Category: происшествия

white

Как можно незаметно потрошить банкоматы - часть 2.

Начало этой прекрасной истории мы публиковали тут.



Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций  – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.

Collapse )
white

Как можно незаметно потрошить банкоматы



В текущем году СМИ активно освещали инциденты, связанные с ИБ и иной безопасностью, уделяя особое внимание финансовому сектору. Например, с начала года чуть ли не каждую неделю злодеи или просто отчаявшиеся люди предпринимали незаконные манипуляции с банкоматами, и информация об этом не сходила с лент новостей – просто не успевала сойти. Банкоматы вывозили, взрывали, взламывали, раскурочивали… А кое-кто при атаках на банкоматы использовал методы и инструменты, связанные с высокими технологиями.

Вот – одна из таких историй от ведущего эксперта по информационной безопасности InfoWatch - Марии Вороновой.

Collapse )
white

Утекай: как минимизировать негативные последствия утечки информации (ч.1)

«Все американские компании делятся на две категории: те, у которых были инциденты ИБ, и те, кто просто об этом еще не догадывается»
Джеймс Коми, директор ФБР


В 2013 году у 43% всех компаний США хотя бы раз случалась утечка информации.  Симптоматично, что по данным InfoWatch за тот же период, Россия  занимает вторую строчку в глобальном рейтинге утечек - как раз после Штатов.

Эксперты знают, что 100% безопасности не существует и инциденты случаются даже в тех компаниях, где вопросам ИБ уделяется самое пристальное внимание. Утечка данных – это не вопрос о том «как?», это вопрос о том «когда?». Поэтому в этот раз мы зайдем с другого конца и расскажем, как действовать, чтобы исправить допущенные ошибки и не совершить при этом новых.
Collapse )
white

Дембель неизбежен

О, сколько нам открытий чудных готовит просвещенья дух! А ещё внедрение DLP-систем. Оно никогда не обходится без удивительных открытий для начальства. Буквально каждый проект выявляет такое, чего директор на своём предприятии даже не подозревал. Рассказали об одном таком.
сержант строит пользователей  

Свежепоставленная DLP мониторила, в частности, обращения к корпоративной БД, пытаясь найти в потоке SQL-команд аномалии, свидетельствующие об утечках. Аномалия не заставила себя ждать.

В одном из подразделений работали пять сотрудниц, которым вменялось вносить и редактировать записи в БД. Начальство подразумевало, что работа распределена между ними равномерно и обсуждало вопрос об увеличении штата до шести единиц. Замеры же показали, что ни о какой равномерности речи не идёт: 80% транзакций в базу были с аккаунта одной работницы, а 20% – с аккаунтов остальных четверых.

Сперва статистику истолковали превратно и заподозрили попытку слить базу. Но быстро выяснилась настоящая причина. Оказалось, в этом дружном коллективе установлена классическая дедовщина, хотя и в женском исполнении. Самая молодая выполняла 80% работы подразделения, поскольку, как ей объяснили, у старших товарок стоят более серьёзные и более ответственные задачи. Таковыми задачами при расследовании инцидента оказались переписка в "Одноклассниках", питие чаёв и курение в курилках.

Одно лишь сокращение лишних "дембелей", если бы оно произошло (рассказчик просто не в курсе их дальнейшей судьбы), окупило бы половину стоимости внедряемой системы. А ведь впереди были ещё настоящие утечки.

white

Интернет диких вещей

       
Я вам уже однажды напророчествовал, что главная опасность исходит не от прикладного ПО и не от системного, а от встраиваемого, оно же firmware. Потому что контроля за ним меньше. Вплоть до того, что иной раз вообще неизвестно о наличии в микросхеме какой-либо программы. А она там есть. И принимает решения. И решения эти, как следует из нижепроцитированного, затрагивают фундаментальные права человека:
«Автомобили "Camry" начали неоднократно проявлять норов и склонность к неуправляемому разгону... Суд штата Оклахома признал Toyota ответственной за инцидент шестилетней давности с присуждением полуторамиллионного штрафа. А специалисты в области embedded-программирования по окончанию судебного процесса получили возможность открыть данные об экспертизе прошивки злополучного контроллера дроссельной заслонки. И данные оказались далёкими от утешительных... "это позорный образец проектирования и разработки ПО"... "ошибки в firmware стали причиной аварии с тяжёлыми последствиями".»
Стандарты разработки и тестирования ПО, как оказалось, вообще не применяются для программ этого класса.

