Category: технологии

white

DLP Как это работает? Часть 2. Веселые картинки

В прошлый раз мы обсудили, какие технологии в составе DLP-системы позволяют защищать информацию, представленную в виде простого текста. Сегодня мы расскажем о защите изображений. Традиционно для работы с отсканированными документами используют технологию преобразования картинок в текст (OCR), с которым DLP давно научились работать. Но что делать, если объект защиты – именно изображения?



Научить искусственный интеллект поиску по картинкам – дело хлопотное. Задача становится еще более сложной, если приходится искать не полное изображение, а его фрагменты. Поисковые системы не «заморачиваются» в этом отношении, а нам приходится.

Злоумышленник, задумавший украсть из родной организации чертежи или топографические карты, скорее всего, будет их пересылать по частям. Возможно, он перекодирует файл, сохранит изображение в другом формате, изменит его. Наша задача – сделать так, чтобы DLP точно и безошибочно «узнавала» исходный документ в потоке трафика и сообщить об утечке.

Самый простой способ – создать обучающую коллекцию изображений с положительными и отрицательными примерами. Данную технологию можно использовать для предотвращения утечек отсканированных личных документов, таких как паспорт или права.

Можно попросить систему реагировать на конкретные детали изображения. К примеру, эталонную печать. Такой печатью можно помечать документы, которые ни при каких условиях не должны передаваться вовне. Система будет искать не документы в целом, а элементы изображения печати, что немного проще.

Помимо этого, широко применяется копирайтный анализ (цифровые отпечатки) для картинок. В данном подходе используется заранее заданный образец картинки, и если перехваченный объект совпадает с эталоном, то утечка предотвращается. Про детектирование утечек сканов или фотографий кредитных карт мы не упоминаем. Это, как говорится, «семечки».

Главное, на анализ изображений в нашей DLP системе формат исходных файлов никак не влияет. Исходное изображение может быть изменено до неузнаваемости – отражение, поворот, наличие помех, шума, кроп, масштаб, разделение на фрагменты, - мы его все равно обнаружим.

Дальнейшим развитием в этом направлении может стать создание технологий анализа для ещё не затронутых форматов, которые в настоящее время могут быть проанализированы лишь как набор бит. Например, это могут быть технологии анализа видео. К сожалению, мощности современных процессоров не хватает для анализа видео в realtime режиме, но это вопрос 3-5 лет.

Ещё одним направлением развития технологий анализа является анализ внутренних взаимосвязей между данными внутри текста. Примерами таких технологий могут служить технология детектирования утечек выгрузок из баз данных и технология анализа заполненных форм.
white

"Где родился, там и сгодился"

Так говорили в России во времена отсутствия общественного транспорта, присутствия крепостного права и необходимости получать выездную визу лично у царя.
       

С годами ситуация менялась слабо. И только возникновение массового общественного транспорта в 1920-х радикально расширило радиус трудоустройства гражданина – примерно с 1 километра до 10 (т.е. площадь – раз в сто). В некоторых странах это произошло раньше, чем в России/СССР, в некоторых позже, но везде рынок рабочей силы при таком качественном переходе радикально менялся. Обычно это приводило к технологическому скачку.

Экономисты утверждают, что сложность доступных предприятию технологий зависит от размера области поиска кадров. причём, эта зависимость сильнее, чем линейная. Если вдруг область вырастает в 100 раз – технологический рывок просто неизбежен.

В ближайшие годы рванёт ещё. Теперь – за счёт дистанционной работы, а также других дистанционных сервисов: обучения, продаж, удалённого присутствия. Средний радиус трудоустройства за несколько лет должен подскочить в десятки, если не сотни раз.

А перевод локальных работников на дистанционную работу обещает экономию на офисных площадях и транспорте. Впрочем, компьютеризация нам тоже много всякой экономии обещала. Говорила, продажная девка империализма, что один компьютер будет выполнять работу 10 человек. Обманула, стерва! Такую же самую работу сейчас делают 9 плюс сисадмин, эникейщик, администратор БД и ИТ-начальник. А за владение компьютером всем пришлось прибавить жалованья. Впрочем, прагматичные бизнесмены отказываться от автоматизации не спешат – свою выгоду они получили в другом месте.

Выгода от дистанционной революции тоже будет не в экономии. То, что хозяева сберегут на офисных площадях и транспорте, целиком пойдёт нам – производителям средств защиты от утечек. Наш сегмент рынка рискует треснуть от предстоящих доходов. Только не надо зацикливаться на традиционных DLP и защите периметра. Спрос уйдёт в сторону средств обеспечения удалённой работы.

white

Человек обязан думать субъективно!

