Category: наука

Category was added automatically. Read all entries about "наука".

white

Переход на личности: что такое identity theft



На безопасность персональных данных граждан не влияет ни политический режим в стране, ни уровень ее экономического развития. Обычным делом становится так называемая «кража личности». Что это такое? Откуда возник этот термин, какие самые громкие случаи кражи личности происходили за последние годы, а также - чего стоит бояться российским футбольным болельщикам уже в ближайшее время - обо всем этом читайте в нашей аналитической заметке.
Collapse )
white

О последствиях забыли

Пользователь всегда выберет удобство. Как его ни ограничивай, как ему ни рассказывай, что нарушение установленных правил грозит серьезными последствиями и для организации, и для него лично.

email_forblog

За примерами далеко ходить не нужно. Хакерская группировка «Анонимный интернационал» получила доступ к электронным письмам сотрудников управления внутренней политики администрации президента России. Отдельные документы злоумышленники выложили в своем блоге «Шалтай-Болтай». Другую часть писем, автором или адресатом которых якобы является пресс-секретарь Дмитрия Медведева Наталья Тимакова, хакеры намерены продать за 150 биткойнов (около 35 тыс. долл. США).

Злоумышленники сообщают, что массив писем Тимаковой «снят» с электронного ящика, который используется для сбора почты с других адресов Натальи – на массовых почтовых сервисах и почтового аккаунта в охраняемом ФСО домене .gov. К продаже предлагаются 496 сообщений, датированных 2004-2015 годом.

Эксперты сомневаются в том, что был взломан почтовый аккаунт. Генеральный директор компании Group-IB Илья Сачков предполагает, что хакеры «получили доступ к сессии и просто завладели почтой». Илья считает, что взлома компьютера не было, поскольку в этом случае хакеры могли бы «сделать гораздо больше зла». Сергей Никитин, коллега Сачкова по Group-IB, считает, что хакеры все же пробрались на компьютер пресс-секретаря бывшего президента России: «Если посмотреть на адреса выложенных в открытый доступ писем, то видно, что они взяты с нескольких почтовых аккаунтов, принадлежащих Тимаковой. Как правило, это говорит о том, что почта похищена не с почтового сервера, а с устройства самого пользователя».

Представитель Анонимного интернационала пояснил Газете.Ru, что госслужащим давно запретили пользоваться бесплатными почтовыми серверами, однако многие сотрудники властных структур не соблюдают этот запрет.

Есть лишь одно объяснение, почему письма государственной важности оказываются на «гражданских» серверах. Прямой удаленный доступ к правительственной почте со сторонних устройств, скорее всего, блокирован. В итоге чиновники вынуждены идти на хитрость, перенаправлять почту на бесплатные почтовые серверы и уже к этим серверам подключать свои планшеты и смартфоны. О последствиях своих действий люди государевы при этом, видимо, не задумываются.
white

Каждый сам несёт свой архив

Законами (а чаще – подзаконными актами) интернет-провайдеров обязывают хранить всякую информацию о пользователях. И чем дальше, тем более и более всякую. Вплоть до полной копии трафика.
       

Вспомним, что в офлайне предприятия тоже обязаны много чего хранить. Бухгалтерскую документацию, например, или документы материального учёта. Хранить – не для себя. А затем, чтобы проверяющие органы могли в любой момент проверить и найти нарушение. А кому ж хочется, чтоб у тебя нарушения находили за твой же счёт.

Поэтому в офлайне придумали массу интересных штук касательно хранения документов. Так, чтобы их утрата случалась когда потребуется, но юридически признавалась бы форс-мажором, в котором никто не виноват.

Хранение электронной информации, хранить которую надо не тебе, а им, можно организовать подобным же образом. (Кстати, провайдеру вовсе не обязательно делать это самостоятельно. Можно услугу аутсорсера купить.) Есть одна сложность. Контролирующие органы не удовлетворятся договором об ответственном хранении. Они, скорее всего, потребуют тестирования информационной системы. Могут и скриптик написать, который раз в сутки что-то из хранилища запрашивает.

Сложности эти, понятное дело, преодолимы. Препятствие в другом. Притворное/фиктивное хранение информации должно экономить деньги оператора, то есть вместе со всеми рисками обходиться ему дешевле, чем добросовестное исполнение обязанностей внештатного вертухая.

