Category: медицина

Category was added automatically. Read all entries about "медицина".

white

Нет здоровых ИТ-систем, есть недообследованные

Компания InfoWatch, как вы знаете, разрабатывает решение для обнаружения таргетированных атак InfoWatch Targeted Attack Detector. Спешим поделиться некоторыми результатами работы решения на боевых проектах за последние 6 месяцев.

В выборке представлены компании кредитно-финансовой отрасли, промышленного сектора, государственные организации, представители ритейла и организации, занятые разработкой программного обеспечения.

За 6 месяцев обнаружено 203 объекта, критичного и высокого уровней опасности. Чаще всего такое ПО направлено на кражу данных, а также получение доступа к управлению зараженной машиной. За тот же период IW TAD зафиксировал 612 объектов, относящихся к среднему уровню угрозы. Такое ПО не представляет собой серьезную опасность для организации, однако может помешать нормальному функционированию рабочих станций: оно может «засорять» ПК, выдавать нежелательные рекламные объявления и др.


Рис. 2 Распределение найденных объектов разного уровня опасности по отраслям

В некоторых случаях решение выявило признаки атаки, которые начались до внедрения InfoWatch TAD
Сложность обнаружения таргетированных атак заключается, в первую очередь, в том, что специализированное зловредное ПО разрабатывается под конкретные организации (или группы организации) с учетом защиты, которая там используется. Иногда ПО полностью отвечает требованиям к легитимному ПО (имеет подпись разработчика, даже функционирует «по правилам»), что сильно затрудняет процесс распознавания в нем зловреда сигнатурными методами. Только анализ поведения объекта во времени и контексте может выявить аномальную активность и вовремя распознать таргетированную атаку.

Таргетированные атаки проходят точечно: злоумышленники знают жертву и свою цель. Тем не менее для достижения этой цели хакерам иногда приходится получать доступ к другим машинам. Вовремя пресечь заражение и развитие вектора атаки классическими способами чаще всего невозможно. Постоянное наблюдение –  подход, который оправдывает себя и позволяет нашим клиентам выявить и хронические болячки, и новоприобретённые проблемы на ранних стадиях.

Как любят шутить врачи, здоровых людей нет, есть недообследованные. ИТ-инфраструктура организаций также требует непрерывной диагностики. Не забывайте об этом
white

Опасность незнания

Предположим, в одном классе с вашим ребёнком учится ВИЧ-инфицированный. Вы предпочитаете, чтоб от вас скрывали эту информацию? Или хотели бы знать о данном факте? Или будете взбешены, узнав, что "власти скрывают"?
       

Апелляция к детям – это запрещённый приём в дискуссии. Потому что родительский инстинкт, если его удалось зацепить, затмевает все другие инстинкты, культурные установки, религиозные догмы, не говоря уже о логике.

А логика здесь такова. Сведения о состоянии здоровья – специальная категория персональных данных, охраняемая сильнее прочих. Но в то же время, больной человек может нести угрозы для окружающих. Угрозы разной степени опасности – от неприятного запаха до смертельного заболевания. Значит, эта информация необходима для защиты общественных интересов, а интересы личности могли бы и подвинуться.

Для сравнения: судимость – тоже спецкатегория ПД и тоже может рассматриваться как угроза окружающим. Но степень опасности преступника, по идее, определяет суд. В тех странах, где судебная система действует, имеется механизм компетентной оценки этой опасности: опасных личностей изолируют и выпускают лишь тогда, когда они становятся неопасными. А если остаточная угроза ещё сохраняется, суд назначает в связи с этим дополнительные меры социальной защиты – ссылку, надзор или запрет на определённые виды деятельности.

В случае опасного для окружающих расстройства здоровья подобный механизм предусмотрен лишь в отдельных, особо ответственных случаях. Например, ежедневный медосмотр для пилотов, водителей автобусов, операторов РВСН, телеведущих с аудиторией более 100 тысяч. Ну а не столь опасных субъектов (заразных больных, фанатично верующих, слабых зрением, не владеющих формальной логикой) свободно выпускают в общество. Обществу при этом запрещают самозащиту, поскольку сведения о болезни нельзя обрабатывать без согласия пациента. Исключения предусмотрено лишь два. Первое (п.7 ч.1 ст.6 ЗоПД):
«обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;»
Но права больного субъекта при этом невозможно не нарушить.
И второе (п.3 ч.2 ст.10 ЗоПД):
«обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;»
Но в рассматриваемых случаях согласие возможно! Только не всякий его даст.

Этот дурацкий подход (общий для всей Европы) частично компенсирован только тем, что по-настоящему опасных заболеваний сейчас мало.

