Category: история

Category was added automatically. Read all entries about "история".

white

О женской солидарности

О женской солидарности

Fotolia_71109930_Subscription_Monthly_M
Какова вероятность, что случится что-то нехорошее, если отправить рабочий файл себе на почту? Вы ведь делаете это для того, чтобы поработать из дома. Действуете в интересах компании!

Одна молодая сотрудница банка думала так же. Девушка отправила себе на личную почту черновой вариант презентации, чтобы доделать ее на выходных. В самом файле не было ничего секретного, но девушке не повезло: некоторые графики описывали предполагаемый доход от нового проекта, а вся информация по проекту защищалась. К тому же, сотрудница находилась на испытательном сроке и всем ее нарушениям система защиты по умолчанию присваивала более высокий уровень угрозы.

В итоге утечку данных обнаружили. Система посчитала, что сотрудница нарушила политики безопасности компании, и сообщила об этом офицеру безопасности. Тот вызвал нарушительницу «на ковер» и пригрозил, что в случае второго подобного инцидента может встать вопрос об увольнении.

Прошла неделя. Безопасник просматривал данные об инцидентах и не поверил своим глазам – снова та же сотрудница переслала себе на почту конфиденциальный документ, но только на сей раз действительно важный. Но вот нестыковка: дама в этот день находилась на больничном и файл себе отправить не могла. В банке была не только система защиты данных, но и камеры видеонаблюдения. Они зафиксировали, как к компьютеру заболевшей сотрудницы подходит ее коллега.

Безопасник был человеком опытным, интересовался всем, что касалось жизни компании. Ему было известно, что по итогам испытательного срока одну девушку должны были назначить на руководящую позицию, а вторая оставалась на должности обычного специалиста. По замыслу HR-департамента, такая соревновательная ситуация на испытательном сроке должна была мотивировать кандидатов. В общем, мотив «подставить» коллегу у девушки был.

Когда подозреваемой предъявили все доказательства, она призналась, что после того злополучного инцидента с отправкой презентации ее коллега рассказала о случившемся всему отделу. Потом девушка приболела и неосторожно доверила своей коллеге пароль от учетной записи. Тут соперницу осенило: она «повторит» инцидент с учетной записи коллеги, и ее борьба за руководящую позицию закончится.

В итоге из банка уволили обеих: одну – за нарушение правил хранения пароля к учетной записи, другую – за нарушение политики информационной безопасности.
white

Байки безопасников - гостайна и сквозняк

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch, рассказал нам несколько коротеньких историй из жизни специалистов по безопасности. С его разрешения мы будем периодически ими делиться. Итак сегодня история первая (рассказывает сам Андрей).

Fotolia_27362111_Subscription_Monthly_M

Коллеги рассказали про сложности реализации режима защиты гостайны и актуальные угрозы. Случай простой, но показывает отличие в подходах к защите информации разной категории конфиденциальности.

Итак, в режимном помещении не плотно закрыли окно, порывом ветра оно распахнулось и створкой разбило монитор компьютера. Вроде бы мелочь, но нет... Помещение режимное, компьютер аттестован для работы с гостайной. Замена монитора требует проведения новой спец.проверки с измерением ПЭМИН, а это долго и дорого... Грусть-печаль.

А кто из вас, коллеги, у себя в организации оценивает возможные риски, с учетом расположения средств обработки информации?
white

"Где родился, там и сгодился"

Так говорили в России во времена отсутствия общественного транспорта, присутствия крепостного права и необходимости получать выездную визу лично у царя.
       

С годами ситуация менялась слабо. И только возникновение массового общественного транспорта в 1920-х радикально расширило радиус трудоустройства гражданина – примерно с 1 километра до 10 (т.е. площадь – раз в сто). В некоторых странах это произошло раньше, чем в России/СССР, в некоторых позже, но везде рынок рабочей силы при таком качественном переходе радикально менялся. Обычно это приводило к технологическому скачку.

Экономисты утверждают, что сложность доступных предприятию технологий зависит от размера области поиска кадров. причём, эта зависимость сильнее, чем линейная. Если вдруг область вырастает в 100 раз – технологический рывок просто неизбежен.

В ближайшие годы рванёт ещё. Теперь – за счёт дистанционной работы, а также других дистанционных сервисов: обучения, продаж, удалённого присутствия. Средний радиус трудоустройства за несколько лет должен подскочить в десятки, если не сотни раз.

А перевод локальных работников на дистанционную работу обещает экономию на офисных площадях и транспорте. Впрочем, компьютеризация нам тоже много всякой экономии обещала. Говорила, продажная девка империализма, что один компьютер будет выполнять работу 10 человек. Обманула, стерва! Такую же самую работу сейчас делают 9 плюс сисадмин, эникейщик, администратор БД и ИТ-начальник. А за владение компьютером всем пришлось прибавить жалованья. Впрочем, прагматичные бизнесмены отказываться от автоматизации не спешат – свою выгоду они получили в другом месте.

