Category: авто

Category was added automatically. Read all entries about "авто".

white

Утечка данных. Парковка запрещена

Утечки данных приводят к финансовым потерям. В течение десяти лет (а то и более) мы пытаемся донести до общественности этот факт. Но даже сегодня находятся недальновидные руководители компаний, которые отказываются верить в очевидное. Дескать, покажите нам хоть один случай, когда утечка данных привела к потере денег.

Вы спрашивали – мы отвечаем. 15 января компания Park ‘N Fly выпустила официальное заявление, где указывается, что платежные данные ее клиентов были скомпрометированы из-за уязвимости веб-сайта. К расследованию подключились сторонние эксперты по компьютерной форензике. По словам представителей Park ‘N Fly, скомпрометированы номера карт, имена владельцев, коды CVV. Электронные адреса клиентов, телефонные номера и пароли доступа к системе Park ‘N Fly, вероятно, также оказались в руках злоумышленников.

Компания приостановила процессинг платежей, о чем уведомляет на официальном сайте:
parker_program

Park ‘N Fly предоставляет услуги интернет-бронирования парковочных мест в аэропортах. Ранее эксперт по информационной безопасности Брайн Кребс писал в своем блоге о появлении на черном рынке большого объема номеров кредитных карт. Кребс предположил, что данные карт похищены из информационных систем бронирования парковок, принадлежащих Park ‘N Fly и еще одной компании, бронирующей парковки - OneStopParking. Тогда компании отказались признать факт утечки данных.

Брайн Кребс отмечает, что число карт клиентов Park ‘N Fly и OneStopParking, предлагаемых к продаже на черном рынке, исчислялось несколькими тысячами. Карты продавались на тех же «черных» ресурсах, что и дампы карт клиентов Home Depot, Target, Sally Beauty, P.F. Chang’s и Harbor Freight. Хакеры просили от 6 до 9 долларов США за одну запись, включающую имя владельца, адрес и телефон, номер и срок действия карты, трехзначный код подтверждения (CVV).

В 2014 году мы отмечали повышенный интерес злоумышленников к платежным данным, которые обрабатываются в информационных системах ритейлеров. Теперь хакеры добрались и до онлайн-сервисов. Очевидно, в 2015 следует ожидать массовых атак на компании, оперирующие большим объемом платежных данных, но менее защищенные, чем кредитные организации. Это могут быть крупные туристические онлайн-сервисы, системы бронирования авиабилетов, национальные интернет-провайдеры, логистические компании.

Мы настоятельно рекомендуем владельцам этих бизнесов задуматься о безопасности платежных данных своих клиентов. В противном случае масштабная атака, например, на туристический сервис может стать последним событием в жизни такого сервиса.
white

Когда убеждение не помогло

Статистика утерянных ноутбуков, смартфонов и флешек много лет вопиет о проблеме. Всем давно понятно, что мобильные носители – это утраты, а утраты – это утечки информации. С первым звеном цепочки трудно что-то поделать: слаб человек и грешен; если носит с собой что-то ценное, то непременно потеряет или украдут или как-то иначе прощёлкает. Но второе звено вполне поддаётся лечению: достаточно зашифровать содержимое носителя – и утечки нету, хотя утрата есть.
   

Однако многолетнее капание на мозги не приводит к единодушному и повсеместному шифрованию. Хотя оно было бы в собственных интересах владельца носимого компьютера.

С аналогичными ситуациями человечество уже сталкивалось. И нашло способ решения. Когда человек не желает оберегать сам себя, его принуждают. Рабочий появился на стройке без каски – лишение премии и выговор бригадиру. Водитель не пристегнул ремень безопасности – штраф. Солдат забыл о предохранителе – гауптвахта. Ребёнок ест немытый овощ – атата по попке. Когда человек не желает идти к своему счастью самостоятельно, его гонят туда пинками.

Суть предложения в том, чтобы запретить компаниям покупать ноутбуки и другие мобильные носители информации без встроенных систем шифрования. А продавцам – запретить продавать их корпоративным потребителям – как автозаводам запретили выпускать автомобили без ремней безопасности. Запретов кругом очень много, есть среди них и накладные, есть и довольно глупые. Но на вышеупомянутый – никто не жалуется.

white

Как Левша китайскую блоху проиндексировал

Вы, наверное, слышали, как недавно Россия удивила Запад невдолбенным количеством видеорегистраторов на автомобилях. Они-то думали, что по объёму слежки от Большого брата они впереди планеты всей. Но российский младший брат оказался проворнее старшего. Граждане сами, без помощи государства и крупных корпораций организовали друг за другом такую плотную слежку, что полицейские режимы только завидуют.

