Category: происшествия

Category was added automatically. Read all entries about "происшествия".

white

Как можно незаметно потрошить банкоматы - часть 2.

Начало этой прекрасной истории мы публиковали тут.



Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций  – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.

Collapse )
white

Утекай: как минимизировать негативные последствия утечки информации (ч.1)

«Все американские компании делятся на две категории: те, у которых были инциденты ИБ, и те, кто просто об этом еще не догадывается»
Джеймс Коми, директор ФБР


В 2013 году у 43% всех компаний США хотя бы раз случалась утечка информации.  Симптоматично, что по данным InfoWatch за тот же период, Россия  занимает вторую строчку в глобальном рейтинге утечек - как раз после Штатов.

Эксперты знают, что 100% безопасности не существует и инциденты случаются даже в тех компаниях, где вопросам ИБ уделяется самое пристальное внимание. Утечка данных – это не вопрос о том «как?», это вопрос о том «когда?». Поэтому в этот раз мы зайдем с другого конца и расскажем, как действовать, чтобы исправить допущенные ошибки и не совершить при этом новых.
Collapse )
white

Технологии на службе у кадровика

Новостные ленты взорвало сообщение о сотруднице Sberbank CIB, которой удалось отсудить у своей бывшей компании 4,6 млн долл. в качестве компенсации морального ущерба. Светлана Лохова «подвергалась дискриминации и травле на рабочем месте, пишет Forbes со ссылкой на BBC.



Суд еще в 2013 году установил, что начальник Светланы рассылал коллегам по электронной почте замечания в адрес подчиненной, которые были «оскорбительными и унизительными». Бывшие коллеги в переписке между собой и с клиентами называли ее сумасшедшей и «мисс кокаинисткой» и отмечали, что ей нужно посетить вождей нигерийских племен, чтобы «снять напряжение».

Мы обратили внимание на эту историю по двум причинам. Во-первых, из-за внушительного размера компенсации. Во-вторых, данного инцидента можно было бы избежать, если бы банк использовал современную DLP-систему с лингвистическим механизмом анализа сообщений, которая бы позволила своевременно выявить назревающий конфликт и разрешить его.

Например, неэтичные высказывания коллег во внутренней переписке можно было бы легко отследить. Соответствующим образом настроенная база контентной фильтрации (БКФ) позволяет DLP-системе реагировать на такие сообщения и оперативно уведомлять тех же HR-менеджеров.

Кадровикам можно дать доступ к консоли DLP, где и будут отображаться уведомления и отчеты. На основе анализа событий HR-служба может реагировать на инцидент. Это могут быть какие-либо дисциплинарные взыскания, профилактическая беседа или даже служебное расследование.

Вообще DLP для кадровика – тема не новая, но очень перспективная. Представьте: сотрудник решил поменять работу, стал больше времени проводить на сайтах по поиску вакансий. Получив соответствующее уведомление от системы, менеджер по персоналу имеет все шансы удержать ценного сотрудника, предложить ему лучшую мотивационную схему, разобраться в причинах недовольства работника.

С помощью DLP можно собирать обратную связь от коллектива по «больным» вопросам - о кадровых перестановках, топ-менеджменте, системе мотивации, переезде в новый офис, программах тимбилдинга, социальном пакете, корпоративном обучении и пр., контролировать рабочее время, выявлять факты нецелевого использования корпоративных ресурсов.

В общем, DLP-система для кадровика – это прибор для измерения «температуры» и «давления» внутри коллектива. Подробнее эта тема раскрыта на нашем сайте.
white

О женской солидарности

О женской солидарности

Fotolia_71109930_Subscription_Monthly_M
Какова вероятность, что случится что-то нехорошее, если отправить рабочий файл себе на почту? Вы ведь делаете это для того, чтобы поработать из дома. Действуете в интересах компании!

Одна молодая сотрудница банка думала так же. Девушка отправила себе на личную почту черновой вариант презентации, чтобы доделать ее на выходных. В самом файле не было ничего секретного, но девушке не повезло: некоторые графики описывали предполагаемый доход от нового проекта, а вся информация по проекту защищалась. К тому же, сотрудница находилась на испытательном сроке и всем ее нарушениям система защиты по умолчанию присваивала более высокий уровень угрозы.

