором этой техники обмана был Кевин Митник, который взламывал с её помощью телекоммуникационные сервисы в США, и неоднократно сидел в тюрьме. Какое-то время ему даже было запрещено пользоваться компьютером и телефоном. Про технологии обмана информационных систем с помощью обмана их администраторов Митник даже написал книгу с красноречивым названием "Искусство обмана".

Конечно, со времён изобретения социальной инженерии технологии сильно изменились. Тем не менее социальная инженерия по-прежнему актуальна. Сейчас с её помощью уже не пароли выведывают, но стимулируют пользователей устанавливать троянские программы или заставляют владельцев мобильных телефонов отправлять SMS на платные номера. Отказалось, что социальная инженерия автоматизируется и хорошо дополняется спамом и тестами на внимательность. Но самое главное - для неё так и не придумали универсального средства защиты, которое давало бы хоть какую-то возможность предотвратить ущерб. Социальная инженерия пользуется человеческими проблемами и недостаточными знаниями - "уязвимостями в головах", поэтому единственным способом защиты от неё является обучение пользователей информационных систем, которое позволит ему вовремя определить, что его обманывают.

Митник, после того как отсидел 4 года в тюрьме, остепенился и стал заниматься информационной безопасностью. Для обучения пользователей распознавать и противостоять социальной инженерии он и написал свою книгу. Кроме того, Митник основал компанию Defensive Thinking Inc., которая занимается выработкой средств защиты от обмана и мошенничества. В частности, именно для этого сам Митник ездит по всему миру и рассказывает специалистам информационной безопасности, что нужно делать, чтобы предотвратить обман и мошенничество. В частности, с докладом на эту тему он будет выступать 10 сентября на конференции CROC Cyber Conference, организованной компанией "Крок" и Symantec, в рамках которой будут обсуждаться в том числе и темы, связанные с социальной инженерией.

Собственно, для того, чтобы защититься от социальной инженерии достаточно обучить ключевых сотрудников, операторов контакт-центра и системных администраторов, методам распознавания обмана, создать строгие процедуры работы с конфиденциальной и идентификационной информацией, а также использовать программное обеспечение для защиты от троянских программ. Возможно, это далеко не всё, что нужно - есть повод обсудить это с самим Митником.

Регуляторы. Законодательство.

Во время отпуска Государственной Думы было выдвинуто несколько законодательных инициатив, которые так или иначе связаны с информационной безопасностью. Наиболее интересной является законопроект, который предполагает депутат Госдумы от фракции ЛДПР Михаил Дегтярев. В этом законопроекте предлагается ввести верификацию учетных записей в социальных сетях. При этом для верифицированных записей предлагается законодательно ограничить цитирование опубликованных текстов без согласия их владельца.

Ещё одной законодательной инициативой отметился вице-спикер нижней палаты Сергей Железняк, который предложил хранить все данные о российских гражданах только на серверах, расположенных на территории России. Это была своеобразная реакция российских законодателей на скандал с прослушкой Интернет-компаний со стороны АНБ. Сведения об объёмах слежки рассекретил Эдвард Сноуден.

Новости безопасности

Разработчики браузера Firefox предложили протокол для взаимодействия между браузером и антивирусной защитой. Протокол предполагает универсальный способ интеграции антивирусной проверки в браузер, которая могла бы упростить работу как разработчикам средств защиты, так и создателям браузеров.

Компания Infotecs подвела результаты своего конкурса проектов в области информационной безопасности под названием "Инфотекс Академия 2012". В этом году компания определила 7 победителей, между которыми распределила 3 млн. руб. Из победителей четыре проекта были связаны с криптографией, два - с защитой от несанкционированного доступа и по одному - на тему защиты мобильных устройств и сетевой безопасности.

Инциденты и утечки

Обнаружена потенциальная утечка данных учётных записей Twitter, которая, возможно, произошла из-за ошибки в реализации протокола федеративной аутентификации пользователей. Впрочем, сама компания отрицает наличие утечки и даже её возможность.