Выгода от дистанционной революции тоже будет не в экономии. То, что хозяева сберегут на офисных площадях и транспорте, целиком пойдёт нам – производителям средств защиты от утечек. Наш сегмент рынка рискует треснуть от предстоящих доходов. Только не надо зацикливаться на традиционных DLP и защите периметра. Спрос уйдёт в сторону средств обеспечения удалённой работы.

white

Наследование дырки

Субстанция, накинутая Сноуденом на вентилятор (ещё до того момента, когда с него взяли обещание не гадить в сторону США), начинает портить атмосферу. В частности, он тогда рассказал про закладку не где-нибудь, а в стандарте, утверждённом NIST. Институт дырку признал. Назвали имя алгоритма: Dual_EC_DRBG. Теперь начинают признаваться компании, реализовавшие ущербный алгоритм. Первой была "RSA Security", ожидается "Майкрософт".
       

Возможна ли такая ситуация в России? Предпосылки-то есть. Но если произойдёт, то покаянные признания мы вряд ли услышим – как от органа стандартизации, так и от разработчиков. Можем даже услышать нечто обратное. Иллюстрирую примером.

В одной знакомой компании сделали продукт с шифрованием. ФСБ, лицензиатом которой компания являлась, потребовала, чтобы в версии продукта "не для гостайны" шифрование было ослаблено до уровня "56 бит". Это можно было осуществить сотней способов. Какой же выбрали разработчики? Истинно русский человек догадается с одного раза. Ограничили длину пароля, из которого делался ключ шифрования. Причём ограничение это снималось без следа правкой всего двух байтов исполняемого кода. Каких именно байтов – узнать легче лёгкого, если только вас не забанили в Яндексе.

Это вам про строгость законов. А про обязательность – вторая история, её ваш покорный слуга слышал в 1984 году от ветерана, вместе с которым лежал в больнице.

Наш герой попал в плен в 1942-м и через некоторое время был отправлен на работы в трудовой лагерь где-то в Бельгии или Голландии. По пути ему удалось бежать из эшелона, но далеко не ушёл: из-за голода и мороза свалился без сил и замёрз бы, но подобрали местные жители. Добрые европейцы унесли в дом, вылечили, выходили, накормили. А после окончательного выздоровления честно сдали пленного оккупационным властям. Закон превыше всего.

Я это к тому, что сомнений нет – уязвимость была реализована честно. Честно ли будут её вычищать из сотен продуктов – тоже сомнений нет.

white

Прослушка и мораль

АНБ США – самая могучая на сегодня техническая разведка и криптоаналитическая служба. В её истории был крайне любопытный эпизод.
       

Предтечей АНБ считается Криптографическое бюро, также известное под именем Чёрный кабинет (The Black Chamber). Его создали в 1919 году на паях Госдепартамент (МИД) и Министерство обороны США. Успехи американских "чёрных" дешифровальщиков были скромны, как, впрочем, и в других странах.

В 1929 году на пост Госсекретаря пришёл политик Генри Стимсон. Узнав о том, что в его хозяйстве имеется дешифровальная служба, он распорядился её ликвидировать. Точнее, отменил свою часть финансирования, а минобороновской части было недостаточно. И Чёрный кабинет распустили.

Любопытно, в чём состояла причина ликвидации. Она была не политической и не финансовой, а чисто нравственной. "Gentlemen don't read each other's mail", — изрёк Стимсон. И с ним согласились другие политики, может, не все, но большинство. Дешифровальная служба в США вновь заработала только в 1949 году. К тому времени, видимо, джентльмены в правительстве уже перевелись. Кстати, политик Генри Стимсон после Госсекретаря стал Секретарём по обороне и на новом посту изменил своё отношение к прослушке и дешифровке.

Этический запрет на чтение чужой переписки является для вашего покорного слуги загадкой. Он действовал на протяжении веков во всей европейской культуре, хотя не был закреплён в законах вплоть до начала XX века. И не вытекал из христианской догматики. Мне не удалось найти в Библии никаких указаний ни на тайну переписки, ни на тайну частной жизни. А вот в исламе такое положение присутствовало с самого начала (Коран, сура 24, аяты 27-28). Ирония истории: открыто и "официально" нарушать этот нравственный запрет начали ровно тогда, когда он перестал быть неформальным и появился в конституциях разных стран и международных нормах (ст.12 Всеобщей декларация прав человека, 1948 год). Или наоборот – его кодифицировали именно тогда, когда увидели, что из морали он пропал.

