Category: авто

Category was added automatically. Read all entries about "авто".

white

Утечка данных. Парковка запрещена

Утечки данных приводят к финансовым потерям. В течение десяти лет (а то и более) мы пытаемся донести до общественности этот факт. Но даже сегодня находятся недальновидные руководители компаний, которые отказываются верить в очевидное. Дескать, покажите нам хоть один случай, когда утечка данных привела к потере денег.

Вы спрашивали – мы отвечаем. 15 января компания Park ‘N Fly выпустила официальное заявление, где указывается, что платежные данные ее клиентов были скомпрометированы из-за уязвимости веб-сайта. К расследованию подключились сторонние эксперты по компьютерной форензике. По словам представителей Park ‘N Fly, скомпрометированы номера карт, имена владельцев, коды CVV. Электронные адреса клиентов, телефонные номера и пароли доступа к системе Park ‘N Fly, вероятно, также оказались в руках злоумышленников.

Компания приостановила процессинг платежей, о чем уведомляет на официальном сайте:
parker_program

Park ‘N Fly предоставляет услуги интернет-бронирования парковочных мест в аэропортах. Ранее эксперт по информационной безопасности Брайн Кребс писал в своем блоге о появлении на черном рынке большого объема номеров кредитных карт. Кребс предположил, что данные карт похищены из информационных систем бронирования парковок, принадлежащих Park ‘N Fly и еще одной компании, бронирующей парковки - OneStopParking. Тогда компании отказались признать факт утечки данных.

Брайн Кребс отмечает, что число карт клиентов Park ‘N Fly и OneStopParking, предлагаемых к продаже на черном рынке, исчислялось несколькими тысячами. Карты продавались на тех же «черных» ресурсах, что и дампы карт клиентов Home Depot, Target, Sally Beauty, P.F. Chang’s и Harbor Freight. Хакеры просили от 6 до 9 долларов США за одну запись, включающую имя владельца, адрес и телефон, номер и срок действия карты, трехзначный код подтверждения (CVV).

В 2014 году мы отмечали повышенный интерес злоумышленников к платежным данным, которые обрабатываются в информационных системах ритейлеров. Теперь хакеры добрались и до онлайн-сервисов. Очевидно, в 2015 следует ожидать массовых атак на компании, оперирующие большим объемом платежных данных, но менее защищенные, чем кредитные организации. Это могут быть крупные туристические онлайн-сервисы, системы бронирования авиабилетов, национальные интернет-провайдеры, логистические компании.

Мы настоятельно рекомендуем владельцам этих бизнесов задуматься о безопасности платежных данных своих клиентов. В противном случае масштабная атака, например, на туристический сервис может стать последним событием в жизни такого сервиса.
white

Даром - за амбаром

Обычно бесплатное обходится дороже. Нет, я не о женщинах. Как всегда – о средствах защиты информации.

Купил габровец автомобиль. Однако, расплачиваясь, задержал часть суммы в виде гарантии сроком на месяц. Не прошло и трех дней, как продавец получил обратно автомобильный клаксон от жены покупателя: "Возвращаю вам клаксон, так как мой муж, потренировавшись, выучился гудеть сам. Вычтите стоимость клаксона из остатка причитающейся вам суммы и закройте счет."

Когда говорят о программном обеспечении, нельзя ориентироваться только на цену лицензии. Надо оценивать так называемую совокупную стоимость владения (TCO). Лицензия может даваться бесплатно, однако необходимая аппаратная часть, обслуживание и обучение кадров вместе будут стоить больше, чем для случая платной лицензии.

На самом деле оценка ещё сложнее.

Некоторые компоненты TCO планируемого решения могут быть уже оплачены. Например, персонал. Если необходимые специалисты уже наняты и при этом не слишком загружены, то их стоимость учитывать в общей сумме нелогично. Получается, что такие компоненты как бы достаются нам бесплатно.

Когда речь о DLP-системе, таких неявных компонентов TCO особенно много. При внедрении очень дорого может обойтись классификация информации и рубрикация документов, которые циркулируют по защищаемой сети. В некоторых предприятиях всё надо делать с нуля, а у некоторых – это уже ранее было сделано для других целей.

Для разных средств защиты информации из TCO можно условно вычесть разные составляющие. Или наоборот – условно добавить то, что фактически не требуется. Продавцы частенько этим злоупотребляют и рисуют перед потенциальным покупателем некорректную картину предстоящих расходов.

Стремясь снизить TCO типичного клиента, коммерческие разработчики снижают функциональность и гибкость своего продукта, жертвуют удобством и даже иногда – защищённостью. А создателей так называемого "свободного" софта TCO обычно не очень волнует. Они пишут "как для себя", поэтому чаще всего у них и получается "для себя", то есть с оптимизацией под собственные условия эксплуатации.

