Tags: вредные советы

white

Издевательский подход

Доносят мне с переднего края ИБ о современных методах внедрения. На одном крупном предприятии руководитель СБ выбил кусочек бюджета и купил на него в офис какую-то недо-DLP производства одного нашего недоконкурента. Потом составил чёрный список запретных ресурсов (на белый решимости не хватило) и стал ждать, кто первый из работников получит выговор за нарушение Политики (нет бы, начать с головы). А нарушений – всё нет и нет.

И тогда по офису была проведена рассылка:
«Извещаем вас, что, согласно требованиям Политики безопасности, работники Компании не имеют права просматривать, скачивать, и проводить иное взаимодействие со следующими сайтами:...»
А далее - не очень длинный список URL'ов, которые пользователям до сего момента были незнакомы.

О последствиях рассылки догадаться нетрудно.

Этот метод – запрет думать об обезьяне – ещё Ходжа Насреддин изобрёл. Если кто не помнит, изобрёл его, чтобы отвертеться от исполнения служебного задания. А герой нашего рассказа сумел показать начальству свою "работу" и заодно – оправдать траты на бесполезное глюкало.

white

Живой код

Если девушка никогда не разговаривает с незнакомыми мужчинами, она останется старой девой. Ведь любой знакомый когда-то был незнакомым. Если пользователь не посещает непроверенных сайтов (как ему рекомендуют некоторые тупоумные информзащитники), то он обречён остаться без сайтов вообще. Кто же ему переведёт ресурс из категории "непроверенный" в категорию "проверенный"? И кто проверит самого проверяльщика?

Тем не менее, на куче непроверенных, подозрительных, незнакомых, несертифицированных и ненадёжных сайтов пользователю говорится:
  1. Не посещайте непроверенные сайты, особенно если они рекламируются в спаме.
  2. Не открывайте письма от неизвестных отправителей.
  3. Пользуйтесь надежными средствами для защиты вашего компьютера!
Правила, подобные вышеупомянутым, неисполнимы, если ими время от времени не пренебрегать. А тот, кто их писал, сам не выполняет.

И вот, когда доходит до конфигурирования DLP-системы или иного средства защиты, сразу обостряется разница между правилами и правилами. Те правила, которые для людей, которые записаны русскими буквами в политике безопасности – неисполнимы. Но никого это не волнует – ни составителя, ни "соблюдателя". А те правила, которые латиницей в конфиге системы – они совсем другое дело. Компьютер же тупой, он же команды исполняет. Прям как сказали, так и делает. Никакого понятия! Поэтому транслировать официальную политику безопасности в код и конфиг невозможно.

Реальная конфигурация – она всегда честнее. В ней режим "лицемерие=on" пока отсутствует.

Отсюда появился оригинальный метод создания работающей нормативной документации по ИБ. Настраиваются межсетевые экраны, DLP, IDS/IPS, логирование и всякая прочая защита, эксплуатируется полгода. Потом берутся рабочие конфиги и переводятся на бюрократический язык.

white

Правила и договоры

Берегитесь мошенников! Запомните простые правила.
  • Ни один банк не спросит у вас пин-код.
  • Ни один сервис бронирования не пришлёт вам информацию в zip-архиве.
  • Ни одно консульство не разместит официальный сайт на бесплатном хостинге.
  • Ни один работодатель не назначит вам собеседование в метро.
  • Ни один военкомат не пришлёт вам повестку по СМС.
  • Ни один оператор мобильной связи не станет звонить вам с иностранного номера.
  • Ни один интернет-магазин не будет скрывать свой юридический адрес.
  • Ни один провайдер не спросит ваш пароль от электронной почты.
  • Ни один поставщик электричества не потребует оплатить задолженность через Вебмани.
На кофейной гуще
Запомнили эти простые правила безопасности? Хорошо. Осталось заставить их выполнять другую сторону – банки, операторов, магазины и т.д. А то они порою не знают об этих "простых правилах". Им не рассказали, что ни один пользователь не поверит в их неправильный вопрос, сайт, письмо или звонок.

Отмечались совсем уж анекдотичные случаи, например, когда вполне благонамеренный сервис выманивал у пользователя пароль к его почтовому ящику. Чтобы применить его к пользовательскому аккаунту. Чтоб юзер не забыл. Ведь помнить один пароль проще, чем два.

