1. Пароль. Спамеры присылают фальшивое сообщение о взломе вашего экаунта на порталах или в социальных сетях. В присланной форме предлагается ввести старый и новый пароли, при этом, вполне возможно, что взломан будет не только экаунт указанного сервиса, но и установлен вредонос на локальное устройство.
   
2. Заказ. Новинка фишеров – поддельное письмо, приходящее якобы от крупных авиакомпаний и гостиничных сетей с просьбой подтвердить покупку. Расчёт на то, что получатель бросится отменять заказ, а при переходе по ссылке будет загружен вредоносный код.
   
3. События. Медийные события, которые привлекают внимание большого количества людей, используются злоумышленниками для заманивания либо на фальшивый сайт с подробностями, где предложат загрузить новый кодак, либо на форму помощи пострадавшим с требованием ввести реквизиты. Аналогично могут быть использованы и сообщения с поздравлениями.
   
4. Приколы. Иногда спамеры от имени друзей рассылают приглашения на якобы интересные ресурсы. Ссылки обычно ведут на сайт с якобы размещённым видео и требованием установки нового кодака, под видом которого устанавливается вредоносная программа.
   
5. Брак. Иногда по адресам, зарегистрированным в социальных сетях, приходят предложение о браке. Часто такие сообщения приходят девушкам и незамужним женщинам. Целью является верификация адресов для дальнейшей рассылки спама, но могут быть и другие мошеннические схемы.
   
6. Системные сообщения. Спамеры подделывают системные сообщения различных социальных сетей и порталов, чтобы завлечь доверчивого пользователя на свой поддельный сайт. Например, фальшивое сообщение от друзей может привести на сайт злоумышленника, где попросят ввести реквизиты ресурса.
   
7. Просьба о помощи. Иногда спамеры придумывают слёзную историю с просьбой помочь и перепостить. Часто в таких сообщениях просят денег или другие ценности. Это часто оказывается фальшивкой - факты, указанные в таких сообщениях стоит проверять.
   
8. Лохотрон. По прежнему популярным способом отъёма денег у населения остаются лотереи, в которых получатель сообщения якобы выиграл. Цель разводки - получить "налоги", начальный взнос или ещё что-нибудь. Хотя и верификация почтовых адресов также актуальна.
   
9. Скидки. Иногда приходят сообщения о скидках на товары, покупаемые в электронных магазинах. В некоторых случаях это дроп-рекрутеры. Вы платите со своей карты реальные деньги, а они покупают в магазине с ворованной карточки. Потом не удивляйтесь, когда к вам нагрянут маски-шоу.
   
10. Ссылка. Специалисты «Лаборатории Касперского» нашли вредоносные ссылки даже на таких надежных ресурсах, как Wikipedia и Amazon, где пользователям разрешено создавать собственные страницы на сайте. Посетители таких ресурсов доверяют ссылкам и переходят на вредоносные ресурсы. К счастью такие ссылки быстро убираются.
    

[показать]

Читать далее...

Десять типов вредоносного ПО и чем оно отличается.

1. Вирус. Компьютерный вирус - это самораспространяющийся код, который интегрируется внутрь программы носителя. Такой код распространяется вместе  с программой, и нужно предпринимать определённые действия, чтобы вылечить от него программу.


2. Червь. Это отдельная саморазмножающаяся программа, которая не имеет собственной полезной функциональности. Чтобы избавиться от неё - нужно её полностью удалить, что не всегда удается. Лечить червя бессмысленно.


3. Троянец. Вредоносный код, встроенный в полезную программу. Этот код не является саморазмножающимся - его в тело полезной программы встраивает сам разработчик. Лечить такую программу также бессмысленно - он создана специально для нанесения вреда, прикрываясь полезной функциональностью.


4. Загрузчик (даунлоадер, дроппер). Вредоносный код, проникающий в операционную систему через дыру в защите и устанавливающий другое вредоносное ПО. Как правило, для проникновения загрузчик использует эксплойт - код, направленный на эксплуатацию какой-либо уязвимости.


5. Зомби (бот). Вредоносный код установленный на устройство с помощью другой программы и занимающейся выполнением команд со специального командного сервера злоумышленника. Как правило, зомби может загружать на устройство другие вредоносные программы.


