Дуй на воду, или почему биткоин стал персоной "нон грата" в России?
информационная безопасность, information security, searchinform
securityinform

Пожалуй, самое странное из всех противостояний, в которых  Россия участвует в последнее время - это противостояние против мирового рынка криптовалют, и в частности, легендарного биткоина. Когда мы воюем с ИГИЛ - это вполне понятно, когда на прицеле торрент-трекеры - тоже объяснимо, но борьба с биткоинами выглядит несколько загадочной. Но поскольку она напрямую связана с вопросами информационной безопасности, думаю, будет совсем не лишним затронуть её в нашем корпоративном блоге.

Затронуть все аспекты причин антипатии отчизны к криптовалютам, нужно сначала спросить себя - зачем вообще нужен биткоин, если уже есть PayPal, Google Checkout и прочие  Western Union? В отличие от всех этих привычных программ, биткоин предлагает полностью анонимные платежи и свободу сделок. Используя биткоин не требуется регистрация, скан паспорта, отправление sms или ввод персональных данных. И именно поэтому биткоины популярны везде - в том числе, и среди тех, против кого борется сегодня российское государство.
Биткоин-платежи не требуют открытия расчетного счета и поэтому осуществить их проще, чем, например, по пластиковой карте. Все, что требуется – это единожды установить программу-кошелек на свой компьютер или смартфон и ввести адрес (перечень из неудобочитаемых 24-37 латинских букв и цифр, что-то вроде 1LFC9RRsJkTQFvf7pVF6dZX14uCCQ4bhDX). Чтобы осуществить оплату или принять ее, требуется лишь нажать одну соответствующую кнопку. Чтобы было проще вводить адрес пользователя, многие кошельки могут считать адрес в виде QR-кода или с помощью NFC технологии.
Несмотря на такую анонимность, все платежи прозрачны. Биткоин позволяет полностью контролировать свои деньги. И чужие тоже - как то ни парадоксально.
Вся информация о денежной массе биткоина находится в свободном доступе. Ее можно проверять и использовать в реальном времени, необходимо лишь зайти в блокчейн. При этом ни один человек или организация не могут их контролировать потому что биткоин-протоколы криптографически защищены. Любой желающий может отследить каждое перемещение денег, но никто не сможет узнать, какой человек стоит за конкретным кошельком. Т.е., например, налоговая при необходимости сможет увидеть сумму и ее перемещение, но она никогда не узнает чьи это деньги и на что они были потрачены. Думаю, что это свойство криптовалют тоже вызывает мало симпатий у современных российских законодателей.
В общем и целом, думаю, основная мысль понятна. Контролировать биткоин трудно, поэтому его стараются запретить. Ну, как тут не провести аналогию с DLP-системами! Во многих компаниях вместо внедрения DLP просто вводят запрет на соцсети, Скайп и т.д. по списку. К сожалению, приводит это только к полной невозможности контролировать использование сотрудниками организации указанных каналов передачи данных. Вместо безопасности компания получает её иллюзию. Думаю, проведенные параллели всем понятны - внедрение DLP в масштабах государства было бы куда эффективнее, чем простые запреты...

Думаю, к теме биткоинов мы еще вернемся, пока же хочется услышать мнение уважаемой аудитории по поднятому вопросу.


Может ли имидж компании быть частью должностных обязанностей сотрудников службы ИБ?
информационная безопасность, information security, searchinform
securityinform
Одной из основных корпоративных наработок в любой организации является ее имидж. Если ваша компания обладает высокой репутацией, то такое предприятие может не опасаться кризисов или же иных экономических катаклизмов – у вашей компании клиенты будут практически всегда. По данной причине имидж, равно как и репутация, строятся очень внимательно и не менее внимательно оберегаются от различных посягательств. Казалось бы, при чем тут ИБ?..