Тут раздался тихий, но масовый шелест в СМИ и соцсетях по поводу сервиса "Web of Trust (WOT)" – сервиса народной оценки веб-ресурсов. Точнее, по поводу использования результатов такой оценки при фильтрации почты и доступа к сайтам.
Скриншот

Идея сервиса проста и понятна: живые бесплатные люди видят всё лучше, чем неживые роботы. Их не обманешь всеми этими SEO-штучками. Они всё поймут и честно доложат о порнографии, мошенничестве, разглашении и вообще – о безопасности посещения ресурса. Отдельные ошибки и злопыхательства – усреднятся и не повлияют.

Ага, щазз!

Как раз наличие у юзеров разума и не позволяет достичь объективной оценки сайта. Ведь каждый ещё и собственное мнение имеет. И хочет это мнение другим если не навязать, то хотя бы сообщить. А здесь – такая чудная возможность! И вот изголодавшиеся по демократии пользователи принялись активно голосовать против сайтов. Точнее, их контента. Осознание того, что их мнение не просто зажжёт красную лампочку в углу, но может привести к блокированию доступа, даёт людям мотивацию. Вместо бесплатной рабочей силы создатели сервиса получили электорат. Юзеры не хотят даром работать. Но хотят решать, править, казнить и миловать. Вот – настоящий стимул.

Итог немного предсказуем. Вместо четырёх критериев, по которым предлагается оценить сайт, народ применяет один. Совсем не тот, о котором думали создатели сервиса.

Посмотрите народные оценки и комментарии для каких-либо политизированных ресурсов. Это ж натуральный остракизм!

Вот почему в таких вопросах тупые роботы лучше умных людей. У роботов нет мнения, убеждений, религиозных чувств, симпатий и антипатий. У роботов нулевая примативность. Они выполняют поставленную задачу, а не свою собственную.

white

Только через меня

Из курьёзов Chatroulette.
Такая задача была поставлена довольно давно – предотвратить обмен контактами между абонентами чата, видеочата или переписки. Чтоб не могли перейти на альтернативный канал общения.

Многие системы типа соцсетей крайне ревнивы и желают, чтобы их участники общались бы только через эти системы. И никогда – в обход. Иногда такое желание основано на бубновом интересе, поскольку сеть имеет комиссию с оказываемых услуг и заключаемых сделок. Пользователи – наоборот, норовят законтачиться напрямую и обмануть посредника (а иногда – ещё и друг друга).

Умные применяют для этого организационные и финансовые механизмы. Например, Ии-бэй, который в качестве посредника гарантирует честность сделки и возврат денег в случае чего. Не очень умные – полагаются на технические меры, например, выявляют в сообщениях и блокируют адреса электронной почты и телефонные номера. Технологии те же самые, что в DLP-системах, хотя реализация часто хромает.

К счастью, типичные приёмы видеочатеров ориентированы на передачу очень коротких сообщений, которые для DLP не актуальны. Актуален общий принцип: сделать так, чтобы инсайдер сам не пожелал искать альтернативных каналов.

white

Тёплый ламповый текст

Сегодня ваш покорный слуга отправился на крупнейший местный рынок электроники – посмотреть по просьбе друга новейшую модель читалки-букридера.

У нас все мировые хайтех-новинки появляются быстро, лишь чуть-чуть позже, чем на своей родине – в Китае.

Исследование рынка меня поразило. Потрясающее открытие состояло в том, что такой класс товара, как электронная книгочиталка в Таиланде отсутствует. Вообще. Не завозится, не производится, не локализуется и не продаётся. Многие торговцы даже не знают, что это такое. Пятый Айфон? Пожалуйста! Он уже полгода на прилавках, так что уступим всего за 1500 рублей. Букридер? Это что за зверь? Книжка электронная? Не держим-с. А зачем она? Вот, планшет самсунговский, всего 12 тыщ...

Блиц-опрос знакомых подтвердил: тайцы электронных книг не читают. Звуковые книги – слушают, фильмы и телевизор – смотрят, в том числе, с мобильных телефонов. Но воспроизводить текст на электронном устройстве, которое способно воспроизводить звук и видео – это, по их мнению, извращение. Всё равно что на самолёте ездить по земле.

И тут до меня дошло. Я же сам писал про отмирание технологий (например, чтения с бумаги или письма от руки). И если в Европе ненужные технологии умирают, то в Азии им будет проще не родиться.

Текст как носитель информации утрачивает свою роль. Технический прогресс асимптотически, но неуклонно прижимает его к нулю.

Современный человек потребляет информации больше, чем житель середины XX века и тем более – XIX века. Но форма поступающей в организм информации за сто лет существенно изменилась. Отчего бы не зашейпить текстовый канал, если он оказался не столь эффективным, как другие?