Среди моих многочисленных знакомых первым (и пока единственным) обладателем носимого видеорегистратора тоже оказался русский – небезызвестный товарищ arjlover. А его регистратор – достаточно недорогим и удобным устройством.

Судя по всему, в мире стремительно заканчиваются места, которые бы не просматривались камерами видеонаблюдения.

Как-то естественно, несуетно и незаметно весь отснятый миллионами камер материал оказывается в Сети – там хранить удобнее. А когда данные уже там, то открыть к ним доступ – дело одного клика мышью.

Куда же указывает сия тенденция? На алгоритмы и устройства поиска. Навалить 100500 петабайт видео – много ума не надо. Научиться искать, распознавать и аттрибутировать его – вот это настоящий вызов для современной науки. Кто научится, станет вторым Гуглом.

Можно процеживать видеоданные в поисках чего-то полезного – и брать за это деньги с тех, кто смотрит. А можно наоборот, процеживать их в поисках вредного (утечек) – и за это брать деньги с тех, кто снимает. Та и другая задача обещают хорошие доходы.

white

Принуждение к безопасности

Сегодня ваш покорный слуга вернулся из четырёхдневного путешествия. Спешу поделиться дорожным наблюдением, которое будет применимо в первую очередь именно в ИБ.

У нас построили много хороших дорог. Для исключения одного из самых опасных нарушений ПДД – езды по встречной – почти на всех дорогах имеется разделительная полоса. Хорошая такая полоса, физически не преодолимая на гражданской технике. К чему это привело? К тому, что каждые 10 минут ваш покорный слуга, поджав яйца и обливаясь потом, разъезжался с мотоциклистами, нагло прущими в лобовую атаку. Зачем? Затем, что разделительная полоса непреодолима, а ехать километр до ближайшего разворота тут считается западло. И потому в крайнем ряду творится полный кошмар.

Хотели как лучше... Но безопасность вышла боком. Невольно вспоминается вьетнамский опыт борьбы с ПДД, который хочется привести в исполнение собственноручно. Прям, хоть на "zadolba.li" жалуйся!

Вы там у себя в хозяйстве, когда затягиваете гайки при помощи секьюрити-энфорсинга или аппаратных ограничений, всё-таки меру знайте. Не то получится как всегда.

white

Красный ход

Как можно побудить производителей софта интегрировать его с DLP-системами, сделать API для наших перехватчиков и сенсоров?

Вот, появились же в цисковских маршрутизаторах интерфейсы для "lawfull interception" (т.е. СОРМ). Какие большие деньги сразу сэкономились!

Производители замков начали потихоньку поддерживать мастер-ключи для Кого-Надо. Все стороны довольны.

Автомобильные бортовые компьютеры легко отдают всю информацию криминалистам, расследующим ДТП. Честному водителю нечего скрывать.

Заметьте: эти и другие подобные "чёрные ходы" появились не под административным давлением кровавой фэбэерни. А вследствие рыночной выгодности для всех участвующих сторон.

Как только DLP-системы получат существенное распространение, софтопроизводители сами пожелают интеграции. Ведь на поднадзорных компьютерах обычно запрещён любой софт, который не удаётся контролировать. Следовательно, софт, заранее имеющий API для контроля, получит конкурентное преимущество.

Ваш покорный слуга понимает, что это случится не скоро. Но уже в обозримом будущем – статистика продаж об этом свидетельствует. К тому моменту, когда разработчики решат, что интеграция с DLP действительно представляет преимущество, уже должен быть стандарт обмена. Алё, господа конкуренты! Напишем RFC?

white

Переполнение регистров

Британские учёные доложили на конференции "DLP-Russia-2011", что количество нормативных актов и стандартов в области ИТ с некоторых пор растёт существенно быстрее, чем ИТ-бюджеты и численность ИТ-персонала.

Из этого неизбежно следует, что исполняться они не будут. Нормативку ведь не загонишь в облака и не автоматизируешь, чтоб по одному нажатию приводились в соответствие разом 1500 информационных систем.

