Category: компьютеры

Category was added automatically. Read all entries about "компьютеры".

white

Как это работает: учимся создавать свой sandbox с нуля: часть II



В первой части статьи вы получили краткое представление о драйверах в привилегированном режиме. Настало время покопаться в нашей песочнице.

Collapse )

white

Как можно незаметно потрошить банкоматы - часть 2.

Начало этой прекрасной истории мы публиковали тут.



Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций  – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.

Collapse )
white

Нет здоровых ИТ-систем, есть недообследованные

Компания InfoWatch, как вы знаете, разрабатывает решение для обнаружения таргетированных атак InfoWatch Targeted Attack Detector. Спешим поделиться некоторыми результатами работы решения на боевых проектах за последние 6 месяцев.

В выборке представлены компании кредитно-финансовой отрасли, промышленного сектора, государственные организации, представители ритейла и организации, занятые разработкой программного обеспечения.

За 6 месяцев обнаружено 203 объекта, критичного и высокого уровней опасности. Чаще всего такое ПО направлено на кражу данных, а также получение доступа к управлению зараженной машиной. За тот же период IW TAD зафиксировал 612 объектов, относящихся к среднему уровню угрозы. Такое ПО не представляет собой серьезную опасность для организации, однако может помешать нормальному функционированию рабочих станций: оно может «засорять» ПК, выдавать нежелательные рекламные объявления и др.


Рис. 2 Распределение найденных объектов разного уровня опасности по отраслям

В некоторых случаях решение выявило признаки атаки, которые начались до внедрения InfoWatch TAD
Сложность обнаружения таргетированных атак заключается, в первую очередь, в том, что специализированное зловредное ПО разрабатывается под конкретные организации (или группы организации) с учетом защиты, которая там используется. Иногда ПО полностью отвечает требованиям к легитимному ПО (имеет подпись разработчика, даже функционирует «по правилам»), что сильно затрудняет процесс распознавания в нем зловреда сигнатурными методами. Только анализ поведения объекта во времени и контексте может выявить аномальную активность и вовремя распознать таргетированную атаку.

Таргетированные атаки проходят точечно: злоумышленники знают жертву и свою цель. Тем не менее для достижения этой цели хакерам иногда приходится получать доступ к другим машинам. Вовремя пресечь заражение и развитие вектора атаки классическими способами чаще всего невозможно. Постоянное наблюдение –  подход, который оправдывает себя и позволяет нашим клиентам выявить и хронические болячки, и новоприобретённые проблемы на ранних стадиях.

Как любят шутить врачи, здоровых людей нет, есть недообследованные. ИТ-инфраструктура организаций также требует непрерывной диагностики. Не забывайте об этом
white

Можно ли резать косты на ИБ в кризис?

На безопасности лучше не экономить



Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.


Взято отсюда

Когда понятия «безопасность» и «удобство» встречаются в одном предложении, между ними обязательно стоит слово «против». Подразумевается, что усиление мер безопасности мешает пользователю (вспомним байки об антивирусе, который «тормозит»). Так ли это на самом деле?

В этой связи поучительная история про отсутствие «безопасности». В одном из недавних материалов мы писали о компании, где с целью сокращения расходов заморозили ряд ИТ и ИБ-проектов. Среди них – проект внедрения системы защиты от утечек. А потом в эту компанию регулятор назначил внешнего управляющего…

У руководства было в запасе несколько часов, чтобы среагировать на угрозу. Все понимали: когда сотрудники узнают из СМИ о введении внешнего управления, начнется паника. Менеджеры будут спешно копировать клиентские базы, собирать всю доступную информацию, чтобы, в случае увольнения, уйти не «с пустыми руками».

Службы экономической безопасности обратились в ИБ-подразделение банка с вопросом: что можно сделать, чтобы максимально снизить риск утечки клиентских баз? С учетом того, что все проекты и инвестиции в развитие области были заморожены, безопасник не без улыбки предложил руководству следующие варианты:

  • отключить всем системы, в которых обрабатываются базы клиентов;

  • отключить интернет, внешнюю электронную почту, возможность пользования съемными носителями;

  • отключить возможность выгрузки отчетов из систем.

