В своём блоге Артём Агеев опуликовал пять относительно честных способов злоупотребления ФЗ-152 "О персональных данных" со стороны государственных чиновников. По своей сути этот закон призван защищать граждан от покушения коммерческих компаний на тайну частной жизни граждан. Поэтому в нём предусмотрены нормы проведения проверок со стороны государства за соблюдением требований этого закона. Однако чиновники начали применять этот закон для решения собственных проблем. И хотя новые редакции ФЗ-152 лучше защищают бизнес от произвола чиновников, тем не менее злоупотребления по-прежнему остаются.

В частности, Артём Агеев привёл пример слишком большого числа проверок по Краснодарскому краю. В планах проверок Роскомнадзора значится всего 18 организаций, которых ведомство должно было поверить за год, однако за три месяца его деятельности уже было выписано 178 штрафов. Дело в том, что в ФЗ-152 есть норма, которая позволяет выписывать штраф просто в том случае, когда организация не ответила на письменный запрос ведомства или не опубликовала на сайте политику обработки персональных данных. В результате, у чиновников появилась возможность получить деньги не проводя реально ни каких проверок. Кроме того, проблемой является получение разрешений со стороны компаний. В частности, приведён случай, когда от больницы потребовали уничтожить ранее собранные разрешения только по тому, что законодательно их получать не нужно. Регуляторы также могут на основании ФЗ-152 отозвать лицензию у компании или даже совсем признать её деятельность незаконной. Вывод Артём Агеев делает такой: "Крупным организациям стоит иметь ввиду, что законодательство в области персональных данных с легкостью может быть использовано для рейдерства."

Впрочем, Михаил Емельянников считает, что в такой ситуации виноваты не только чиновники, но и сами организации, которые часто являются некомпетентным по части собственной юридической защиты. "Проблема подобных проверок в компетентности и проверяющих, и проверяемых", - считает он. Так что компаниям либо придётся платить деньги государству, либо специалистам, которые защитят их от него. Впрочем, Алексей Волков в своём блоге ещё в апреле 2012 года рассказал случай из собственной практики, где оператору удалось самостоятельно решить проблему с проверкой Роскомнадзора. После успешного отпора проблем у оператора с персональными данными уже не было.

Отдельный пример атаки с помощью ФЗ-152 на социальные сети. Артём Агеев привёл пример, когда учитель опубликовал в "Одноклассниках" фото своего класса и был оштрафован за то, что не собрал у своих учеников разрешения на публикацию фото. Вряд ли такое действие государства можно назвать защитой прав на частную жизнь - после такого, по идее, каждый зарегистрированный в социальной сети будет думать нужно ли ему что-то публиковать в ней. Поэтому такие действия чиновников можно расценивать скорее как давление на социальные сети. Собственно, сейчас уже понятно, что закон о персональных данных будет использован государством для давления на социальные сети - для этого, в частности, был по мнению Михаила Емельянникова был принят федеральный закон №97, называемый "О блогерах", который в том числе вносит измерения в ФЗ-152 с требованием хранить персональные данные россиян на территории России. Правда, вступит он в силу только 1 сентября 2016 года.

Впрочем, Сергей Борисов привёл обратный пример, в котором ФЗ-152 был использован гражданами для давления на правоохранительные органы. В частности, была организована массовая акция по обращению в суд на ГИБДД с целью признать незаконными результаты видеофиксации нарушений. Кроме того, на письмах с требованиями штрафа за зафиксированные нарушения по решению Верховного суда должна стоять цифровая подпись инспектора. Таким образом, закон всё-таки может быть использован в том числе и для борьбы граждан против чиновников.

Истерия вокруг Windows XP очень похожа на «Ошибку 2000», когда все боялись наступления этого самого двухтысячного года. Сколько бюджетов было на это заложено, сколько нового оборудования продано, а сколько заработано на исследованиях и консультациях… В общем, «не было никогда и вот опять», — как говаривал Черномырдин. Теперь все с подачи Microsoft хоронят Windows XP — тоже нужны новые операционки, новое оборудование, а главное консультации по переходу на более современное. На самом деле переход на новую версию ОС — это, часто, переход на новое железо и именно на эти деньги рассчитывают Microsoft, Intel и другие высокотехнологические потребители денег.

А мне вот кажется, что у этой операционной системы началась новая жизнь. С неё давно уже ушли те, кому нужно постоянно ставить обновления, чтобы быть в тренде, пользователи игр и интернетов, любители понаставить всякого софта и забыть о нём. Остались только те, кто использует эту операционку для работы, для кого более современные поделки в общем-то ни чего не добавляют, кроме ресурсов, необходимых на всякие красоты. Конечно Microsoft заинтересован в переводе всех на новые версии, и, естественно, для наиболее упёртых была придумана и раскручена легенда про небезопасность Windows XP и массовые атаки после окончания поддержки этой ОС. Аналитики говорят, что защищенность Windows XP вдруг резко — за один день — уменьшится в пять раз. Но зачем менять то, что работает. Особенностью таких «рабочих» конфигураций операционки является стабильное окружение, отсутствие потребности в новых программах и ограничение в ресурсах. Это позволяет сделать практически идеальную среду для защиты.

Раз уж ни каких исправлений и новых программ в систему устанавливать не нужно, то достаточно просто зафиксировать стартовую последовательность операционной системы, чтобы в неё не смог встроиться ни один вредонос. Для этого можно защитить BIOS от модификации паролем, исполнимые файлы операционной системы сделать доступными только для чтения, а любую попытку установки новой программы или изменения конфигурации в реестре считать за вредоносную активность. Правда, нужно предварительно настроить «Мои документы», временные директории и место для хранения системных журналов на другой диск, который, естественно, открыть в том числе и на запись, если это нужно. В результате, можно получить почти идеальную защиту.

Конечно, дыры в такой системе останутся, поэтому переполнение буферов и другие атаки будут вполне актуальны, но вредоносны не смогут закрепиться в системе. Поэтому чем чаще такая система будет перезагружаться, тем лучше. Тем не менее защитным механизмам в неизменяемой среде будет работать лучше и эффективнее — достаточно контролировать её неизменность и пресекать необычное поведение приложений, что считать признаком нападения. Можно специально для такой задачи адаптировать какой-нибудь Open Source продукт, типа ClamAV, а можно воспользоваться и коммерческими разработками — продукты для реализации подобных принципов вполне есть у Symantec и Safe'n'Sec, так что совсем не обязательно отказываться от работающих продуктов по причине их якобы небезопасности. Можно просто поменять парадигму защиты Windows XP, не надеясь на предавшую своё детище Microsoft.

Всё возрастающий курс криптовалюты BTC может привести к настоящим войнам в сети Bitcoin, которые развернуться между криминальными группировками. Сейчас мощность транзакционной базы данных Bitcoin настолько возросла, что участвовать в создании новых блоков становится не выгодно. Связано это с защитным механизмом самой системы — так называемой сложностью транзакции, которая устанавливается раз в две недели. Механизм управления сложностью создания новых блоков заложен в Bitcoin для того, чтобы ограничить скорость создания новых блоков и сделать её примерно постоянной — 1 блок в 10 минут. Именно поэтому не эффективно неограничено увеличивать мощность сети Bitcoin — встроенный механизм усложняет вычисление новых блоков и большая часть вычислительных ресурсов работает вхолостую.

Судя по последним новостям криминал очень заинтересовался криптовалютой и старается всеми силами увеличить свои счёта. Пока для этого используется в основном два метода — воровство кошельков пользователей и создание зомби-сетей для майнинга новых блоков и получения за это причитающейся комиссии. В результате мощность сети Bitcoin так выросла, что простому смертному с одним компьютером можно самостоятельно вычислить валидный блок только при очень большом везении. Поэтому, создаётся ощущение, что экстенсивный путь развития вычислительной сети Bitcoin закончился. Просто докупить или даже захватить холявных ресурсов уже не достаточно — нужны новые идеи заработка на криптовалюте. И вот тут-то и может оказаться востребованной идея bitcon-войн.