Правила дорожного движения с трудом удерживаются в объёме, который бы влезал в мозг среднего гомера симпсона. Ещё немного – и удержать ПДД в оперативной памяти станет невозможно.

Казалось бы, стандарты должны служить айтишнику путеводителем и тем самым ускорять наведение порядка. Казалось бы, айтишные НПА должны заставлять и стимулировать работу служб ИБ, побуждать руководство такие службы нанимать и содержать. И тем самым, опять же, оптимизировать.

Только эффект иногда получается обратным.

Когда количество регулирующих норм превышает некоторый предел, эти нормы перестают помогать обычному работнику. Но вызывают появление новой профессии – знатока норм. Так вышло с законами. Примерно до X-XI века н.э. вся совокупность существующих законов укладывалась в голове обычного человека. А потом стали нужны юристы. Ныне юрист, специализирующийся на одной отрасли права, совсем не знает соседнюю отрасль. Про обычного человека и говорить нечего.

Думаю, можно уже планировать в штатном расписании должность стандартоведа – специалиста по техническим стандартам ИТ. Он сам этих стандартов не исполняет, только следит, чтоб исполняли другие – программисты, проектировщики, дизайнеры, проджект-менеджеры, офицеры ИБ.

white

"Командир, может, договоримся?"

Навели тут добрые люди на статью про новое оснащение гаишников:
«Планшетник обеспечит связь с центральным сервером. Инспектору нет необходимости связываться с дежурной частью, "пробивать" по базе номера. На экране планшетника он увидит не только, где и когда зарегистрирована машина, но вообще все, что есть во всех информационных базах.»
Сразу же вспомнилось.

Когда я служил в маленьком отделении милиции, мы тоже постоянно "пробивали по базе" встречные, проезжие и остановленные машины. Ты туда – госномер, марку, цвет, а если не лень, то ещё номера кузова и двигателя. Тебе оттуда – соответствуют ли данные друг другу, числятся ли в розыске. Ноутбуков и, тем более, планшетов у нас тогда не было, так что пользовались голосовым интерфейсом через рацию или телефон. В эфире постоянно сыпалась цифирь от проверяемых машин.

И вот какая особенность. Если машина "неправильная" или в розыске, то отвертеться от задержания уже невозможно. Вот такие, к примеру, диалоги слышались в эфире:
Инспектор: Мерседес-300, белый, госномер [номер], кузов [номер], двигатель [номер]. Приём.
Дежурная часть: Пятьсот один! [т.е. в розыске]
Другой экипаж: Поздравляю!
Третий экипаж: С тебя причитается!
Дежурная часть: Высылаю ГНР.
Чтобы отпустить пойманного мерседеса за взятку – не могло быть и речи. А на всяких неправильных парковках и отсутствии огнетушителей много бабла не срубишь. Что делать?

Со временем была выработана особая технология "пробивки по базам", при которой обнаружение разыскиваемого объекта официально не фиксировалось. И можно было разобраться с ним неофициально. Как? Даже не спрашивайте. Коммерческая тайна.

С ноутбуками и планшетниками тоже, наверняка, можно что-то придумать. Патч, кряк, лоадер, альтернативная прошивка... То, что один человек сделал, другой завсегда разобрать сможет. Тем более, тут у водителя и инспектора интересы некоторым образом совпадают.

white

Ловушка-нипель


Когда ваш покорный слуга был в Австралии, меня неприятно удивило очень многое в этой стране. Одно из самых ярких негативных впечатлений – такси. Пассажирское место спереди отсутствует; поперёк салона крепкая перегородка. В каждой машине две видеокамеры: одна с торпеды смотрит на пассажиров, другая установлена над правой передней дверью, через которую положено передавать деньги. При поездке почему-то всплывают упорные ассоциации с милицейским "бобиком" (в заднем ящике которого пришлось в своё время изрядно покататься) и чувствуешь себя неуютно. А ещё возмущает нерациональность и неудобство конструкции для пассажиров, причём, за их же счёт.

Вспомнилось в связи с этой новостью:
«На всех без исключения автомобилях дорожно-патрульной службы Москвы началась установка видеорегистраторов... Данные видео- аудио фиксации помогут разрешить спорные моменты в общении сотрудника с гражданином.»
Они, конечно, помогут. Если правильно обращаться с результатами съёмки.

