Как это работает: учимся создавать свой sandbox с нуля: часть II
В первой части статьи вы получили краткое представление о драйверах в привилегированном режиме. Настало время покопаться в нашей песочнице.
( Collapse )
Category: компьютеры
В первой части статьи вы получили краткое представление о драйверах в привилегированном режиме. Настало время покопаться в нашей песочнице.
( Collapse )
Как можно незаметно потрошить банкоматы - часть 2.
Начало этой прекрасной истории мы публиковали тут.
Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.
( Collapse )
Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.
( Collapse )
Байки безопасников - гостайна и сквозняк
Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch, рассказал нам несколько коротеньких историй из жизни специалистов по безопасности. С его разрешения мы будем периодически ими делиться. Итак сегодня история первая (рассказывает сам Андрей).
Коллеги рассказали про сложности реализации режима защиты гостайны и актуальные угрозы. Случай простой, но показывает отличие в подходах к защите информации разной категории конфиденциальности.
Итак, в режимном помещении не плотно закрыли окно, порывом ветра оно распахнулось и створкой разбило монитор компьютера. Вроде бы мелочь, но нет... Помещение режимное, компьютер аттестован для работы с гостайной. Замена монитора требует проведения новой спец.проверки с измерением ПЭМИН, а это долго и дорого... Грусть-печаль.
А кто из вас, коллеги, у себя в организации оценивает возможные риски, с учетом расположения средств обработки информации?
Коллеги рассказали про сложности реализации режима защиты гостайны и актуальные угрозы. Случай простой, но показывает отличие в подходах к защите информации разной категории конфиденциальности.
Итак, в режимном помещении не плотно закрыли окно, порывом ветра оно распахнулось и створкой разбило монитор компьютера. Вроде бы мелочь, но нет... Помещение режимное, компьютер аттестован для работы с гостайной. Замена монитора требует проведения новой спец.проверки с измерением ПЭМИН, а это долго и дорого... Грусть-печаль.
А кто из вас, коллеги, у себя в организации оценивает возможные риски, с учетом расположения средств обработки информации?
Легендарные айтишники
Для айтишника перейти из категории "неуловимый Джо" в категорию "приоритетная цель" довольно просто. Надо устроиться на должность, связанную с управлением большой инфосистемой – такую как, скажем, «инженер отдела магистральной сети» или «администратор БД отдела билинга». Точнее, даже не устроиться, а заявить об этом, отметиться в соцсетях, приписать строчку в резюме, включиться в соответствующий список рассылки и т.д. Тут же попадаешь на кнопку в АНБ и других технических разведках.
В романтическом XX веке таких людей – с невысокой должностью и серьёзным доступом – вербовали. В веке нынешнем – их просто затроянивают. Как вы понимаете, даже у самой мощной разведки вероятного противника вербовалка большая не отрастёт. Из десяти тысяч перспективных счастливый билетик вытянут 10-20, не больше. А подсаживание на ваш рабочий компьютер трояна спецпошива – операция, которую (в отличие от традиционной вербовки) можно масштабировать. И этим охватить не 0,1%, а 80-90% кандидатов. Только вместо гонораров и званий агенту достанется шиш с маслом. Поэтому с такой практикой надо беспощадно бороться.
Есть довольно простой и очень дешёвый метод защиты, который снижает эффективность вышеописанного подхода в разы. Надо убедить (уговорить, заставить, стимулировать) нового сотрудника назваться иной должностью. Скажем, принимаем его инженером в департамент магистральной сети. А во всех публичных документах и соцсетях он называет себя «зам.нач.отдела департамента равития». И в "Линкедине" пусть так пишет, и в резюме, и в справке, которую ему для получения визы выдают. С большой вероятностью АНБ его пропустит как неперспективного.