Дело в том, что скорость получения криптовалюты зависит не от используемой участником вычислительной мощности, но от доли собственных вычислительных ресурсов в сети Bitcoin. При этом долю можно повышать как за счёт наращивания собственных ресурсов, так и с помощью уменьшения остальных. Текущая ситуация такова, что увеличить собственную долю участия в сети Bitcoin с помощью добавления своей вычислительной мощности уже стало экономически не выгодно. Поэтому востребованным может оказаться второй путь — тёмный путь разрушения чужих майнеров.

Суть его в том, чтобы вместе с наращиванием собственной вычислительной мощности атаковать любые чужие майнеры. Для этого можно устраивать DDoS-атаки на узлы сети, вмешиваться в протокол таким образом, чтобы вполне валидные блоки не признавались таковыми, модифицировать посторонние майнеры так, чтобы они генерировали невалидные блоки или множество других приёмов. Цель их одна — разрушить целостность транзакционной базы данных Bitcoin. Вполне возможно, что подобные выходки начнутся уже в следующем году.

Есть и совсем неприятный приём, который также может быть использован для увеличения собственной доли в сети Bitcoin. Связан он с той самой сложностью, о которой было сказано выше. Проблема в том, что этот показатель слишком высок, поэтому на создание нового валидного блока приходится тратить слишком много ресурсов. Однако, имея под рукой достаточно большую зомби-сеть, можно манипулировать и этим показателем сложности. Если в какой-то момент количество новых блоков, найденных за две недели будет очень маленьким, то защитный механизм сети Bitcoin вынужден будет снизить сложность. Достигнуть этого можно с помощью DDoS-атаки на майнеров сети. Например, если кто-то из владельцев зомби-сетей переключит её на две недели с майнинга на атаку чужих майнеров, то, возможно, валидных блоков за это время будет выработано меньше. Сложность уменьшится, и следующие две недели зомби-сеть будет заниматься уже майнингом и вычислять блоки с большей скоростью. По истечении двух недель сеть опять переключается в режим атаки, и так далее. Такой приём можно назвать раскачкой цены для увеличения собственной доли майнинга в среднем.

Как на это отреагирует сеть Bitcoin, а тем более курс BTC — это, пожалуй, самый интересный вопрос.

Пора уже составить список мероприятий по информационной безопасности. Будет он таким:

Сентябрь

17 – 19 сентября, Санкт-Петербург - XI международная конференция «PKI-Forum Россия 2013»

19 сентября, Москва - Технологии безопасности 2013: обеспечение защиты в меняющихся реалиях

19 сентября, Челябинск - Конференция "Код информационной безопасности (г. Челябинск)"

19 сентября, Екатеринбург - IDC IT Security and Datacenter Transformation Roadshow 2013 Ekaterinburg

20 сентября, Москва - DLP-Russia 2013

25 - 27 сентября, Москва - InfoSecurity Russia 2013

Октябрь

8 - 10 октября, Москва - Infobez-Expo 2013

10 октября, Казань - Конференция "Код информационной безопасности (г. Казань)"

10 октября, Москва - Secure World 2013

22 - 23 октября, Москва - Information Security Russia 2013

24 октября, Пермь - Конференция "Код Информационной безопасности (г. Пермь)"

Ноябрь

7 - 8 ноября, Москва - ZeroNights 2013

14 ноября, Нижний Новгород - Конференция "Код информационной безопасности (г. Нижний Новгород)"

28 ноября, Москва - IV Всероссийская конференция «Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud Russia - 2013»

1. Аутентификация. Проверка подлинности человека или устройства, обычно выполняется с помощью специальных криптографических алгоритмов. Для обеспечения надёжной аутентификации можно развернуть систему PKI или двухфакторной аутентификации. Наиболее строгая аутентификация должна быть у админов и руководства.
2. Контроль доступа или авторизация - управление полномочиями доступа к различным данным системы и приложениям. Есть специальные инструменты для централизованного управления правами доступа - IAM, которые позволяют организовать ролевое управление правами доступа на предприятии.
3. Сегментация сети. Разделение сети на сегменты позволяет в каждом таком сегменте применять разные правила безопасности. Разделение корпоративной сети на сегменты можно реализовать с помощью внутренних межсетевых экранов. В частности, в отдельный сегмент стоит вынеси беспроводную сеть предприятия.
4. Разделение полномочий администраторов. Защита от ИТ-администратора одна из наиболее сложных задач безопасника. Для разделения полномочий есть специальные продукты, которые позволяют создать специальную роль ИБ-специалиста, который за всем следит, но ни чем не управляет.
5. Провоцирование. В ИТ-системе может быть расположено специальное устройство - ловушка, контроль за которой может выявить вредоносную активность. Для организации подобных ловушек есть специальный класс продуктов, которые так и называются honeypot (бочёнок с мёдом), который достаточно установить и правильно настроить.
6. Мониторинг событий. Контроль за поведением системы необходим для оперативного обнаружения вредоносной активности. Для реализации такого контроля разработаны продукты класса управления событиями ИБ (Security Information & Event Management - SIEM).
7. Контроль конфигураций. Постоянно нужно проверять не только управляющие воздействия, но и реальную конфигурацию программного обеспечения и устройств. Для этого можно использовать как активные сканеры уязвимостей, так и инструменты для анализа конфигурации устройств.
8. Расследование инцидентов. Когда информационную систему атаковали обязательно нужно найти причину - именно для этого и нужно контролировать происходящие в системе события и подробно всё записывать. Для проведения расследования разработаны специальные продукты фиксации электронных доказательств, которые можно в том числе предъявлять в суде.
9. Защита данных. Данные, хранящиеся в информационной системе нужно защищать как от потери, так и от разглашения. Если часть задач, относящихся к потере, как правило, решает ИТ-отдел с помощью систем резервного копирования, то для защиты данных от разглашения приходится применять шифрование и DLP-системы.
10. Обучение и оповещение пользователей. Защищённость информационной системы любого предприятия зависит от защиты самого слабого звена, которым часто являются люди. Для повышения защищенности ИБ-специалистам нужно использовать инструменты повышения осведомлённости - тренинги, наглядную агитацию, обучение по ИБ.

Компания InfoWatch уже несколько лет анализирует ситуацию с утечками конфиденциальной информации - недавно она опубликовала свой очередной отчёт, в котором анализируется ситуация с утечками в 2012 году. Следует отметить, что компания считает только те утечки, сведения о которых попали в печать и подробно обсуждались. Это сведения скорее не об всех утечках данных, но о инцидентах в популярных компаниях - пресса освещает в основном события, которые могли бы быть интересны большому числу читателей, а не только специалистам.

Кроме того, вполне возможно, что эксперты регистрируют инциденты, которые описаны достаточно подробно - с указанием компаний, причины утечек, числа украденных записей и других сопутствующих данных, поля для которых присутствуют в базе. В то же время большинство сообщений об утечках предельно неконкретны. Например, "Роскомнадзор" любит в своих новостях указывать о наложении штрафов за несоблюдение требований закона ФЗ-152 тем или иным сайтом. При этом не всегда понятно была ли при этом утечка или защищаемые данные и так ни кому не нужны.