Сегодня суды рассматривают большое количество исков, которые связаны с защитой деловой репутации. Суммы выплат провинившихся в таких делах бывают довольно большими. Потому компании, которые обладают самыми дорогими брендами, обладают также и по-настоящему безупречной репутацией. Ведь именно эта репутация является залогом успеха компании на рынке уже долгие десятилетия.
Сегодня угрозы репутации организации могут происходить далеко не только «снаружи». Большое количество конфликтов, возникающих между конкурирующими компаниями, случается как раз по поводу репутации фирм. Нужно также помнить и о внутренних угрозах для имиджа фирмы – речь о тех сотрудниках компании, кто занимается распространением негативных данных о ней, зачастую не имеющих абсолютно ничего общего с реальностью. Такие угрозы иногда могут навредить намного больше, нежели конкурирующие компании. При этом наказывать сотрудников за такое поведение бывает намного сложнее, нежели даже наказать сильного конкурента. Вот вам и ИБ в чистом виде.

Социальные сети сегодня являются важнейшим источником информации для множества людей. Речь в этом случае идет не только лишь о социально активных молодых людях, ведь сегодня есть и «взрослые» деловые социальные сети, самым лучшим примером которых является LinkedIn. Поэтому контроль за репутацией компании, а также за ее представительством в социальных сетях является достаточно важным - и возложить его имеет смысл именно на отдел информационной безопасности.

Как считают аналитики, в будущем роль социальных сетей вырастет очень сильно, поэтому те фирмы, которые будут заниматься контролем над соцсетями сегодня, в будущем смогут получить очень большое преимущество.

Экономика похищения данных
информационная безопасность, information security, searchinform
securityinform

Прошлый пост о ботнетах натолкнул меня на продолжение в виде рассказа о том, почему выгодно красть информацию как с помощью них, так и с помощью подкупа сотрудников. Для начала расскажу о ботнетах.

Чтобы узнать, сколько стоит построение ботнета, можно заглянуть на специальные форумы. Их хватает даже в "белом" интернете, что уж говорить о "тёмной" паутине. Нужно сказать, что продажа такого софта и подобных услуг 100%  нелегальна, поэтому не воспринимайте это как инструкцию к действию! Несмотря на незаконный статус такой деятельности,  продавцы смело размещают объявления. Стоит ли так рисковать?.. Впроче, простите, я отвлекся.
Сам бот (вредонос, из которых состоит ботнет) стоит на таких форумах от $5 до $1000 в зависимости от "навороченности". Стоимость зависит от функций и задач ботнета, от умения "прятаться" от антивирусов и прочего. Стоимость готового ботнета обычно намного выше. Легко можно найти предложения за $200  тыс. и более. но его покупка - это удел тех, кому лень разбираться или некогда ждать. К слову, чтобы создать ботнет, сегодня никакими навыками программирования обладать не нужно.

Итак, потратив $1000, вы получаете возможность заразить компьютерную сеть предприятия, где есть нужные вам данные. Сколько могут стоить они? Это тема отдельного эссе или даже целой книги.

Например, если есть бизнес-план на $1 млн., то его похищение конкурентами может вам стоить заказов на $1 млн * рентабельность компании * срок реализации бизнес-плана, т.е. уже $10 млн. Если есть разработка отдела R&D (не важно, какая - программный продукт, инженерное устройство или даже шрифт, нарисованный дизайнером), то её стоимость - зарплата отела * время разработки. Если же посчитать недополученную прибыль, результат можно смело умножать на 10 или даже 20.

Согласитесь, что $1000, потраченные на ботнет, или даже $10000, вложенные в руки сотрудника, который принесет все на блюдечке с голубой каемочкой, - это очень выгодная инвестиция. К сожалению, Ваши конкуренты это отлично понимают...


DLP и ботнет: роль - необычная, польза - большая
информационная безопасность, information security, searchinform
securityinform

Недавно довелось наблюдать ситуацию, когда DLP-система выявила необычную активность в сети. Но причиной её, вопреки обыкновению, стали не пользователи, забывающие о необходимости следовать канонам политики информационной безопасности, а вредоносный код, превративший ощутимую часть компьютеров компании в  "зомби". Установленный повсеместно антивирус именитого производителя оказался совершенно бессилен, и если бы не DLP, сложно сказать, что успел бы натворить "ботовод".

Конечно, нельзя не сказать, что это не очень хорошо для отдела информационной безопасности - допускать такого рода заражения, ведь вредонос (об этом пойдет речь  ниже) может также стать причиной утечек важных для компании данных. Но поскольку "зомби" начали проявлять себя пересылкой по электронной почте подозрительных сообщений, можно сказать, что они все стали своего рода нарушителями политик ИБ с точки зрения DLP-шки.

