Дело было в далёких и нищих 1990-х на одном маленьком, но гордом оборонном объекте, куда автор прибыл по долгу службы.

В сопровождении колоритного усатого прапорщика с автоматом ваш покорный слуга спускается в подземный туннель и подходит к бронированной двери, которая снабжена весьма внушительным электронным устройством со стальными кнопками и маленьким дисплеем.

«Секретная зона. Введите код» – высвечивается на дисплее. Прапорщик как-то небрежно клацает по кнопкам. Зуммер. «Код неверен. Осталось 2 попытки» Я немного напрягся. Снова клац-клац по кнопкам. Зуммер. «Код неверен. Действия записаны. Последняя попытка». В этом месте я уже напрягся всерьёз, прапорщик же не выказывает никаких эмоций. Клац-клац, ввод. Зуммер, красная лампочка. «Оставаться на месте! Выслан вооруженный караул» С невозмутимостью древнеримского сенатора прапорщик дожидается щелчка и открывает дверь, кивая пройти.

Провожая меня по объекту, страж лениво поясняет: «Да сломалась она у нас давно. Но чужие сюда не войдут!»

Tags: безопасность, пароли, пентест

Любопытная заметка. Криминальная хроника. Убийца удалил пальцы и зубы у трупа, чтобы исключить идентификацию жертвы. Но полиция без труда установила личность жертвы по заводскому номеру имплантантов в сиськах.

Вот на какие мысли навело это сообщение вашего покорного слугу. Не надо насиловать моск пользователя, заставляя запоминать длинные неосмысленные пароли. Не надо учинять биометрическую идентификацию, при которой невозможна смена "ключевого материала". Нужно имплантировать аппаратный идентификатор (со сменными ключами, естественно) в тело пользователя. Разумный компромисс. Золотая середина.

Вот только не надо псевдопровокационных вопросов типа «Согласен ли ты сам вживить чип?» Согласен! Если, конечно, в нём будет опенсорсный софт. Можно даже без сертификата ФСТЭК. ;)

Tags: биометрия, защита информации, криминалистика, пароли, футурология

В журнале "Личные деньги" опубликована достаточно подробная статья о хищении денег клиентов "Альфа-банка" через веб-интерфейс управления счётом. Насколько можно понять из статьи, банк использовал однофакторную идентификацию при доступе. То есть, логина и пароля вполне достаточно для перевода сотен тысяч рублей.

Не удивительно, что такая система привлекла мошенников. Разными способами (дублирование SIM-карты, предъявление поддельных документов) они получали пароль, после чего делали с деньгами клиента что хотели и откуда хотели.

Конечно же, не обошлось без человеческого фактора. Кое-где не соблюдены процедуры ИБ. Делается обоснованное предположение о наличии в банке злоумышленного инсайдера. Но всё же при использовании двухфакторной идентификации или хотя бы ключевого файла на компьютере клиента мошенники бы не добились успеха. Значит, можно говорить о конструктивном недостатке ИС.

Ваш покорный слуга, честно говоря, не думал, что злоумышленники станут практиковать подобные хищения через интернет-банк. (Возможно, и разработчики системы тоже этого не предполагали.) Потому что слишком велик риск. При традиционных кардерских техниках списывается 10, 20, может, 30 долларов в расчёте на то, что клиент не заметит, а банку будет экономически невыгодно проводить расследование и отзывать транзакции. Этот расчёт в целом оправдывается вот уже более 20 лет. Нежадные и осторожные кардеры процветают, банки несут вполне терпимые убытки. В отличие от классической схемы, хищение крупных сумм через интернет-банк никак невозможно оставить незамеченным. И смириться с ним клиент не может. Неизбежно будет возбуждено уголовное дело. Мошенников обязательно будут искать, их транзакции отслеживать и отзывать. С другой стороны, 200 тысяч рублей – не та сумма, после кражи которой можно сменить имя и навсегда уехать в тёплые страны. Надо быть идиотом, чтобы заведомо сажать себе на хвост уголовный розыск, совершая столь явное и наглое хищение.

Но, как оказалось, вышеописанная оценка рисков неверна. Русские кибермошенники – более рисковые парни, чем предполагалось. Видимо, банку придётся переходить на двухфакторную идентификацию.

Tags: НСД, банковская тайна, кардинг, оценка рисков, пароли, персональные данные, статья 272, угрозы

«Категорически запрещаются любые изменения конфигурации сетевого оборудования в пятницу после обеда.» из политики безопасности компании InfoWatch

Накануне в ЦУПе отмечали чей-то праздник (не исключено, что даже свой собственный – день космических войск), и главный герой, назовём его Майор, приняв на грудь достойную офицера дозу, решил укрепить информационную безопасность. И поменял пароль. К счастью, только один; на остальные его не хватило, он заснул перед компьютером. На другой день оказалось, что пароль был для доступа к секретному ключу управления одним из спутников, и что нового пароля герой не помнит.

Так и эдак – пароль вспомнить не может. А прикол ситуации в том, что пора проводить коррекцию орбиты. И крайний срок – двое суток. После этого момента спутник будет потерян. За что всему ЦУПу воспоследуют звездюли астрономического масштаба.