Так вот, проблема в том, что "простые правила безопасности" не подкреплены ничем кроме эмпирики. Ну, ещё местных традиций. То есть, это не правила, не договор, не критерий. Это народные приметы. Они часто сбываются, если только не нарушаются.

white

Свои среди чужого

В очередной новости про проимку киберпреступников айтишную общественность насторожило следующее:
«Поймать их удалось с помощью подставного интернет-форума, который выполнял роль черного рынка.»
Можете таки расслабиться. Я вам скажу как родному: не подставной форум играет роль чёрного рынка, а чёрный рынок играет роль подставного форума.

13 по вертикали. Присутствует в любой компании больше двух человек. 6 букв.

Когда ваш покорный слуга работал в маленьком отделении милиции, у нас тоже был чёрный рынок. В те годы Интернет (а особенно Рунет) был слаб и малолюден. Поэтому рынок выражался в нескольких досках объявлений, залепленных снизу доверху во много слоёв. И все они находились под плотным контролем оперов и стукачей. Палочная система заставляла пастись там каждодневно и ежечасно. Но на организацию подставного чёрного рынке никто бы денег не дал. И никаких других ресурсов бы не выделил. Ибо нефиг.

Смешно предполагать, что зарубежным коллегам денег бы дали. Да и зачем нужен "свой" форум, когда почти любой "чужой" – к вашим услугам вместе с его администратором.

Говорят, что любую информацию, попавшую в Интернет, следует считать обнародованной, потому что ограничить к ней доступ или удалить её оттуда очень и очень проблематично. Позвольте мне усилить данное утверждение. Любая информация о нелегальной деятельности, попавшая в Интернет, не только должна считаться обнародованной, но она должна заранее считаться найденной, классифицированной и доложенной нескольким сотрудникам правоохранительных органов нескольких стран. С открытием по ней оперативного дела. Это не значит, что дело непременно доведут до уголовного. Но работать по нему будут. Потому что мониторятся все сетевые ресурсы, как-то относящиеся к чёрному рынку. Даже те, которые именуют смешным словом "закрытые".

Кстати, если б ваш покорный слуга взялся бы строить веб-форум для обсуждения чёрных дел, то сделал бы его общедоступным, индексируемым и рекламируемым. А на каждой странице помещал бы карикатуру или анекдот. Чтоб легендировать посещение такого форума; чтоб регулярные заходы на него не являлись бы косвенной уликой.

white

Помощь зала

Обратились тут за консультацией. Некий доброхакер нашёл уязвимость в популярной программе. И, как полагается, сначала сообщил об этом приватно производителю. Однако разработчики посовещались и высказали мнение, что уязвимость эта – никакая не уязвимость, а так, мелкий недочёт. И что никакой опасности нет, дополнительных рисков не появляется, устранять нечего.

Хакер же категорически не согласен. Он считает, что опасность есть, эксплоиты и атаки вскоре появятся, а производитель просто ошибается. Либо прикрывает тупым отрицанием свою лень или некомпетентность.

Чтобы выносить вопрос на широкое обсуждение, придётся опубликовать все детали. А это позволит "чёрным шляпам" написать эксплоит. Наш этичный хакер этого не желает. Самому разработать concept proof ему кажется слишком затратным мероприятием, тем более, что работу эту никто не оплатит.

С похожими проблемами мы сами сталкиваемся частенько. Большинство утечек, о которых пишут в прессе, на взгляд вашего покорного слуги, неопасны. Утекшую информацию нерентабельно или вовсе невозможно обратить в деньги, поэтому злоумышленники её использовать не станут. Оппоненты же возражают, выдумывая с утекшими данными умозрительные схемы злодеяний в вакууме, хотя на практике ничего подобного не наблюдалось. Как доказать, что утечка опасна или безопасна? Самому, что ли, украсть и смошенничать? И что мне это даст? И что мне за это будет?

Возвращаясь к вопросу, поставленному нашим доброхакером. Пока я ему посоветовал оставить дело без движения. Может, производитель сам опомнится. Может, сыщется-таки эксплоит. Может, подвопросная уязвимость навсегда останется неизвестной и тихо помрёт вместе с продуктом.

Но хотелось бы узнать мнение уважаемых читателей. Ведь в женщинах, политике и футболе разбираются все, независимо от образования, возраста и профессии. Может, вам и про этику есть, что сказать?

white

На штыках невозможно сидеть

Если разобраться, то всё так называемое "повышение осведомлённости пользователя об угрозах" есть обычное запугивание.