Теперь хочу поговорить немного об угрозах со стороны ботнетов. Своего рода бизнес по созданию таких сетей существует уже более 15 лет. Бизнес, надо сказать, весьма прибылен - по разным оценкам, средний ботнет может приносить своему создателю до нескольких сот тысяч долларов ежедневно - в зависимости от способа использования, конечно.
Зомби-сети можно назвать одним из самых популярных на сегодняшний день инструментов киберпреступности. Владелец такой программы может спокойно похитить важные данные компании-конкурента. С другой стороны, ботнетами пользуются как злоумышленники, так и спецслужбы, которые следят за порядком и преступниками.
Обычно же ботнеты занимаются такого рода вещами:


  •    сбор адресов электронной почты;

  •    рассылка спама (при открытых прокси на заражённых компьютерах);

  •    хищение информации о банковских счетах;

  •    коммерческий шпионаж;

  •    распределять нападения типа denial-of-service (Distributed DoS или DDoS);

  •    майнинг биткоинов и иже с ними;

  •    подбор паролей;

В основном, ботнет используют для DDoS-атак на крупные интернет-ресурсы (в странах СНГ обычно на сайты оппозиционной направленности) и для засорения социальных сетей рекламными постами от несуществующих пользователей. Вы, наверное, не раз замечали на своей электронной почте подобные письма. Вот это и есть работа ботнета. Но такое влияние ботнета относительно безопасно даже в случае, если он "завелся" в корпоративной сети.

Совсем другое дело, если "ботовод" понимает, что часть зараженных компьютеров содержат ценные сведения, и принимается их активно копировать в своё хранилище. Обычно таким занимаются китайские ботоводы, выполняющие заказы китайских же компаний. Гонорар за кражу данных значительно меньше расходов на R&D, поэтому этот бизнес в Поднебесной процветает.

Какой вывод можно сделать из этого поста? Он очень прост и даже, я бы сказал, скучен. Иногда DLP-система - единственно спасение для очень и очень важной информации. Впрочем, все об этом и так знают.


Социальная инженерия 80-го уровня
информационная безопасность, information security, searchinform
securityinform

Говоря о социальной инженерии, мы всегда представляем себе какого-то "крутого хакера", который сидит и собирает данные, чтобы поживиться паролем от интернет-банкинга или чем-то не менее вкусным. На самом деле, социальным инженером может оказаться даже ваша соседка по лестничной клетке, легкомысленного вида блондинка с карликовой собачкой. Не верите? Вот вам история, или, как модно сегодня говорить, кейс.

Одна предприимчивая девушка решила познакомиться с иностранцем. Ничего плохого в этом нет, в мире полно интернациональных пар, и вообще, каждый кузнец своему счастью. Но в отличие от большинства других искательниц зарубежного счастья, наша героиня решила зарегистрировать сразу несколько аккаунтов на популярном сайте для знакомств с зарубежными гражданами. Погодите немного, вы узнаете, для чего это было нужно.

Профили были разными - ведь у разных иностранцев разные вкусы. У девушки, о которой идет речь, было много подруг, которые выкладывали свои фото и видео в социальной сети «Вконтакте». Свои профили она наполнила именно с помощью этих материалов. Стоит ли говорить, что подруги были, что называется, ни сном, ни духом?..

На ловца, как говорится, и зверь бежит. Рано или поздно, в каждом из профилей появлялся иностранец, который был готов жениться на девушке. И сразу же случалась какая-то «неприятность»: к примеру, большие долги за лечение сестры, мамы или бабушки, требовались деньги для оплаты кредита и т.п. Некоторые, заподозрив обман, прекращали общение, но кое-кто из более обеспеченных отправлял нужную сумму, еще одну, и еще...

А после девушка пропадала, внезапно и с концами. Что интересно, нашлись и те (видимо, кто-то переслал очень уж много денег), что приехали на место, указанное в анкете, и узнали, само собой, что реальный человек, данные которого использовала мошенница, ничего не подозревал даже о «своем» профиле на сайте знакомств.

К сожалению, от такой ситуации защититься никак нельзя - во всяком случае, тому, чьи фото используются (иностранцу достаточно не платить до первой встречи в реальном мире). Просто нужно знать, что так бывает, и быть готовым к подобным ситуациям.