6. Логическая бомба. Вредоносный код, срабатывающий в определенный момент и выполняющий свои вредоносные действия. Часто логическая бомба уничтожает данные или чистит системные журналы. Устанавливается в систему с помощью другого вредоносного ПО.


7. Шантажист. Программный код, блокирующий устройство и требующий выкупа за разблокировку. Иногда шантажист шифрует важные файлы, иногда просто блокирует вход в операционную систему. Устанавливается шантажист, как правило, не самостоятельно, но с помощью другого вредоноса.


8. Невидимка (руткит), пакер, полиморф. Вредоносный код, который обеспечивает скрытие вредоносных программ в операционной системе от контроля антивирусами и другими средствами защиты. Если невидимка может скрывать не только себя, то полиморф скрывается с помощью постоянного самоизменения, а пакер - изменяет другие коды, ни меняясь самостоятельно.


9. Рассыльщик SMS или спама, диалер, дидосер. Вредоносный код, который использует устройство для рассылки различных типов сообщений. Рассыльщик SMS и диалер окупаются за счёт якобы предоставленных услуг связи, спамер и дидосер - за счёт заказа, который поступил владельцу кода.


10. Шпион (кейлоггер). Вредоносный код, который скрытно ведёт сбор сведений с помощью устройства. Шпионы могут фиксировать нажатия клавиш, делать снимки экрана или встроенной камерой, искать файлы на атакованном устройстве. Всю собранную информацию шпионы передают своим владельцам через центр управления.

Следует отметить, что первые четыре пункта - это классификация по способу проникновения вредоносов на устройство, а остальные - по вредоносной активности. Поэтому могут существовать, например, вирусы-зомби, троянцы-невидимки или черви-шпионы. Впрочем современные вредоносные программы настолько сложны, что могут использовать и различные способы проникновения и выполнять различную вредоносную активность. В результате, их классификация может оказаться достаточно сложной.

[показать]

Компания InfoWatch уже несколько лет анализирует ситуацию с утечками конфиденциальной информации - недавно она опубликовала свой очередной отчёт, в котором анализируется ситуация с утечками в 2012 году. Следует отметить, что компания считает только те утечки, сведения о которых попали в печать и подробно обсуждались. Это сведения скорее не об всех утечках данных, но о инцидентах в популярных компаниях - пресса освещает в основном события, которые могли бы быть интересны большому числу читателей, а не только специалистам.

Кроме того, вполне возможно, что эксперты регистрируют инциденты, которые описаны достаточно подробно - с указанием компаний, причины утечек, числа украденных записей и других сопутствующих данных, поля для которых присутствуют в базе. В то же время большинство сообщений об утечках предельно неконкретны. Например, "Роскомнадзор" любит в своих новостях указывать о наложении штрафов за несоблюдение требований закона ФЗ-152 тем или иным сайтом. При этом не всегда понятно была ли при этом утечка или защищаемые данные и так ни кому не нужны.

В самом подходе анализа только медийных утечек есть определенные проблемы. Например, утечка в компании Microsoft привлечёт больше внимание прессы, чем аналогичный по всем остальным параметрам случай в городской поликлинике Нижневартовская. Последняя может вообще не попасть в поле зрения InfoWatch. Таким образом, качество отчёта сильно зависит от выбора источника сведений об утечках, но в отчёте компания вообще не приводит о них ни каких сведений. А интересно было бы узнать мониторит ли компания региональную прессу или сообщения на экзотических языках, типа китайского или санскрита.

Собственно, сами составители отчёта признают, что в их поле зрения попало примерно 1% утечек, при этом они утверждают, что выборка репрезентативна. Конечно социологи поступают примерно также - опрашивают не всех жителей страны, но только определённых её представителей, однако они стараются хотя бы соблюсти социально-демографическое распределение. Что именно является подобным распределением для утечек не совсем понятно, однако очевидно, что анализ только крупных инцидентов в привлекательных для СМИ компаниях описанных на популярных языках общей картины по всему миру не даёт, ибо в небольших компаниях, которых по количеству значительно больше, ситуация может сильно отличаться.