В системе межведомственного электронного взаимодействия (СМЭВ) зафиксирован сбой, который привёл к временной недоступности портала госуслуг, а также возможности ведомствам обмениваться информацией в электронной форме.

Обнаружена утечка записей видеонаблюдения из общественного транспорта в Интернет. В частности, на порносайты попали те фрагменты записей, на которых запечатлены сексуальные сцены. Хотя занятие сексом в общественных местах порицаемо в обществе, но утечка подобных данных прямо противоречит конституции и законодательству РФ.

Аналитика и тренды

Самое яркое высказывание аналитиков за август - это заявление аналитика Gartner Джона Джирара, который рекомендует клиентам не сильно доверять заявлениям вендоров по информационной безопасности. Их поведение он сравнивает с финансовыми пирамидами.

Компания McAfee опубликовала отчёт, в котором проанализировала вредоносную активность в Интернет. По данным McAfee можно сделать вывод, что разработчики вредоносных программ переключили своё внимание с Windows на платформу Android. Новых вредоносов для настольных компьютеров разрабатывается не очень много, в то время как активность разработчиков вредоносов для Android очень велика.

Вокруг света

В Wall Street Journal опубликованы подробности о системе контроля за Интернет, которые обнародовал Эдвард Сноуден. В статье приводятся подробности построения инфраструктуры АНБ, построенную для контроля за информацией, передающейся по каналам Интернет. Утверждается, что американские спецслужбы могли контролировать до 75% всего трафика, проходящего по территории США.

Статья про возможности британских систем видеонаблюдения. Сейчас подобные системы являются достаточно распространёнными, а данные, которые они собирают, могут содержать много интересных сведений. Автор статьи попытался показать как именно наличие такой привычной системы видеонаблюдения может изменить представление о безопасности.

Статьи и выступления экспертов

В своём блоге Алексей Комаров провёл исследование причин неудачи международных производителей UTM-устройств на российском рынке. Он отметил, что комплексные защитные решения, которые по данным Gartner достаточно популярны в мире, в России не получили должного распространения. Связано это по мнению Комарова с ментальностью российских потребителей.

В своём блоге Андрей Прозоров привёл возможный алгоритм подсчёта стоимости утечки персональных данных - это необходимый элемент процесса организации их защиты. Предложенный им подход является первой попыткой вывести универсальную формулу, поэтому в дальнейшем подход вполне может быть модифицирован. Собственно, предлагаемый способ очень похож на вычисления риска использования персональных данных различных групп сотрудников для реализации различных типов угроз.

Посты в блогах

В электронных документах сохраняется много всякой информации, разглашение которой совсем необязательно. Конечно, далеко не все пользователи могут читать между строк, тем не менее полезно лишние данные из документа убирать перед его публикацией. Именно этому и посвящён пост Артёма Агеева в его блоге.

Сергей Гордейчик в своём блоге продолжает тему поиска уязвимостей, сравнивая два подхода к этой проблеме - статический и динамический. Спор о том, какой из них лучше ведётся уже давно, и мнение не последнего в отрасли человека является интересным для понимания проблемы.

Что посетить?

Системный интегратор "Крок" совместно с компанией Symantec впервые проводит 10 сентября CROC Cyber Conference, на которой ожидается в том числе и выступление Кевина Митника. Мероприятие предназначено для топ-менеджеров компаний клиентов и для экспертов в области информационной безопасности.

Серия региональных конференций под общим названием "Код информационной безопасности", которые пройдут в Екатеринбурге, Перми, Челябинске, Казани и Нижнем Новгороде. Основная цель - познакомить слушателей с новинками в области информационной безопасности.

Что почитать?

Сеть Hyperboria основана на протоколе IPv6 и представляет собой децентрализованную одноранговую сеть, которая предназначена для объединения большого количества мобильных устройств. Проект уже имеет реализацию для UNIX-подобных платформ, и его результатами уже можно пользоваться для создания собственной сети мобильных устройств.