Как персональные данные могут использоваться для мошенничества с сотовыми операторами
информационная безопасность, information security, searchinform
securityinform

Не так давно мы разбирали, как можно получить кредит по чужому паспорту. Продолжим знакомство в общих чертах с тем, как мошенники могут использовать чужие персональные данных.

Внимание: это ни в коем случае не руководство к действию и не призыв заняться незаконным самообогащением! Пост лишь знакомит в общих чертах со схемами, от которых каждый может пострадать, и иллюстрирует постулат о необходимости защиты персональных данных от утечек.

Итак, представим, что у нас есть некоторое количество паспортных данных жертв, скажем, в виде сканов или ксерокопий. Обсуждавшаяся ранее схема с банковским мошенничеством чрезвычайно сложна; кроме того, нужны "помощники", то есть, сообщники. Куда проще зарегистрироваться на агрегаторе SMS-платежей, который позволяет выводить деньги на анонимную платежную систему, и запастись зарегистрированными на чужой паспорт SIM-картами (чем больше, тем лучше). Кроме того, нужно будет приобрести и «серый» телефон.

Что делается дальше? На сервисе-агрегаторе выкладывается какой-нибудь контент, требующий за его скачивание платную подписку. Сумма выставляется предельно большая (сейчас уже, к счастью, агрегаторы начали вводить лимиты на цену, а то было бы вообще запредельно шоколадно). Как владелец контента, мы мошенник сможет получать до 60% (в зависимости от жадности агрегатора) от суммы, которая списывается за услугу.

Думаю, основная мысль уже понятна. Кликаем «Скачать», указав номер телефона одной из подставных сим-карт. Отправляем сами себе код активации, активируем платную подписку с автопродлением. Повторяем со всеми SIM-картами, выжидая, чтобы не вызвать подозрений у робота платежного агрегатора. Телефон и SIM-карты после этого обычно перепродаются или просто выбрасываются.
Конечно, мобильный оператор может заблокировать подписку уже буквально через несколько дней, но гораздо чаще мошеннику удается таким образом «кормиться» пару месяцев. Потом у его жертвы и у мобильного оператора начинаются проблемы, которые могут завершиться для субъекта персональных данных весьма плачевным образом - особенно если мошенник успеет "раскрутить" оператора на крупную сумму.

Так что берегите свои персональные данные и не  шлите сканы паспортов кому попало. В наши дни этим можно себя очень хорошо подставить.


Как берутся кредиты по чужому паспорту
информационная безопасность, information security, searchinform
securityinform

Каждый из нас знает, что утечка персональных данных, особенно паспортных, чревата тем, что по чужому паспорту могут взять кредит. Но как это происходит в реальной жизни? Конечно, сам автор этого поста по чужим паспортам кредитов не брал, но в целом представляет себе схемы, которыми пользуются мошенники.

Начну издалека. Скажите, только честно - вы когда-нибудь думали о том, куда уходят те данные, которые вы оставляете о себе, заселяясь в гостиницу, или оформляя «скидочную» карту в магазине? Собственно, обычно именно такого рода данные чаще всего и попадают на "чёрный рынок", где их покупатели используют оные для разного рода мошеннических схем, в том числе, и с кредитами.

Газеты часто пугают своего читателя «страшилками»: дескать, имея паспортные данные хакеры легко могут «навешать» на вас большое количество кредитов, подставив, таким образом, вас на всю жизнь. На самом же деле всё несколько сложнее. Приведенную ниже схему провести не удастся, если у хакера не будет сообщника в банке, который принимает решение о выдаче кредита. Стандартная же схема выглядит вот так:
•    Прежде всего, собирается пакет документов, которые нужны для получения кредита. К этому пакету прикладывается скан нужных страниц паспорта.
•    Документы подписываются от «заявителя».
•    Кредит при этом нужно оформлять на карточку, а не наличными.
•    Далее подставной человек (такого называют «дропер») забирает эту карточку в банке.
•    А затем мошенники идут в банкомат, забирают все деньги с карточки (закрыв при этом камеру рукой), после чего исчезают в неизвестном направлении.
Как видите, поставить "на поток" такую "кредитную линию" весьма непросто, потому что, во-первых, банк довольно быстро узнает, кто из его сотрудников в этом замешан (особенно если у него есть "Контур информационной безопасности", который, будучи правильно настроенным, забеспокоится еще на этапе пересылки документов для одобрения кредита). А во-вторых, даже если камеру у банкомата закрыть, всегда найдутся люди, которые могут увидеть подозрительных личностей  у него.