А вдруг информация о пользователе (его сообщениях, его трафике) понадобится для раскрытия преступления? Настоящего. Или даже пуще того – для предотвращения теракта? Хвать – а хранение-то фиктивное! Это ж какой будет минус в карму разработчикам! Спокойно. Я избавлю вас от химеры, именуемой моральными страданиями. Такого случая не будет. Никогда.

white

Лицензирование и всё остальное

Лицензионные платежи за использование объектов авторского права – не единственная модель получения доходов со своего творческого труда. Даже для бумажных изданий таких моделей несколько: вам наверняка попадались бесплатные книги и газеты. А для произведений в цифровой форме (включая компьютерные программы) – их целая куча.
       

Давайте попробуем перечислить. Дополняйте мой список.
  1. Реклама внутри произведений, продакт-плейсмент, продвижение политических идей.
  2. Включение платы за программы/контент в цену оборудования или услуги.
  3. Абонентская плата за использование неограниченного числа произведений.
  4. Добровольные пожертвования автору.
  5. Концерты и иные выступления авторов популярных произведений.
  6. Создание произведений ради репутации, которая затем используется для получения повышенных гонораров.
  7. Привязка использования произведения к онлайновому сервису, без которого использование невозможно или неполноценно. А в составе этого сервиса можно продавать платные услуги.
  8. Сборы за использование произведений с вещательных станций, провайдеров.
  9. Использование бесплатной программы ради популяризации своего стандарта, формата, протокола.
  10. Оплата произведения пользователями тем, что они взамен предоставляют свои данные. Эти данные потом используются для маркетинга, прямых продаж, таргетирования рекламы, политических кампаний, разведки, научных исследований, получения оперативной информации, получения прав на user-generated content и т.п.
  11. Обмен использования произведения на использование ресурсов компьютера, на котором произведение потребляется.
  12. Демпинг с целью вытеснения с рынка конкурирующего производителя.
  13. Стимулирование бесплатным контентом продаж другого товара.
  14. Обслуживание цифровых денежных потоков и эмиссия виртуальных платёжных средств.
  15. Создание виртуальных ценностей и последующая торговля ими.
  16. Финансирование создания произведения одним из будущих пользователей (кому нужнее всех). В том числе, финансирование из госбюджета.
  17. Отчисления от продажи чистых носителей и оборудования для записи (возможно, также средств связи, услуг связи).

Здесь перечислены лишь одно- и двухходовые комбинации. А возможны и более сложные. Например, наращивание числа "бесплатных" пользователей ради роста курса своих акций.

Многообразие способов доения юзеровской массы вытекает ещё и из такого факта. В традиционных произведениях, которые более жёстко привязаны к своему носителю, есть ненулевая составляющая цены – затраты на производство каждой копии. А для цифровых произведений вся себестоимость находится в первом экземпляре, а дальнейшее копирование происходит фактически по нулевой цене. Таким образом в формуле рентабельности оказывается величина, неограниченно стремящаяся к нулю. Это создаёт сингулярность и позволяет бизнесмену проделывать экономические виражи, принципиально недоступные с материальными товарами. Например, продавать по отрицательной цене.

"Пиратство", свободное распространение контента через сайты и торренты покушается лишь на один способ извлечения доходов – на лицензирование. Все другие способы оно не затрагивает. Очевидно, что под этим экономическим давлением создатели интеллектуальной собственности должны будут медленно перетекать от лицензирования к иным методам монетизации.

Но перетекать начали лишь те предприниматели, которые поставили на победу "пиратства" в долгосрочной перспективе. Кто сделал ставку на успех копирастии, не занимаются диверсификацией своей интеллектуальной собственности. Они сами себя загоняют в угол. В этом углу они будут драться до последнего.

white

Переход на личности

Из Ирана пришла удивительная новость. Убит руководитель сил кибербезопасности (Cyber War Headquarters) этой страны Mojtaba Ahmadi. Судя по всему, это заказное убийство, связанное с его службой, хотя есть версия и бытового конфликта.
       

Все мы помним, как в 1960-х была сорвана военная ядерная программа Ирана путём отстрела западных учёных, которые согласились там поработать. С тех пор в стране подросли собственные научные кадры, которые, впрочем, тоже регулярно гибнут от покушений. А значимость кибервооружения сильно выросла.