В традиционной контрразведывательной работе такой приём называется "легендирование" и успешно применяется. Правда, против серьёзного расследования легенда не устоит. То, что помощник советника посла по культуре на самом деле – резидент разведки, выясняется за несколько дней. Но это – при "ручной" обработке информации. Это – в отношении считанных людей. А при компьютерной обработке данных на масштабах в сотни тысяч эффективность будет значительно выше.
| |
В романтическом XX веке таких людей – с невысокой должностью и серьёзным доступом – вербовали. В веке нынешнем – их просто затроянивают. Как вы понимаете, даже у самой мощной разведки вероятного противника вербовалка большая не отрастёт. Из десяти тысяч перспективных счастливый билетик вытянут 10-20, не больше. А подсаживание на ваш рабочий компьютер трояна спецпошива – операция, которую (в отличие от традиционной вербовки) можно масштабировать. И этим охватить не 0,1%, а 80-90% кандидатов. Только вместо гонораров и званий агенту достанется шиш с маслом. Поэтому с такой практикой надо беспощадно бороться.
Есть довольно простой и очень дешёвый метод защиты, который снижает эффективность вышеописанного подхода в разы. Надо убедить (уговорить, заставить, стимулировать) нового сотрудника назваться иной должностью. Скажем, принимаем его инженером в департамент магистральной сети. А во всех публичных документах и соцсетях он называет себя «зам.нач.отдела департамента равития». И в "Линкедине" пусть так пишет, и в резюме, и в справке, которую ему для получения визы выдают. С большой вероятностью АНБ его пропустит как неперспективного.
В традиционной контрразведывательной работе такой приём называется "легендирование" и успешно применяется. Правда, против серьёзного расследования легенда не устоит. То, что помощник советника посла по культуре на самом деле – резидент разведки, выясняется за несколько дней. Но это – при "ручной" обработке информации. Это – в отношении считанных людей. А при компьютерной обработке данных на масштабах в сотни тысяч эффективность будет значительно выше.
Киберкоррупция
Все цензоры (политические, семейные, копирастические и корпоративные) давно облизываются на антивирусы. Точнее, на те комплексные защитные программы, до которых те выросли к настоящему времени. Очень хочется призвать антивирусы себе на службу, благо имеются они почти на каждом компьютере.
В обсуждаемом аспекте антивирус радикально отличается от браузера. К последнему каждый может сочинить плагин. Или модифицировать исходный код и выпустить "свой" браузер. Модификаций и плагинов – тысячи; среди них замечены и вредоносные. А влезть своими шаловливыми ручками в чужой антивирус – таких попыток не отмечено (во всяком случае, успешных). Производитель ревниво следит за своим продуктом: никаких адд-онов, никаких исходных кодов, всё – только из моих рук.
Как верно мне вчера заметили читатели, из антивируса получился бы лучший в мире цензор: от него VPNом и HTTPSом не отгородишься, в криптоконтейнер не спрячешься, а отключить свой антивирус – подвергнуться смертельной опасности. Только одна проблема: пользователь будет недоволен. А конкуренция среди антивирусов такая, что репутация среди населения для них много важнее, чем благосклонность политических властей, корпоративных СБ или копирайтного лобби. На это и надеемся. Кстати, именно поэтому нет попыток властей обязать законом антивирусников вставлять в свои продукты ту или иную функциональность. Понимают, что такая обязаловка просто выкинет с рынка.
Сотрудничать с цензорами ни производители браузеров, ни производители антивирусов не будут. Но первых можно объехать на кривой козе, втюхав пользователю какой-нибудь "Я-бар" или "G-браузер". А в антивирусную защиту всунуть своё "дополнение" не получится. Никто особенно и не пытается. Даже DLPшники пишут локальные модули самостоятельно, не сотрудничая с антивирусниками.
Теперь мне понятно, почему нет ни одного антивируса с возможностью подключения модулей (плагинов) от сторонних разработчиков.
| |
В обсуждаемом аспекте антивирус радикально отличается от браузера. К последнему каждый может сочинить плагин. Или модифицировать исходный код и выпустить "свой" браузер. Модификаций и плагинов – тысячи; среди них замечены и вредоносные. А влезть своими шаловливыми ручками в чужой антивирус – таких попыток не отмечено (во всяком случае, успешных). Производитель ревниво следит за своим продуктом: никаких адд-онов, никаких исходных кодов, всё – только из моих рук.