Эллиптические кривые сейчас основной вектор развития криптографии. Уже есть стандарты и их описания, есть программное обеспечение, которое позволяет реализовать заложенные в алгоритмах принципы. Однако лучше всего методы шифрования изучаются на практике. В частности, на Хабре недавно появилась статья, в которой обсуждается реализация алгоритмов шифрования на эллиптических кривых на языке программирования Си++.

Пора уже составить список мероприятий по информационной безопасности. Будет он таким:

Сентябрь

17 – 19 сентября, Санкт-Петербург - XI международная конференция «PKI-Forum Россия 2013»

19 сентября, Москва - Технологии безопасности 2013: обеспечение защиты в меняющихся реалиях

19 сентября, Челябинск - Конференция "Код информационной безопасности (г. Челябинск)"

19 сентября, Екатеринбург - IDC IT Security and Datacenter Transformation Roadshow 2013 Ekaterinburg

20 сентября, Москва - DLP-Russia 2013

25 - 27 сентября, Москва - InfoSecurity Russia 2013

Октябрь

8 - 10 октября, Москва - Infobez-Expo 2013

10 октября, Казань - Конференция "Код информационной безопасности (г. Казань)"

10 октября, Москва - Secure World 2013

22 - 23 октября, Москва - Information Security Russia 2013

24 октября, Пермь - Конференция "Код Информационной безопасности (г. Пермь)"

Ноябрь

7 - 8 ноября, Москва - ZeroNights 2013

14 ноября, Нижний Новгород - Конференция "Код информационной безопасности (г. Нижний Новгород)"

28 ноября, Москва - IV Всероссийская конференция «Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud Russia - 2013»

Когда компании основывают свои исследования по безопасности по результатам анализа информации, почерпнутой из СМИ, я всегда очень горжусь, ибо сам являюсь журналистом. Мне приятно, что моя работа не проходит даром - кто-то её использует и даже анализирует. Хотя я, естественно, понимаю, что полноценным источником информации в том числе и об утечках служить не могу - далеко не все утечки я могу зафиксировать, а главное расследовать причины их возникновения. Собственно, это подтверждает и исследование, которое недавно опубликовала компания Zecurion, в котором указано, что только 0,1% утечек информации фиксируется в СМИ.

Тем не менее его авторы основывают свои выводы на таком сомнительном с точки зрения качества источнике информации. По моим представлениям число утечек, сведения о которых опубликованы в СМИ, зависит не от реального числа утечек, а от интереса СМИ к проблеме сохранности информации. Поэтому стабилизация числа зафиксированных таким образом утечек, которую зафиксировали аналитики Zecurion, говорит лишь о том, что интерес журналистов к этой проблеме стабилизировался, а не о улучшении ситуации с защитой от утечек.

Впрочем, этот показатель сильно зависит и от страны, ибо в некоторых странах есть законодательное требование по обнародованию сведений об утечках чувствительной для пользователях информации, что приводит к увеличению доли зафиксированных утечек в этих странах. Кроме того, нарушается статистика утечек по типам - сведения нужно публиковать только при утечке персональных данных, но не, например, технологических секретов. В результате, рейтинг показывает скорее уровень законодательства в отдельных странах, но не реальную ситуацию с типами утечек.

Компания Zecurion также опубликовала оценку ущерба от утечек, которая составила чуть больше 20 млрд. долл. Правда, эта цифра потерь компаний от утечек на юридические выплаты, поправку своего имиджа, закупку новых средств и другие расходы, но это не деньги, которые заработали представители чёрного рынка на перепродаже этих секретов. Скорее всего, цифры доходов продавцов секретов значительно скромнее, а указанные миллиарды пошли на развитие рынков ИБ, страховых услуг и даже в PR, что меня не может не радовать.