Многие не верили, что недавний успех с американским беспилотником – дело рук иранских специалистов. Указывали на русских, украинских и китайских хакеров. Даже пытались искать предателя среди обслуги самолётов. А ваш покорный слуга поверил, что иранцы всё сделали сами. Почитал немного про их космическую программу, про ядерную энергетику и понял: страна достаточно развита и собственные кадры вырастила. К кибервойне она готовится всерьёз.

Ликвидация специалистов противника – это однозначное признание мощи и опасности технологий, которые у них в руках.

Если кому-то из уважаемых коллег-ибэшников поступит предложение поработать на заграницу, не забудьте оценить свои политические риски. Как показывают новости, они могут иметь неприемлемый размер.




Кстати. Нынче у вашего покорного слуги знаменательный день. С сего дня становится недействительным мой внутренний паспорт. Всем большое спасибо за поздравления. И вам того же. Спасибо, хорошо. Погода тоже отличная. Постараюсь. Не дождётесь.

white

Мораль в науке

Давно установлено, что учёные – народ аморальный и безответственный. У них, видимо, просто не остаётся свободного места в голове, чтобы вместить этику, патриотизм, религию, гуманизм или хотя бы политику. Даже бытовые мелочи не всегда умещаются. Все мозговые ресурсы съедает наука.

К примеру гениальный физик Энрико Ферми сказал по поводу атомного проекта, что это «прежде всего – интересная физика». Сахаров говорил о физике термоядерного взрыва: «рай для теоретика».

Современные ИТ по сложности приближаются к физике, математике, другим современным наукам. Мозги хакера ориентированы примерно так же, как мозги учёного. Не удивительно, что с этикой и патриотизмом у него тоже не всё в порядке.

По своим разрушительным последствиям творения гениального айтишника могут догнать если не атомную бомбу, то во всяком случае – порох, динамит, фосген и реактивный двигатель. Создатель кибероружия в лучшем случае лишь к старости начнёт осознавать, какие ужасные вещи он изобрёл (как Оппенгеймер и Сахаров), а скорее всего – так и помрёт без покаяния.

Преподавание студентам на факультетах ИТ всяких гуманитарных предметов, как выяснилось, не помогает. В XX веке ни религиозная этика, ни марксистско-ленинская философия, ни конфуцианство не удержало учёных мира от создания изуверских изобретений типа противопехотных мин с пластиковым корпусом или нефтяных фьючерсов. Остаётся утешать себя тем, что айтишники (как и физики) не допущены к политике и не могут сами себя финансировать.

white

Опора

Сегодня расскажу напомню вам одну прикольную историю и попробую сделать из неё грустный вывод.

В 2009 году перед назначением нового правительства Германии один тонкий тролль отредактировал в Википедии страницу, посвящённую Карлу Гутенбергу, претенденту на пост министра экономики. Он добавил ему одно имя (этих имён у аристократа фон Гутенберга было 11, стало 12, разницу не сразу заметили). Сразу после назначения все немецкие газеты напечатали биографическую справку о новом министре. Как позже выяснилось, все взяли сведения из Википедии. Включая лишнее имя. Модераторы откатили к предыдущей версии и потребовали у автора правки подтверждения. А критерием истины в Википедии считается ссылка на "авторитетные источники". Извольте, — заявил тролль, — вот вам авторитетные источники. И дал ссылки на кучу немецких СМИ, во главе со "Шпигелем", которые опубликовали биографию Гутенберга. Формально всё правильно, а по сути – издевательство, как говаривал классик.

Фишка здесь в том, что с критерием истинности у человечества всю историю были проблемы. Более-менее утрясли их к концу XIX века в области точных наук. Но в гуманитарных, а также за пределами науки – "истина" остаётся неопределённым термином.

Пока Википедия была онтологически малозначимым явлением, она могла опираться на авторитет иных источников. Ныне же, оставаясь де-юре ничем, надписью на заборе, она стала де-факто самым популярным источником знаний, приобрела наибольший фактический вес. Теперь ей не на кого опереться. И приходится сталкиваться с глобальными проблемами познания, мироздания и всего остального.

Кто обретает значительный вес, тот теряет опору. Гравитационная задача хорошо решается, когда массой одного из тел можно пренебречь.