Вслед за художественными произведениями уйдут из текста в мультимедию публицистика, потом деловые документы, удостоверения. А там, глядишь, внезапно окажется, что Уголовный кодекс в картинках – гораздо информативнее, чем текстовый; легче воспринимается, ровнее толкуется, полнее описывает реальный мир.

white

Терминаторы идут

По мировым СМИ разошлась новость.
«Корея продаёт в ОАЭ первый в мире автономный боевой робот "Super Aegis II", состоящий из 12,7-мм пушки с системой мониторинга и наведения с радаром и инфракрасной камерой. Эдакий примитивный Терминатор, который пока ещё не может передвигаться самостоятельно. Дальность поражения целей – 1,2 км, дальность обнаружения и распознавания – до 2,5 км, вес около 200 кг.»
Думаю, всем понятно – будущее за автоматизированным оружием.

Однако не идёт из памяти "Обитаемый остров" Стругацких. Там огромные площади были засажены подобными автоматическими турелями и прочим смерторносным железом. А выкорчёвывать всю эту нечисть отправляли каторжников, даже не солдат. И они, как ни странно, справлялись. Почему? Потому что человек всегда обманет робота, действующего по алгоритму.

Робот вместе с человеком – вот это действительно сила! Человек уступает машине не только в скорости вычислений и в реакции. Человек слаб прежде всего своим инстинктом самосохранения. И всякими вредными идейками типа "поражения своего правительства в империалистической войне". Антивирус ему в мозги не поставишь, весовой коэффициент на инстинкты не введёшь. Поэтому на опасных участках солдата следует заменить автоматизированной системой. Не из соображений гуманности, но надёжности.

Итак, тенденция введения боевых роботов очевидна. Следовательно, возрастает роль чисто информационного воздействия. Её пока что не осознали. Во всяком случае, не осознали генералы, которые по традиции мыслят в категориях рубильников и кнопок. Нужен прецедент выхода из повиновения управляемого оружия. Чтоб не просто отказ наведения или отключение связи. Чтобы роботизированный боевой аппарат открыл огонь по своим. И не в силу случайности, а по приказу противника. Лишь тогда специалисты по ИБ займут достойные места в структуре вооружённых сил.

white

Хак реальности

Когда ваш покорный слуга работал в Московском университете, познакомился среди прочих интересных людей с человеком, который единолично держал в своих руках судьбу всего мира. Он мог начать глобальную ядерную войну по своему собственному решению и даже без посторонней помощи.

В те времена все советские ракеты-носители ЯО летали на топливе гептил-тетраоксид азота. В факеле такой ракеты имелась спектральная линия, крайне удобная для дистанционного обнаружения: яркая, слабопоглощаемая атмосферой и, главное, уникальная. Никакие иные виды топлива такой линии не давали. Естественно, все вражеские спутники раннего предупреждения имели детекторы именно на эту линию. Излучение на данной частоте однозначно идентифицировалось как запуск ядерной ракеты. Со всеми ответно-встречными последствиями.

По заданию Минобороны наш учёный разработал мощный газовый лазер, излучающий ровно на той частоте. Каких-нибудь пары-тройки киловатт вполне хватало, чтоб с поверхности земли ослепить (если не выжечь нафиг) все чувствительные детекторы на всех спутниках. Даже при не очень точном наведении. А в соответствии с договорами и военными доктринами, нападение на средства раннего предупреждения приравнивается к полноценному ядерному нападению. Одномоментное ослепление всех вражеских спутников – как раз и есть крайняя форма такого нападения.

Некоторое время наш герой имел в своём фактически бесконтрольном распоряжении действующий лазер нужной мощности и полную возможность навести его и нажать кнопку.

Очень слабое (по сути, чисто информационное) воздействие может иметь сильные последствия. Но только там, где принятие решения в атакуемой системе предельно автоматизировано. Именно такие места должны считаться уязвимыми, независимо от того, известен ли способ "взлома" или нет.

Антивирусы – самый "независимый" от человека вид кибероружия. Потому что любой антивирус (может быть, кроме чисто серверных) рассчитан на эксплуатацию в отсутствие администратора. (Пользователь типа "домохозяйка американская", разумеется, не считается.) Антивирус принимает решения автоматически, без участия человека. Иные средства защиты информации имеют немного меньшую степень автономности. Наша любимая DLP-система используется в двух режимах – полностью автоматическом или с участием оператора. Причём, автоматический режим DLP придуман не из-за отсутствия квалифицированного персонала, а по требованию законодательства, чтоб не нарушать право на тайну связи.