В самом подходе анализа только медийных утечек есть определенные проблемы. Например, утечка в компании Microsoft привлечёт больше внимание прессы, чем аналогичный по всем остальным параметрам случай в городской поликлинике Нижневартовская. Последняя может вообще не попасть в поле зрения InfoWatch. Таким образом, качество отчёта сильно зависит от выбора источника сведений об утечках, но в отчёте компания вообще не приводит о них ни каких сведений. А интересно было бы узнать мониторит ли компания региональную прессу или сообщения на экзотических языках, типа китайского или санскрита.

Собственно, сами составители отчёта признают, что в их поле зрения попало примерно 1% утечек, при этом они утверждают, что выборка репрезентативна. Конечно социологи поступают примерно также - опрашивают не всех жителей страны, но только определённых её представителей, однако они стараются хотя бы соблюсти социально-демографическое распределение. Что именно является подобным распределением для утечек не совсем понятно, однако очевидно, что анализ только крупных инцидентов в привлекательных для СМИ компаниях описанных на популярных языках общей картины по всему миру не даёт, ибо в небольших компаниях, которых по количеству значительно больше, ситуация может сильно отличаться.

Аналогичная проблема относится и к интерпретации статистики о типах утекаемых данных. В соответствии с отчётом 89,4% утёкших в 2012 году данных - это персональные. Однако на практике это просто требование законов разных стран об обязательном разглашения фактов таких утечек. Поскольку в промышленной и других типах тайн таких требований практически нет, то и публикаций на этот счёт меньше. Поскольку утечка информации отрицательно сказывается на репутации компании, то компании не торопятся раскрывать сведения об утечках. Сведения просачиваются в прессу только в случае судебного преследования нарушителя. Кроме того, компании не всегда знают о произошедшей утечке данных. При плохом уровне защиты в компании, что характерно для небольших фирм, они могут и не заметить утечки.

При этом очевидно, что компания больше ориентирована на американский рынок - замеченных утечек в американских компаних больше половины. Проскольку о источниках сведений ни чего не сказано, то создаётся ощущение, что эксперты InfoWatch просто любят читать американские газеты, в то время как публикации об утечках на санскрите, скорее всего, просто прошли мимо них. Это же относится и к российским утечкам, которых зарегистрировано в 2012 году всего 76. Могу заметить, что сайт Incidets.ru, который ведёт скурпулёзный учёт утечек в России зафиксировал такое число утечек только в первые два с половиной месяца.

Ещё одной проблемой является отнесение утечек к умышленным и неумышленным. Дело в том, что в соответствии с методикой отнесение утечки к одному из трёх типов - умышленные, неумышленные и неопределённые - определяется экспертами самой InfoWatch. Вполне возможно, что тенденция уменьшения случайных утечек относится не к самим фактам утечек, но к методике, по которой действуют эксперты. Одни и те же инциденты в разное время могут быть отнесены к разным категориям.

Таким образом, из отчёта наибольшую ценность представляют данные о каналах утечек. Аналитика данных по путям ухода данных из компаний пусть даже для публичных компаний, которые, возможно, заботятся о предотвращении утечек,является показательным для отрасли в целом. По нему можно сказать, что вендоры просто не могут предложить решение для бумажных документов, защиты резервных копий и также серверов, но для других каналов утечки найдены вполне адекватные технические решения..

Обеспечение информационной безопасность - одна из задач государственного управления. Конечно, компании должны сами и самостоятельно обеспечивать безопасность информации своих клиентов, но государство в принципе имеет право установить хотя бы минимальные требования по безопасности предоставляемых услуг. Такие требования есть уже в банковской сфере, причем как международные - PCI DSS - так и российские, установленные Центробанком. Однако в России есть и другие отрасли, в которых информационная безопасность не менее важна - это связь.

Большинство атак сейчас совершается сейчас с использованием телематических сетей, в том числе и с использованием единой сети связи общего пользования - Интернет. При этом операторы по закону, ограничены в возможности защиты клиентов - закон предписывает им не вмешиваться в передаваемую информацию. Однако, если один клиент нападает на другого, разве не вправе оператор вмешаться? Попытаемся разобраться в этом вопросе.

Вот что написано в основном законе, который регламентирует отношения в отрасли связи, ФЗ-126 "О связи" в статье 12 пункт 2:

Для сетей электросвязи, составляющих единую сеть электросвязи Российской Федерации, федеральный орган исполнительной власти в области связи:

определяет порядок их взаимодействия, а в предусмотренных законодательством Российской Федерации случаях - порядок централизованного управления сетью связи общего пользования;

в зависимости от категорий сетей связи (за исключением сетей связи специального назначения, а также выделенных и технологических сетей связи, если они не присоединены к сети связи общего пользования) устанавливает требования к их проектированию, построению, эксплуатации, управлению ими или нумерации, применяемым средствам связи, организационно-техническому обеспечению устойчивого функционирования сетей связи, в том числе в чрезвычайных ситуациях, защиты сетей связи от несанкционированного доступа к ним и передаваемой по ним информации, порядку ввода сетей связи в эксплуатацию;

устанавливает в соответствии с законодательством Российской Федерации об обеспечении единства измерений обязательные метрологические требования к измерениям, выполняемым при эксплуатации сети связи общего пользования, и к применяемым средствам измерений в целях обеспечения целостности и устойчивости функционирования сети связи общего пользования.

Таким образом, государство в соответствии с законом "О связи" также должно обеспечивать также и целостность единой сети электросвязи и её устойчивость, для чего может предъявлять определённые требования к операторам. Что же подразумевается под этими характеристиками? Вот, как определены целостность и устойчивость в приложении к Приказу министерства связи с номером 113 от 27 сентября 2007 года:

2. Организационно-техническое обеспечение устойчивого функционирования сети связи общего пользования представляет собой совокупность требований и мероприятий, направленных на поддержание:

1) целостности сети связи общего пользования как способности взаимодействия входящих в ее состав сетей связи, при котором становится возможным установление соединения и (или) передача информации между пользователями услугами связи;

2) устойчивости сети связи общего пользования как ее способности сохранять свою целостность в условиях эксплуатации, соответствующих установленным в документации производителя, при отказе части элементов сети связи и возвращаться в исходное состояние (надежность сети связи), а также в условиях внешних дестабилизирующих воздействий природного и техногенного характера (живучесть сети связи).

Здесь следует отметить, что целостность подразумевает обеспечение взаимодействия устройств пользователей услуг связи. Операторы же должны как минимум обеспечивать защиту от DoS-атак, не ссылаясь на то, что они предоставляют услуги как есть. Необходимость обеспечить сохранение целостности (устойчивость) в том числе и от дестабилизирующих воздействий техногенного характера, позволяет обязать операторов не только предотвращать DoS-атаку блокированием, но и выполнять некоторые превентивные действия. В частности, сейчас DoS организуется с помощью зомби-сетей, поэтому для сохранения целостности единой сети связи операторам необходимо также пресекать коммуникации зомби с управляющим центром, выявлять сами управляющие центры и организовывать очистку от вредоносных программ клиентов.

Следует отметить, что целостность сети необходима и для обеспечения доступности веб-серверов, тоесть операторы, по идее, должны помогать своим клиентам в защите и от фишинга, и от воровства паролей, и от вредоносных программ, и от большинства сетевых атак. Для этого необходимо обеспечить устойчивую работу таких сервисов как DNS, возможно с внедрением DNSSec. Кроме того, необходима PKI-инфраструкта для распространения сертификатов SSL. В целом, желательно, чтобы государство поддерживало наиболее важные инфраструктур обеспечения целостности сети связи - например, реестр командных серверов зомби-сетей. Возможно, при координации защитных действий провадеров государству и удастся снизить уровень вредоносной активности в Интернет, улучшив тем самым целостность и устойчивость российских телекоммуникационных сетей.