Конфиденциальность частной жизни – это вопрос душевного комфорта субъекта ПД. Открытость данных о состоянии здоровья – это вопрос физической безопасности окружающих. Надо бы получше взвешивать риски.

white

Закаляйся

Организм для своего здоровья нуждается в инфекции. При полном отсутствии болезнетворных микробов (такие эксперименты проводились) исчезает иммунитет, после чего первая же встреченная бактерия может убить животное насмерть. Только в постоянной борьбе с врагами иммунитет поддерживается на должном уровне. И даже способен прогрессировать.

Крепкий морально и здоровый ментально пользователь вырастает лишь в постоянной борьбе: с цензурой, с запретами, с мошенниками, с искушениями, с бардаком, с происками СБ, с родительским или супружеским контролем. Если лишить его постоянного давления неприятных обстоятельств, его ментальная защита начнёт деградировать.

К примеру, сейчас Роспотребнадзор трудится в поте лица, чтобы удалить из Интернета призывы к самоубийствам. Мы смеёмся над нашими неуклюжими чиновниками, а ведь на Западе имеется довольно серьёзная проблема с индуцированными суицидами. На вас, толстокожих, это не действует, а на эльфов – действует. Потому что иммунитет потеряли. Каких-то лет 700-800 назад христианская церковь предпринимала напряжённые усилия, чтобы убедить паству, что самоубийство не угодно Богу. Убедили. (Это было непросто в обстановке сплошных войн, эпидемий и голода.) И вот теперь обнаруживается, что старая защита уже неактуальна. Попов не слушают, а психотерапевт – очень дорогое удовольствие.

Если мы поставим слишком надёжный заслон для т.н. вредной информации, сделаем Интернет стерильным, то мы рискуем получить ментальный иммунодефицит у целого поколения. Убрать же защиту от информации совсем – всё равно что отменить в офлайне санитарные нормы: иммунитет у выживших будет высоким. Надо найти разумный компромисс между питьём воды из грязной лужи и употреблением стерильно-дистиллированной водички из бутылочек.

Иммунитет к утечкам – тоже из этой оперы. Собирая данные об инцидентах, мы частенько сталкиваемся со случаями, когда предприятие неадекватно реагирует на утечку информации. Оно явно было не готово к инциденту, не знало, что надо в этом случае делать, а чего делать не следует. Своего опыта не было, а чужой изучить не соизволили.

Иммунитет – это не отсутствие болезней, а практика организма по борьбе с ними. Нет утечек – нет практики.

white

Зараза

Давайте продолжим вчерашний срач разговор про финансовые пирамиды. Вашему покорному слуге видится аналогия между пирамидальным мошенничеством и заразным заболеванием.

В некоторых странах финансовые пирамиды не являются мошенничеством, а выделены в отдельный состав преступления. Например, в Канаде это статья 206.(1)(e) УК.

Тот, кто стал жертвой обычных воров или мошенников, страдает сам, но для окружающих не опасен. А попавший в сети финансовой пирамиды, начинает активно вовлекать туда других людей. Добрый он по жизни или злой, эгоист или альтруист, но система вынуждает его пытаться заражать этой гадостью "здоровых" граждан.

С инфекционными болезнями борются существенно иначе, чем с простудой, облысением и раком. Противоэпидемические меры выходят за рамки медицинских и гигиенических. Они включают ограничения для носителей инфекции или подозреваемых в этом. В древние времена практиковали даже тотальный геноцид в отношении жителей зараженных провинций. Ныне так поступают лишь при эпизоотиях. А для людей применяют ограничения гражданских прав.

Бороться с "заразным" мошенничеством тоже следует иначе, чем с мошенничеством обыкновенным. Локализовать и задавить источник – тут дело десятое. Информирование и "прививки" – важны, но не достаточны. Для лиц и компьютеров, заподозренных в участии в пирамидах и всяких там MLM, следует вводить суровые ограничения на коммуникации. Решительно и массово. Только ковровые сплошные меры могут остановить распространение ментально-финансовой заразы. Ключевые слова и регулярные выражения здесь работают неплохо.

Меры – непопулярные. Это вам не детская порнография – ждать поддержки со стороны всего населения не приходится. Но и не авторские права – массового противодействия тоже не будет. Так что можно работать.


PS. А кто в комментах выскажется в духе социального дарвинизма, будет подвергнут социально-естественному отбору.

white

Строгий ошейник и поводок

Тут один инсайдер намекнул вашему покорному слуге поднять тему... Инсайдер изрядный, так что поднимаю. В тексте два намёка, но довольно тонких, не взыщите.

Если человек перед допуском к или назначением на клянётся вам соблюдать установленные правила, верить ему нельзя. Он мог замыслить недоброе с самого начала. А может передумать и потом, в процессе. Отпускать его с поводка под честное слово, клятву на Библии или подпись под бумагой – рискованно.