И там, где квалифицированный специалист отсутствует, не допущен или не успевает вмешаться – там возможны разрушительные кибернападения: атака второго рода и некоторые другие.

white

Прогресс упёрся в глаз

В ходе вчерашних прений появилась новая тема. Как известно, любой документ (здесь речь о бумажных документах с подписью и печатью) можно подделать...

Когда-то обычная резиновая печать давала изрядную степень защиты. Ныне изготовление поддельной печати ("восстановление по оттиску", как пишут в рекламных объявлениях) обходится в несчастную сотню баксов, а набор соответствующего оборудования – в жалкую тыщу. Понятно, что такую защиту нельзя назвать серьёзной. А какую можно?

Защита бумажных документов от подделки всегда базировалась на следующем принципе. Есть технология, доступная для государства, но недоступная для рядовых мошенников. Таким образом, предъявляемый документ по своим визуальным характеристикам доступен для изготовления только официальным государственным (уполномоченным) органам. Добавляем правовую защиту (санкции за использование соответствующей технологии без разрешение государства) и получаем удостоверительные документы, которые невозможно или сложно подделать. Такие технологии существуют сейчас, как существовали всегда, однако их уровень постоянно повышается. В своё время такими технологиями были:
  • умение писать;
  • каменная печать;
  • типографское исполнение бланка;
  • бумага с водяными знаками;
  • фоновая сетка;
  • голографические наклейки...

фрагмент 1 фрагмент 2
Несколько образцов подделок из коллекции автора "когда я служил в маленьком отделении милиции".
Каждая из технологий постепенно становилась общедоступной и, следовательно, переставала быть достаточной для защиты от подделки. Вводились всё новые и новые "степени защиты". Кстати, некоторые из них базировались на принципе "security by obscurity". Например, скрепки советского паспорта образца 1978 года, с виду самые обыкновенные; не один злоумышленник попался на этих скрепках.

А ныне "гонка вооружений" в области защиты и подделки упёрлась в естественный барьер. Этот барьер – разрешающая способность человеческого глаза. Свободно продающиеся принтеры и сканеры имеют разрешение выше, чем "невооружённый глаз".

Технологический тупик. Человеческий орган зрения стал препятствием на пути технического (и социального) прогресса. Пора отказываться от старой парадигмы визуальной проверки документов. И переходить на инструментальные средства контроля. А ещё лучше – переключиться с защиты носителя информации на защиту самой информации при помощи криптографических методов.


white

Не можешь обуздать - возглавь

Товарищ sandr1x подогнал мне небольшую статью на тему «IM и утечки». За что ему спасибо. Цытато:
«74% опрошенных руководителей признают, что технологии IM повышают производительность труда;
72% блокируют IM по соображениям безопасности»

Хотя ничего принципиально нового ваш покорный слуга там не вычитал, но прочтение индуцировало интересную мысль.

Мы уже давно приладили свою DLP для контроля сообщений по протоколу ICQ (OSCAR). Но если бы сейчас мы начинали с нуля, возможно, пошли бы немного иным путём – написали бы собственного ICQ-клиента, заточенного под корпоративное использование. При этом было бы не только проще проверять исходящие сообщения на предмет конфиденциальной информации. Можно было бы встроить ряд "корпоративных" функций. Таких как пересылка внутренних сообщений через локальную сеть, прозрачное шифрование сообщений между "своими" абонентами, принудительное задание стойкого пароля, централизованное логирование присутствия работника на рабочем месте, централизованные офисные напоминары о запланированных мероприятиях и прочее.

За деньги такой клиент не продашь, а вот в качестве приложения к DLP-системе он пойдёт успешно.


white

Ещё о саботаже

Саботаж айтишников бывает не только фатальным, но также частичным, лёгким, дозированным. С целью не разрушить бизнес, а слегка подкорректировать проект, слегка изменить бюджет, слегка подсидеть неугодного руководителя и так далее. Ваш покорный слуга сам наблюдал ряд ситуаций, когда технические работники, считая указания начальства неправильными, пытались сделать «как лучше». Но поскольку словесные и письменные аргументы на руководство не действовали, то работники переходили к более действенному средству убеждения: частичному саботажу.

Например, на одном предприятии директор решил заменить традиционную телефонную связь IP-телефонией. Возможно, это показалось ему дешевле, возможно, он гнался за модой, а может быть, ему навешали лапши представители провайдера услуги. Логические аргументы своих технарей он отверг. Результаты сравнительных испытаний директора тоже не убедили. Айтишникам ничего не оставалось делать, как подкрутить приоритезацию трафика. Так, чтобы доступ в Интернет не пострадал, чтобы у всех IP-телефоны работали нормально, а у директора, его замов и секретарши — чтоб «квакали» и слова глотали. Двух недель не прошло, как поступил приказ демонтировать новую телефонную систему и вернуться к прежней.