Законы активно влияют на отрасль информационной безопасности, однако ситуация с ней улучшается медленно. Многим кажется, что вообще ни как - законы лишь порождают новую отрасль, которая обеспечивает безопасность только на бумаге. Им, видимо, хочется, чтобы простым введением в действие закона можно было бы сразу решить все проблемы информационной безопасности. На самом деле роль законотворчества в это сфере несколько другая - оно изменяет отношение руководства компаний и ИТ-подразделений к проблемам информационной безопасности. Во всяком случае в компаниях появляются люди, которые за безопасность отвечают - и это хорошо.

Как известно, самым слабым звеном любой защиты является человек. Будь продукт самым совершенным, эффективным и обеспечивающим защиту от всех угроз, неправильная его эксплуатация всё-равно сведёт все положительные качества на нет. Поэтому законодательные инициативы в основном сфокусированы не на технической стороне информационной безопасности, но на организационной. Именно назначения ответственных за ИБ, обучения специалистов и сотрудников, а также организация процессов по обеспечению защиты в основном требуют законы и стандарты. А было бы лучше, если бы в законах содержались технические требования?

Именно поэтому на уровне организации процессов и организационных мер защиты сейчас сконцентрировались законодатели и стандартизирующие организации. И требуют они не поиска XSS-уязвимостей на сайтах, а наличия службы, которая могла бы принимать сведения о найденных уязвимостях и фактах мошенничества, расследовать инциденты и совершенствовать систему защиты. Компания самостоятельно решает как именно такая служба будет работать и что именно оно будет делать в первую очередь. Именно настройкой этих организационных процессов и занимаются специалисты, к которым почему-то прилепили ярлык "бумажные безопасники". Они занимаются наиболее сложной частью защиты - организационными мерами и работе с людьми.

Компания Digital Security выпустила отчёт, в котором привела результаты своего исследования мобильных клиентов российских банков. Причём исследовались только бесплатные клиенты, которые работают под управлением операционных систем iOS и Android. Таких клиентов набралось 40, и для них были реализации для обоих операционных систем. Хотелось бы несколько слов сказать о используемой в отчёте терминологии - она, по моему мнению, не соответствует тому, что специалисты компании сделали.

В пояснении сказано, что проводился статистически анализ методом чёрного ящика. Этот термин нужно пояснить, поскольку в практике исследования метод исследования чёрного ящика предусматривает, что на вход изучаемого объекта подаются определённые сигналы, а по полученным реакциям делается вывод о свойствах объекта. Понятно, что такой анализ может быть только динамическим - исследуемый объект должен отреагировать на воздействие. В то же время в практике пентестов исследование методом чёрного ящика означает, что исследователь ни чего заранее не знает о объекте тестирования - все данные получаются в процессе тестирования. Конечно, для специалистов по проведению пентестов такой термин кажется вполне понятным, но для ИТ-специалистов в "статистическом анализе методом чёрного ящика" есть определенные противоречия.

Интереснее другой аспект - методика тестирования, приведенная в отчёте, подразумевает следующее: приложение изучили на предмет наличия в нём небезопасных компонент, и за каждую небезопасную библиотеку назначали штрафные очки. При этом совсем не сказано о том, проводилось ли реальное исследование возможности эксплуатации этой уязвимости. Наиболее показательным примером является наличие в клиенте встроенной базы SQLite. В отчёте явно предполагается, что если эта база используется, то приложение уязвимо для SQL-инъекций, хотя для того, чтобы внедрить свой код злоумышленник должен как минимум перехватить сессию связи и навязать клиентскому приложению свои данные. Понятно, что такая атака блокируется, например, использованием SSL с взаимной аутентификацией или хотя бы контролем целостности передаваемых сервером данных. В отчёте же совершенно нет сведений о том, какой процент из использующих SQLite не использует при этом SSL. В то же время указывается, что по меньшей мере 26 продукта шифруют канал связи.

Те же претензии можно предъявить к уязвимости доступа к файлам - если хранятся локальные данные, то получить к ним доступ может другое приложение. Однако не говорится о том насколько критичные данные хранятся в этих файлах. К тому же данные в них вполне могут шифроваться - исследования на этот счёт также явно не проводилось. Аналогично, и защита SSL - в отчёте явно предполагается, что если этот протокол не используется, то злоумышленник может вмешаться в работу системы, однако вполне возможно, что данные по открытому каналу передаются в шифрованном виде с криптографическим контролем целостности - вмешаться в такой сеанс не намного проще, чем в стандартный SSL. Такая же ситуация с уязвимостью XXE - внедрение посторонних XML-объектов в сеанс. Создаётся ощущение, что любое мобильное приложение, которое использует для обмена с сервером формат XML уже уязвимо, хотя обмен данными, вполне возможно, также был прикрыт SSL или другим механизмом контроля целостности - у злоумышленника просто не было возможности встроить свой XML в сеанс общения сайта с сервером.

Тем не менее, отчёт в целом полезен для отрасли. Хотя он и не выясняет конкретных уязвимостей, но только указывает разработчикам на отклонение от лучших практик: правильное использование SSL, контроль целостности передаваемой информации, использование правильных методов межпроцессорного взаимодействия, проверка на взлом защиты устройства, фильтрация посторонней информации в XML и ответах сервера. Хотя конкретных уязвимостей там не опубликовано, но есть стимул для разработчиков подобных мобильных клиентов позаботиться о использовании лучших практик по защите своего мобильного банкинга до того, как им заинтересуются профессиональные мошенники - тогда это будет делать уже поздно.

Мобильные устройства сейчас становятся всё более популярны, поэтому не использовать их становится всё труднее. Однако, я не очень люблю такие одиозные решения как iPad - для моей семьи они представляют экономическую опасность. Поэтому из соображений безопасности ;-) я решил выбрать наиболее популярную платформу - Android. Однако я не собираюсь использовать андроидфон, который сделать безопасным, похоже, невозможно, поэтому остановился на планшете, причём без поддержки 3G - расходы на мобильный Интернет я считаю плохо контролируемыми (опять же экономическая безопасность). Поэтому я и остановился на наиболее дешёвом планшете Texet моего любимого размера A5 (с семидюймовым экраном), который имеет только Wi-Fi и стоит всего 4 тыс. руб.

Естественно, что активировать свою сберовскую карточку в магазине приложений Google Play я не собираюсь из той же экономической безопасности - ему только дай свои реквизиты! Собственно, даже если кто-то и подсадит мне на мобильное устройство какую-нибудь зверушку, максимум, что она может сделать опасного заблокировать его и уничтожить еще не синхронизированные данные. Все данные с устройства я сохраняю в облачных сервисах, и пока ещё не слышал, чтобы вредоносные программы могли в них поселиться. Поэтому если зверушка и заблокирует работу устройства, то будет достаточно просто перезалить операционную систему и восстановить все приложения. Естественно, я включил сохранение параметров установленных приложений в хранилище Google, чтобы в случае чего восстановить их. Впрочем, пока проверять работу сервиса восстановления мне не приходилось - возможно это тема для отдельного поста.

Но главный пункт моей политики безопасности - не пользоваться браузером, ибо он слишком сложен и, по моим представлениям, является основным источником угроз. Для работы с социальными сетями я, естественно, использую соответствующие приложения, но проблемы возникают при чтении новостей и ссылок из социальных сетей. Для новостей я использую Google Reader (и очень не хочу чтобы он прекратил существование), для которого собрал наиболее интересные RSS-потоки, загружаю новые посты и читаю их off-line. Однако в постах есть ещё ссылки на сторонние ресурсы, которые по умолчанию загружаются в браузере. Чтобы исключить и этот компонент я установил клиент Pocket, который позволяет загружать URL во время подключения, а потом просматривать странички в off-line. Главное, что он принимает ссылки от Reader и других приложений, а в момент подключения к Wi-Fi загружает их на планшет.