Аналогичная проблема относится и к интерпретации статистики о типах утекаемых данных. В соответствии с отчётом 89,4% утёкших в 2012 году данных - это персональные. Однако на практике это просто требование законов разных стран об обязательном разглашения фактов таких утечек. Поскольку в промышленной и других типах тайн таких требований практически нет, то и публикаций на этот счёт меньше. Поскольку утечка информации отрицательно сказывается на репутации компании, то компании не торопятся раскрывать сведения об утечках. Сведения просачиваются в прессу только в случае судебного преследования нарушителя. Кроме того, компании не всегда знают о произошедшей утечке данных. При плохом уровне защиты в компании, что характерно для небольших фирм, они могут и не заметить утечки.

При этом очевидно, что компания больше ориентирована на американский рынок - замеченных утечек в американских компаних больше половины. Проскольку о источниках сведений ни чего не сказано, то создаётся ощущение, что эксперты InfoWatch просто любят читать американские газеты, в то время как публикации об утечках на санскрите, скорее всего, просто прошли мимо них. Это же относится и к российским утечкам, которых зарегистрировано в 2012 году всего 76. Могу заметить, что сайт Incidets.ru, который ведёт скурпулёзный учёт утечек в России зафиксировал такое число утечек только в первые два с половиной месяца.

Ещё одной проблемой является отнесение утечек к умышленным и неумышленным. Дело в том, что в соответствии с методикой отнесение утечки к одному из трёх типов - умышленные, неумышленные и неопределённые - определяется экспертами самой InfoWatch. Вполне возможно, что тенденция уменьшения случайных утечек относится не к самим фактам утечек, но к методике, по которой действуют эксперты. Одни и те же инциденты в разное время могут быть отнесены к разным категориям.

Таким образом, из отчёта наибольшую ценность представляют данные о каналах утечек. Аналитика данных по путям ухода данных из компаний пусть даже для публичных компаний, которые, возможно, заботятся о предотвращении утечек,является показательным для отрасли в целом. По нему можно сказать, что вендоры просто не могут предложить решение для бумажных документов, защиты резервных копий и также серверов, но для других каналов утечки найдены вполне адекватные технические решения..

Десять советов как обезопасить свой мобильный телефон (по рекомендациям Дениса Масленникова и моему опыту)

1. Не нажимайте на подозрительные ссылки в пришедших вам SMS/email/сообщениях в соцсетях. Злоумышленники часто используют подобные ссылки для заманивания на свои вредоносные сайты, да и сами ссылки иногда содержат вредоносные скрипты
2. Избегайте взломов устройства (jailbreak/root). На взломанном устройстве встроенная в операционную систему защита сильно ослаблена. К тому же взламывают устройство часто для установки посторонних программ из ненадёжных источников, что также делать не рекомендуется.
3. Храните самую важную информацию на устройстве в зашифрованном виде. Для этого можно использовать встроенные в операционную систему механизмы с блокировкой устройства по паролю. Некоторые программы также предлагают собственные механизмы шифрования - не стоит пренебрегать этой возможностью.
4. Не пользуйтесь сетями Wi-Fi, в надежности которых не уверены, например публичными сетями в аэропортах и кафе. Такие сети могут использовать злоумышленники для перехвата ваших сеансов и внедрения в них своих вредоносных сценариев.
5. Регулярно обновляйте ОС и дополнительные приложения. Рекомендуется установить настройки в режим автообновления - тогда программы и сама операционная система будет самостоятельно обновляться как только появятся новые версии программного обеспечения.
6. Используйте механизмы резервного копирования, которые предлагают производители устройств. Это пригодится для сохранения данных в случае выхода устройства из строя. Если не доверяете хранение своих данных в облачном хранилище производителя, то можно сохранять резервные копии в собственном SAN - производители устройств предлагают такую возможность.
7. Читайте разрешения, которые программа запрашивает при установке. Иногда по набору этих разрешений можно определить, подозрительную функциональность программы. Например, популярная игра Angry Birds при установке зачем-то запрашивает разрешение на определение вашего местоположения.
8. Внимательно относитесь к рекламным сообщениям, которые появляются в бесплатных приложениях и играх. Производители не всегда могут контролировать содержимое рекламных сообщений, поэтому они иногда также ведут на вредоносные сайты с последующей установкой вредоносного ПО
9. Минимизируйте использование браузера. Именно браузер является одним из частых путей проникновения в систему. На мобильных устройствах лучше пользоваться мобильными приложениями, а для осмотра веб-страниц - таки сервисами как Pocket, Instapaper или Readable.
10. Используйте комплексную систему защиты, включающую противоугонную функцию дистанционной блокировки/удаления данных. Не всегда можно самостоятельно определить является ли программа вредоносной, поэтому стоит проверить их с помощью специальных механизмов защиты.