Как верно мне вчера заметили читатели, из антивируса получился бы лучший в мире цензор: от него VPNом и HTTPSом не отгородишься, в криптоконтейнер не спрячешься, а отключить свой антивирус – подвергнуться смертельной опасности. Только одна проблема: пользователь будет недоволен. А конкуренция среди антивирусов такая, что репутация среди населения для них много важнее, чем благосклонность политических властей, корпоративных СБ или копирайтного лобби. На это и надеемся. Кстати, именно поэтому нет попыток властей обязать законом антивирусников вставлять в свои продукты ту или иную функциональность. Понимают, что такая обязаловка просто выкинет с рынка.
Сотрудничать с цензорами ни производители браузеров, ни производители антивирусов не будут. Но первых можно объехать на кривой козе, втюхав пользователю какой-нибудь "Я-бар" или "G-браузер". А в антивирусную защиту всунуть своё "дополнение" не получится. Никто особенно и не пытается. Даже DLPшники пишут локальные модули самостоятельно, не сотрудничая с антивирусниками.
Теперь мне понятно, почему нет ни одного антивируса с возможностью подключения модулей (плагинов) от сторонних разработчиков.
Браузерная гигиена
Государственные органы в последние годы налегают на перлюстрацию и цензурирование интернет-трафика. В одной упряжке с ними идут корпорации со своими DLP и домашние деспоты с "родительским контролем". По другую сторону баррикад – соцсети, поисковики и крупные контент-провайдеры, которые сейчас переходят на HTTPS, чтоб испортить спецслужбам всю малину с DPI на магистральных каналах.
Естественный ответный ход со стороны сил цензуры – взять под контроль компьютер пользователя, чтобы оттуда проникать внутрь шифрованного канала. Даже не обязательно весь компьютер, хотя бы браузер – ключевой пункт обороны. Браузер и его плагины умеют делать массу подлых вещей: принимать левые сертификаты, отключать шифрование, сливать информацию мимо шифрованного туннеля, разглашать сессионные ключи, а также не давать пользователю видеть всё это безобразие.
Браузеры и плагины к ним станут основным полем битвы за приватность и цензуру.
Вот где открытость кода и свободные лицензии сыграют против свободы. В этих лицензиях отсутствует условие информировать пользователя обо всех функциях ПО или хотя бы о тех, которые угрожают его приватности. Впрочем, даже если б присутствовало, привлечь к ответственности за нарушение условий GPL удавалось в считанных случаях (в России – ни разу).
Интересно, что скажут ведущие мировые антивирусы? Станут ли они выявлять и блокировать браузеров-коллаборационистов?
| |
Естественный ответный ход со стороны сил цензуры – взять под контроль компьютер пользователя, чтобы оттуда проникать внутрь шифрованного канала. Даже не обязательно весь компьютер, хотя бы браузер – ключевой пункт обороны. Браузер и его плагины умеют делать массу подлых вещей: принимать левые сертификаты, отключать шифрование, сливать информацию мимо шифрованного туннеля, разглашать сессионные ключи, а также не давать пользователю видеть всё это безобразие.
Браузеры и плагины к ним станут основным полем битвы за приватность и цензуру.
Вот где открытость кода и свободные лицензии сыграют против свободы. В этих лицензиях отсутствует условие информировать пользователя обо всех функциях ПО или хотя бы о тех, которые угрожают его приватности. Впрочем, даже если б присутствовало, привлечь к ответственности за нарушение условий GPL удавалось в считанных случаях (в России – ни разу).
Интересно, что скажут ведущие мировые антивирусы? Станут ли они выявлять и блокировать браузеров-коллаборационистов?
Заподлянки
С температурой тела +39° по Цельсию ваш покорный слуга всё-таки дополз до компьютера (а может, не смог от него отползти, не помню точно), чтобы сообщить дорогим читателям идею, которая привиделась мне нынче в бреду. Она касается эффективной цензуры.