Мне могут возразить, что все мобильные приложения для планшета на самом деле построены на базе того же HTML и по своей сути практически являются специфическими браузерами. Это действительно так - основным направлением разработки современных приложений является создание их на JavaScript, который можно исполнять на самых разнообразных платформах. Однако использование таких специализированных браузеров более безопасно, чем универсального. Дело в том, что возможности каждого их них ограничены соответствующим ресурсом самой мобильной платформы - выход за его пределы приводит к вызову меню для передачи запроса в Pocket. Кроме того, каждое такое приложение хранит локально свои данные и получить к ним доступ с постороннего сайта или другого приложения достаточно сложно. При восстановлении приложения из резервной копии оно (по обещаниям производителя) должно восстанавливаться вместе с настройками. Таким образом, можно утверждать, что специализированное мобильное приложение будет более безопасным, чем универсальный браузер - это одно их общих правил безопасности.

Совсем недавно мне казалось, что термин Big Data - исключительно маркетинговый. Мне казалось, при обработке больших данных используются те же методы, что и при работе с любыми другими. Только методы эти требуют оптимизации и распараллеливания для работе на больших кластерных компьютерах. Из этого я делал вывод, что безопасность и большие данные существуют в перпендикулярных плоскостях, то есть, конечно, защищать большие данные нужно, но особенных методов защиты для этого использовать не нужно. Ну, а сами большие данные использовать для безопасности бессмысленно, поскольку они все-равно долго считаются.

Однако, как оказалось моё первое впечатление о технологиях, объединяемых термином "Большие данные", оказалось ошибочным. Под ними подразумевают такие методы обработки сырой информации, которые позволяют оперативно делать массовые операции над большим массивом данных. При этом технологии по прежнему не позволяют обработать все данные - они предназначены для выделения из большого массива неструктурированных данных ключевых сведений и оперативного принятия решений по такому беглому анализу.

Для примера рассмотрим систему видеонаблюдения, которая генерирует достаточно большой объём данных. Просто, обычно большая часть информации теряется - систему настраивают на фиксацию и запоминание только определенных действий. Однако полностью обработать видеопоток со всех камер в гипермаркете и выявить по нему вора система пока не в состоянии. Дело в том, что для автоматического предотвращения краж нужно, чтобы система обработки могла проследить путь каждого посетителя по магазину, зафиксировать какие товары он брал, какие товары у него в коляске лежат, за какие он заплатил, а какие где-нибудь выложил. Причем сделать это система должна за то время пока покупатель рассчитывается, чтобы успеть предупредить сотрудника безопасности о возможном воровстве. Именно для решения примерно таких задачи и предназначены технологии из набора больших данных.

Дело в том, что для решения описанной задачи нужно не просто записывать в видеоархив определенные действия посетителей, но успевать распознавать их, их действия по наполнению корзины, их действия по выкладыванию товаров, а главное успеть сверить сведения о взятых товарах и об оплаченных. Конечно, мне возразят, что подобную систему  защиты нужно делать не так - нужны радиометки на каждом товаре, считыватели на каждом коридоре и финальный считыватель после кассы - именно для этого и придумана технология RFID. Это будет правда - ту же задачу можно решить проще, но будет ли она при этом решена эффективнее, а, главное, универсальнее?

Существование баз данных уязвимостей, таких как CVS или NVD, провоцирует исследователей сравнивать количество обнаруженных дыр в разных продуктах, их качество и другие параметры, делая какие-то выводы о защищенности того или иного продукта. Однако, читая такие исследования и анализируя их результаты, каждый раз задаёшься вопросом: а если в продукте обнаружено много ошибок и все они устранены, то этот продукт более защищен или наоборот? Ведь если предположить, что качество программирования примерно одинаковое, и разработчики допустили примерно одинаковое число ошибок, то чем больше их найдено и устранено, тем меньше их осталось.

Большое число найденных ошибок также не может говорить и о качестве программирования. Дело в том, что большинство продуктов невозможно полностью проанализировать - у общественности нет доступа к их исходным кодам. Поэтому обнаруживаются ошибки, которые приводят к падению приложения или операционной системы, а это далеко не все возможные ошибки. Собственно, именно поэтому в проектах с открытыми кодами обнаруживается больше ошибок, но их уровень достаточно низкий. В то же время, в закрытых продуктах обнаруживаются в основном критические ошибки - их меньше, но они более заметны, поскольку приводят к падению приложения.

Собственно, такие же выводы сделала из анализа базы уязвимостей компания Sourcefire (частичный русский перевод), которая поддерживает разработку проектов с открытыми кодами систему обнаружения атак Snort и антивирус ClamAV. Правда, она анализировала данные об уязвимостях за 25 лет - с 1988 года, но выводы укладываются в приведённую выше логику. Кроме того, закрытые продукты разделяются по версиям, а OpenSource - почему-то оценивается целиком. В частности, все базы данных по уязвимостям отдельно учитывают версии Windows, хотя все уязвимости Linux всех версий сваливают в одну кучу. К тому же комплект поставки операционных систем также разный - в дистрибутивах Linux есть много дополнительных программ, таких как базы данных, офисные пакеты, игры и многое другое. Однако, если взять только ядро Linux, то оно имеет значительно меньшую функциональность, чем Windows. В частности, графическая оболочка в ядро Linux не входит, а из Windows её вырезать практически невозможно. В результате, прямое сравнение результатов по обнаруженным ошибкам говорит очень мало.

Более показательна скорость, с которой ошибки исправляются. И здесь хорошим примером является прошедший недавно конкурс Pwd2Own, на котором были взломаны три браузера Firefox, Chrome  и Internet Explorer, а также модули расширения от компаний Adobe и Oracle (Java). Во всех были обнаружены ошибки, позволившие взломать продукты, однако только Mozilla (производитель Firefox) и Google (производитель Chrome) исправили ошибки в течении первых суток, Microsoft, в соответствии со свои правилами, обновит свой браузер 12 марта (в течении недели), а о планах обновления модулей других компаний пока ни чего не известно. Причём в приведённых выше базах данных по уязвимостям частично есть данные по времени исправления, однако эти данные почему-то ни кто не анализирует.

Кто трусы ребятам шьёт?
Уж, конечно, не пилот...
С. Михалков

Разработка новых продуктов и технологий - процесс сложный, и не всегда понятно как он происходит. Иногда вначале появляется технология, которую подтачивают под требования заказчика, и получается продукт. Иногда же вначале у компании возникает потребность в решении определенного круга задач, и менеджер принимает решение разрабатывать собственную технологию, которую в определенный момент просто обобщают и превращают в продукт. Какой путь создания продукта более правильный, эффективный и успешный? Не всегда понятно. Поэтому попробуем разобраться в особенностях этих двух подходов.

Технический

Разработчик технологии очень хорошо знает свой собственный продукт, поэтому он может быстро и с минимальными правками решить практически любую задачу клиента. При этом решение может оптимизировано под конкретного заказчика и максимально эффективно решать его задачу.  При этом решение может оказаться достаточно дешёвым, поскольку в нём нет ни чего лишнего. Придельным случаем таких проектов является OpenSource,  который практически не требует финансовых расходов, дает возможность самому клиенту подстроить функциональность под свои нужды и позволяет дописать новый функционал сотрудниками потребителя.

Однако у такого подхода с точки зрения бизнеса очень много минусов. Продукт оказывается не масштабируемым или требует для своего развития держать собственных технических специалистов, которые постоянно его дорабатывали бы. Он привязан к конкретному техническому специалисту, от личности которого зависит работа компании. Он уникален для каждого клиента, и поэтому на техническую поддержку тратится либо слишком много сил, либо её качество отталкивает новых клиентов. В результате, у продукта складывается плохая репутация, и дальнейшее продвижение его на рынок оказывается затруднительным.