На последнем и остановились. Отрубили отчеты. Всем. В рамках группы компаний не было времени разбираться, для кого работа с отчетами – прямое выполнение должностных обязанностей, а для кого – факультативное.

У ряда подразделений после внедрения подобной экстренной меры работа встала. Через день начали подключать отключенные доступы обратно, по консолидированным спискам.

Помогло ли это снизить риски? В чем-то да, особенно если считать, что мало кто держал подобную информацию на своих компьютерах «про запас». Но при наличии в компании современной системы DLP, не было бы необходимости тормозить работу сотрудников в кризисный для организации момент. Очевидно, что полная остановка бизнеса – не лучшая реакция на угрозу.

Так что же лучше – ограничения, связанные с информационной безопасностью, или перспектива потерять все? Решать, как обычно, вам.

  
white

Когда антивирусы бессильны

Fotolia_49457164_Subscription_Monthly_M

Целенаправленные атаки на конкретные компании (APT – advanced persistent threat) ставятся все дешевле. Стоимость Stuxnet, сложнейшего кибероружия, составила примерно 100 млн долларов. Расходы на кампанию Icefog, обнаруженную экспертами «Лаборатории Касперского» в конце 2013 года, потребовали менее 10 тысяч долларов. А это означает, что целенаправленную атаку вскоре может позволить себе практически любой. В том числе компания, конкурирующая с вашей, уважаемый читатель.

Целенаправленная атака начинается с банального письма с инфицированным файлом во вложении. Или со ссылки, присланной в скайп. В общем, в начале глобальной проблемы всегда какая-нибудь досадная мелочь. И эту «мелочь» хотелось бы обнаружить сразу.

В прошлом году InfoWatch представила TAD - решение для раннего обнаружения целенаправленных атак. Задолго до вывода решения на рынок, мы протестировали его «на собственной шкуре». На компьютерах отдельных сотрудников нашлись целые стада «троянов», рекламных программ, прочего малоприятного кода. Удивительно другое – на этих машинах стоял антивирус.
Буквально через неделю антивирусная компания что-то докрутила в своих базах, и их программа уже без проблем обнаруживала подозрительные файлы, найденные TAD (хотя, кое-что антивирус по-прежнему не замечал).

Получается, у злоумышленника есть минимум неделя (а зачастую больше) до того, как внедренное им ПО будет обнаружено стандартным антивирусом. В этот момент вредоносные программы проявляют себя наиболее ярко. Их активность неизбежно приводит к изменениям – появляются новые файлы, записи в реестре, драйверы. На этом TAD и ловит.

А на следующей неделе мы расскажем о том, как злоумышленники атакуют неподключенные к интернету инфраструктуры и что им для этого нужно.
white

Байки безопасников - гостайна и сквозняк

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch, рассказал нам несколько коротеньких историй из жизни специалистов по безопасности. С его разрешения мы будем периодически ими делиться. Итак сегодня история первая (рассказывает сам Андрей).

Fotolia_27362111_Subscription_Monthly_M

Коллеги рассказали про сложности реализации режима защиты гостайны и актуальные угрозы. Случай простой, но показывает отличие в подходах к защите информации разной категории конфиденциальности.

Итак, в режимном помещении не плотно закрыли окно, порывом ветра оно распахнулось и створкой разбило монитор компьютера. Вроде бы мелочь, но нет... Помещение режимное, компьютер аттестован для работы с гостайной. Замена монитора требует проведения новой спец.проверки с измерением ПЭМИН, а это долго и дорого... Грусть-печаль.

А кто из вас, коллеги, у себя в организации оценивает возможные риски, с учетом расположения средств обработки информации?
white

Поехали ко мне!

Модный BYOD вкупе с мобильными технологиями привели к тому, что не работник находится в офисе, а офис находится внутри устройства – в кармане у работника.

Раньше информация утекала из офиса через работников. А нынче – из работника через офис. Раньше охраняемый периметр опоясывал офис. В наше время – он путешествует вместе с работником. Конфигурация утечек не просто поменялась, она вывернулась.