В то же время опасны далеко не все утечки, о которых пишут в пресса. В самом исследовании приводится пример утечки, когда документы с данными сотрудников спецподразделений были просто выброшены на свалку. Ценность этого действия для чёрного рынка нулевая, ибо ну не пойдут охотники за секретами изучать несанкционированные свалки - они работают по другому. То есть утечка, безусловно, была, но опасность её стремится к нулю - ибо данные вряд ли попали бы в руки злоумышленников. Да и вообще, мне представляется, что большинство случайных утечек персональных данных, типа забытой в такси флешки или неочищенной памяти в телефоне - неопасны для их владельцев, поскольку вероятность попадания этих сведений к злоумышленникам минимальна.

Впрочем, в исследовании есть определенная ценность, которая связана с тем, что часть информации компания публикует по собственному опыту - это прежде всего примеры утечек, которые опубликованы в конце отчёта. Впрочем, и популярные методы утечек (20,5% через веб-сервисы), и организации, откуда данные утекают (20,1% утечек из образовательных заведений) названы, скорее всего, правильно, что может подсказать рынку как направление дальнейшего развития, так и новые методы продаж. Так что прочитать исследование всё-таки стоит, делая поправку на "родимые пятна" предлагаемого метода.

Третий раз уже компания Positive Technologies проводит свой день Хакера - Positive Hack Days (PHD), пытаясь собрать в одноми месте представителей технической и бумажной безопасности. В этом году организаторы PHD перешли на следующий уровень - мероприятие заметили государственные чиновники и политики. На нём были и Руслан Гаттаров из Совета Федерации и Владимир Жириновский. Обычно за этим следует внедрение в оргкомитет мероприятия государственных чиновников под предлогом приведения государственных же денег для поддержки мероприятия. В результате, заканчивается все тем, что реальных организаторов выносят, и заменяют на людей, умеющих хорошо проводить государственные мероприятия. Такими являются "Рускрипто" и Рифокиб, таким ещё недавно был "Связь-Экспокомм", будем надеяться, что таким не станет PHD.

Мероприятие постепенно обретает и собственную тему, которая изначально была не очень заметна - ориентация на кибервойны. Фактически это первое и пока единственное мероприятие по теме проведения военных операций в киберпространстве, где публично обсуждается как стратегия ведения подобных военных действий с привлечением заинтересованных в этом хакеров, так и тактика - целенаправленные атаки против SCADA-систем противника. Тема обсуждения проблем ведения кибервойн назрела давно, поскольку первые операции в киберпространстве уже проводятся. Страны, которые способны проводить подобные операции, уже провели первые пробные операции, и сейчас, похоже, анализируют результаты. Естественно, что и российские власти также заинтересованы в подобном анализе событий и обсуждении проблем кибервойн с рынком (который обладает неплохим арсеналом как средств защиты, так и методик нападения). Фактически, именно эта тема становится центральной на PHD.

Если же рассматривать тему кибервойн, то в ней всплывает очень много юридических коллизий на уровне международного права. Одну из них я описал в статье "Переходи на светлую сторону" для Computerworld Россия, однако проблем там много. В частности, как судить хакеров, участников кибервойск, которые в свое стране совершают подвиги, а в чужой - разрушают инфраструктуру, что может привести в том числе и к человеческим жертвам. Как к ним относиться как к солдатам, выполняющим чужой приказ или как к карателям времен войны, преступления которых срока давности не имеют? Юридические вопросы, которые возникают при появлении такой концепции как кибервойны, достаточно сложны и требуют подробного обсуждения, в том числе и не международных конференциях. Раньше такие мероприятия были исключительно иностранными, и вот появился PHD...