В 1996 г. Британский музей убрал из своей экспозиции так называемый "пояс верности", который занимал место в витрине с 1846 г. Причиной для этого стало разоблачение...

Вот уже лет сто писателями и футурологами ведутся разговоры о технических способах обеспечения лояльности на расстоянии. Разговоры неожиданно кончились. Это странное окончание совпало с созреванием набора технологий, позволяющих, в принципе, реализовать неизвлекаемый имплантат лояльности.

Все подобные технологии сначала появлялись как секретные и ограниченные. Только для армии и спецслужб. И только лет через несколько "кремлёвскую таблетку" можно было применять на гражданке (и гражданине).

К настоящему времени принудительно имплантируемые GPS-трекеры уже рассекречены и ещё в 2003 году предложены к использованию правоохранительными органами США по относительно невысокой цене. Не говоря уже о простеньких идентификационных чипах, имплантируемых условно-добровольно. Но нас интересуют функции более сложные, чем подтверждение личности и трекинг носителя. Существенно изменить общественные отношения могут приборы, которые позволяют дистанционно воздействовать на "пациента", будучи при этом скрытными, неизвлекаемыми и труднодоказуемыми.

Разумеется, возможны контрмеры по извлечению чипа лояльности или дезактивации его на месте. А также контр-контрмеры. И так далее. Абсолютная победа на техническом поле невозможна. Однако, при поддержке организационных мер (типа периодических осмотров, дублирующих устройств, правила "двух рук", а также "мёртвой руки") вероятность устранения чипа можно свести к достаточно малой величине.

То же самое касается и последствий срабатывания имплантата. Воспрепятствовать установлению причин можно технически, но лучше – организационно.

Вообразите себя владельцем такой новейшей технологии. Массы о ней пока не знают. Комплектующие и компоненты пока не запрещены к обороту, не учитываются и не отслеживаются МАГАТЭ. Врачи, способные вживить и извлечь устройство, редки и имеются даже не в каждой стране. Где бы вы использовали имплантат лояльности? Кому предложили бы "зашиться"?

white

Вирусы массовые и индивидуальные

Сравнительные тесты антивирусов давно выродились. Старая методика уже не работает, а новая пока не придумана.

...А ты попробуй-ка укротить дикого.

Раньше ведь как было? Берут коллекцию вредоносных программ и напускают на неё каждого кандидата. И считают, сколько он обнаружит. В 1990-е, когда жизненный цикл вируса был долгим, это имело смысл. Ныне скорость реакции важнее полноты. Вредоносы старше месяца в дикой природе почти не встречаются, распознавать их не столь важно, как почаще обновляться.

Имело бы смысл провести соревнование по обнаружению ранее не известного вируса, трояна, руткита и чего там ещё бывает. Правда, эксплоит 0-day стоит на чёрном рынке десятки тысяч долларов. Но неужели ИБ-общественность и журналисты не могут скинуться пару раз в год? Хотя деньги и пойдут чёрным шляпам, по крайней мере, купленная уязвимость уже не выльется в очередную эпидемию.

Поверили бы вы в честность такого состязания?

white

Критика и творчество

Их нравы. Которые, как показывает практика, через несколько лет становятся нравами "всего цивилизованного мира". А немного спустя – уже и совсем всего. Цитата (в переводе):
«В числе прочих мне как будущему пациенту предложили подписать "Соглашение о конфиденциальности", по которому я передавал доктору все авторские права на публичные комментарии, которые я напишу в будущем... Это соглашение базируется на образце, предложенном организацией "Медицинская юстиция" и предлагается к подписанию докторами по всей стране. Чтоб иметь возможность цензурировать отзывы пациентов.»
По российским законам, такое соглашение ничтожно, однозначно. Как пишут в статье, в США его действительность тоже несколько сомнительна (хотя в отношении авторских прав там наблюдается бОльшая свобода договора). Но на среднего пациента подписание такого соглашения оказывает сильное дисциплинирующее воздействие. Он семь раз подумает, прежде чем писать где-то негативный отзыв. Ведь за нарушение авторских прав ныне можно попасть на большие бабки; примеры у всех на слуху.

Следует ожидать распространения сей тактики. Положение о передаче исключительных прав на будущие комментарии могут включать в свои договоры присоединения гостиницы, банки, авиакомпании, операторы связи и прочие. Это ж совсем не сложно: добавить один абзац мелким шрифтом туда, где этих никем не читаемых абзацев уже несколько десятков. И получить в результате рычаг если не юридического, то психологического давления по поводу всех негативных отзывов.

Копирайт когда-то родился из цензуры. В ней же он может найти свой конец. Если будет использоваться не по назначению.

white

Седьмой парадокс ИБ

В случае заражения домашнего компьютера современной вредоносной программой владелец заражённой машины почти не несёт ущерба. И даже того, который несёт – не замечает, поскольку современные зловреды стараются делать своё дело как можно тише и не отсвечивать. Канал связи и процессор не грузят, памяти много не отжирают, про необходимость купить новую версию ежедневно не напоминают. Потребляют захваченные ресурсы экономно, чтоб надолго хватило.

