Category: политика

white

Как визуализировать утечки: пример с архивом Хилари

Недавно мы провели анализ 8000 писем Клинтон их архива госдепа США.

Если кратко:

  • более 7,500 писем содержали информацию о персональных данных

  • более 900 сообщений финансовую информацию

  • более 500 отправлений с юридическими данными

  • чуть менее ста писем с информацией о закупках и управлении персоналом HR


...Ну и заодно решили весь этот объем данных визуализировать с помощью нового продукта InfoWatch Vision.
Вот что у нас получилось.


Collapse )
white

10 самых-самых

В апреле будет ровно десять лет с того момента, как в мире стали официально отмечать Международный день защиты персональных данных. Как и в случае с любой круглой датой, лучший способ проникнуться величием момента - оглянуться назад, вспомнить былое и, конечно же, сделать правильные выводы на будущее.

Предлагаем посмотреть 10 самых-самых утечек за 2015 год.





Collapse )

white

Это какие-то неправильные логи

Логи, которые пишет подавляющее большинство программ, предназначены сисадминам, а не безопасникам. Они ориентированы на настройку взаимодействия, на поиск ошибок и неверной конфигурации, на оптимизацию ресурсов, на учёт потребления. А нам нужно – для расследования инцидентов, для выявления злоупотреблений, для поиска злоинсайдеров. Это ж совсем другой угол заточки.
       

Кроме того, нас обычно не устраивает, как логи хранятся. Сисадмину требуется, чтобы логи было удобно посмотреть, факторизовать, сравнить, агрегировать, посчитать статистику. А ещё – чтобы в случае падения программы она успела бы сказать что-нибудь на прощание, и эта запись не потерялась бы. У нас задачи перпендикулярные. Нам нужно по возможности изолировать логи от злоумышленника, затруднить их уничтожение и фальсификацию. А ещё – чтобы наши логи имели юридическую значимость, то есть оптимизировать их сбор и хранение под существующее процессуальное право.

Соответственно этому, по своей направленности логи должны поделиться на отладочные (традиционные) и криминалистические.

Примерно так, как уже поделились бэкапы. Обычное резервное копирование направлено на восстановление системы после сбоев. А криминалистическая копия диска делается для поиска следов при расследовании инцидента. Эти цели настолько различны, что обычный и криминалистический бэкапы даже не пересекаются – они делаются на разных устройствах, разными людьми, по разному расписанию.

Криминалистические логи пока не отпочковались от обычных. Нам приходится вести расследование, пользуясь чужим, не приспособленным для нас инструментом.

white

Цепная реакция

Вот, давеча был разговор по поводу "отслеживать мнения в Интернете – влиять на мнения в Интернете". Первое-то у нас идёт неплохо. А вот второе делает неуверенные начальные шаги и то и дело падает. В лужу. Вашему покорному слуге показали иллюстрацию к процессу. Комментарии вот к этому посту. Зацените, пока не стёрли.

— Это как на маневрах в Таборском округе, — отозвался Швейк. — Пришли мы как-то ночью в одно село, а собаки подняли страшный лай. Деревень там много, так что лай разносился от села к селу, все дальше и дальше. Стоило только затихнуть собакам в нашем селе, как лай доносился откуда-то издали, ну, скажем, из Пелгржимова, и наши заливались снова, а через несколько минут лаяли Таборский, Пелгржимовский, Будейовицкий, Гумполецкий, Тршебоньский и Иглавский округа.

На упоминание фамилии "Дерипаска" (в достаточно нейтральном контексте) тут же приходит бот и комментирует одной из 18 заранее заданных фраз. Поскольку хороших упоминаний про Дерипаску пиарщики явно не ожидают от народа, все заготовленные ответы построены однотипно: «а зато он...» или «а ты сам-то...».

Одного не учли пиар-ботоводы: в их комментах тоже упоминается заветная фамилия. Произошло закономерное зацикливание, боты стали отвечать ботам, процесс пошёл вразнос. По-моему, цепную реакцию остановило лишь применение банхаммера владельцем журнала. Впрочем, даже на цепную реакцию ботов некоторые читатели среагировали всерьёз, пытались поддерживать разговор.