Центробанк планирует выпустить навую версию 382-П, в которой планируется фиксировать информацию не только об инцидентах, но и об окружении, в котором такая транзакция осуществляется. Технические специалисты тут же заговорили о том, что это бессмыслено, что все идентификаторы устройств можно поменять и мошенника так всё-равно не найдёшь. Однако ЦБ, возможно, мыслит несколько другими категориями, и цель его состоит не в поимке преступника, а в том, чтобы не дать мошеннику совершить подозрительную транзакцию.

Сременные техногиии оценки риска банковских операций опираются на репутацию людей, которые обрщаются в банки за получением финансовых услуг. Однако хрнить базу данных по репутации того или иного человека входит в конфликт с законом о персонаьных данных. В результате, банки идут на самые различные ухищрения, чтобы формально соблюсти букву закона, а на самом деле всеми правдами и неправдами собрать-таки эти данные о репутации человека.

Впрочем, это не единственный путь оценить риск операции, просто собирать данные нужно не по людям, а по устройствам, которыми они пользуются. Наиболее рискованные операции сейчас связаны с дистанционным банковским обслуживанием. А оно, как правило, совершается с помощью различных устройств: компьютеров, планшетов или сматфонов. Причем вряд ли мошенник будет воровать деньги через ДБО с помощью тогоже устройсва, которым пользуется легальный клиент. Скорее всего он для этой операции будет использовать своё оборудование. Стало быть устройство не хуже аутентифицирует пользователя системы, чем документы, но права этих устройств российским законом не защищаются. Таким образом, собирая информацию об устройствах, а не о пользователях, будет меньше шансов нарушить закон.

Действительно, мошенник может легко изменить MAC-адрес и даже IMEI своего устройства, однако рпутация у него будет нулевая, и банк будет воспринимать такую транзакцию как подозрительную - например, запросит у клиента дополнительное подтверждение. Конечно, сейчас мошеннические транзакции выполняют прямо с компьютеров легальных клиентов, репутация которых достаточно высока. Однако и в этом случае система может достаточно быстро выявить аномалии и предположить, что устройство было взломано. А если учесть, что мошенники вынуждены разбивать транхакции по времени и воровать небольшими порциями, то и украсть даже со взломанногл компьютера до того, как система поднимет тревогу, скорее всего, получится не много.

Следует отметить, что такой сервис по определению репутации устройств предлагает компания iovation, которая уже активно ипользует его за рубежом. Для проверки репутации устройства компании достаточно в свой сайт добавить код, который формирует слепок устройства, который потом можно передать в сервис и проверить насколько хорошая репутация у данного устройства. Причем отследить с помощью этого сервиса можно не только компьютеры, планшеты и смартфоны, но и банкоматы и другие устройства. Хотя пока пользователей сервиса в России нет, тем не менее репутация у российских устройств уже начинает формироваться, как клиентами иностранных банков, которые приезжают в Россию, так и самими российскими пользователями, которые совершают покупки в иностранных сервисах.

В России услуги iovation будет представлять компания Experian, которая уже предлагает систему определения репутации первичных документов "национальный Хантер". Вполне возможно, что аналогичную систему дополнительных сигналов о подозрительных транзакциях собирается создать и Центробанк - это позволило бы сократить количество мошеннических транзакций и сделать национальную платёжную систему более безопасной. А именно это и является целью ЦБ!