Моральный запрет – это не тот, который всеми соблюдается. А тот, при нарушении которого сам нарушитель осознаёт свою неправоту (стыд, грех, ущерб для кармы) и ищет себе оправданий. А для нарушения чисто юридических запретов оправдания искать не требуется, достаточно оценки рисков.

white

А ну-ка, догони!

Всю многотысячелетнюю историю человечества было так: новейшие открытия и изобретения в первую очередь осваивались военными. Их наука опережала гражданскую во всех областях, которые были хоть немного интересны генералам. От геометрии IV века до н.э. до ракетостроения конца XX века – все достижения сперва воплощались в военном деле и только потом доставались штатским.
       

На наших с вами глазах, впервые в истории цивилизации произошло нечто странное. С 1990-х годов военные стали замечать, что гражданская связь и информатика заметно опережают военную. Как по качеству, так и по количеству. Средний рядовой городской житель обвешан гаджетами и обеспечен информационными сервисами на пару порядков лучше и обильнее, чем средний рядовой солдат.

Американцы спохватились раньше всех – по итогам иракской кампании 1991 года. Российские вооружённые силы официально признали своё отставание от штатских после войны "8.8.8". Но в схожей ситуации оказались все современные армии.

Определение текущего местоположения человека/автомобиля; покрытие сетями связи разных поколений; совокупная функциональность носимой/бортовой аппаратуры; объём ИТ-знаний пользователя; потребляемый в единицу времени трафик; общий запас аккумуляторов и доступность подзарядки; разнообразие доступной онлайн информации; диапазон совершаемых удалённо действий – всё это у гражданских пользователей быстрее, выше, сильнее. И развивается тоже быстрей.

Соответственно, средства защиты и возможности их преодоления у штатских тоже лучше. Кадры по обе стороны файервола – более умные и опытные. Интересно, как впервые в истории армия справится с ролью догоняющего?





Да, кстати. Если кто желает, чтобы ваш infowatch прокомментировал какие-то события, высказался по вопросу или разъяснил ситуацию – спрашивайте, не стесняйтесь. В рамках тематики блога, разумеется.

white

Знакомый почерк

Тут утекли и попали на разбор к специалисту исходные коды КОИБов. Почему-то я не удивлён, что в них нашёлся чёрный ход. Правда, ход не примитивный, не в лоб.
    бэкдорус виртуалус    

Как известно, перед началом голосования в КОИБ вставляется присланная "сверху" флешка с параметрами текущих выборов – список кандидатов, координаты чекбоксов в бюллетене и кое-что ещё. Так вот, в этом "кое-что" имеется возможность разместить исполняемый код, который может проделать что угодно, например, перераспределить поданные голоса.

«Что-то мне это напоминает», — сразу же подумал ваш покорный слуга. Через некоторое время я вспомнил.

Стандарт симметричного шифрования ГОСТ 28147-89 был разработан в КГБ СССР. После обнародования в нём долго искали чёрный ход, но так и не нашли. Однако нашли кое-что не менее чёрное. Речь идёт о так называемых таблицах замен, она же S-блок или S-box. Она не является постоянным параметром шифрования (алгоритм), но и не является переменным параметром (ключ). Правила формирования таблицы замен в стандарте не описаны, откуда их надо брать, не известно (до 1991 года их выдавали в КГБ, индивидуально). Можно ли при помощи специально сформированных таблиц ослабить шифрование или внедрить в него чёрный ход – до конца не исследовано. Для чего понадобилось придумывать этот полупостоянный и полупеременный параметр, непонятно. Иных объяснений кроме параноидальных не представлено.

А вам не кажется, что два описанных случая рифмуются между собой?

white

По Сеньке и шапка

Проведём небольшой эксперимент. Прочтите пожалуйста это новостное сообщение:
«Почта Швейцарии предложила пользователям оплачивать услуги почтовой связи с помощью СМС... Больше не нужно покупать марку, а можно просто отправить СМС на специальный номер. В ответном сообщении почтовой службы будет указан цифровой код, который нужно написать на конверте в правом верхнем углу. При обработке он служит доказательством оплаты... Срок действия полученного по СМС кода составляет 10 дней.»

       
А теперь поднимите руки те, у кого после прочтения первая мысль была такая: «Можно же на один код отправить несколько писем!»

Да... редкостное единодушие. Только один наш старый читатель-комментатор не тянет руку, он хочет выделиться среди всех.

Теперь ещё одно голосование. Ваша вторая мысль была:

«Эх, я бы сэкономил на марках, будь я в Швейцарии.»
«Ой, как же противодействовать этому мошенничеству?»
     

Я так и знал, 80 на 20.