Да ошибка – детская. Да, её исправят в следующей версии. Но мне представляется, что автоматическая агитация фиксированными лозунгами показала неэффективность ещё в начале XX века, в революционные годы, когда наглядной агитацией были увешаны все поверхности. Но реальный эффект по изменению (а не поддержанию) поведения народных масс демонстрировало только живое адаптированное слово в лице комиссаров. Поэтому за профессию блогера я спокоен. А сколь угодно интеллектуальным ботам место – в бане. Спамеры, вон, тоже достигли высот мимикрии, и что?

white

Только через меня

Из курьёзов Chatroulette.
Такая задача была поставлена довольно давно – предотвратить обмен контактами между абонентами чата, видеочата или переписки. Чтоб не могли перейти на альтернативный канал общения.

Многие системы типа соцсетей крайне ревнивы и желают, чтобы их участники общались бы только через эти системы. И никогда – в обход. Иногда такое желание основано на бубновом интересе, поскольку сеть имеет комиссию с оказываемых услуг и заключаемых сделок. Пользователи – наоборот, норовят законтачиться напрямую и обмануть посредника (а иногда – ещё и друг друга).

Умные применяют для этого организационные и финансовые механизмы. Например, Ии-бэй, который в качестве посредника гарантирует честность сделки и возврат денег в случае чего. Не очень умные – полагаются на технические меры, например, выявляют в сообщениях и блокируют адреса электронной почты и телефонные номера. Технологии те же самые, что в DLP-системах, хотя реализация часто хромает.

К счастью, типичные приёмы видеочатеров ориентированы на передачу очень коротких сообщений, которые для DLP не актуальны. Актуален общий принцип: сделать так, чтобы инсайдер сам не пожелал искать альтернативных каналов.

white

Кто шатает вертикаль?

Тут просили прокомментировать китайскую инициативу по модификации стандартов DNS. Предложение – не столько интересное, сколько примечательное.

С одной стороны, DNS – единственная вертикаль, единственная централизованная система в глобальной сети. А следовательно – единая точка отказа. Или точка приказа, что в наши времена более актуально. Против такой централизации надо бороться, если хочешь надёжности.

С другой стороны, слишком много охотников заменить международный контроль на государственный. А национальный сегмент Сети превратить в зону безопасности. Каждый при этом по-своему понимает "безопасность" и "зону".

Суть проекта в том, чтобы местные настройки DNS-а могли штатным образом перебивать настройки глобальные. Ныне такое осуществить тоже возможно, только кривовато, сложновато и не слишком трудно обойти.

Примечательно, кто именно покусился на последнюю вертикаль. Не какой-нибудь EFF и не пираты. Китайцы больше других озабочены получением цифрового суверенитета для своей страны. Они отлично чувствуют, с какой стороны подкрадывается глобализация и работают именно в этом направлении. В отличие от.

white

Стерильные форумы

Давно встречаю в Сети объявления о найме форумных подпевал – пользователей, которые должны срать публиковать многочисленные комментарии в поддержку нанимателя. А вчера вашему покорному слуге показали новую технологию из этого ряда.

По заказу лохотрона фирмы создаётся с нуля и поддерживается в стерильном состоянии форум или блог или страничка в соцсети, где все отзывы и обсуждения – авторские, т.е. писаны наёмными авторами по соответствующему заданию.

Современная популярная тенденция: профессиональные порномодели работают под любителей (amateur).

Как известно, в Сети на 1 пишущего приходится 10 комментирующих и 100 читающих молча. Поэтому фундаментальное огораживание, запрет комментариев или строгая цензура не будет замечена 90% пользователей. Они просмотрят 2-3 подобных форума, убедятся там, что всё хорошо и закопают свои денежки на Поле чудес.

Понятно, что армия наёмных авторов (да ещё при поддержке технических средств – ботов и бредогенераторов) задавит объёмом бесплатных энтузиастов-противников. Тут – как с DoS-атакой: любые ресурсы конечны, любые ресурсы можно исчерпать, следовательно, зафлуживается всё; неуязвимых нет. Для политической пропаганды нужно перефлудить активную часть электората противника, их может быть много, тысячи. А в случае какой-нибудь финансовой пирамиды или интернет-магазина активных противников ожидается очень немного.

При этом стерильные ресурсы учитываются Крибрумом с тем же весом, что и нормальные. А как их отличить? Как автоматически распознать единодушие?

white

Ещё одна судьбоносная запятая

Новая формулировка ст.273 УК, помимо ранее рассмотренных особенностей, несёт новую угрозу для наших коллег-пентестеров.