1. О событиях. Происходящие события в области информационной безопасности, как правило, являются хорошим поводом проанализировать ошибки и предложить свои, возможно, парадоксальные решения обсуждаемой проблемы. Формат также допускает возможность усомниться в правильности официальной версии и предложить альтернативное понимание ситуации.
2. О новых технологиях, продуктах, услугах. Отрасль информационной безопасности является достаточно интеллектуальной и инновационной, поэтому блогеру стоит иногда показывать и разбирать удачные с его точки зрения решения и технологии. Естественно, стоит также указать и определённые ограничения нового подхода.
3. О документах: стандартах, законах, исследованиях. В области информационной безопасности выходит достаточно много различных документов: стандартов, законов, исследований и просто рекомендаций различных специалистов. Вполне возможно высказать своё, оригинальное мнение по вышедшему документу. Допустима краткая аннотация документов на иностранном языке.
4. О книгах по теме. Информационная безопасность, также как и другие области человеческой деятельности, не обходится без книг. Причём качество их может сильно различным. Поэтому высказывая своё мнение по книгам можно продвинуть хорошие издания и предупредить о бесполезных.
5. О мероприятиях. В индустрии информационной безопасности проводится масса самых разнообразных мероприятий различного качества. Чтобы помочь организаторам найти наиболее востребованный формат проведения подобных мероприятий стоит публиковать свои мнения о них - умный организатор найдёт способ воспользоваться любым отзывом.
6. О категоризации продуктов и событий. В информационной безопасности разработана целая масса решений, разобраться в тонкостях классификаций которых непросто, поэтому стоит публиковать мнения о том, какие продукты относятся к какому классу, какие задачи с их помощью можно решить и как изменяются возможности данного класса продуктов со временем.
7. Известные факты по теме. Не думайте, что читатель блога знает столько же, сколько и вы - поэтому делитесь в том числе и давно известным фактами. Вполне возможно, что для читателя это будет новой информацией. Впрочем стоит каждое такое воспоминание привязывать к текущей ситуации. Например, отмечать таким способом юбилеи.
8. Юмор. Не стоит забывать и о юморе, который может украсить любой блог. Здесь вариантов может быть великое множество - от картинок с Atkritka.com до сравнения чем какой-то аспект ИБ похож на девушку (или что-то другое).
9. Личный опыт. Не стоит скрывать от публики и свои эксперименты с различными продуктами или сервисами по информационной безопасности. Читатели могут и не знать про определённые подводные камни или преимущества того или иного решения, которые могут оказаться для них очень важны.
10. Вопросы. А бывают иногда и просто мысли, причём спорные, которые стоит обсудить со своими читателями. Не стоит забывать, что блог - это хорошее место для обсуждения тех или иных проблем информационной безопасности. Делитесь своими мыслями в блоге и, возможно, выработаете решение актуальной проблемы.

1. Защита данных. Изначально криптография создавалась для защиты секретов. Правда, промышленной она стала в тот момент, когда алгоритм шифрования стал открытый, но в нём предполагалось наличие некоего секретного элемента - ключа шифрования, который и обеспечивал возможность получить доступ к данным.
2. Аутентификация. Причём знание этого секретного элемента позволяет выполнить процедуру аутентификации - к информации допускается только тот, кто знает секрет. Но со временем была разработана схема асимметричного шифрования, которая разделяла ключ на два: открытую часть и секретную.
3. Выработка совместного секрета. Алгоритм асимметричного шифрования позволяет расшифровать с помощью закрытого ключа то, что зашифровано открытым и наоборот. Это позволяет двум людям, имеющим пары секретных и открытых ключей согласовать общий секрет, который в дальнейшем используется для симметричного шифрования.
4. DRM. Система контроля доступа к зашифрованным документам предполагает возможность передачи только зарегистрированным пользователям системы ключа для дешифрирования документа. Причем в процессе передачи этого ключа происходит процедура взаимной аутентификации сторон, что позволяет серверу фиксировать людей, которые получили доступ к документу, а пользователю гарантировать, что он получил правильный документ.
5. Целостность документов. Дополнительным инструментом криптографии является хеш-функция, которая позволяет создать уникальные идентификаторы цифрового документа. Причем изменение файла даже в одном байте приводит к сильному изменению его хеша. Это свойство и используется для подтверждения неизменности цифрового документа.
6. Полиморфизм программ. Алгоритмы шифрования можно использовать в том числе и для модификации исполнимых программ. В этом случае генерируется специальная таблица перестановок команд процессора, которая также должна применяться и перед запуском программы в исполнение. В результате, код программ может постоянно меняться в соответствии с таблицей.
7. Защита программ от копирования. Собственно, методы полиморфизма используются в том числе и для защиты программ от копирования. В этом случае важный код, например, парсер файлов, шифруется таким способом, а в лицензионный ключ вставляется таблица перекодировки. Лучше всего такую таблицу вообще вынести на отдельное устройство - USB-ключ - и расшифровывать её на отдельном процессоре.
8. Разделение ключа. Это технология, когда ключ для декодирования разделен между участниками так, что только собрав минимально необходимо их число - кворум - можно расшифровать документ или пройти аутентификацию. С помощью такой системы шифрования защищаются наиболее ценные документы и контролируется доступ к важным системам.
9. Голосование. Процедура закрытого голосовая позволяет пользователю участвовать в закрытом голосовании так, что он всегда может проверить насколько правильно посчитан его голос, но ни кто посторонний, без знания секрета, не сможет определить за кого участник проголосовал.
10. Стеганография. Способ встраивания дополнительной информации в уже существующий файл или поток. Можно встраивать эти данные в пустоты форматов, которые не проверяют парсеры, а можно прямо в основные данные с помощью специального алгоритма. При этом важнее скрыть факт передачи данных, нежели хорошо защитить передаваемую информацию от посторонних глаз.