Понятно, что от первой спонтанной мысли до реальных дел – длинная дорога с препятствиями. Тем не менее, швейцарские почтовики не боятся массовых мошенничеств. А если б вам предложили внедрить подобную систему в России? Имеющиеся технические средства это позволяют. Операторы мобильной связи дадут на столь массовый сервис очень хорошие скидки. Но народ – он скидок на европейскую технологию не делает.

Ваш покорный слуга, пожалуй, отказался бы руководить таким проектом. Верить местным джентльменам на слово нет никакой возможности. А построить надёжную защиту от многочисленных угроз (особенно внутренних) – можно, но получится ещё один виртуальный концлагерь навроде пресловутых госуслуг. Защита съест как всю прибыль, так и всё удобство.

А вы бы взялись?

white

Конкуренция стандартов

Когда-то я беседовал с представителем Международного союза электросвязи (МСЭ, ITU, он же ИТУ). В беседе представитель упомянул:
       

— Кстати, Россия является членом МСЭ с 1865 года.

— Вы, наверное, оговорились, — заметил я. — Не с 1865, а с 1965-го? И тогда уж – не Россия, а СССР.

— Нет, не оговорился, — хитро улыбнулся дипломат айтишных дел. — Наша организация была основана в 1865 году, называлась тогда Международный телеграфный союз, а Россия (Российская Империя) явилась одним из его учредителей.

Бля! Вау! — удивился ваш покорный слуга. — Скоро 150 лет, как Россия участвует в согласовании технических стандартов связи. Но почему среди всех стандартов так мало ITU-шных?

Напомню, что стандарты, разработанные МСЭ, легко узнать по их индексу: буква-точка-число. Например, X.25, H.264, X.509, V.24... больше вспомнить с ходу не могу.

В то же время RFC-стандарты (или стандарты де-факто), разработанные сообществом Internet Society (ISOC), гораздо более распространены. На них работает HTTP, FTP, SMTP, NTP, NNTP, SSH, DNS, WHOIS... перечислять я мог бы очень долго. Более того, есть прямо конкурирующие пары стандартов от МСЭ и RFC, где последний принимается отраслью и реализуется в выпускаемой продукции, а первый – так и пылится на полке. Полуформальная общественная организация обыграла с разгромным счётом самую древнюю международную ассоциацию, структуру ООН с бюджетом, штатом, зарплатами, институтами, поддержкой правительств.

Если мы поймём причину, это поможет использовать возможности "общественного" способа производства.

white

Под колпаком

Про человека можно узнать всё. Но нельзя узнать всё про всех. Оперативная разработка требует довольно много ресурсов.

К концу XX века пресловутый "колпак" спецслужб сильно прибавил в качестве. Но за счёт количества. Рассмотрим самую мощную контрразведывательную организацию мира – КГБ СССР образца 1983 года. Если взять сотрудников только контрразведки КГБ, добавить к ним соответствующую долю аппарата обеспечения, обучения и управления и потом поделить на количество субъектов, находящихся под наблюдением одновременно, то получится, что для оперативной разработки 1 человека требуется 80. В уголовном розыске советских времён это соотношение удавалось опускать до 50 к 1. Очень много.

Если тобой всерьёз заинтересовались, скрыть ничего не удастся. Главная ваша возможность – в первой части этого утверждения. Даже если все 350 000 человек кадрового состава ФСБ РФ (включая погранслужбу) бросят все прочие дела и начнут работать против вас, то чтобы удостоиться их внимания, вам надо войти в 4 000 главных подозреваемых страны. В реальности же под настоящий "колпак" поместится не более 2-3 сотен. Все остальные получают статус "Неуловимого Джо", с чем я вас и поздравляю.

А теперь – плохая новость. Слежка может радикально подешеветь. Если не в долларах, то в человеко-часах.

Указанное неприятное соотношение наблюдателей к наблюдаемым держится на столь высоком уровне из-за наличия ручного труда. Надо ногами ходить за подозреваемым, глазами читать его почту, руками подбирать его волосы, ушами слушать его разговоры и головой сопоставлять все данные. Многое можно автоматизировать, например, поиск всей активности человека в соцсетях. Но ручной труд всё равно остаётся. Даже ваш СОРМ-2 – это система для ручного наблюдения за трафиком подозреваемого. Компьютер автоматически выделяет нужный трафик из канала, но никак нельзя автоматизировать выписывание постановления на проведение ОРМ в отношении лица имярек, чтобы поставить на прослушку, скажем, миллион человек. То есть, пропускная способность слежки текущего поколения остаётся на уровне папаши Мюллера.

Системы слежения следующего поколения исключают человека на всех этапах. Что допускает масштабирование пресловутого "колпака" до размеров всей страны. И даже всего мира. Неуловимых Джо может не остаться вовсе.