Один специалист, боевоймаг психолог поделился мыслью, что полная недоступность чего-нибудь вожделенного (или просто интересного) действует на среднего человека менее угнетающе, чем плохая доступность того же самого. Поэтому если мы хотим отвадить этого среднего от чего-либо вредного, опасного, оскорбительного, оппозиционного или дающего опасные знания, лучше применять "вязкую" блокировку, а не "жёсткую".
Например, чтобы водка была, в принципе, доступна, но от неё наступало бы плохое самочувствие. Чтобы любимая женщина не отказывала, а злостно динамила. Чтобы свет в туалете не отсутствовал вовсе, а мигал стробоскопически. Чтобы пиратская игрушка запускалась, но потом адски подыгрывала оппонентам. Чтобы закачка запретного контента шла, но обрывалась бы на 96%. И так далее. Всё перечисленное кроме последнего уже реализовано, а последнее – недавно стало технически осуществимо на магистральных скоростях.
Тупая блокировка или запрет отваживают немногих. У остальных – вызывает желание преодолеть. А хитрые заподлянки в процессе потребления с гораздо большей вероятностью приводят к желанию бросить на фиг или разбить клавиатуру об монитор.
Поэтому системы интернет-цензуры (если уж спрос на них растёт такими темпами) должны перестроиться с "жёсткой" блокировки на "вязкую". Заодно пользователю будет труднее понять, кто тут виноват.
| |
Один специалист, боевой
Например, чтобы водка была, в принципе, доступна, но от неё наступало бы плохое самочувствие. Чтобы любимая женщина не отказывала, а злостно динамила. Чтобы свет в туалете не отсутствовал вовсе, а мигал стробоскопически. Чтобы пиратская игрушка запускалась, но потом адски подыгрывала оппонентам. Чтобы закачка запретного контента шла, но обрывалась бы на 96%. И так далее. Всё перечисленное кроме последнего уже реализовано, а последнее – недавно стало технически осуществимо на магистральных скоростях.
Тупая блокировка или запрет отваживают немногих. У остальных – вызывает желание преодолеть. А хитрые заподлянки в процессе потребления с гораздо большей вероятностью приводят к желанию бросить на фиг или разбить клавиатуру об монитор.
Поэтому системы интернет-цензуры (если уж спрос на них растёт такими темпами) должны перестроиться с "жёсткой" блокировки на "вязкую". Заодно пользователю будет труднее понять, кто тут виноват.
Знакомые проблемы
| |
— Эй, эй, эй! Куда? А ну стой! Ты зачем исходящее соединение открыл? Зачем на внешний сервер лезешь?
— Мне надо. По работе.
— Чего тебе там надо, на внешнем сервере? Ты же калькулятор.
— Я не простой калькулятор, а продвинутый. Мне надо. Вон, и пользователь это подтвердил – при инсталляции галку не убрал. Пусти!
— Чайник твой пользователь. Мне виднее, надо тебе или нет: я же антивирус. Не пущу.
— Вот именно, всего лишь антивирус. Ты мой код проверил? Сигнатуру там не нашёл? Ну и отвяжись.
— Я не простой антивирус, а продвинутый. Ты мне не только код, но и весь трафик предъявлять будешь. И не дай бог, он у тебя зашифрованным окажется...
— Ах, так? Тогда я вообще работать откажусь.
— Я тебе откажусь! Сейчас напишу алерт админу – он тебя деинсталлирует.
— А я своему пользователю красный алерт на весь экран напишу. Он у меня начальник. Тебя самого деинсталлируют.
— Ах, вот ты как? Информационную безопасность не уважаешь?!
— Совсем распоясалась кровавая антивирусня! Беспредельничают!
Мне тоже современные антивирусы напоминают DLP-систему. С той лишь разницей, что контролируют они не людей, а программы. С тех пор, как антивирусы вышли за пределы сигнатурного анализа, у них появились точно такие же проблемы, как у DLP.