Съест или только попугает?
Мы хотим, чтобы пользователь помогал нам защищать информацию. И ради этого капаем ему на мозги: туда не ходи, это не открывай, тут зашифруй, проверь антивирус, поставь файервол, ничему не верь, держи в памяти, проверь, прочитай, изучи, запомни... А иначе - у-у-у-у! Придёт серенький волчок, злой инсайдер, подлый шпион, человек посередине. И укусит, сворует, заразит, подставит, на бабки поставит. А грозный начальник узнает, накажет, уволит, посадит, лицензию отберёт, у-у-у-у!

Управление, основанное на страхе, называется тиранией. И всячески осуждается на международном уровне. А в корпоративной среде, выходит, процветает и поощряется, так?

Доходит до совсем уж радикальных предложений. Естественного страха от запугиваний некоторым ИБшникам недостаточно. И они предлагают этот страх и тревожность стимулировать медикаментозно.

Тут надо, что называется, "вернуться к основам". Надо разобраться и поставить вопрос так: человек для безопасности или безопасность для человека? Оправдывает ли наша цель такое средство, как запугивание? Стоит ли защищаемая информация нервных клеток пользователя? Что есть высшая ценность: живой человек или мёртвый компьютер?

Но мы же понимаем, что без содействия со стороны пользователя крепкой защиты не построить. Где выход?

white

Есть щит, нет меча

Тут вот коллеги обсуждают тему защиты от (D)DoS-атак. В частности, всплыл вопрос о тестировании такой защиты.

Атаки бывают очень разные: от тупого пинга с фиксированной сигнатурой до хитрейшей имитации легитимных запросов через ботнет. Средства защиты тоже весьма различны, более эффективные против одних атак, менее – против других. В том числе, встречается и халтура, и узкоспециализированные средства, и устаревшие. Без тестирования обойтись сложно. Но на чём тестировать?

Есть трафикогенераторы. Есть примитивные программы-флудеры. Но с имитаторами DoS-атак, близких к реальным – проблема.


Сказка про курочку Рябу – это завет Древних для тестеров. Неуспешность атаки типа "brute force" ещё ничего не говорит о защищённости объекта.
Казалось бы, выход прост. Обращаетесь к "чёрным шляпам" и заказываете атаку на себя нужной мощности. Текущие цены на DoS-атаки колеблются от десятков до сотен долларов в сутки. Короткую демонстрационную атаку можно получить даже бесплатно. По сравнению с бюджетом проекта (сотни тысяч долларов, до миллиона) это немного.

Но есть проблемы. Во-первых, этическая. Допустимо ли тратить ассигнованные на защиту деньги на поддержание и развитие чёрных технологий? То есть, финансировать своего противника. Во-вторых, проблема бухгалтерская. Злохакеры не любят белых платежей и, как правило, не умеют подписывать договор, выставлять счёт и присылать счёт-фактуру в соответствии с ПБУ РФ. И в-третьих, наши противники не такие уж глупые и могут сыграть с нами в поддавки. Зная, что атака нужна для тестирования средств защиты, они могут её существенно упростить. Как известно, мощность атаки (трафик) – это не единственный показатель. Например, пакет, относящийся к протоколам маршрутизации, требует ресурсов процессора раз в десять-сто больше, чем обычный транзитный пакет. Более эффективную атаку наши противники, заинтересованные в успешном тестировании, приберегут на будущее.

С другой стороны, самому создавать специальный атакующий софт, который бы не уступал по эффективности вражескому – это как-то... Как-то не того... Не достойно благородных рыцарей. Опять же, на ком его тестировать-то?

white

As Seen On TV

Маленький мальчик нашёл кимоно,
      Пару приёмов увидел в кино...

Доводят до нашего сведения украинские товарищи:
«"Доктора" из сериалов ошибаются более чем в 50% случаев
Канадские ученые предупреждают, что не следует доверять опыту "врачей" из телесериалов на медицинскую тематику. Неадекватная помощь теле-пациентам оказывается более чем в половине случаев. Конечно же, это может негативно отразиться на способности телезрителей правильно оказать экстренную помощь настоящему больному.
К примеру, сцены с конвульсиями у больных присутствовали в 327 эпизодах... При этом меры, предпринимаемые "медицинским персоналом", в 46% случаев были совершенно неадекватными. К примеру, больного клали на пол, пытались остановить непроизвольные движения или клали ему что-то в рот. И всего в 17 эпизодах первая помощь была оказана согласно стандартам, а еще в 15 случаях адекватность первой помощи было трудно оценить.»