Менеджерский

Проект, возглавляемый менеджером, как правило, уже до выпуска имеет одного-двух клиентов, требования которых были положены в основу техзадания и на базе которых продукт создавался и тестировался. Развивается продукт предсказуемо, в строгом соответствии с планом и техзаданием, проходит тестирование и реализует все лучшие практики программирования. В лучшем случае он достаточно масштабируем и легко настраивается - если соответствующие требования были изначально заложены менеджером.  Его цена взвешена и соответствует общерыночным тенденциям на данные типы продуктов. Предусмотрена хорошая поддержка и сопровождение, можно пройти обучение и сертифицировать специалистов для работы с продуктом. Продукт активно рекламируется, и о его использовании не стыдно и рассказать - имидж продукта растёт до небес. Предельным случаем такой модели являются стартапы, которые живут не за счёт клиентов, а на деньги инвесторов.

Однако сути технологий, заложенных в нём, ни кто не понимает. Код написан достаточно грязно, разными людьми и для разных целей. Часто он дублирован, и поэтому размер и производительность оставляет желать лучшего. Он выполняет только заявленные функции, а для добавления какой-то минимальной функции нужно заново проводить весь процесс разработки, поэтому реализуются только те функции, которые нужны как можно большему числу клиентов. В результате, работа с таким продуктом может вылиться для клиента в кругленькую сумму, но полного соответствия требованиям конкретного заказчика может и не случиться - продавцы просто будут убеждать клиента, что такой функционал ему не нужен или его можно чем-нибудь заменить. Особенно ушлые обычно предлагают внедрить ещё один продукт.

Реальность

Собственно, описанные выше модели являются идеальными, которые в жизни встречаются редко. Ибо не всегда технологии в технических проектах так уж хороши, да и менеджеры достаточно часто ошибаются. Успеха же в основном достигают те компании, в которых есть хорошая технология, а менеджер понимает как с её помощью можно решать проблемы клиентов. Когда каждый занимается своим делом, то и приходит успех. В таких проектах плохо становится, когда менеджер начинает настаивать на технических преимуществах продукта, а разработчик вдруг решает, что может сам руководить компанией.

При этом в успешных проектах часто возникает впечатление, что  основная  сила компании как раз в маркетинге, но это только впечатление, поскольку маркетинговая активность менеджера на виду, а разработчик практически незаметен. Тем не менее, технические специалисты также активно работают, создавая новый функционал по требованиям менеджера. Поэтому не стоит от менеджера требовать технических знаний, а перед технарём оперировать суммами, рисками и сертификатами - эти сущности обитают в параллельных мирах.

К 2020 году планируется все автомобили должны быть оснащены терминалами системы Экстренного Реагирования на Аварии (ЭРА-ГЛОНАСС), которые будут сообщать в центр данные о местоположении автомобиля, а также о срабатывании различных датчиков. Обязательными являются тревожная кнопка, которую автовладелец может нажать в любой момент, внутренний акселерометр и датчик аварии. Однако производители устройств могут подключать дополнительные датчики - вплоть до считывателя данных с диагностической шины автомобиля.

Прежде, чем говорить о информационных рисках, которые принесёт такое нововведение, следует немного сказать о преимуществах. Когда во всех автомобилях будут установлены подобные устройства, а ТС без модуля будет признаваться технически неисправными, то это позволит автоматически определять аварии, угоны и даже проводить дистанционную диагностику автотранспорта. При этом технология опирается на мобильную связь стандарта GSM, на самый простой её вариант - голос. Данные из ТС в центр будут поступать в виде специальных сообщений MSD, которые центром будут расшифровываться, преобразовываться в XML и рассылаться во все заинтересованные системы. При этом сигнал передается в виде тонового набора в голосовом канале - эта разработка была реализована в европейской системе eCall, а наша система будет с ней совместима, но в российской системе передача сообщений может дублироваться и по SMS.

В системе появляются следующие элементы, которые могут быть подвержены нападению:

• Терминал. Скорее всего, наиболее популярны будут модели устройств на базе какой-нибудь мобильной платформу - скорее всего не iOS. А если предположить, что их в основном будут делать в Китае, то велика вероятность, что в этих устройствах будет установлен Android. Именно такие устройства, которые будут похожи на современные навигаторы, и будут основными для подобных терминалов, поскольку их будут продвигать и страховщики, и охранники, и телевизионщики, и сами производители автомобилей. Понятно, что к тому времени, когда эти устройства станут обязательными, платформу научаться взламывать. Впрочем, основным вектором атаки, скорее всего, будут троянцы, устанавливаемые на устройство самими пользователями.
  
• Канал связи. Устройства будут подключаться по GSM-каналу, причем через специального виртуального оператора "ЭРА-ГЛОНАСС", что позволит атаковать терминалы в том числе и через мобильную сеть. В частности, вполне возможна атака с фальшивой базовой станцией. Следует отметить, что взломом в данном случае можно также считать и вывод из строя связи, поскольку если устройство не сможет сообщить в центр данные, например, о взломе дверного замка, то и система не сработает как должно. А продукты для глушения GSM-сигналов сейчас достаточно распространены.
  
• Сама система. Поскольку система завязана на SIM-карту, то физический взлом терминала и установка его SIM-карты в любой смартфон позволит навязать системе совсем другую информацию об автомобиле. Вполне возможно, что и само сообщение MSD также можно будет подделать, что позволит обойтись без физического доступа к терминалу, и, например, дистанционно сымитировать угон.

Постараемся представить насколько такая системы может быть опасна и какие риски она порождает?

• Слежка. Первая угроза, которая приходит в голову - это контроль за перемещениями человека в его личном автотранспорте. Минимальная система, скорее всего, будет срабатывать только  в случае чрезвычайных ситуаций, поскольку постоянно посылать сообщения - накладно. Поэтому предотвращать угон такая система не будет. Скорее всего защита от угона - это будет дополнительная услуга, предоставляемая за дополнительную плату. Однако при взломе терминала вполне могут возникнуть проблема со слежкой.
  
• Сюрпризы. Процессоры, управляющий двигателем и бортовой электроникой, традиционно разделены, поэтому взлом терминала не всегда будет эквивалентен получению контроля над автомобилем. Тем не менее, удаленный взлом устройства, возможно, позволит злоумышленникам получить доступ к навигационной информации, мультимедийной системе, климат-контролю и другим не менее важным бортовым системам автомобиля. Вполне возможно, что появится новый тип нападений на автомобилиста, который позволит злоумышленникам реализовывать самые разнообразные модели получения денег с автовладельцев от выкупа за разблокирование музыкального центра до доступа к кошельку, через который оплачиваются дополнительные услуги, поставляемые на устройство.
  
• Угон. Вполне возможно, что старыми методами угнать машину безнаказанно будет непросто, поскольку терминалы будут сообщать о местоположении автомобиля в правоохранительные органы. Однако наверняка появятся новые способы угона, которые позволят делать это в том числе и при помощи сети. Например, взломав навигационную систему автомобиля дистанционно по сети, хакеры смогут так подкорректировать маршрут большегрузной машины, чтобы она приехала сама к их складу.

Таким образом, решая одни проблемы новые технологии приводят к появлению других, не менее сложных. При этом стоит заранее озаботиться будущими проблемами безопасности и по мере создания продуктов постоянно помнить о них. Вполне возможно, что сейчас ещё можно избежать проблем, используя для построения продуктов для работы с "ЭРА-ГЛОНАСС" продукты, которые будут более защищены от внешних угроз, чем популярные сейчас мобильные платформы.