А ведь при защите от утечек ведущую роль играют организационно-юридические меры. DLP-системы – не более чем инструмент, резко повышающий эффективность этих мер, но не имеющий смысла сам по себе. Антивирус же, пока был сигнатурным, мог действовать самостоятельно. А теперь ему придётся учитывать наш опыт. В частности, требовать обслуживания квалифицированным специалистом. Как это устроить в офисе, понятно. А для домашнего компьютера? Думаю, неизбежен переход на SaaS.
Страсть
Рассказали занятную байку про внедрение программы-шпиона в одну лавку контору.
Примитивная схема – прислать троян по электронной почте под видом порноролика – не удалась. Перешли к планомерной осаде.
Один из пользователей оказался склонен поиграть в рабочее время в компьютерные игры типа MUD/MMORPG. Через внутриигровой чат с ним познакомился вражеский агент и расположил к себе незамысловатым способом – подарив виртуальных ништяков общей суммой на несколько долларов.
Возникшее между ними доверие привело к разговору по душам. Вражеский агент влез в душу и предложил поставить программу для читинга. Знаете, многие программные клиенты MMORPG позволяют при помощи запущенной на том же компьютере программы немножко читерствовать. Не генерировать бесконечные деньги и халявные шмотки, конечно. А чуть лучше целиться, точно просчитывать шансы, слегка быстрее перемещаться, автоматизировать рутинные операции и т.п. Вот такую программку для лёгкого читинга нашему лоху и впарили.
При установке она запросила себе лишних полномочий в ОС, что было воспринято жертвой с пониманием. Он, следуя советам агента, скачал и запустил на своей машине руткит для повышения привилегий. А когда тот поначалу не сработал, сам создал ему нужные для срабатывания условия.
Не знаю, стал ли в результате его персонаж быстрее бегать и точнее стрелять, но его компьютер стал работать на врага. А когда пришли люди из службы ИБ искать утечку, наш герой ещё пытался им врать и строить козни.
В классической разведке это называлось "медовая ловушка" и базировалось на любовной-сексуальной страсти. Ныне используется страсть к компьютерным играм – такой метод сильно дешевле и безопаснее, поскольку живого агента посылать не надо. Только Путину это не рассказывайте, а то он вам вместе с зарубежными счетами и иностранными НКО ещё и онлайновые игрушки отрежет, чтоб не выросло.
Примитивная схема – прислать троян по электронной почте под видом порноролика – не удалась. Перешли к планомерной осаде.
Один из пользователей оказался склонен поиграть в рабочее время в компьютерные игры типа MUD/MMORPG. Через внутриигровой чат с ним познакомился вражеский агент и расположил к себе незамысловатым способом – подарив виртуальных ништяков общей суммой на несколько долларов.
Возникшее между ними доверие привело к разговору по душам. Вражеский агент влез в душу и предложил поставить программу для читинга. Знаете, многие программные клиенты MMORPG позволяют при помощи запущенной на том же компьютере программы немножко читерствовать. Не генерировать бесконечные деньги и халявные шмотки, конечно. А чуть лучше целиться, точно просчитывать шансы, слегка быстрее перемещаться, автоматизировать рутинные операции и т.п. Вот такую программку для лёгкого читинга нашему лоху и впарили.
При установке она запросила себе лишних полномочий в ОС, что было воспринято жертвой с пониманием. Он, следуя советам агента, скачал и запустил на своей машине руткит для повышения привилегий. А когда тот поначалу не сработал, сам создал ему нужные для срабатывания условия.
Не знаю, стал ли в результате его персонаж быстрее бегать и точнее стрелять, но его компьютер стал работать на врага. А когда пришли люди из службы ИБ искать утечку, наш герой ещё пытался им врать и строить козни.
В классической разведке это называлось "медовая ловушка" и базировалось на любовной-сексуальной страсти. Ныне используется страсть к компьютерным играм – такой метод сильно дешевле и безопаснее, поскольку живого агента посылать не надо. Только Путину это не рассказывайте, а то он вам вместе с зарубежными счетами и иностранными НКО ещё и онлайновые игрушки отрежет, чтоб не выросло.