Рынок с большим трудом может регулировать качество firmware. Его производители, если и конкурируют, то исключительно по критерию цены. Отсутствие пользовательского интерфейса не позволяет конечным потребителям сказать своё слово. Как тут можно запустить рыночные механизмы – мне в голову не приходит. Запускать же в эту сферу контролирующие государственные органы – хочется ещё меньше.

Решение проблемы видится в недавно появившейся тенденции – переходе техники на универсальные ОС. И телевизор, и микроволновка, и снайперский прицел, и одноразовый рекламный вкладыш в журнале – всё это с успехом запускает внутри себя какой-нибудь проверенный годами Линукс. Системное и прикладное ПО вполне поддаётся аудиту, может быть сертифицировано проверено, а также заменено и проапгрейжено третьими лицами – вот вам и конкуренция.

Так называемый "Интернет вещей", который нам предстоит в ближайшее десятилетие, не должен использовать firmware, а то он станет дикой сетью. Кофеварка на Виндоуз – лучше, чем она же на безымянном коде от безвестного индуса. От Винды мы примерно знаем, чего ожидать, как защищать и где патчить.

white

Это какие-то неправильные логи

Логи, которые пишет подавляющее большинство программ, предназначены сисадминам, а не безопасникам. Они ориентированы на настройку взаимодействия, на поиск ошибок и неверной конфигурации, на оптимизацию ресурсов, на учёт потребления. А нам нужно – для расследования инцидентов, для выявления злоупотреблений, для поиска злоинсайдеров. Это ж совсем другой угол заточки.
       

Кроме того, нас обычно не устраивает, как логи хранятся. Сисадмину требуется, чтобы логи было удобно посмотреть, факторизовать, сравнить, агрегировать, посчитать статистику. А ещё – чтобы в случае падения программы она успела бы сказать что-нибудь на прощание, и эта запись не потерялась бы. У нас задачи перпендикулярные. Нам нужно по возможности изолировать логи от злоумышленника, затруднить их уничтожение и фальсификацию. А ещё – чтобы наши логи имели юридическую значимость, то есть оптимизировать их сбор и хранение под существующее процессуальное право.

Соответственно этому, по своей направленности логи должны поделиться на отладочные (традиционные) и криминалистические.

Примерно так, как уже поделились бэкапы. Обычное резервное копирование направлено на восстановление системы после сбоев. А криминалистическая копия диска делается для поиска следов при расследовании инцидента. Эти цели настолько различны, что обычный и криминалистический бэкапы даже не пересекаются – они делаются на разных устройствах, разными людьми, по разному расписанию.

Криминалистические логи пока не отпочковались от обычных. Нам приходится вести расследование, пользуясь чужим, не приспособленным для нас инструментом.

white

Сохраняйся!

Есть предметы, которые мы стремимся обязательно иметь под рукой, но надеемся, что они никогда не пригодятся. Это медицинский жгут, огнетушитель, пистолет... Нет, последний пример неудачный. Лучше я назову дупликатор жёстких дисков.

Инцидент в информационной системе может случиться в любую секунду. Вот только что всё было нормально, а вот уже там хозяйничает какой-то злохакер, дикий троян или, упаси боже, злоинсайдер. С одной стороны, надо бегом всё исправлять, восстанавливать работу и затыкать дырки. С другой стороны, следует огородить место происшествия и ничего не трогать до приезда следственной группы. Если, конечно, вы хотите дать делу законный ход и довести до Фемиды, что невозможно без сбора доказательств. А все доказательства – они там, на диске хакнутого сервера. Там же, где ваша рабочая база, клиентский интерфейс, интернет-магазин, депозитарий документов – всё то, что приносит вам доход.

В двух случаях из трёх встаёт дилемма: расследование или бизнес. Либо мы попытаемся наказать киберпреступников, либо позволим нашему предприятию продолжить работу. Неприятный выбор. Избежать его позволяет простое устройство.

Копия диска, которую снимают таким устройством, называется "криминалистическая" или "посекторная" или "forensic copy". На ней в дальнейшем можно искать и находить цифровые доказательства точно так же, как на оригинальном диске. Включая удалённые файлы, стёртые записи БД, область подкачки (swap) и т.д. Такая криминалистическая копия годится для любой экспертизы и служит источником доказательств такой же юридической силы, как исходный диск.

Поэтому каждый уважающий себя информзащитник держит в тревожном чемоданчике криминалистический дупликатор и несколько терабайтных жёстких дисков. Их желательно предварительно заполнить нулями, чтобы прежнее содержимое случайно не попало на экспертизу.