Настоящий ущерб от заражения несут все прочие пользователи, а также операторы связи. Им рассылается спам, им показывают фишерские вебсайты, их каналы забивают DoS-атаками. То есть тот, кто заражен, не заинтересован в лечении. А тот, кто заинтересован, не имеет возможности лечить.

И провайдеры, и государственные органы ищут пути, как заинтересовать пользователя защищать свой компьютер. Как заставить его купить себе антивирус и регулярно обновлять базы. Как втемяшить ему в голову простейшие правила безопасности, которые он не знает и знать не хочет.

Не спасает ситуацию даже то, что нынешние трояны завели себе привычку красть конфиденциальную информацию с компьютера, на котором поселились. Хотя классики криминального мира учили: не воруй, где работаешь; не скреби, где живёшь. Угроза утечки личных тайн не очень-то пугает современного юзера. Либо он думает, что ничего ценного на компьютере нет, либо чёрное дело уже сделано, а мокрому дождь не страшен.

Лечиться (в медицинском смысле) средний человек тоже не любит. Особенно когда не болеет. На прививки и прочую профилактику несознательное население приходится загонять принудительно. Где страшными историями о будущих болезнях, где угрозой отмены страховки, где упованием на революционную сознательность, а где и ударом приклада. Попытки осчастливить насильно – старая традиция человечества. Боюсь, и в информационную безопасность путь пользователя устлан отнюдь не коврами.

white

Защищённость ОС не зависит от ОС

Недавно обсуждали с коллегой нашего почтенного Разоблачителя Мифов, который обратился к холиварной теме. Дискуссия навела на интересную мысль. Мэтр пишет:
«Все это приводит к тому, что вероятность заражения Linux при прочих равных условиях даже выше чем для Windows.»
Уж не знаю, что именно многоуважаемый товарищ Лукацкий имел в виду под равными условиями. Разве что, ситуацию, когда Линукс займёт ровно 50% рынка ОС в каждом из сегментов.

Выскажу нетрадиционную мысль. Вероятность взлома или заражения вредоносной программой почти не зависит от архитектуры ОС, её приложений, степени интеграции защиты, наличия разграничения доступа, отечества производителя, лицензионной модели, открытости исходников – всего того, что отличает Виндоуз от ГНУ/Линукс. Существенными факторами такой вероятности являются:
  1. распространённость ОС;
  2. материальная заинтересованность злоумышленников;
  3. организация учёта и исправления уязвимостей
.

Свинья всюду грязь найдёт. Вывод парадоксальный: избавляться надо не от грязи, а от свиней.
Пояснения по пунктам.
  1. Дырявая система, уязвимости в которой не ищут, лучше чем хорошая, в которой активно ищут. Кто ищет, тот всегда найдёт. Количество находок зависит от старательности искателя.
  2. Стараются сломать ту систему, из которой можно добыть денег. Отсутствие материальных ценностей – одна из лучших защит.
  3. Сто вовремя пропатченных ошибок лучше, чем одна непропатченная. Писать софт вообще без ошибок пока не научились. Повышение качества кода обходится экспоненциально дорого. Следовательно, выгоднее вложиться в систему учёта ошибок и быстрой рассылки обновлений, чем в повышение качества (выше какого-то минимального уровня).

Вот и выходит, что самая безопасная ОС – не та, которая самая защищённая, а та, которую меньше желающих ломать и больше желающих защищать.

white

Сплетня как прививка от утечек

Безопасник должен поощрять сплетни в коллективе, распространение слухов, заглазное обсуждение личной жизни колег и прочий внутренний обмен информацией. Хотя бы и считалось это не совсем этичным. Поощрять вовсе не из-за того, что от сплетен полшага до стукачества. А потому что чем больше слухов ходит и обсуждается внутри, тем меньше их будет выноситься наружу. А утечка внутренняя менее опасна, чем утечка вовне.

Потребность в общении – базовая потребность человека. Отказаться от этой привычки для хомо сапиенса столь же трудно, как от чихания, почёсывания и ношения на теле блестящих предметов. Если возможности общения искусственно ограничивать, они просто будут удовлетворяться иными способами – через Аську, "Вконтакте", блоги. Нельзя почесать языком – зачешутся пальцы об клавиатуру. Не дают посплетничать с коллегой – будем делать это с "одноклассниками".

Вместо того, чтобы бегать за "неслужебным" трафиком, отлавливая его на разных протоколах, просто дайте людям выговориться в курилке, столовке и кладовке. Снизьте давление – будет меньше утечек.