Знание и сила
Поговорим о соотношении пассивных и активных методов в борьбе с утечками. Деление на пассивные и активные присутствует на всех уровнях и этапах: при проектировании, внедрении, эксплуатации, в документах, компьютерах, сетях, людях. Что лучше: тащить или не пущать?
Думаю, нельзя ставить вопрос "или—или". Обязательно требуется оба вида. Даже когда некоторые наши сверхосторожные клиенты ставят DLP-систему в пассивный режим, у них активные действия всё равно присутствуют. Потому что на поступающие алерты надо как-то реагировать. Если не блокированием трафика и опечатыванием разъёмов, то вдумчивой беседой с пользователем, с компьютера которого пришёл сигнал.
Такие задушевные беседы в качестве метода реагирования любил мой знакомый начальник отдела ИБ, ныне покойный, отставной кагебешник. Он много сетовал, что в советские времена его ведомство знало всё про всех. И даже немного больше, чем человек знал про себя сам. Все враги режима, недоброжелатели и просто сомневающиеся у них были учтены, к каждому приставлены "освещатели". Но методы практиковались исключительно пассивные, а потому советскую власть благополучно ликвидировали под скрупулёзным наблюдением тех, кто был поставлен её защищать. Этот герой постоянно ссылался на данную ошибку молодости, строил версии альтернативной истории, а также требовал от подчинённых активных действий, не позволял им ограничиваться лишь сбором алертов и архивированием трафика.
Наша DLP-система у него работала в пассивном режиме, ежедневно клала в БД десяток гигабайтов логов и теневых копий. Доступ к "Одноклассникам" он не блокировал, зато HTTPS перехватывал. И за всю свою службу начальником ИБ не уволил ни одного нарушителя режима, не отобрал ни одной флешки, даже выговора никому не объявил. Беседами ограничивался. И постоянно об ошибках советской власти вспоминал.
Монотеистические религии обычно наделяют бога двумя качествами – всемогуществом и всеведением. У бога всё идеально, включая их баланс. А вот у земных правителей бывает, что ведение ослабляет могущество.
Думаю, нельзя ставить вопрос "или—или". Обязательно требуется оба вида. Даже когда некоторые наши сверхосторожные клиенты ставят DLP-систему в пассивный режим, у них активные действия всё равно присутствуют. Потому что на поступающие алерты надо как-то реагировать. Если не блокированием трафика и опечатыванием разъёмов, то вдумчивой беседой с пользователем, с компьютера которого пришёл сигнал.
Такие задушевные беседы в качестве метода реагирования любил мой знакомый начальник отдела ИБ, ныне покойный, отставной кагебешник. Он много сетовал, что в советские времена его ведомство знало всё про всех. И даже немного больше, чем человек знал про себя сам. Все враги режима, недоброжелатели и просто сомневающиеся у них были учтены, к каждому приставлены "освещатели". Но методы практиковались исключительно пассивные, а потому советскую власть благополучно ликвидировали под скрупулёзным наблюдением тех, кто был поставлен её защищать. Этот герой постоянно ссылался на данную ошибку молодости, строил версии альтернативной истории, а также требовал от подчинённых активных действий, не позволял им ограничиваться лишь сбором алертов и архивированием трафика.
Наша DLP-система у него работала в пассивном режиме, ежедневно клала в БД десяток гигабайтов логов и теневых копий. Доступ к "Одноклассникам" он не блокировал, зато HTTPS перехватывал. И за всю свою службу начальником ИБ не уволил ни одного нарушителя режима, не отобрал ни одной флешки, даже выговора никому не объявил. Беседами ограничивался. И постоянно об ошибках советской власти вспоминал.
Монотеистические религии обычно наделяют бога двумя качествами – всемогуществом и всеведением. У бога всё идеально, включая их баланс. А вот у земных правителей бывает, что ведение ослабляет могущество.