В итоге утечку данных обнаружили. Система посчитала, что сотрудница нарушила политики безопасности компании, и сообщила об этом офицеру безопасности. Тот вызвал нарушительницу «на ковер» и пригрозил, что в случае второго подобного инцидента может встать вопрос об увольнении.

Прошла неделя. Безопасник просматривал данные об инцидентах и не поверил своим глазам – снова та же сотрудница переслала себе на почту конфиденциальный документ, но только на сей раз действительно важный. Но вот нестыковка: дама в этот день находилась на больничном и файл себе отправить не могла. В банке была не только система защиты данных, но и камеры видеонаблюдения. Они зафиксировали, как к компьютеру заболевшей сотрудницы подходит ее коллега.

Безопасник был человеком опытным, интересовался всем, что касалось жизни компании. Ему было известно, что по итогам испытательного срока одну девушку должны были назначить на руководящую позицию, а вторая оставалась на должности обычного специалиста. По замыслу HR-департамента, такая соревновательная ситуация на испытательном сроке должна была мотивировать кандидатов. В общем, мотив «подставить» коллегу у девушки был.

Когда подозреваемой предъявили все доказательства, она призналась, что после того злополучного инцидента с отправкой презентации ее коллега рассказала о случившемся всему отделу. Потом девушка приболела и неосторожно доверила своей коллеге пароль от учетной записи. Тут соперницу осенило: она «повторит» инцидент с учетной записи коллеги, и ее борьба за руководящую позицию закончится.

В итоге из банка уволили обеих: одну – за нарушение правил хранения пароля к учетной записи, другую – за нарушение политики информационной безопасности.
white

Ваши наших обкрадывают

Один американский стартап, работающий по кибербезопасности, сделал громкое заявление о раскрытии кибершпионажа, которым якобы в интересах российских компаний занимаются российские правительственные структуры. Говорят о сотнях американских, европейских и азиатских компаний, у которых была похищена ценная информация. Подробности пока придерживают.
       

Что мы можем сказать по этому поводу? Мы можем сказать скептическое «Хм...».

Теоретически, кибершпионаж возможен в интересах любой страны (в т.ч. и России), в интересах любого предприятия. Другое дело, что спрос на продукт промышленного шпионажа в разных странах разный.

Как показывает наша статистика утечек об утечках, этот спрос больше всего в Китае – именно туда утекает самое коммерчески вкусное. Отметились также США и некоторые другие развитые страны. А в России ситуация не слишком благоприятствует развитию кибершпионского дела. Даже легальная научно-техническая и маркетинговая информация продаётся хуже, чем в развитых странах. Во-вторых, в России взаимодействие бизнеса со спецслужбами происходит по известному шаблону, который не предусматривает заказать промышленный шпионаж, тем более – кибер.

Кроме того, следует заметить, что при расследовании компьютерных инцидентов установить источник атаки и заинтересованное лицо – одна из самых сложных задач, гораздо сложнее, чем найти и обезвредить неизвестного трояна. Если вы читали какие-нибудь отчёты, где есть статистика "источников атак" или "источников спама", "источников заражения" и т.п., то знайте: это не настоящие источники. Это страны, в которых зарегистрированы IP-адреса, с которых приходили вредоносные сообщения, команды, спам и т.д. А поскольку со своих собственных адресов никто из злоумышленников не действует, то т.н. "статистика источников" – на самом деле статистика жертв, статистика заражений, статистика промежуточных узлов, через которые работают атакующие. Установить настоящего заказчика атаки техническими методами крайне сложно, обычно это не удаётся. Для такой задачи работают лишь оперативные методы, которые есть в распоряжении контрразведки и полиции, но которых нет в распоряжении американского стартапа по кибербезопасности. (P.S. У этого американского стартапа какие-то подозрительно русские имена работников.)

white

Фейсбук-контроль

Пример нашего "Крибрума" оказался заразителен.
«Федеральная служба охраны (ФСО) намерена создать специальную базу негативно настроенных граждан, которые размещают в своих блогах публикации оппозиционной направленности... Уже в этом году силовики начнут проводить ежедневный мониторинг публикаций всех российских блогеров на предмет их отношения к власти. »
Обратите внимание, в чьих интересах будут собираться данные. Было бы логичнее подчинить такую базу ФСБ. Думаю, просто у ФСО с финансированием получше.
       

