?

Log in

No account? Create an account

Entries by category: политика

Недавно мы провели анализ 8000 писем Клинтон их архива госдепа США.

Если кратко:

  • более 7,500 писем содержали информацию о персональных данных

  • более 900 сообщений финансовую информацию

  • более 500 отправлений с юридическими данными

  • чуть менее ста писем с информацией о закупках и управлении персоналом HR


...Ну и заодно решили весь этот объем данных визуализировать с помощью нового продукта InfoWatch Vision.
Вот что у нас получилось.


Read more...Collapse )

Запрет и обход

Просят откомментировать новую инициативу Бешеного Принтера о запрете средств анонимизации и обхода блокировок в Интернете.

Собственно, в известинской статье об этом деле уже есть исчерпывающий комментарий:
«Это вполне логичное решение после того как мы приняли поправки о возможности блокирования сайтов, содержащих запрещенную законом информацию.»
Действительно, любой запрет должен поддерживаться запретом его обходить. А также запретом создавать средства для преодоления запрета на обход. И так далее. Среди аргументации запретителей есть и такое утверждение: "в основном анонимайзеры используются для совершения преступлений в Сети". Сразу же вспомнилась одна юридическая петрушка.

В каком-то из штатов США есть закон, предписывающий любому, кто намерен совершить преступление, за трое суток уведомлять власти об этом (с указанием места, времени, жертвы и поимённым списком участников). Причём, принимали его не в XIX веке, в те суровые времена, когда я сначала стрелял в дверь и лишь потом спрашивал "Кто там?". Его придумали в 1980-х годах вполне цивилизованные сенаторы с высшим образованием. Они отдают себе отчёт, что никто уведомлять не станет. И действительно, ни единого случая не зафиксировано. Однако каждому злодею, кто пойман за совершение преступления (что местного, что федерального), полагается к основному наказанию ещё довесочек от штата – за неуведомление.

Если преступник совершает умышленное преступление и ожидает, что его будут искать, запрет на анонимизацию его не остановит, как не останавливает предписание уведомить власти. А кто преступления не совершает, а при помощи анонимизации осуществляет самозащиту гражданских прав (предусмотренную законом, кстати) – тот окажется в интересном положении. Защищаться запрещено! Приказано доверять!



Кстати, раз уж зашла речь об этом. Второе издание "Форензики" отправилось на вёрстку, тираж будет в начале октября. Ищется соавтор для следующей книги – "Анонимность в Интернете". Планируется нагрузка 1-2 часа в день в течение полугода или больше.

Стерильные форумы

Давно встречаю в Сети объявления о найме форумных подпевал – пользователей, которые должны срать публиковать многочисленные комментарии в поддержку нанимателя. А вчера вашему покорному слуге показали новую технологию из этого ряда.

По заказу лохотрона фирмы создаётся с нуля и поддерживается в стерильном состоянии форум или блог или страничка в соцсети, где все отзывы и обсуждения – авторские, т.е. писаны наёмными авторами по соответствующему заданию.

Современная популярная тенденция: профессиональные порномодели работают под любителей (amateur).

Как известно, в Сети на 1 пишущего приходится 10 комментирующих и 100 читающих молча. Поэтому фундаментальное огораживание, запрет комментариев или строгая цензура не будет замечена 90% пользователей. Они просмотрят 2-3 подобных форума, убедятся там, что всё хорошо и закопают свои денежки на Поле чудес.

Понятно, что армия наёмных авторов (да ещё при поддержке технических средств – ботов и бредогенераторов) задавит объёмом бесплатных энтузиастов-противников. Тут – как с DoS-атакой: любые ресурсы конечны, любые ресурсы можно исчерпать, следовательно, зафлуживается всё; неуязвимых нет. Для политической пропаганды нужно перефлудить активную часть электората противника, их может быть много, тысячи. А в случае какой-нибудь финансовой пирамиды или интернет-магазина активных противников ожидается очень немного.

При этом стерильные ресурсы учитываются Крибрумом с тем же весом, что и нормальные. А как их отличить? Как автоматически распознать единодушие?

Некопируемый ключ

Сию драму на днях рассказал мне европейский житель Антон. Яркая иллюстрация к тезису "всё равно взломают". Излагается от первого лица.

Когда я, переехав в Евросоюз, снимал квартиру, хозяин выдал мне два ключа от неё, а третий, последний мы положили в конверт и опечатали с некими формальностями в присутствии агента по недвижимости. Типа, удостоверяется, что больше ни у кого доступа в квартиру нет. Я тогда отнёсся к этой процедуре с хорошо скрываемым непониманием. Что за странная традиция? С ключа-то всегда дубликат сделать можно. Оказалось, этот ключ относится к так называемым "некопируемым".

Будучи заядлым технарём, я сознавал, что "защита от копирования" (что программ, что железок) – это фикция. Немного затруднить её, конечно, можно; исключить копирование – нельзя.