В принципе, криминалистическую копию можно снять и на обычном компьютере. Втыкаете туда исходный и чистый диски (первый – в режиме read-only, разумеется) и копируете утилитой dd, которая имеется в составе любой ОС (кроме Windows). Есть и отдельные программы для криминалистического копирования с фичами, обвесами и наворотами. Но аппаратный дупликатор всё же удобней и быстрей.

Кстати, в некоторых продвинутых конторах делают криминалистическую копия диска компьютера сотрудника при его увольнении. Мало ли чего потом всплывёт. А то можно и порасследовать. На диске много чего оседает такого, о чём даже не каждый айтишник ведает.

Поднимите руки, у кого заготовлен дупликатор? А остальные – как? Рабочий диск на экспертизу отправите?

white

Мёртвый язык

Когда ваш покорный слуга пошёл в школу, в то время параллельно существовали чернильные и шариковые ручки. Хотя вторые были однозначно удобнее и дешевле (и никто этого не оспаривал), но первые продолжали выпускать. Не только для любителей исторической реконструкции. Отчего-то считалось, что хороший и правильный почерк может выработаться только перьевой ручкой. Первый год или два мы писали чернилами. Только когда учитель решал, что почерк у ученика выработался, он разрешал перейти на шариковую.

Прошло немного лет – и уже стоит вопрос о почерке вообще. Нужно ли человеку писать рукой? Имеет ли смысл учить детей этому навыку, который вскоре окажется на свалке истории? Это ж мёртвый язык, фактически. Изучить латынь и греческий, конечно, было бы полезно для общего развития. Если нет более насущных знаний. Ваш покорный слуга с 16 лет не написал от руки ни одного текста для кого-либо кроме себя. А после 22 лет – вообще ни одного.

Найти бы сейчас того старого пня, того онтологического динозавра, который убедил всех, что "правильно" писать можно только чернилами. Наверное, он уже давно в аду, переписывает гусиным пером дампы всех упавших Х-серверов.

Школа должна давать навыки, полезные в будущем. Что именно будет востребовано через 10-12 лет, точно не известно. Но хотя бы на сегодняшний день ориентироваться можно? Сколько процентов текста средний человек набирает на клавиатуре, а сколько пишет от руки? Ну и какой из почерков сейчас важнее – рукописный или клавиатурный?

Всем известно, что генералы всегда готовятся к прошлой войне. У них есть уважительная причина: пока новая война не началась, трудно предсказать её характер. Но почему учителя готовят к прошлой жизни, хотя настоящая – вот она, перед глазами?

Может, и наш брат не без греха? Может быть, мы тоже защищаем от вчерашних утечек?

white

Как доказать, что не стукач? Настучать.

Добрые люди прислали любопытную утечку на комментарий:
«Служба контрразведки Чехии (BIS) обратилась к руководству частной фирмы, чтобы та встроила закладку в производимое ею шифровальное ПО... Фирма CircleTech выпускает ПО для мобильных телефонов для шифрования текстовых сообщений и звонков... Получив первый отказ, BIS не сдалась и предложила... "гонорар" наличными по неофициальным каналам.»
Кончилось скверно: преданием гласности всех переговоров. За такую провальную вербовку в российских органах обычно отправляют оперативника лет на десять охранять антенну в тундре. У чехов, наверное, тоже сделают оргвыводы. Если, конечно, вербовали действительно чехи, а не чужая разведка под их именем (это популярный трюк).

Что показывает нам этот отдельный инцидент? Что отдельные спецслужбы в отдельных случаях не могут преодолеть гражданскую криптографию. Даже изготовленную в их родной стране отдельными отечественными разработчиками. А может быть, не отдельные? Всё-таки криптография – вещь крайне несимметричная: для её преодоления требуются на порядки бОльшие силы, чем для её применения. Поэтому попытки преодоления неизбежно будут направляться на так называемое "слабейшее звено". И как доказать потребителю, что оно у тебя не слабейшее? Предъявить справку из КГБ, что ты на них не работаешь?

«Об этом не могло быть и речи. Это всё равно, как если бы мы продавали пуленепробиваемые жилеты, которые на самом деле не были пуленепробиваемыми», – так выразился пан Сатанек, совладелец компании CircleTech. Невдомёк ему, неискушённому, что имитационные бронежилеты уже лет пятнадцать серийно выпускаются и состоят на "вооружении" в МВД и ФСБ РФ, не говоря о других технически продвинутых странах.