Поэтому при совпадении указанных условий бесплатный софт может даже обойтись дешевле проприетарного.

white

ИС такси

Похоже, что налаживается система заказа такси в различных городах России. Эмпирическим путём выявилась наилучшая схема её организации:
  • приложение для смартфона у водителя,
  • постоянный GPS-трекинг машин,
  • расчёт стоимости поездки программой у диспетчера,
  • общение с клиентами посредством СМС и звонков на мобильный.
Схема оказалась выгодной для всех сторон и главное – легко масштабируемой путём подключения индивидуальных таксистов.
       

Серьёзных злохакерских посягательств на эти информационные системы почти не было. Главным образом потому, что пока непонятно, как извлечь деньги. Снизить стоимость своей поездки? Может получиться, но не более чем на 30-40%, иначе заметят. Кроме того, киберзлоумышленники никогда не интересовались получением выгоды натурой, им живые деньги нужны. Другой вариант – мошенничество со стороны водителя, чтобы получать заказы (свои или чужие), но не платить комиссию в диспетчерскую. Такой взлом тоже очень трудно монетизировать, потому что придётся договариваться с сотнями водителей, беря с каждого по три копейки. Нереально.

Есть более реальная угроза для таксистской киберсети. Как бы вы отнеслись, если б в продаже появилась база данных со всеми поездками на такси за несколько лет? Пассажир, время заказа, время посадки, точка отправления, точка назначения, стоимость, машина.

Пассажир/заказчик идентифицируется в большинстве систем по номеру мобильного телефона. Этого достаточно для учёта и расчёта. Но позволяет уклониться от выполнения многообразных, дорогих и взяткоёмких "мер защиты" при обработке персональных данных. Потому что не подпадает под определение ПД:
«персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу» (ЗоПД, ст.3)
«"персональные данные" означают информацию, касающуюся конкретного или могущего быть идентифицированным лица» (Конвенция оЗФЛпАОПД, ст.2)
Критерий ПД – возможность идентифицировать физлицо. А возможности идентификации у всех разные. Гражданский человек как бы не может идентифицировать другого гражданского по номеру мобильного. И на основании этого объявляет, что в его ИС ПД не обрабатываются. Хитрый ход, а экономия выходит такая, что без неё бизнеса просто не получилось бы – настолько дороги "защитные" меры для ПД, предусмотренные законом букетом подзаконных актов.

Ну и как вам возможность узнать полную историю поездок на такси любого "номера телефона"? Ждите. Скоро! На всех рынках России!

white

Когда убеждение не помогло

Статистика утерянных ноутбуков, смартфонов и флешек много лет вопиет о проблеме. Всем давно понятно, что мобильные носители – это утраты, а утраты – это утечки информации. С первым звеном цепочки трудно что-то поделать: слаб человек и грешен; если носит с собой что-то ценное, то непременно потеряет или украдут или как-то иначе прощёлкает. Но второе звено вполне поддаётся лечению: достаточно зашифровать содержимое носителя – и утечки нету, хотя утрата есть.
   

Однако многолетнее капание на мозги не приводит к единодушному и повсеместному шифрованию. Хотя оно было бы в собственных интересах владельца носимого компьютера.

С аналогичными ситуациями человечество уже сталкивалось. И нашло способ решения. Когда человек не желает оберегать сам себя, его принуждают. Рабочий появился на стройке без каски – лишение премии и выговор бригадиру. Водитель не пристегнул ремень безопасности – штраф. Солдат забыл о предохранителе – гауптвахта. Ребёнок ест немытый овощ – атата по попке. Когда человек не желает идти к своему счастью самостоятельно, его гонят туда пинками.

Суть предложения в том, чтобы запретить компаниям покупать ноутбуки и другие мобильные носители информации без встроенных систем шифрования. А продавцам – запретить продавать их корпоративным потребителям – как автозаводам запретили выпускать автомобили без ремней безопасности. Запретов кругом очень много, есть среди них и накладные, есть и довольно глупые. Но на вышеупомянутый – никто не жалуется.

white

Как Левша китайскую блоху проиндексировал

Вы, наверное, слышали, как недавно Россия удивила Запад невдолбенным количеством видеорегистраторов на автомобилях. Они-то думали, что по объёму слежки от Большого брата они впереди планеты всей. Но российский младший брат оказался проворнее старшего. Граждане сами, без помощи государства и крупных корпораций организовали друг за другом такую плотную слежку, что полицейские режимы только завидуют.