Рассмотрим исходник дефиниции вредоносной программы.
«Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации»
Эту обфусцированную формулировку можно перевести на человеческий язык двумя способами.
  • вредоносная_программа := заведомо * предназначенная{ несанкционированное * действие(инф) || нейтрализация_сзи }
  • вредоносная_программа := заведомо * предназначенная{ несанкционированное * (действие(инф) || нейтрализация_сзи) }

Подразумевается ли, что нейтрализация средств защиты должна быть несанкционированной? Или имеется в виду любая нейтрализация, санкционированная тоже? Согласно давней традиции и принципу Лагранжа, неустранимое сомнение в законе трактуется в пользу минимизации потенциальной энергии системы следствие-суд. Следовательно, первый вариант толкования будет применяться против пентестеров.

Например, руткит – это программа для сугубо несанкционированного преодоления защиты; она и раньше относилась ко вредоносным, и теперь будет.

А вот программа для обращения хеш-функций или иного перебора паролей – уже выглядит по-новому в новой формулировке статьи. Подбор пароля или ключа однозначно является методом нейтрализации парольной или криптографической защиты. В прежней формулировке ст.273 мы могли сослаться на случаи санкционированного подбора пароля, например, ради проверки его стойкости. Если предусмотрены варианты санкционированных действий над информацией, значит программа имеет двойное назначение, т.е. она уже не вредоносная. Теперь, когда любое преодоление защиты запрещено, разговор будет другой.




Ну, и чтоб два раза не вставать...

Наш руководитель Н.И.Касперская заняла 66-е место в рейтинге влиятельнейших женщин России. Хотя политикой никогда не занималась. Кстати, в рейтинге богатейших она была второй, пока с Батуриной не случилась неприятность.

white

Вот тебе, бабушка, и СТС!

Законопроект уже прошёл Совет Федерации и отправился на подпись Президенту.

Часть третья ст.138 УК признаётся утратившей силу!
«Незаконные производство, сбыт или приобретение специальных технических средств, предназначенных для негласного получения информации, –
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
»
Не далее, как в этом ноябре ваш покорный слуга, рискуя жизнью, привёз в подарок российским друзьям ряд сувениров со встроенными скрытыми камерами и микрофонами. У нас они выпускаются и продаются свободно, а в России были запрещены. Причём, до 01.01.2010 запрещались только производство и сбыт, а после указанного срока – также и использование. Но теперь можно!

Товарищи! Решительно пресечём утечки информации!

А я всегда вам говорил, что СТС НПИ могут использоваться не только для нарушения чужих прав на тайну связи и тайну частной жизни. Но также и для защиты собственных прав, для сбора доказательств по различным нарушениям.

Полностью запрещать оборот и криминализировать владение предметами имеет смысл тогда, когда эти предметы могут использоваться только в преступных целях. В крайнем случае – преимущественно в преступных. Для скрытых камер и диктофонов это совсем не так.

Зато в УК вводится новая статья
«Статья 1381. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации
Незаконные производство, приобретение и (или) сбыт специальных технических средств, предназначенных для негласного получения информации, –
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.»
Сроки возросли с 3 до 4 лет.

Хм... Надеюсь, моя шутка насчёт контрабанды СТС НПИ показалась вам забавной.

white

Кадровая прогрессия

Один мой знакомый, когда выбирает себе работу (да, именно выбирает, а не ищет), придерживается непременного требования: «Хочу, чтобы непосредственный начальник был умнее меня». Не обязательно умнее во всём, но хотя бы в одной области, связанной с данной профессией.

Самый высокий в мире глава государства – 192 см, Виктор Янукович (Украина).
Самый низкий в мире глава государства – 162 см. ;)


Такой принцип ваш покорный слуга одобряет. Подчиняться дуракам – не только обидно для интеллектуального человека, но и вредно для квалификации. Но говоря уж о пользе для дела.

Но вот отвечающий ему принцип – т.е. когда начальник берёт в подчинённые лишь тех, кто глупее его – я одобрить не могу. Ибо ведёт такой путь к застою и... как сказано в анекдоте, "так мы до мышей дотрахаемся".

В нашей с вами области, хоть она и называется "технической", техника решает на 20-30%, не более. В остальном победа зависит от взаимной квалификации кадров по ту и по другую сторону DLP-системы.