Category: компьютеры

Category was added automatically. Read all entries about "компьютеры".

white

Как это работает: учимся создавать свой sandbox с нуля: часть II



В первой части статьи вы получили краткое представление о драйверах в привилегированном режиме. Настало время покопаться в нашей песочнице.

Collapse )

white

Как можно незаметно потрошить банкоматы - часть 2.

Начало этой прекрасной истории мы публиковали тут.



Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций  – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.

Collapse )
white

Нет здоровых ИТ-систем, есть недообследованные

Компания InfoWatch, как вы знаете, разрабатывает решение для обнаружения таргетированных атак InfoWatch Targeted Attack Detector. Спешим поделиться некоторыми результатами работы решения на боевых проектах за последние 6 месяцев.

В выборке представлены компании кредитно-финансовой отрасли, промышленного сектора, государственные организации, представители ритейла и организации, занятые разработкой программного обеспечения.

За 6 месяцев обнаружено 203 объекта, критичного и высокого уровней опасности. Чаще всего такое ПО направлено на кражу данных, а также получение доступа к управлению зараженной машиной. За тот же период IW TAD зафиксировал 612 объектов, относящихся к среднему уровню угрозы. Такое ПО не представляет собой серьезную опасность для организации, однако может помешать нормальному функционированию рабочих станций: оно может «засорять» ПК, выдавать нежелательные рекламные объявления и др.


Рис. 2 Распределение найденных объектов разного уровня опасности по отраслям

В некоторых случаях решение выявило признаки атаки, которые начались до внедрения InfoWatch TAD
Сложность обнаружения таргетированных атак заключается, в первую очередь, в том, что специализированное зловредное ПО разрабатывается под конкретные организации (или группы организации) с учетом защиты, которая там используется. Иногда ПО полностью отвечает требованиям к легитимному ПО (имеет подпись разработчика, даже функционирует «по правилам»), что сильно затрудняет процесс распознавания в нем зловреда сигнатурными методами. Только анализ поведения объекта во времени и контексте может выявить аномальную активность и вовремя распознать таргетированную атаку.

Таргетированные атаки проходят точечно: злоумышленники знают жертву и свою цель. Тем не менее для достижения этой цели хакерам иногда приходится получать доступ к другим машинам. Вовремя пресечь заражение и развитие вектора атаки классическими способами чаще всего невозможно. Постоянное наблюдение –  подход, который оправдывает себя и позволяет нашим клиентам выявить и хронические болячки, и новоприобретённые проблемы на ранних стадиях.

Как любят шутить врачи, здоровых людей нет, есть недообследованные. ИТ-инфраструктура организаций также требует непрерывной диагностики. Не забывайте об этом
white

Можно ли резать косты на ИБ в кризис?

На безопасности лучше не экономить



Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.


Взято отсюда

Когда понятия «безопасность» и «удобство» встречаются в одном предложении, между ними обязательно стоит слово «против». Подразумевается, что усиление мер безопасности мешает пользователю (вспомним байки об антивирусе, который «тормозит»). Так ли это на самом деле?

В этой связи поучительная история про отсутствие «безопасности». В одном из недавних материалов мы писали о компании, где с целью сокращения расходов заморозили ряд ИТ и ИБ-проектов. Среди них – проект внедрения системы защиты от утечек. А потом в эту компанию регулятор назначил внешнего управляющего…

У руководства было в запасе несколько часов, чтобы среагировать на угрозу. Все понимали: когда сотрудники узнают из СМИ о введении внешнего управления, начнется паника. Менеджеры будут спешно копировать клиентские базы, собирать всю доступную информацию, чтобы, в случае увольнения, уйти не «с пустыми руками».

Службы экономической безопасности обратились в ИБ-подразделение банка с вопросом: что можно сделать, чтобы максимально снизить риск утечки клиентских баз? С учетом того, что все проекты и инвестиции в развитие области были заморожены, безопасник не без улыбки предложил руководству следующие варианты:

  • отключить всем системы, в которых обрабатываются базы клиентов;

  • отключить интернет, внешнюю электронную почту, возможность пользования съемными носителями;

  • отключить возможность выгрузки отчетов из систем.

На последнем и остановились. Отрубили отчеты. Всем. В рамках группы компаний не было времени разбираться, для кого работа с отчетами – прямое выполнение должностных обязанностей, а для кого – факультативное.

У ряда подразделений после внедрения подобной экстренной меры работа встала. Через день начали подключать отключенные доступы обратно, по консолидированным спискам.

Помогло ли это снизить риски? В чем-то да, особенно если считать, что мало кто держал подобную информацию на своих компьютерах «про запас». Но при наличии в компании современной системы DLP, не было бы необходимости тормозить работу сотрудников в кризисный для организации момент. Очевидно, что полная остановка бизнеса – не лучшая реакция на угрозу.