Среди моих многочисленных знакомых первым (и пока единственным) обладателем носимого видеорегистратора тоже оказался русский – небезызвестный товарищ arjlover. А его регистратор – достаточно недорогим и удобным устройством.

Судя по всему, в мире стремительно заканчиваются места, которые бы не просматривались камерами видеонаблюдения.

Как-то естественно, несуетно и незаметно весь отснятый миллионами камер материал оказывается в Сети – там хранить удобнее. А когда данные уже там, то открыть к ним доступ – дело одного клика мышью.

Куда же указывает сия тенденция? На алгоритмы и устройства поиска. Навалить 100500 петабайт видео – много ума не надо. Научиться искать, распознавать и аттрибутировать его – вот это настоящий вызов для современной науки. Кто научится, станет вторым Гуглом.

Можно процеживать видеоданные в поисках чего-то полезного – и брать за это деньги с тех, кто смотрит. А можно наоборот, процеживать их в поисках вредного (утечек) – и за это брать деньги с тех, кто снимает. Та и другая задача обещают хорошие доходы.

white

Принуждение к безопасности

Сегодня ваш покорный слуга вернулся из четырёхдневного путешествия. Спешу поделиться дорожным наблюдением, которое будет применимо в первую очередь именно в ИБ.

У нас построили много хороших дорог. Для исключения одного из самых опасных нарушений ПДД – езды по встречной – почти на всех дорогах имеется разделительная полоса. Хорошая такая полоса, физически не преодолимая на гражданской технике. К чему это привело? К тому, что каждые 10 минут ваш покорный слуга, поджав яйца и обливаясь потом, разъезжался с мотоциклистами, нагло прущими в лобовую атаку. Зачем? Затем, что разделительная полоса непреодолима, а ехать километр до ближайшего разворота тут считается западло. И потому в крайнем ряду творится полный кошмар.

Хотели как лучше... Но безопасность вышла боком. Невольно вспоминается вьетнамский опыт борьбы с ПДД, который хочется привести в исполнение собственноручно. Прям, хоть на "zadolba.li" жалуйся!

Вы там у себя в хозяйстве, когда затягиваете гайки при помощи секьюрити-энфорсинга или аппаратных ограничений, всё-таки меру знайте. Не то получится как всегда.

white

Красный ход

Как можно побудить производителей софта интегрировать его с DLP-системами, сделать API для наших перехватчиков и сенсоров?

Вот, появились же в цисковских маршрутизаторах интерфейсы для "lawfull interception" (т.е. СОРМ). Какие большие деньги сразу сэкономились!

Производители замков начали потихоньку поддерживать мастер-ключи для Кого-Надо. Все стороны довольны.

Автомобильные бортовые компьютеры легко отдают всю информацию криминалистам, расследующим ДТП. Честному водителю нечего скрывать.

Заметьте: эти и другие подобные "чёрные ходы" появились не под административным давлением кровавой фэбэерни. А вследствие рыночной выгодности для всех участвующих сторон.

Как только DLP-системы получат существенное распространение, софтопроизводители сами пожелают интеграции. Ведь на поднадзорных компьютерах обычно запрещён любой софт, который не удаётся контролировать. Следовательно, софт, заранее имеющий API для контроля, получит конкурентное преимущество.

Ваш покорный слуга понимает, что это случится не скоро. Но уже в обозримом будущем – статистика продаж об этом свидетельствует. К тому моменту, когда разработчики решат, что интеграция с DLP действительно представляет преимущество, уже должен быть стандарт обмена. Алё, господа конкуренты! Напишем RFC?

white

Переполнение регистров

Британские учёные доложили на конференции "DLP-Russia-2011", что количество нормативных актов и стандартов в области ИТ с некоторых пор растёт существенно быстрее, чем ИТ-бюджеты и численность ИТ-персонала.

Из этого неизбежно следует, что исполняться они не будут. Нормативку ведь не загонишь в облака и не автоматизируешь, чтоб по одному нажатию приводились в соответствие разом 1500 информационных систем.

Правила дорожного движения с трудом удерживаются в объёме, который бы влезал в мозг среднего гомера симпсона. Ещё немного – и удержать ПДД в оперативной памяти станет невозможно.

Казалось бы, стандарты должны служить айтишнику путеводителем и тем самым ускорять наведение порядка. Казалось бы, айтишные НПА должны заставлять и стимулировать работу служб ИБ, побуждать руководство такие службы нанимать и содержать. И тем самым, опять же, оптимизировать.

Только эффект иногда получается обратным.