Термин BYOD не слишком правильно отражает суть вещей. Надо говорить не о приносе работником собственного компьютера, а о переезде работы на устройство работника. Фактически, она едет в чужой дом.
       

И если уж она, работа, соглашается на такое смелое предложение, то имеет право (и даже обязана) поставить работнику ряд условий: «Хорошо, я к тебе поеду. Но обещай мне, что будешь пользоваться средствами защиты, соблюдать гигиену, не приводить других...» Не все решаются откровенно и заблаговременно оговорить условия переезда. Большинство работ строит из себя недотрогу и решительно отказывается от непристойного предложения BYOD: «Не может быть речи! Да как ты мог подумать обо мне такое! Я – и на твой компьютер? Фи.».

Другие же соглашаются переехать, но стесняются обсуждать условия.

Например, когда ваш покорный слуга переходил на удалённую (дистанционную) занятость, всё вышло как-то чересчур доверчиво, без формальностей. Работа согласилась слишком быстро. Я, конечно, как порядочный человек, постарался обеспечить работе на своём домашнем компьютере все условия для защиты от утечек. В чём-то – даже получше офисных. Но формальных обязанностей на этот счёт у меня не было. Подобная доверчивость могла бы плохо кончиться, окажись на моём месте другой.

Иную крайность в этом вопросе демонстрируют банки. Когда вкладчик управляет своими счетами через Интернет, он же фактически следует принципу BYOD – обрабатывает служебные данные на личном устройстве. Но прежде чем доверить ему такое управление, банк затягивает все гайки, наглухо застёгивает все пуговицы и прописывает в договоре драконовкие условия. Клиенту позволяется пригласить к себе домой банковскую программу исключительно для чайной церемонии, а любое отклонение от этикета – и стоп, блокировка, запрет, отмена гарантий. От такого союза детей не будет.

white

От пассива к активу

Когда техническая разведка только создавалась, она велась полностью пассивными методами. Слушали эфир, пытались расшифровывать, идентифицировали передатчики. Потом начали добавлять немного активных операций: установка "жучков" в чужие аппараты, сниферов на чужие кабели, заброска датчиков вглубь территории противника.

Но компьютеры совершили революцию. Современная техническая разведка пассивной быть не может. Самое интересное, ценное и своевременное добывается только через активное вмешательство в информационные системы противника: внедрение закладок, бэкдоров, троянов, навязывание уязвимых алгоритмов и их реализаций.
       

Закладки – это взаимодействие с производителями, трояны – с провайдерами, алгоритмы – с органами стандартизации. В ключевых компаниях необходимо иметь своих людей и/или прямой доступ к оборудованию, депозитарию кода, базе данных. Это предполагает весьма активную жизненную позицию.

С такой активностью разведывательная служба плавно, но неуклонно превращается в диверсионную. Когда вражеский компьютер найден в Сети и затроянен, то после этого уже совсем никакой разницы – проводить с него пассивный сбор информации или активные деструктивные действия. Оружие стало наступательным.

Таким образом, компьютеризация превратила техническую разведку в ударную силу. Скорее всего, до военных это уже дошло. В настоящий момент они должны переписывать требования к техразведке – помимо получения информации о противнике в её задачи включают также нанесение киберударов. Киберкомандование вооружённых сил США и АНБ США – формально разные ведомства с разным подчинением, но по факту они сидят в одном здании и возглавляются одним человеком.

white

Легендарные айтишники

Для айтишника перейти из категории "неуловимый Джо" в категорию "приоритетная цель" довольно просто. Надо устроиться на должность, связанную с управлением большой инфосистемой – такую как, скажем, «инженер отдела магистральной сети» или «администратор БД отдела билинга». Точнее, даже не устроиться, а заявить об этом, отметиться в соцсетях, приписать строчку в резюме, включиться в соответствующий список рассылки и т.д. Тут же попадаешь на кнопку в АНБ и других технических разведках.
       