Так что же лучше – ограничения, связанные с информационной безопасностью, или перспектива потерять все? Решать, как обычно, вам.

  
white

Байки безопасников - гостайна и сквозняк

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch, рассказал нам несколько коротеньких историй из жизни специалистов по безопасности. С его разрешения мы будем периодически ими делиться. Итак сегодня история первая (рассказывает сам Андрей).

Fotolia_27362111_Subscription_Monthly_M

Коллеги рассказали про сложности реализации режима защиты гостайны и актуальные угрозы. Случай простой, но показывает отличие в подходах к защите информации разной категории конфиденциальности.

Итак, в режимном помещении не плотно закрыли окно, порывом ветра оно распахнулось и створкой разбило монитор компьютера. Вроде бы мелочь, но нет... Помещение режимное, компьютер аттестован для работы с гостайной. Замена монитора требует проведения новой спец.проверки с измерением ПЭМИН, а это долго и дорого... Грусть-печаль.

А кто из вас, коллеги, у себя в организации оценивает возможные риски, с учетом расположения средств обработки информации?
white

Легендарные айтишники

Для айтишника перейти из категории "неуловимый Джо" в категорию "приоритетная цель" довольно просто. Надо устроиться на должность, связанную с управлением большой инфосистемой – такую как, скажем, «инженер отдела магистральной сети» или «администратор БД отдела билинга». Точнее, даже не устроиться, а заявить об этом, отметиться в соцсетях, приписать строчку в резюме, включиться в соответствующий список рассылки и т.д. Тут же попадаешь на кнопку в АНБ и других технических разведках.
       

В романтическом XX веке таких людей – с невысокой должностью и серьёзным доступом – вербовали. В веке нынешнем – их просто затроянивают. Как вы понимаете, даже у самой мощной разведки вероятного противника вербовалка большая не отрастёт. Из десяти тысяч перспективных счастливый билетик вытянут 10-20, не больше. А подсаживание на ваш рабочий компьютер трояна спецпошива – операция, которую (в отличие от традиционной вербовки) можно масштабировать. И этим охватить не 0,1%, а 80-90% кандидатов. Только вместо гонораров и званий агенту достанется шиш с маслом. Поэтому с такой практикой надо беспощадно бороться.

Есть довольно простой и очень дешёвый метод защиты, который снижает эффективность вышеописанного подхода в разы. Надо убедить (уговорить, заставить, стимулировать) нового сотрудника назваться иной должностью. Скажем, принимаем его инженером в департамент магистральной сети. А во всех публичных документах и соцсетях он называет себя «зам.нач.отдела департамента равития». И в "Линкедине" пусть так пишет, и в резюме, и в справке, которую ему для получения визы выдают. С большой вероятностью АНБ его пропустит как неперспективного.

В традиционной контрразведывательной работе такой приём называется "легендирование" и успешно применяется. Правда, против серьёзного расследования легенда не устоит. То, что помощник советника посла по культуре на самом деле – резидент разведки, выясняется за несколько дней. Но это – при "ручной" обработке информации. Это – в отношении считанных людей. А при компьютерной обработке данных на масштабах в сотни тысяч эффективность будет значительно выше.

white

Нейтрализация добра не есть зло

В продолжение вчерашней темы обсудим проксирование HTTPS-трафика в свете статьи 273 УК.

Определение вредоносной программы в прошлом году было существенно расширено и ныне звучит так:
«заведомо предназначенная для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации»
Определение имеет неоднозначность и, соответственно, два толкования – широкое и узкое. В нашем случае изготовитель подпадает только под широкое.

Вы таки будете смеяться, но дорога в рай вымощена формальными нарушениями закона.

Шифрование трафика – это одно из средств защиты информации. Расшифровка в середине должна трактоваться как нейтрализация средства защиты. Такая расшифровка является не побочной, а основной функцией соответствующего устройства/софта, следовательно, для изготовителя всё "заведомо".

Более того, в новой формулировке статьи ко вредоносным программам приравнена компьютерная информация. Полагаю, это было сделано с прицелом на коды активации и пароли. Но подложный сертификат электронной подписи – это тоже компьютерная информация. Тот, кто его генерирует, зная об использовании для перехвата, тоже подпадает под статью.

Что же может спасти нас от ревизии? Ведь составной частью всех полноценных DLP-систем является модуль для перехвата HTTPS.