Освобождение программистов во время кризиса может привести усилению активности мошенников и преступников - они смогут привлекать более профессиональных специалистов. Об усилении вредоносной активности может говорить, например, вирусная эпидемия, которая началась 13 января. О ней можно прочитать в предыдущем посте.

Ситуацию уже прокомментировал Сергей Гордейчик, технический директор Positive Technologies:

Вредоносное ПО - только вершина айсберга. Речь может идти об усложнении мошеннических схем, более продуманных атаках, изощрённых инструментах. Здесь нет ничего специфичного для ИТ. Заработки снижаются, люди начинают искать подработки, зачастую находят их в "серой" зоне рынка. Причём исполнитель может и не догадываться (или закрывать глаза) на то, как будут использоваться результаты его труда. Вот пример:

Работаю я на обычном заказном программировании. Был заказчик, который представился как магазин электроники, ну и ему нужна была почтовая система. Написал, деньги получил, все пучком. А потом жопа - выяснилось, что товарищ этот - не магазин электроники а фишер, и моей почтовой прогой свой фишинг-спам рассылал. Причем, веселуха - нашли это не наши менты (вот сюрприз был бы), а штатовские им про это сообщили, и меня назвали чуть ли не "мозгом преступной группы" (тк техническая часть моя использовалась). Причём фишер серьёзный - наворовал не один лям.

Первоисточник: http://www.securitylab.ru/forum/forum23/topic47563/messages/

Тоже самое происходит повсеместно. Только одни срезают метры проводов для сдачи на цветмет, другие участвуют в сомнительных проектах. Еще раз повторюсь, не всегда осознано. Ну пишет человек "перехватчик Winsock и анализатор протокола HTTPS", какая ему разница куда его встроит заказчик - в сетевой анализатор или банковский троян?

Так что программистам стоит следить за тем, на кого он работает, а иначе могут возникнуть проблемы при въезде в США.

Новый год начался с эпидемии нового червя. Она может стать самой массовой за всю историю вредоносной активности. По данным компании F-Secure, которая именует вредоноса как Downadup, в пятницу червь заразил около 9 млн. компьютеров по всему миру. Специалисты компании Panda Security, которые называют этого же червя Conficker, отметили, что эпидемию вызвала третья модификация вредоноса. Первые заражения этим вредоносным кодом были зафиксированы в конце ноября прошлого года. Однако в базе данных "Лаборатории Касперского", где данный червь значиться как Kido.bt, запись датирована 2 января 2009 года. Компания Dr. Web, антивирус которого определяет данного червя как Shadow или Autorunner.5555, утверждает, что червь использует сложный полиморфный механизм для скрытия своего присутствия в системе.

Червь распространяется на съемных носителях и прописывает свой автозапуск в файле autorun.inf в том числе и на жестких дисках. Кроме того, он использует для проникновения на компьютеры уязвимость в протоколе RPC, которая описана Microsoft в бюллетене MS08-067 и имеет соответствующие исправления. Червь также навпространяется по сети с помощью протокола SMB, пытаясь подобрать пароли для открытых каталогов.

После проникновения на компьютер червь пытается заразить процессы rundll32.exe, svchost.exe и explorer.exe, перехватывая работу с DNS-системой для блокировки доступа к сайтам антивирусных компаний, а кроме того, прячется в папке RECYCLER, куда операционная система складывает удаленные документы. По оценкам экспертов основная цель нового червя - создать зомби-сеть для дальнейшей перепродажи.

Компания F-Secure контролирует распространение червя. Так 13 января было зафиксировано 2,5 млн. зараженных компьютеров, 14 января - 3,5, а уже 16 января - 9 млн. Правда, по статистике компании Panda Security количество заражений червем в пятницу и субботу было примерно одинаковым, а уже в воскресенье наметилась тенденция к снижению числа обнаруженных вредоносов. При этом F-Secure проанализировала IP-адреса зараженных компьютеров и обнаружила, что лидерами в данной эпидемии являются страны Китай (38277 зараженных IP), Бразилия (34814 заражений), Россия (24,526) и Индия (16,497), то есть под ударом оказались страны БРИК.

Вообще создается ощущение, что таблица заражения вирусом скорее является таблицей уровня пиратства в странах. Похоже, заражаются только компьютеры, на которых установлены пиратские версии ОС и антивирусов. Вот комментарий, который оставил в форуме "Лаборатории Касперского" пользователь под именем juma:

Слушай, вот предсталяешь у меня 5 сеток то есть 5 совершенно разных кантор, в четырех из них настроено все просто идиально: лицензионная ОС Windows на каждой рабочей станции с включенных автообновлением, "Касперский" корпаративная лицензия как на станциях так и на серваках с тем же лицензионным 2003 сервером, железобетонный фаервол. Автозагрузка с флэшек не отключена, так как считаю это бесполезным. В итоге в этих 4х конторах из пяти вирусов нет и не было, только юзеры приносили на флешках, но каспер их тут же удалял. У юзеров права ограничены. ВИРУСОВ НЕТ и НЕ БУДЕТ. А вот с пятой конторой я сам накосячил и признаю это - каспер стоял только на половине машин, в общей сложности их там 50 штук, как следствие вирус проник туда без особого труда, да и то смог распростаниться только лишь на половину рабочих мест потому как на все остальные машины касперский с легкостью предотвращал атаки. Не было качественного фаервола там была бы катастрофа, а так вирь просто посидел денек, поперегружал сетку, да я его за выходные выкурили и заплатки накатил, да и лицензии касперского прикупил...

Компания Digital Security открыла сайт, на котором публикует свои исследования по найденным компанией уязвимостям в различных продуктах. В основном это касается CMS-систем RunCMS, Blogcms, phpCMS, Azucar CMS, Pluck CMS и других, хотя есть публикации по дырам в базах Oracle и SAP Netviewer. Первые уязвимости датируются декабрем 2007 года.
Компания также занимается публикацией эксплойтов к исправленным уязвимостям Oracle и RunCMS. Эта дейстельность более молодая - первый эксплойт для Oracle датируется 21 декабря 2008 года.
Собственно, Илья Медведовский ещё на InfoSecurity 2008 хвалился тем, что они набрали штат исследователей по безопасности - тогда же они опубликовали первый доклад по исследованию безопасности СУБД Oracle. Я попросил прокомментировать ситуацию Сергея Гордейчика, технического директора Positive Technologies. Его компания компания также проводила аналогичные исследования, но с определенного момента перестала это делать. Он ответил примерно следующее: "Публикация сведений о дырах в ПО крупных производителей может привести к проблемам с этими компаниями. Мы этого не хотим, поэтому общаемся напрямую с производителями, не публикуя конкретные результаты наших исследований." Его ответ подробнее был опубликован мною ранее под названием "Позитивные" исследования.

Недавно прошел четвертый "ИнфоФорум-Евразия". Отзывы на него неоднозначные. В частности, Алексей Сабанов, коммерческий директор Aladdin, написал следующее:

В принципе Инфофорум «усыхает» как по количеству интересных для общения специалистов, так и по кругу обсуждаемых вопросов.

Как только на форум перестали ходить крупные заказчики, стало меньше разработчиков (выступать перед своими коллегами большого смысла не имеет – проще пригласить их в офис), практически не видно интеграторов (пропал смысл появления), да и контролирующие органы приходят для галочки или порешать необходимые им вопросы.

Плюс к этому, год от года растёт уровень бардака организационной составляющей "Инфофорума" (типичные примеры: несоблюдение регламента, традиционно плохая организация питания участников и особенно обедов, несоответствие аудитории количеству народа и т.п.) и при этом - неуклонное повышение стоимости участия. Всё это скоро приведёт к тому, что смысла посещать «Инфофорум» не увидят даже новички рынка ИБ.