В романтическом XX веке таких людей – с невысокой должностью и серьёзным доступом – вербовали. В веке нынешнем – их просто затроянивают. Как вы понимаете, даже у самой мощной разведки вероятного противника вербовалка большая не отрастёт. Из десяти тысяч перспективных счастливый билетик вытянут 10-20, не больше. А подсаживание на ваш рабочий компьютер трояна спецпошива – операция, которую (в отличие от традиционной вербовки) можно масштабировать. И этим охватить не 0,1%, а 80-90% кандидатов. Только вместо гонораров и званий агенту достанется шиш с маслом. Поэтому с такой практикой надо беспощадно бороться.

Есть довольно простой и очень дешёвый метод защиты, который снижает эффективность вышеописанного подхода в разы. Надо убедить (уговорить, заставить, стимулировать) нового сотрудника назваться иной должностью. Скажем, принимаем его инженером в департамент магистральной сети. А во всех публичных документах и соцсетях он называет себя «зам.нач.отдела департамента равития». И в "Линкедине" пусть так пишет, и в резюме, и в справке, которую ему для получения визы выдают. С большой вероятностью АНБ его пропустит как неперспективного.

В традиционной контрразведывательной работе такой приём называется "легендирование" и успешно применяется. Правда, против серьёзного расследования легенда не устоит. То, что помощник советника посла по культуре на самом деле – резидент разведки, выясняется за несколько дней. Но это – при "ручной" обработке информации. Это – в отношении считанных людей. А при компьютерной обработке данных на масштабах в сотни тысяч эффективность будет значительно выше.

white

Страх и ненависть

Чтобы соперник и противник стал настоящим врагом, его надо бояться и ненавидеть. Без этого не будет должного ожесточения, не будет серьёзной борьбы, не удастся преодолеть животные инстинкты, которые запрещают человеку уничтожать особей своего вида*. Народ может попросту саботировать военные действия, учинить дезертирства, братания, коллаборационизм и другие непотребства вместо войны, если предварительно не возбудить в нём оба чувства – страх и ненависть.
       

Кибервойна – не исключение. Для её ведения обе указанных эмоции необходимы. Есть ли они на сегодняшний день?

Нет, но мы движемся в правильном направлении.

Компьютерные вирусы 1990-х принимались пользователями более как стихийная сила, нежели посланцы врага. Страх был весьма небольшой, поскольку информация в те времена ещё не стоила больших денег. А ненавидеть – некого в связи с отсутствием сколь-нибудь выраженного субъекта, стоящего за вирусом.

В последующее десятилетие малварь стала более разнообразной и явно коммерческой. Позади вредоносного кода начал просматриваться субъект-злоумышленник, желающий украсть твои деньги. А денег (и монетизируемой информации) в компьютерах прибавилось. Поэтому у пользователя появился небольшой страх и очень ограниченная ненависть. Примерно как к мелкому вору.

В текущем десятилетии на сцену вышли боевые компьютерные программы. Из них торчат уши уже не индивидуальных жуликов, а спецслужб, армий, государственных структур. А риски не сводятся к потерям денег. Речь уже заходит о жертвах, разрушениях, революционной пропаганде. Тут можно кое-кого напугать всерьёз.

Население знает из истории, что война (в отличие от кражи или хулиганства) ведётся с целью уничтожения, порабощения, отъёма ресурсов. На защиту от фишеров и злохакеров можно тратить не больше, чем стоимость риска. А на защиту отчества – не жалеют ничего: ни денег, ни крови, ни самой жизни. Расчёт денежных рисков в таком деле просто не уместен! Когда страх и ненависть вскипятят бульон киберугрозы до указанной температуры, в нём можно начинать ловить сверхприбыль. А заодно – выпаривать оставшиеся гражданские свободы.

Думаю, что угроза кибервойны реальная. Даже в том случае, если её не существует. Потому что если внешний противник не сумеет продемонстрировать достаточно убедительную кузькину мать, партия "ястребов" внутри страны сделает это за него. В истории такое наблюдалось неоднократно.


* Если война ведётся без надлежащей идеологической обработки армии, военнослужащие начинают страдать психическим расстройством, впервые описанным под именем "вьетнамский синдром".