Что происходит на выходе подобных систем, мы уже видели неоднократно. Например:
«Житель американского города Шарлотт был арестован в среду, 5 сентября, спецслужбами за опубликованные в Twitter угрозы убить Барака Обаму.»
Или вот:
«A US man in West Haven, Connecticut has been arrested for allegedly Tweeting threats to executives, players and coaches of the New York Mets – a professional baseball team.»
Или так:
«Двое граждан Великобритании были задержаны в аэропорту Лос-Анджелеса за шутку, опубликованную в социальной сети "Твиттер", о намерении уничтожить США.»
Никто из террористов не пострадал, однако операция проведена, награды получены, все службы – при деле.

Участникам соцсетей следует учесть, что их "экстремистский рейтинг" будет повышаться не только будущими, но и прошлыми публикациями. Например, если в ваших давнишних твитах и постах слишком часто употреблялись слова «оружие», «валить» и «кровавая г-ня», то будьте готовы. Ближайший к вам агент получит задание провести с вами профилактическую беседу. От отчёта, который он напишет, сильно зависит ваша дальнейшая карьера, возможность покупки билетов на самолёт и в Оружейную палату. Ваш покорный слуга данный квест уже прошёл, поэтому смело может пользоваться всей лексикой русского языка без исключений.

Заказы на чистку соцсетевой кармы принимаются нашими партнёрами, лицензиатами "Крибрума". Торопитесь, количество мест ограничено.

white

Опасное сближение

Бесконтактные платежи на технологиях группы NFC предназначены для небольших транзакций типа оплаты проезда или расчёта за мелкие покупки. В них риск из-за недостаточности авторизации компенсируется незначительностью суммы. Ведь авторизация со стороны плательщика состоит главным образом в том, что устройство/карта близко подносится ко считывателю. Факт близости одного к другому рассматривается как санкция пользователя.
   

Очевидно, что близость бывает не только по обоюдному согласию. Кроме того, её можно имитировать при помощи усиливающей сигнал аппаратуры.

А мелкость суммы – это как раз то, что кардеры давно уже эксплуатируют в качестве основной своей защиты. Вменяемый мошенник не пойдёт на преступление, если вероятность начала расследования существенно отличается от нуля. Даже вероятность 1-2% для него слишком высока, потому что воровать приходится многократно. При повторении попыток суммарная вероятность очень быстро стремится к единице. Приемлемое решение – красть понемногу, так, чтобы банку невыгодно было проводить расследование инцидента, а проще было бы не заметить, списать или взыскать с продавца.

Бесконтактные платежи именно на это и ориентированы – много плательщиков, мелкие суммы, низкие издержки. Последнее подразумевает, что затраты на расследование инцидентов также должны быть низкими. То есть инцидент выгоднее не заметить, чем учинять разбирательство. Предположим, вы строите платёжную систему. Разумеется, закладываете в свои издержки работу службы ИБ. Если хотите быть в прибыли, то рабочего времени у нанятых вами ИБшников хватит на расследование, скажем, 1/5 000 000-й части всех транзакций. Чаще – нельзя. Все остальные подозрительные или обжалованные пользователями транзакции придётся оставить в силе или откатить без разбирательства. Но если их будет больше, чем 1/100 000-я доля, вы начнёте терять на этом деньги. Искусство мошенника заключается в том, чтобы уложить все хищения в указанный промежуток – между 1/100 000-й и 1/5 000 000-й долями.