Мы столкнулись с такой проблемой в самом начале создания DLP-систем. "Мы" – значит, все изготовители DLP в мире. Зафиксировать во всех возможных каналах события и передаваемые данные – относительно несложно. И сохранить их тоже. Скорость современных каналов и объём хранилищ позволяют архивировать даже весь трафик целиком. Но вот потом проводить изыскания на этом складе сохранённых данных чрезвычайно сложно. Многотерабайтные базы прекрасно хранятся, но с огромным скрипом обрабатываются. Провернуть над ними что-то сложнее контекстного поиска – задача, требующая напряжения всех технических и умственных возможностей; производительности современных устройств категорически не хватает.

С видеорегистраторами происходит похожая фигня. Собрать – легко и дёшево. Обработать и найти – очень дорого или крайне сложно. И это "сложно" – в лабораторных условиях, при полном отсутствии противодействия противника!

white

Расчёт и шанс

Идя на заранее продуманное преступление, человек не предъявляет паспорт, не светит рожу перед камерой, меняет номер автомобиля и заводит отдельный аккаунт электронной почты. Таким образом, прописка регистрация населения, видеонаблюдение, учёт автотранспорта и СОРМ бесполезны для раскрытия преступлений. Правильно? Конечно, нет.

Большинство преступлений совершается непрофессионалами в этом деле и без подготовки, почти спонтанно. А для тех, которые "с заранее обдуманными намерениями", расчёт злодея не всегда оказывается правильным. Поэтому меры по учёту и превентивной слежке всегда срабатывают; не одна, так другая.

Примерно то же самое можно сказать про утечки. Больше половины их вообще случайные. Остальные – намеренные, но разной степени намеренности и спонтанности. Все злоинсайдеры кажутся сами себе очень хитрыми. Но лишь у части из них это мнение имеет основания.

Все они твёрдо намерены обмануть службу ИБ и DLP-систему с просто зашкаливающей уверенностью в собственных силах (почитайте комментарии в нашем ЖЖ). Но не у всех это получится. В дискуссиях они в конце концов находят какой-нибудь канал и способ преодолеть защиту (или оппонент просто устаёт спорить), но в реальности – у них будет всего одна попытка.

С первого взгляда может показаться, что всякие антикриминальные и антитеррористические меры – глупы, наивны и преодолеваются на раз-два. Конечно, но только если вы – профессор Мориарти. Для реального статистического злодея сеть оказывается достаточно мелкой и достаточно многослойной.

white

Сертификация на аппаратность

По мотивам анализа первого боевого вируса Stuxnet надо бы ввести новый вид сертификации оборудования и информационных систем. Даже два вида.

to hack - рубить; hacker - рубильник
Во-первых, подтверждения требует (не)возможность перехватить управление системой без воли оператора и его физического присутствия. Можно ли учинить вредительство исключительно только программными средствами, без участия человека-инсайдера?

Во-вторых, следует подтвердить, насколько индикаторы системы контролируемы программно. В предположении, что весь софт работает на противника надо ответить, сможет ли оператор (а) установить факт перехвата управления и (б) воспрепятствовать причинению вреда. Иными словами, сертификатор должен установить, насколько аппаратные средства отвязаны от программных.

Возьмём, к примеру, современный автомобиль. В нём есть бортовой компьютер (иногда несколько), который занимается мониторингом состояния агрегатов, а также совершает некоторые управляющие воздействия для корректировки действий водителя. Пассивные функции можно не рассматривать. Интересует, какие именно активные воздействия и на какие узлы потенциально может оказать компьютер, а точнее – его программы. Завести двигатель без участия водителя? Включить сцепление? Нажать тормоз? Также интересует, насколько зависят от бортового компьютера показания приборов, которыми руководствуется человек. Есть ли среди них аппаратные индикаторы и стрелки, сохраняющие объективность при любом хаке?

Скажем, аппарат для просвечивания багажа, о котором рассказывалось ранее, такую сертификацию пройдёт с оценкой "полный облом". Поскольку всё, абсолютно всё, что видит оператор на экране – результат работы графической программы, которым злохакер может манипулировать как угодно. Водитель автомобиля хотя бы дорогу через окно видит, и подменить эту картинку невозможно. Разве что, ночью фары погасить, такое бортовой компьютер умеет.