Через некоторое время мне пришло в голову сделать дубликат ключа. Обратился я в попутную мастерскую. Показываю ключ: "Сможете сделать?" — "Да, конечно" — "Сделайте" — "Мастер-карточку, пожалуйста" — "Какую ещё карточку?" — "Карточку к ключу. Без неё изготовление копии невозможно". С недоумением ушёл я из этой мастерской. Но в другой мне ответили то же самое. И в третьей то же. Через некоторое время в одном универмаге я наткнулся на ларёк ключника. За верстаком сидел мой соотечественник. "Уж этот-то не будет выпендриваться", – подумал я. И попросил его сделать ключ. Но и русский мастер отказался, хотя не выглядел коллаборантом ассимилянтом.

Пытался я скопировать хитрый ключ во время своего краткого визита в Россию. Но и тут меня ждала неудача. Правда, диагностика мастера-ключеделателя звучала несколько иначе: "У нас таких заготовок нету... И... резца такого, кажется, тоже."

В воображении я представлял себе сложный ЧПУ-станок, в который вставляется пресловутая мастер-карта. В ней, видимо, установлен чип, который содержит программу вырезания бородки ключа. Очевидно, чтобы программу нельзя было скопировать, команды станку отдаёт именно процессор карты...

В один прекрасный день, копаясь на кухне в поисках чего-то, я выдвинул плоский ящик в плите под духовкой. В нём лежала куча мелкого барахла типа старых шурупов, крышечек и пробок. Среди хлама валялась "мастер-карта" к ключу. Безо всяких чипов и процессоров. Просто кусок картона с пятизначным номером. Когда я принёс её в мастерскую, ключедел без затей сверил её номер с таким же номером, выбитым на ключе. После этого включил станочек и за минуту выточил мне копию. "Вы же говорили, что без мартер-карты ключ изготовить нельзя", – удивился я. "Конечно, нельзя, – подтвердил мастер. – За это у нас предусмотрена тюрьма и запрет на профессию"

А вы говорите – взламывают всё...

Слово и дело

Комментарии ко вчерашнему посту вызвали у вашего покорного слуги стремление продолжить тему. Почему политика безопасности порой прямо-таки препятствует выявлению и учёту уязвимостей? Как сделать, чтоб она способствовала?

Итак, моделируем ситуацию. Предположим, фрагмент оргструктуры предприятия ОАО "Большая Компания" таков:
 1.департамент разработки
      1.2.дирекция веб-продуктов
            1.2.3.отдел баз данных
 2.департамент эксплуатации
      2.3.дирекция мониторинга
            2.3.4.отдел электронной почты
Предположим далее, что сотрудник Абузяров из отдела 2.3.4 получает на адрес "abuse@bigcompany.tld" сообщение от этичного хакера Пенитестова с описанием уязвимости в их продукте. Он идёт прямо к ответственному за нужный участок – сотруднику отдела 1.2.3 Эскуэляну:
— Вот, у нас в продукте дырка, исправь пожалуйста.
— Никак не могу. Мне требуется приказ директора дирекции 1.2 товарища Вебова.
Абузяров идёт к Вебову:
— Вот, у нас в продукте дырка. Прикажите пожалуйста исправить.
— Не имею таких полномочий. План работы утверждён. Всё, что сверх плана, должен утверждать начальник 1-го департамента господин Девелопкин.
Абузяров идёт к Девелопкину:
— У нас в продукте дырка. Прикажите пожалуйста, чтоб включили в план.
— Я не могу принять заявку от вас. Она требует визы начальника вашего, 2-го департамента и согласования с замом гендиректора.
Абузяров идёт к начальнику своего департамента 2 господину Эксплоцнеру.
— У нас в продукте дырка. Завизируйте пожалуйста заявку и отправьте её на согласование.
— Я бы завизировал, но прежде требуется виза директора дирекции 2.3 мадам Мониторовой. Через её голову никак нельзя.
Абузяров не успевает дойти до г-жи Мониторовой, его перехватывает начальник его собственного отдела 2.3.4 Имайлов:
— Ты зачем к высокому начальству ходишь? Отставить! Рапорт требуется подавать по команде.
— Да у нас тут уязвимость...
— А тебе какое дело? Это забота департамента разработки. Зачем ты лезешь в чужие дела? Зачем воду мутишь? У тебя своей работы мало? Я тебе сейчас добавлю.
А тем временем хакер Пенитестов, отправивший информацию об уязвимости, мечтает, как его похвалят, премируют и пригласят на работу в Большую Компанию. Он ещё не знает, что начальник 3-го департамента генерал Гебухов только что получил информацию...

Так вот, если вы рассчитываете, что все сотрудники ОАО "БК" станут беспокоиться об интересах дела, то вы родились не на том глобусе. А разгадка одна: неверно выстроенные политики, процедуры и прочие корпоративные нормы. Составляя политику безопасности, думайте о людях плохо. И тогда они станут вести себя хорошо. Будете думать хорошо – результатом разочаруетесь.

Кстати, одним из элементов аудита ИБ может служить своеобразный тест на проникновение в бюрократическую систему. Аудитор отправляет "внешнее" сообщение об уязвимости, лучше по неофициальному каналу. И смотрит, как быстро оно проходит инстанции, как учитывается, где стопорится, насколько быстро проблема проверяется и исправляется. И исправляется ли вообще.

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Syndicate

RSS Atom
Powered by LiveJournal.com
Designed by Tiffany Chow