В настоящий момент бесконтактных мошенников удерживает то, что затруднительно подключиться к системе в качестве мерчанта – субъекта, принимающего платежи. Таковых пока очень мало. Следует подождать 2-3 годика. А потом – только хардкор, только шапочка из фольги.

white

Дембель неизбежен

О, сколько нам открытий чудных готовит просвещенья дух! А ещё внедрение DLP-систем. Оно никогда не обходится без удивительных открытий для начальства. Буквально каждый проект выявляет такое, чего директор на своём предприятии даже не подозревал. Рассказали об одном таком.
сержант строит пользователей  

Свежепоставленная DLP мониторила, в частности, обращения к корпоративной БД, пытаясь найти в потоке SQL-команд аномалии, свидетельствующие об утечках. Аномалия не заставила себя ждать.

В одном из подразделений работали пять сотрудниц, которым вменялось вносить и редактировать записи в БД. Начальство подразумевало, что работа распределена между ними равномерно и обсуждало вопрос об увеличении штата до шести единиц. Замеры же показали, что ни о какой равномерности речи не идёт: 80% транзакций в базу были с аккаунта одной работницы, а 20% – с аккаунтов остальных четверых.

Сперва статистику истолковали превратно и заподозрили попытку слить базу. Но быстро выяснилась настоящая причина. Оказалось, в этом дружном коллективе установлена классическая дедовщина, хотя и в женском исполнении. Самая молодая выполняла 80% работы подразделения, поскольку, как ей объяснили, у старших товарок стоят более серьёзные и более ответственные задачи. Таковыми задачами при расследовании инцидента оказались переписка в "Одноклассниках", питие чаёв и курение в курилках.

Одно лишь сокращение лишних "дембелей", если бы оно произошло (рассказчик просто не в курсе их дальнейшей судьбы), окупило бы половину стоимости внедряемой системы. А ведь впереди были ещё настоящие утечки.

white

Интернет диких вещей

       
Я вам уже однажды напророчествовал, что главная опасность исходит не от прикладного ПО и не от системного, а от встраиваемого, оно же firmware. Потому что контроля за ним меньше. Вплоть до того, что иной раз вообще неизвестно о наличии в микросхеме какой-либо программы. А она там есть. И принимает решения. И решения эти, как следует из нижепроцитированного, затрагивают фундаментальные права человека:
«Автомобили "Camry" начали неоднократно проявлять норов и склонность к неуправляемому разгону... Суд штата Оклахома признал Toyota ответственной за инцидент шестилетней давности с присуждением полуторамиллионного штрафа. А специалисты в области embedded-программирования по окончанию судебного процесса получили возможность открыть данные об экспертизе прошивки злополучного контроллера дроссельной заслонки. И данные оказались далёкими от утешительных... "это позорный образец проектирования и разработки ПО"... "ошибки в firmware стали причиной аварии с тяжёлыми последствиями".»
Стандарты разработки и тестирования ПО, как оказалось, вообще не применяются для программ этого класса.

Рынок с большим трудом может регулировать качество firmware. Его производители, если и конкурируют, то исключительно по критерию цены. Отсутствие пользовательского интерфейса не позволяет конечным потребителям сказать своё слово. Как тут можно запустить рыночные механизмы – мне в голову не приходит. Запускать же в эту сферу контролирующие государственные органы – хочется ещё меньше.

Решение проблемы видится в недавно появившейся тенденции – переходе техники на универсальные ОС. И телевизор, и микроволновка, и снайперский прицел, и одноразовый рекламный вкладыш в журнале – всё это с успехом запускает внутри себя какой-нибудь проверенный годами Линукс. Системное и прикладное ПО вполне поддаётся аудиту, может быть сертифицировано проверено, а также заменено и проапгрейжено третьими лицами – вот вам и конкуренция.

Так называемый "Интернет вещей", который нам предстоит в ближайшее десятилетие, не должен использовать firmware, а то он станет дикой сетью. Кофеварка на Виндоуз – лучше, чем она же на безымянном коде от безвестного индуса. От Винды мы примерно знаем, чего ожидать, как защищать и где патчить.