Все перечисленное в полной мере отражается и на секциях. Круглый стол №3 ("Проблемы доверия и идентификации пользователя информационно-коммуникационных услуг", который за неделю до форума объединили с круглым столом №2 – «Защита баз данных») где-то проходил под кодовым названием секции №3, где-то как круглый стол, тем не менее собрал более 50 участников даже несмотря на то, что его «загнали» в весьма тесную и неудобную для презентаций аудиторию, рассчитанную на 25 человек и располагающуюся на шестом (!) этаже.

Тем не менее доклады все же состоялись. Наибольший интерес вызвали доклады по практике создания системы «Одного окна» в СПб, вопросы аутентификации и использования защищенных носителей ключевой информации (весьма актуальный вопрос), анализ уязвимостей Web-сайтов применительно к системам интернет-банкинга.

Общее резюме следующее: уровень угроз непрерывно растёт, вдобавок растут требования регуляторов (пример – закон 152 о перс.данных плюс Пост.781). В этих условиях специалистам по защите информации, во-первых, требуется постоянно повышать квалификацию и отслеживать появление новых технологий, во-вторых, повышать процент применения сертифицированных средств защиты. Поэтому конференции нужны, но организовывать их надо лучше.

В то же время, мне показалось, что прошедший форум был достаточно живым. Хотя крупных заказчиков действительно не было, однако присутствовало достаточно много представителей компаний, которые работают с государственными структурами. Поэтому для ИБ-компании, которая ведет бизнес с ГОсударством, это один из главных форумов в году. На нем, не смотря на все проблемы, было несколько новых игроков рынка ИБ, которые расчитывают работать с государственными заказчиками.

К тому же на "ИнфоФоруме" можно традиционно узнать мнение государственных чиновников и зафиксировать произошедшие изменения в их позициях. Так что с точки зрения бизнеса, возможно, участие в "ИнфоФоруме" и не представляет интереса, но для меня, как для журналиста, посетить его было очень поучительно.

Анализ поисковых запросов по теме межсетевых экранов показывает, что пользователи не любят термин "Межсетевой экран". Они используют, как правило, первональное обозначение firewall (39094 запросов в месяц) или его транскрипции на русский - фаервол (11699 запросов и 4-е место) или файрвол (7713 запросов и 8 место), а также транскрипцию с немецкого - брандмауэр (7062 и 9 место). В то же время популярностью пользуются конкретные марки межсетевых экранов: outpost (23808 запросов), kerio (22512 запросов) и торговая марка принадлежащего этой компании межсетевого экрана winroute (11666 запросов) и comodo (7928). Всего по десяти первым позициям получается 85414 запросов по трем лидерами и 145938 поисковых запросов по десятке лидеров в месяц. Это показывает достаточно высокий интерес к технологии межсетевых экранов с стороны посетителей Internet.

Статистика Google показывает следующее: по тематике firwall в Internet поисковая машина обнаружила около 86,5 млн. ссылок по данной теме. Торговые марки распределились следующим образом: Outpost - 15,8 млн. ссылок, Сomodo - 15,4 млн. ссылок и Kerio - 5,69 млн. ссылок. Таким образом, можно отметить, что в Internet достаточно много материалов по тематике межсетевых экранов, что также говорит о популярности темы.

Если сравнивать интерес к торговым маркам межсетевых экранов со стороны блогеров, то здесь также можно заметить лидерство Outpost - в среднем про этот межсетевой экран пишется 7 сообщений, а максимальное их количество 34 зафиксировано 24 и 25 апреля. Следующим по популярности идут Kerio с 2 ежедневными новостями и максимумом 14 сообщений 15 и 16 мая, а также Comodo также с 2 ежедневными сообщениями и масимумом в 12 записей 24 и 25 мая. Наиболее интересная ситуация с межсетевым экраном Panda, про который ежедневно пишется всего 1 новость, однако максимальный всплеск интереса к нему, который зафиксирован 16 и 17 мая перехлестывает даже максимум Outpost - 45 сообщений за два дня. Правда, все найденные "Яндексом" сообщения распологаются в блоге antivirpanda.nm.ru и написаны не для пользователей, а для обмана поисковой машины. Это означает, что пираты попытались использовать бренд Panda для раскрутки своих не вполне легальных сайтов.


Если анализировать интерес СМИ к теме межсетевых экранов, то мы получим следующие результаты: в целом про межсетевые экраны за прошедьшую неделю было написано 28 новости, про Outpost - 3 новости, Comodo - 3 новости и Kerio (вместе с Winroute) - 2 новости. То есть интерес средств массовой информации к технологии межсетевых экранов достаточно слабый, в отличии от антивирусной тематики.

Попытаемся проанализировать какие методы взлома наиболее популярны у хакеров. Для начала проведем оценку запросов к поисковой системе "Яндекс". Оказывается, что больше всего запросов посвящено взлому паролей (23318 запросов в течении месяца), взлому icq (10249 запросов) и программе для подбора паролей brutus (6714 запросов). В сумме получается 40281 запросов с месяц только от лидеров. Первая десятка запросов превышает 60 тыс. ответов в месяц. Правда, в основном запросы связана с взломом паролей: для электронной почты, ICQ, архивов, игровых серверов. В то же время такое "интеллектуальное" нападение как XSS находится на 8 месте с результатом 2308 запросов в течении ближайшего месяца, SQL-инъекции находятся на 18 месте (720 запросов), а про PHP-инъекции посетители "Яндекса" вообще почти не спрашивают (47 запросов в месяц). Таким образом, можно сделать вывод, что молодые хакеры начинают свою деятельность со взлома паролей.

Если же анализировать количество страниц, найденных Google по теме взломов, то окажется, что лидирует программа для взлома пароля brutus, которая упоминается по менению поисковой машины Google на 5620 тыс. страниц. Менее популярными являются XSS-нападения (3720 тыс. обнаруженных страниц), SQL injecton (2380 тыс. ссылок), "взлом сайта" (1310 тыс. ссылок) и PHP-injection (345 тыс. ссылок). Таким образом, можно отметить, что и содержание Internet также в основном направлено на удовлетворение потребности во взломе паролей.

Если же анализировать сообщения, публикуемые в блогах, с помощью сервиса "Блоги:пульс", компании "Яндекс", то можно отметить, что наиболее популярной темой для блогеров является XSS-нападение. Оно обсуждалось за последние 2 месяца в среднем в каждом 14 сообщении, а максимум интереса к этой теме был 21 - 22 апреля, когда было опубликовано 104 сообщения. На втором месте тема взломов различных сервисов и паролей к ним - ежедневно про это публикуется 8 сообщений с максимумом 8 и 9 апреля, когда было обнаружено 26 записей. Тема инъекций находится на третьем месте со средним результатом 4 сообщения в день и максимумом 20 и 21 мая, когда было набрано 12 записей. Аутсайдером является программа для взлома паролей Brutus, про которую пишут в среднем 1 раз в день, а 18 и 19 мая - 14 сообщений. То есть для блогеров более интересны методы взлома через XSS, чем с помощью подбора паролей.


Если анализировать публикации в СМИ с помощью сервиса "Яндекс:новости", то окажется, что самой популярной темой является различные взломы - о ней было найдено 39 сообщений за прошедшую неделю. Сравнимый интерес показывают СМИ и по различным типам инъекций - 37 статей за неделю. Тема XSS волнует журналистов несколько меньше - 27 раз на прошлой неделе в прессе было опубликовано это сичетание букв. В то же время про Brutus журналисты вообще не знают - ни одного сообщения о нем не было.