Осторожно! Не пытайтесь повторить! Опасно для здоровья!
Как-то ваш покорный слуга сподобился посмотреть пару выпусков российского сериала про суд. После чего незамедлительно фалломорфировал. Полнейшее игнорирование УК и УПК. Не говоря уже о практике. Но с использованием "учёной" терминологии и некоторых узнаваемых атрибутов юстиции. Для тех, кто не бывал в судах, выглядит убедительно. Для юриста – дичь.

В тему
* Top 10 Worst Portrayals of Technology in Film
* Как в фильмах показывают хакинг и хакеров
После таких сериалов народ начинает верить в совершенно фантастические вещи. А при личном столкновении – и вести себя неадекватно.

Не беда, если кто-то попытается взломать сайт Майкрософта, насвистывая в модем как герой фильма. Не беда, если другой наблюдательный зритель голливудской продукции возьмётся изготавливать бомбу из стирального порошка, шоколадного сиропа и аспирина. А вот попытка повторить телевизионные сцены с автопогонями, медпомощью и судебными делами приведут к жертвам.

Не пора ли ввести обязательные отпугивающие надписи, занимающие не менее 40% площади сигаретной пачки телевизионного экрана?


Фильм "Суррогаты", 2009. Так, по мнению киношников, выглядит распознавание образов. На несколько экранов выводится картинка с камер наблюдения. Робот с красными электронными глазами следит за экранами и распознаёт. Достоверность медицинских и юридических фильмов – примерно на том же уровне.
white

Чур, не нарушение

Ваш покорный слуга, оказывая консультации, часто замечает, что под интеллектуальной цивилизованной оболочкой современного айтишника живёт дикарь, верящий в заклинания и в волшебную кость шамана.

Типичный вопрос ИТ-специалиста юристу: что бы такое написать в лицензионном соглашении (дисклеймере, примечании, договоре, приказе и т.д.), чтобы потом не нести ответственности за нарушение авторских прав (создание вредоносных программ, преодоление средств защиты АП, неправомерный доступ, нарушение тайны связи и т.д.)?

Люди верят в сверхъестественную силу слов произнесённых и слов записанных. В то, что вовремя сказанное "чур" превратит незаконное действие в законное. В то, что реальность можно изменить правильно составленными заклинаниями. Вот наивные! Вы можете писать в своих дисклеймерах и договорах любые хитровыкрученные конструкции типа «владелец снимает с себя ответственность за...», «пользователь сам отвечает за...» или «автор не несёт ответственности за...». Но если сотрудник правоохранительных органов или адвокат истца при чтении скрестит пальцы, все эти оговорки не подействуют. Ответственность за нарушение вы всё равно понесёте.


white

В разных плоскостях

Организационные запреты обычно обходятся техническими методами, а технические – организационными.

Парочка примеров из практики.

Когда ваш покорный слуга некоторое время работал на предприятии с очень строгими правилами фильтрации внешнего трафика, то не имел возможности управлять ни прокси-сервером, ни межсетевым экраном, чтобы сделать себе исключение из общих правил. Тогда я отправился к начальнику и убедительно обосновал необходимость доступа со своей рабочей станции на внешний сервер по протоколу SSH. Начальник приказал, и сисадмин сделал на межсетевом экране ма-а-аленькую дырочку для единственного адреса и единственного порта. Протянуть в эту дырочку VPN-туннель и пустить в него весь свой трафик было уже делом техники.

В качестве второго примера вспоминается случай, когда в одном крупном офисе руководство ввело вход-выход по индивидуальным прокси-карточкам. При этом компьютер фиксировал время прихода-ухода работника (включая уход на обед) и в случае сильных нарушений установленного режима генерировал отчет руководству. Айтишники, не будь дураками, при молчаливом согласии сисадмина модифицировали программу учета рабочего времени. Теперь все "свои" сотрудники, по данным компьютера, приходили на службу в 8:45 плюс случайная величина с гауссовым распределением и среднеквадратичным отклонением 7,5 минут. "Уходили" – соответственно. Время всех прочих работников по-прежнему фиксировалось честно. Постепенно в "заговор" пришлось включить, кроме айтишников, всех их друзей, знакомых, подруг, а также тех, кто просто узнал об этой системе. Через год "виртуально" приходили и уходили все, кроме директора и его замов (но они с самого начала были исключены из учёта). Электронные замки со временем сломались, карточки истёрлись или потерялись, но директору на стол исправно ложились отчеты о времени прихода-ухода работников с натуральными гауссовыми отклонениями от среднего.