Доложили местному начальству. В принципе, резервный ключ управления спутником существует. Хранится он в знаменитом "чёрном чемоданчике" начальника Генштаба. Но до него далеко: три инстанции, три генерала. Каждый, разумеется, не горит желанием получить втык за головотяпство подчинённых, поэтому преодолеть эти инстанции за двое суток выглядит ещё менее реально, чем мотнуться к спутнику на попутных "шатлах".

Чего только не пробовали, чтобы вспомнить пароль – бесполезно. Даже шифр пытались ломать. Куда там! А время идёт. Уже сутки до дидлайна. И тут забрёл в ЦУП опер местного УВД. От отчаяния привлекли и его к решению задачи: «Вот он, деятель! Пароль забыл и вспоминать не хочет. Попробуй сделать что-нибудь, ты же мент. Только бить мы его уже пробовали, не помогло» Поскольку иной надежды не было, космические войска приняли помощь опера и дали ему карт-бланш. Но в душе цуповцы уже смирились с потерей спутника и предстоящим звездопадом (с погон).

Запершись в кабинете с несчастным майором, опер начал работать. Когда на утро туда проникли сотрудники ЦУПа, их взгляду предстало эпическое полотно. Оба – космический майор и милицейский капитан – лежали под столом в бессознательном состоянии в окружении пустых бутылок. А на столе виднелась сигаретная пачка, на которой был нацарапан вожделенный пароль. До коррекции орбиты оставалось полчаса.

Tags: кадры, пароли, угрозы, шифрование

Есть мнение, что некоторые предприятия намеренно затрудняют сохранение конфиденциальности персональных данных. Речь о хранении ПД их субъектом (владельцем). Генерируя и требуя хранить в тайне всё новые и новые данные (пароли, номера банковских карт, пин-коды и т.п.), операторы вынуждают клиентов их записывать в небезопасных местах.

Вот выдержка из одной дискуссии в ЖЖ по поводу информации в мобильниках:

"у меня среди телефонов записаны номер паспорта, загран-паспорта, голландский ID-номер, номера кредиток, номер страхового свидетельства. полезно, когда анкеты заполняешь..."
"А я в смс-ках сохраненных берегу кучу нужных цифр, паролей и прочих важных данных. Точнее в одной и все насыпом - глядя на данные сразу узнаю что за они и зачем нужны."
"Пин-коды к картам можно тоже записывать. И обязательно делать пометки, где какой банк."
"у меня пин-коды банковских карточек, свой номер телефона - никогда не могу запомнить свои номера..."
"У меня тоже все пинкоды на симке хранятся, карточки соответственно Виза, Маэстро."

Защита информации – это не только обеспечение её конфиденциальности, целостности и доступности. Это ещё и соблюдение разумного объёма данных.

Одно дело – информационная система банка, совсем другое – память человека и доступные ему средства конфиденциального хранения. Говоря клиенту "запомните свой пин-код и держите его в тайне", оператор порой совершает довольно циничную вещь. Он перекладывает ответственность на своего клиента, заведомо зная, что тот не в состоянии обеспечить конфиденциальность персональных данных или иной важной информации. У банка – сертифицированная информационная система, отдел ИБ, шифровальные средства. А у гражданина – что?

Tags: пароли, персональные данные

Внутренний злоумышленник довольно часто использует в своих злоумышленных целях не свой собственный аккаунт, который у него есть, а аккаунт соседа или начальника. Потому что в этом случае чуть труднее доказать его преступление. Особенно если на предприятии нет полноценной DLP-системы, а просто логируется доступ при помощи штатных средств СУБД или веб-сервера.

Здесь шифрование диска бесполезно

У вашего покорного слуги в практике встречался подобный случай неправомерного доступа к корпоративной БД с целью хищения денег (я выступал в суде как специалист). Было очевидно, что злоумышленником являлся кто-то из работников. Внутреннее расследование тогда так и не смогло установить, кто именно. Поэтому виновного попросту назначили, сфальсифицировав доказательства против него. Статья 272 УК, приговор, срок.

Вывод для пользователей: пароль надо пуще беречь от "своих", а "чужие" ему не так страшны.

Tags: криминалистика, пароли

Количество и сложность ИТ-систем растёт, а мозг человека остаётся прежним. Проверено экспериментами на людях: нормальный человек с высшим образованием в состоянии помнить три несловарных пароля длиной по 10-12 символов, меняя их раз в год. Расширение указанного разнообразия приводит к проблемам памяти.

Но в Интернете каждая форумная мелочь желает, чтобы пользователь на ней отдельно зарегистрировался и выбрал уникальный пароль. А мозг-то не резиновый! И работодатель настаивает, чтобы работник использовал в служебных целях свою память. А в ней всего-то 30-40 байтов!

В итоге либо пользователь записывает десятки и сотни своих уникальных паролей, либо задаёт в разных системах одинаковые пароли. То и другое не есть хорошо.

Представляется, что требовать от пользователя уникального (да ещё и длинного) пароля – это значит загрязнять ноосферу. И одновременно – снижать общий уровень безопасности. Каждый, кто делает так, снижает защиту не у себя, а у всех прочих ресурсов, на которых аутентифицируется тот же пользователь.

Давайте уже будем наказывать тех, кто портит ментальную экологию!


UPD: Вот и тов. Лукацкий подтверждает.

Tags: защита информации, пароли, футурология