1. Аутентификация. Проверка подлинности человека или устройства, обычно выполняется с помощью специальных криптографических алгоритмов. Для обеспечения надёжной аутентификации можно развернуть систему PKI или двухфакторной аутентификации. Наиболее строгая аутентификация должна быть у админов и руководства.
2. Контроль доступа или авторизация - управление полномочиями доступа к различным данным системы и приложениям. Есть специальные инструменты для централизованного управления правами доступа - IAM, которые позволяют организовать ролевое управление правами доступа на предприятии.
3. Сегментация сети. Разделение сети на сегменты позволяет в каждом таком сегменте применять разные правила безопасности. Разделение корпоративной сети на сегменты можно реализовать с помощью внутренних межсетевых экранов. В частности, в отдельный сегмент стоит вынеси беспроводную сеть предприятия.
4. Разделение полномочий администраторов. Защита от ИТ-администратора одна из наиболее сложных задач безопасника. Для разделения полномочий есть специальные продукты, которые позволяют создать специальную роль ИБ-специалиста, который за всем следит, но ни чем не управляет.
5. Провоцирование. В ИТ-системе может быть расположено специальное устройство - ловушка, контроль за которой может выявить вредоносную активность. Для организации подобных ловушек есть специальный класс продуктов, которые так и называются honeypot (бочёнок с мёдом), который достаточно установить и правильно настроить.
6. Мониторинг событий. Контроль за поведением системы необходим для оперативного обнаружения вредоносной активности. Для реализации такого контроля разработаны продукты класса управления событиями ИБ (Security Information & Event Management - SIEM).
7. Контроль конфигураций. Постоянно нужно проверять не только управляющие воздействия, но и реальную конфигурацию программного обеспечения и устройств. Для этого можно использовать как активные сканеры уязвимостей, так и инструменты для анализа конфигурации устройств.
8. Расследование инцидентов. Когда информационную систему атаковали обязательно нужно найти причину - именно для этого и нужно контролировать происходящие в системе события и подробно всё записывать. Для проведения расследования разработаны специальные продукты фиксации электронных доказательств, которые можно в том числе предъявлять в суде.
9. Защита данных. Данные, хранящиеся в информационной системе нужно защищать как от потери, так и от разглашения. Если часть задач, относящихся к потере, как правило, решает ИТ-отдел с помощью систем резервного копирования, то для защиты данных от разглашения приходится применять шифрование и DLP-системы.
10. Обучение и оповещение пользователей. Защищённость информационной системы любого предприятия зависит от защиты самого слабого звена, которым часто являются люди. Для повышения защищенности ИБ-специалистам нужно использовать инструменты повышения осведомлённости - тренинги, наглядную агитацию, обучение по ИБ.