Когда количество регулирующих норм превышает некоторый предел, эти нормы перестают помогать обычному работнику. Но вызывают появление новой профессии – знатока норм. Так вышло с законами. Примерно до X-XI века н.э. вся совокупность существующих законов укладывалась в голове обычного человека. А потом стали нужны юристы. Ныне юрист, специализирующийся на одной отрасли права, совсем не знает соседнюю отрасль. Про обычного человека и говорить нечего.

Думаю, можно уже планировать в штатном расписании должность стандартоведа – специалиста по техническим стандартам ИТ. Он сам этих стандартов не исполняет, только следит, чтоб исполняли другие – программисты, проектировщики, дизайнеры, проджект-менеджеры, офицеры ИБ.

white

"Командир, может, договоримся?"

Навели тут добрые люди на статью про новое оснащение гаишников:
«Планшетник обеспечит связь с центральным сервером. Инспектору нет необходимости связываться с дежурной частью, "пробивать" по базе номера. На экране планшетника он увидит не только, где и когда зарегистрирована машина, но вообще все, что есть во всех информационных базах.»
Сразу же вспомнилось.

Когда я служил в маленьком отделении милиции, мы тоже постоянно "пробивали по базе" встречные, проезжие и остановленные машины. Ты туда – госномер, марку, цвет, а если не лень, то ещё номера кузова и двигателя. Тебе оттуда – соответствуют ли данные друг другу, числятся ли в розыске. Ноутбуков и, тем более, планшетов у нас тогда не было, так что пользовались голосовым интерфейсом через рацию или телефон. В эфире постоянно сыпалась цифирь от проверяемых машин.

И вот какая особенность. Если машина "неправильная" или в розыске, то отвертеться от задержания уже невозможно. Вот такие, к примеру, диалоги слышались в эфире:
Инспектор: Мерседес-300, белый, госномер [номер], кузов [номер], двигатель [номер]. Приём.
Дежурная часть: Пятьсот один! [т.е. в розыске]
Другой экипаж: Поздравляю!
Третий экипаж: С тебя причитается!
Дежурная часть: Высылаю ГНР.
Чтобы отпустить пойманного мерседеса за взятку – не могло быть и речи. А на всяких неправильных парковках и отсутствии огнетушителей много бабла не срубишь. Что делать?

Со временем была выработана особая технология "пробивки по базам", при которой обнаружение разыскиваемого объекта официально не фиксировалось. И можно было разобраться с ним неофициально. Как? Даже не спрашивайте. Коммерческая тайна.

С ноутбуками и планшетниками тоже, наверняка, можно что-то придумать. Патч, кряк, лоадер, альтернативная прошивка... То, что один человек сделал, другой завсегда разобрать сможет. Тем более, тут у водителя и инспектора интересы некоторым образом совпадают.

white

Ловушка-нипель


Когда ваш покорный слуга был в Австралии, меня неприятно удивило очень многое в этой стране. Одно из самых ярких негативных впечатлений – такси. Пассажирское место спереди отсутствует; поперёк салона крепкая перегородка. В каждой машине две видеокамеры: одна с торпеды смотрит на пассажиров, другая установлена над правой передней дверью, через которую положено передавать деньги. При поездке почему-то всплывают упорные ассоциации с милицейским "бобиком" (в заднем ящике которого пришлось в своё время изрядно покататься) и чувствуешь себя неуютно. А ещё возмущает нерациональность и неудобство конструкции для пассажиров, причём, за их же счёт.

Вспомнилось в связи с этой новостью:
«На всех без исключения автомобилях дорожно-патрульной службы Москвы началась установка видеорегистраторов... Данные видео- аудио фиксации помогут разрешить спорные моменты в общении сотрудника с гражданином.»
Они, конечно, помогут. Если правильно обращаться с результатами съёмки.

Мы столкнулись с такой проблемой в самом начале создания DLP-систем. "Мы" – значит, все изготовители DLP в мире. Зафиксировать во всех возможных каналах события и передаваемые данные – относительно несложно. И сохранить их тоже. Скорость современных каналов и объём хранилищ позволяют архивировать даже весь трафик целиком. Но вот потом проводить изыскания на этом складе сохранённых данных чрезвычайно сложно. Многотерабайтные базы прекрасно хранятся, но с огромным скрипом обрабатываются. Провернуть над ними что-то сложнее контекстного поиска – задача, требующая напряжения всех технических и умственных возможностей; производительности современных устройств категорически не хватает.

С видеорегистраторами происходит похожая фигня. Собрать – легко и дёшево. Обработать и найти – очень дорого или крайне сложно. И это "сложно" – в лабораторных условиях, при полном отсутствии противодействия противника!