Спасает нас то же самое обстоятельство, которое спасает антивирусные лаборатории от уголовной ответственности за распространение вредоносных программ. Отсутствие общественной опасности деяния. Поскольку все действия изготовителя DLP имеют целью защитить законные интересы граждан и общества, они (в силу ст.14 УК) не считаются преступлением, хотя формально подпадают под определение.

white

Киберкоррупция

Все цензоры (политические, семейные, копирастические и корпоративные) давно облизываются на антивирусы. Точнее, на те комплексные защитные программы, до которых те выросли к настоящему времени. Очень хочется призвать антивирусы себе на службу, благо имеются они почти на каждом компьютере.
       

В обсуждаемом аспекте антивирус радикально отличается от браузера. К последнему каждый может сочинить плагин. Или модифицировать исходный код и выпустить "свой" браузер. Модификаций и плагинов – тысячи; среди них замечены и вредоносные. А влезть своими шаловливыми ручками в чужой антивирус – таких попыток не отмечено (во всяком случае, успешных). Производитель ревниво следит за своим продуктом: никаких адд-онов, никаких исходных кодов, всё – только из моих рук.

Как верно мне вчера заметили читатели, из антивируса получился бы лучший в мире цензор: от него VPNом и HTTPSом не отгородишься, в криптоконтейнер не спрячешься, а отключить свой антивирус – подвергнуться смертельной опасности. Только одна проблема: пользователь будет недоволен. А конкуренция среди антивирусов такая, что репутация среди населения для них много важнее, чем благосклонность политических властей, корпоративных СБ или копирайтного лобби. На это и надеемся. Кстати, именно поэтому нет попыток властей обязать законом антивирусников вставлять в свои продукты ту или иную функциональность. Понимают, что такая обязаловка просто выкинет с рынка.

Сотрудничать с цензорами ни производители браузеров, ни производители антивирусов не будут. Но первых можно объехать на кривой козе, втюхав пользователю какой-нибудь "Я-бар" или "G-браузер". А в антивирусную защиту всунуть своё "дополнение" не получится. Никто особенно и не пытается. Даже DLPшники пишут локальные модули самостоятельно, не сотрудничая с антивирусниками.

Теперь мне понятно, почему нет ни одного антивируса с возможностью подключения модулей (плагинов) от сторонних разработчиков.

white

Браузерная гигиена

Государственные органы в последние годы налегают на перлюстрацию и цензурирование интернет-трафика. В одной упряжке с ними идут корпорации со своими DLP и домашние деспоты с "родительским контролем". По другую сторону баррикад – соцсети, поисковики и крупные контент-провайдеры, которые сейчас переходят на HTTPS, чтоб испортить спецслужбам всю малину с DPI на магистральных каналах.
       

Естественный ответный ход со стороны сил цензуры – взять под контроль компьютер пользователя, чтобы оттуда проникать внутрь шифрованного канала. Даже не обязательно весь компьютер, хотя бы браузер – ключевой пункт обороны. Браузер и его плагины умеют делать массу подлых вещей: принимать левые сертификаты, отключать шифрование, сливать информацию мимо шифрованного туннеля, разглашать сессионные ключи, а также не давать пользователю видеть всё это безобразие.

Браузеры и плагины к ним станут основным полем битвы за приватность и цензуру.

Вот где открытость кода и свободные лицензии сыграют против свободы. В этих лицензиях отсутствует условие информировать пользователя обо всех функциях ПО или хотя бы о тех, которые угрожают его приватности. Впрочем, даже если б присутствовало, привлечь к ответственности за нарушение условий GPL удавалось в считанных случаях (в России – ни разу).

Интересно, что скажут ведущие мировые антивирусы? Станут ли они выявлять и блокировать браузеров-коллаборационистов?

white

Не читай с набитым ртом

«Категорически запрещается есть и пить за компьютером» – такую фразу можно найти в нормативных документах многих предприятий. Мне представляется, что пора менять свои вредные привычки под воздействием технического прогресса. Опасность указанного поведения состоит исключительно лишь в том, что можно засыпать крошками или залить кофием клавиатуру. Пищеварение же не страдает от того, что внимание едока сосредоточено не на еде.
       

У нас простейшая клавиатура стоит 120 рублей, а мышь – 99. Можно себе позволить менять хоть ежедневно.

Более того, от еды за компьютером увеличивается производительность труда, поскольку экономится время на поход в столовую. Она бы ещё больше повысилась, если бы еду приносили работнику прямо на рабочее место, как это происходит у нас в Таиланде.

Но пересмотреть указанные нормы мало где удаётся. Запреты вообще отменяются в России с огромным трудом. Даже если начальству доказать, что угроза более не актуальна. Мой знакомый директор в таких случаях говорил: "Отменять приказ я не буду. Но можно не соблюдать". Вот такая вот национальная идея с менталитетом...




Да, ещё. Забыл вам похвастаться, что в пятницу прошла шестая конференция "DLP-Russia". Она собрала рекордное число участников – 570, не считая прессы и зрителей интернет-трансляции. Интерес к теме растёт.