Но такие случаи имеют место быть, хотя есть и более легкие для злоумышленника схемы - все-таки банк, что ни говори, достаточно неплохо защищается от разных мошенников, чего не скажешь о других бизнесах. Но об этом уже не сейчас.


Что нужно для эффективной работы отдела ИБ в компании?
информационная безопасность, information security, searchinform
securityinform
Как я уже когда-то писал, реалии российской ИБ-отрасли таковы, что, к сожалению, во многих компаниях принято считать, что роль службы информационной безопасности должен играть ИТ-отдел. Повторю свою мысль еще раз: ИТ-отдел часто и является источником проблем в сфере ИБ, поэтому при таком подходе о безопасности можно забыть.Но даже наличие в компании выделенного ИБ-подразделения еще недостаточно для того, чтобы говорить о её защищенности от всех информационных угроз. Почему?
Да хотя бы потому, что хорошо работать можно только имея качественные инструменты. В арсенале отдела ИБ должно быть много разных, не всегда дешевых, решений, но сегодня обязательным пунктом плана является приобретение и внедрение DLP-системы.
DLP-системы работают по принципу виртуального защитного контура информационной безопасности, анализирующего весь входящий в компанию трафик и исходящий из неё. Трафик здесь – не только интернет-данные, но и документы, отправляемые на печать, копируемые на внешние носители, «заливаемые» в облако и т.д. При обнаружении в трафике конфиденциальной информации DLP-система сообщит об этом отделу информационной безопасности, а он уже предпримет адекватные угрозе действия.
Выбор DLP-системы – дело непростое, однако полезно помнить, что хорошая DLP-система должна обладать некоторыми немаловажными свойствами:

  • Контроль над всеми возможными каналами утечек информации и немедленное информирование ответственных лиц при обнаружении нарушений политики информационной безопасности

  • Модульная архитектура, позволяющая полностью обеспечить потребности организации в защите от утечек для отдельных каналов передачи информации и избежать лишних затрат

  • Простота и быстрота внедрения, не требующего привлечения сторонних специалистов

  • Нет необходимости изменять существующую в организации сетевую структуру для построения системы защиты от утечек данных

  • Ведение архива перехваченной информации, который может быть использован в будущем при расследовании инцидентов, связанных с информационной безопасностью

  • Интеграция с доменной структурой Windows, упрощающая идентификацию сотрудников, допустивших утечку информации

  • Качественные технологии поиска и распознавания конфиденциальных данных в перехваченном трафике

  • Гибкая система разграничения прав доступа, позволяющая исключить из мониторинга руководителей организации

Как видите, список требований довольно большой, и у каждой отрасли, и даже у каждой компании есть что к нему добавить. Но зато подыскав соответствующее всем требованиям решение, вы сможете получить такие результаты, какие вам не могли бы даже присниться без него.