Та же история происходит с персональными данными и вообще – с конфиденциальной информацией. Какие-то сведения неожидано для их создателя и/или оператора вдруг начинают использоваться для подтверждения личности или полномочий. Просто потому, что удобно. И явочным порядком становятся конфиденциальными. Защищать надо. Хотя вначале никто этого не планировал. Защита получается кривоватая. Именно так случилось с американским номером соцстрахования (SSN). Похожая история творится с девичьей фамилией. К примеру, почти никто из смертных не знает девичьей фамилии нашего директора Натальи Ивановны Касперской. Говорят, сия фамилия до сих пор является любимым паролем Евгения Касперского, так что её утечка станет катастрофой для ЛК.

Так вот, формальный и фактический статусы информации могут существенно различаться. Чем сильней их различие, тем проблемнее. Ложь и лицемерие в этом месте означают высокие риски. Признание правды – защита.

white

Дай телефончик

Регистрация на различных интернет-ресурсах требует как минимум двух вещей: преодоления капчи и валидного адреса электронной почты. Если вы помните, email-адрес стал де-факто обязательным в 1993-94 годах. А капча распространилась примерно к 2003-04.
одноразовое мыло

Сторонники анонимности быстро нашли ответную меру: одноразовое мыло. На специальном веб-сайте без регистрации и прочих глупостей человеку выдаётся адрес, на который можно получить одно или несколько писем – и забыть его навсегда.

В 2010-е годы другая мода – собирать у пользователей номера мобильных телефонов. Это уже серьёзнее, поскольку у сотового привязка к личности гораздо более плотная, чем для электронной почты. Когда надёжность авторизации нужнее анонимности, эту практику можно лишь приветствовать. А в остальных случаях рука сама тянется к кнопке "skip"... И не находит её. Требование мобильного становится обязательным.

Вы уже, наверное, догадались, какую идею ваш покорный слуга собирается предложить инвесторам для обсуждения. Одноразовый телефонный номер, способный принять СМС, после чего забыть о вашем существовании. Правда, номерная ёмкость ограничена, в отличие от разнообразия email-адресов. Но всегда можно найти свободный пул в какой-нибудь стране, не избалованной государственным регулированием. А через полгодика поменять его.

Даже не рассказывайте мне, что контрмеры возможны. Вопрос, во сколько они обойдутся. Массовые интернет-сервисы предельно автоматизированы. Любой дополнительный элемент, требующий ручного труда, может порушить у них всю рентабельность.

white

Принудительная дистрибуция

Поддельные антивирусы – программы, которые не делают ничего, но при этом стоят денег. Такой феномен не возможен ни для какого другого класса программ, потому что там безделье не скрыть. Можете себе представить фейковый графический редактор или поддельный шутер?

Как так получилось, что пустое байтопинание проходит только в нашей с вами области – в защите информации? Не знаю, как вам, а мне обидно. Это роднит наши программы с какими-нибудь очистителями кармы или стабилизаторами эгрегора.

А потому что информационная безопасность – как презерватив: в момент использования только мешает. А её отсутствие сказывается не сразу и не для всех. Кстати, когда британские учёные подсчитали количество используемых в мире презервативов, у них получилось следующее: либо подавляющее большинство людей защиту от ЗППП игнорируют, либо у них секс один раз в год. Наши подсчёты утечек по всему миру тоже наводят на грустные размышления.

Так вот, мы уже сколько времени "пропагандируем" внутренние угрозы. А потребление технических средств защиты растёт лишь чуть-чуть быстрее, чем рынок ИТ в целом. На нашем пиаре, видимо, наживаются продавцы откровенного программного плацебо.

Что делать? Не обратиться ли нам к той же сети спамеров, дорвейщиков и ботоводов, которые распространяют поддельные антивирусы? С их помощью, скорее всего, удастся продать и настоящие.

Или, может, прикупить ботнетик на сотню тысяч машин? Но вместо спаморассыльного модуля загрузить им настоящий антивирус. Глядишь – через годик, когда лицензия закончится, часть "зараженных" заплатят за продление. Может оказаться выгоднее легальных продаж.

white

Подрастает смена

Наш конкурент хвалится новой версией своего снифера электронной почты. Поддержка иных каналов утечек планируется в будущем.

А мы выпускаем отчёт по утечкам за истекший 2011 год. Одну из важнейших диаграмм этого отчёта я вам сейчас покажу.

Распределение утечек по носителям
Распределение утечек по носителям (каналам) за 2011 год. Источник: InfoWatch.


Целых шесть процентов приходится на электронную почту. Молодец, малыш! Ты своим совочком очень нам помогаешь. Если будешь много каши есть, то вырастешь толстым большим и сильным, будешь копать взрослой лопатой.