Социальная инженерия: не хуже любой утечки
информационная безопасность, information security, searchinform
securityinform
Иногда даже никакой утечки информации не нужно, чтобы данные, которые вы где-то почему-то кому-то оставили, были применены против вас же. Потому что в наши дни каждый оставляет в сети такое количество данных, что собрать внушительное досье можно без каких бы то ни было закрытых источников.
Чем, собственно говоря, активно и пользуются разномастные рекламщики и маркетологи. Их, не поверите, интересует в буквальном смысле всё. Где они едят, куда ездят отдыхать и что покупают… Поскольку отраслей, куда можно потом продать данные, бесконечно много, то и список получается весьма и весьма внушительным. Но подробное досье с именами, паролями и явками - удел спецслужб, а никак не маркетологов. Поэтому сперва эту информацию обезличивают. Благодаря данному подходу слежка становится «легальной», при этом собранные данные вы можете сконвертировать в реальные деньги, а также продавать их рекламным компаниям.
В реальной жизни это реализуется, например, с помощью сбора информации о местонахождении владельцев смартфонов. Какой от этого будет прок? Имея на руках такую информацию, компания может показывать рекламу именно в тех местах, где её увидит максимальное количество людей. Красиво пишет в своих рекламных листовках Google: "не продавай рыбе зонтик" - или, как модно говорить сегодня, настраивай ретаргетинг, чтобы твоя реклама нагнала свою жертву на любом сайте.
Но это цветочки. Потому что те же геоданные можно использовать куда менее безобидным способом. Для примера можно взять Twitter, очень популярный сегодня сервис коротких сообщений, и столь же популярный сервис, который позволяет отмечать посещаемые места – речь идет о Foursquare. Интеграция данных сервисов друг с другом будет очень полезной для многих злоумышленников. Человек обитает один в своей квартире, он отправляется на променад в бар, и пишет об этом в твиттере. Заведение, в которое он направился, человек отмечает на сервисе Foursquare. Квартира пустая, вуа-ля.
Кстати, говорят, в свое время именно таким способом похитили сына, вы не поверите, самого Евгения Касперского.
Но даже если вы не пользуетесь Forsquare (честь вам и хвала за это), это вовсе не значит, что соцальные инженеры не найдут чего-нибудь подходящего и для вас. Например, все мы пользуемся вопросами для восстановления паролей (хотя это и не очень эффективно в теперешние времена, но что поделать). Что вы скажете, если я сообщу, что большинство ответов на них гуглятся буквально за пару минут? Не поверите? Какой, говорите, секретный вопрос? Девичья фамилия матери? А это не она там случайно её в скобочках указала на "Одноклассниках"?..
В общем, остается только констатировать, что сегодня социальная инженерия - не меньшее зло, чем утечки данных. Правда, защиты от неё такой же эффективной и удобной, как DLP-системы от утечек, сегодня, к сожалению, нет.

Чем еще хороша работа в ИБ?
информационная безопасность, information security, searchinform
securityinform

Хочу продолжить поднятую в предыдущем посте тему работы в сфере ИБ. И сейчас хочу обратить внимание на несколько моментов, связанных именно с работой на должности офицера ИБ.

Сотрудники отдела информационной безопасности могут надеяться и на гораздо более благоприятные условия, нежели другие специалисты, такие как менеджеры или программисты, которые также работают в сфере информационной безопасности. В отрасли в настоящее время замечено серьезное увеличение количества подобных специалистов, в том числе и с довольно высокой квалификацией. Это объясняется тем, что в России индустрия информбезопасности ещё довольно молодая, и потому многие из компаний только лишь сейчас начинают на самом деле заботиться о защите собственной информации.

Одним из основных факторов, которые увеличивают спрос работодателей на сотрудников сферы ИБ, можно назвать ужесточение законодательства в сфере защиты данных и увеличение популярности внедрения стандартов в области управления рисками. Российской редакцией журнала PCWeek ужесточение запросов к системам для обработки информации названо одним из наиболее важных IТ-трендов сегодняшнего времени. Можно не бояться, что в будущем, с увеличением уровня значимости персональной информации для жизни каждого отдельного российского гражданина, требования начнут  только увеличиваться.
Отдельно необходимо сказать пару слов о перспективах русского (и в общем постсоветского) ИБ-образования. В наше время, к сожалению, сформировавшаяся система ВУЗовской подготовки демонстрирует собственную неэффективность, ведь одни студенты имеют возможность подобрать себе работу уже на младших курсах ВУЗа, тогда как другие могут с большим трудом найти работу уже после завершения высшего учебного заведения. Большое количество курсов переподготовки демонстрирует, что необходимы структурные реформы, но ВУЗы не сильно торопятся с такими реформами. С образованием в области информационной безопасности ситуация гораздо хуже – его в этой сфере почти нет.
В ближайшем будущем ИБ-образование должны постигнуть большие перемены, которые связаны как с увеличением количества готовящихся ИБ-специалистов, так и с большей ориентацией на практику, нежели на фундаментальную подготовку. Соответственно, можно ожидать и появления в большом количестве высших учебных заведений специальностей, которые связаны с информбезопасностью.
Сейчас уже не стоит сомневаться, что информбезопасность является перспективным направлением для любых специалистов, связанных по долгу службы с информтехнологиями. Потому тем сотрудникам, кто собирается работать на перспективу, необходимо обратить на данную сферу наиболее пристальное внимание.


?

Log in

No account? Create an account