Следует отметить, что операционные системы мобильных устройств достаточно надёжны и имеют сильные механизмы защиты от проникновения, поэтому самым популярным методом проникновения на мобильные устройства является социальная инженерия. Для защиты от неё есть только один эффективный механизм - мозг!


[показать]

В продуктах большинства антивирусных компаний по всему миру обнаружено вредоносное программное обеспечение, входящее в поставку самого продукта. В составе антивирусных продуктов таких всемирно известных производителей как "Антивирус Касперского", Symantuc, MacAfee, ENod32, Dr. Wep и многих других обнаружен файл, который определяется как вредонос Eicar - сейчас он является самым распространённым вредоносным программным обеспечением во всём мире. По оценкам специалистов компании WebSence, этот код обнаружен на 91,6% персональных компьютеров по всему миру, работающих под управлением операционной системы Windows.

Вредоносный код ставится в момент установки дистрибутива любого антивирусного продукта якобы в тестовую директорию (с именами типа test, demo или аналогичную). Вредонос имеет функциональность "программы-невидимки" - хотя он установлен в операционной системе, антивирус не сообщает о его наличии. Таким образом, налицо факт сговора антивирусных компаний, которые просто договорились не сообщать пользователям своих продуктов о наличии в их компьютере вредоносной программы. Наличие этого файла также указывает на наличие в антивирусном продукте недекларированных возможностей.

Вредонос при своем запуске выводит сообщение "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!", но, скорее всего, он делает и что-то ещё - однако, что именно установить нам не удалось. А если учесть, что все производители антивирусных программ имеют собственные лаборатории, которые якобы агализируют сведения о вредоносной активности на компьютерах пользователей, то можно предположить, что именно этот вредоносный код и собирает подобные сведения с компьютеров пользователей. Однако, какие именно сведения он собирает - неизвестно. Вполне возможно, что не только о вредоносах, но и о самих пользователях. "Крупные антивирусные компании вошли в сговор, и не пускают на высокодоходный рынок антивирусных продуктов новых перспективных разработчиков, которые не хотят встраивать в свои продукты "государственных шпионов", - комментирует ситуацию Эмануил Бабушкин, разработчик перспективного антивирусного продукта "Имунитет". - В нашем антивирусе нет подобного вредоноса, поэтому антивирусные "эксперты", спонсируемые мафией антивирусных производителей, нагородили против меня и моего продукта много лжи. А у самих у них рыльце явно в пушку."

Впрочем есть мнение, что противостояние между производителями вирусов и антивирусов достигло такого накала, что антивирусные компании уже просто не могут адекватно защитить компьютеры своих клиентов, не прибегая к тем же технологиям, которые используют в своей практике хакеры. Именно поэтому для отражения атак зомби-сетей антивирусные производители решили построить собственные зомби-сети, которые тратят ресурсы клиентов на ненужный им анализ вредоносных кодов. "В желании как можно эффективнее защитить своих клиентов производители средств защиты могут перейти грань - они же явно причисляют себя к светлой стороне," - утверждает Алексей Чеснокацкий, директор по развитию бизнеса компании "Киски Системс". Поэтому, вполне возможно, что технологии зомбирования компьютеров клиентов, которые реализованы в Eicar, служат на благо антивирусной индустрии, но какой ценой?

Нам удалось получить комментарий от главнейшего антивирусного аналитика компании "Антивирус Касперского" Александра Коделансера. "Данный код используется нами для тестирования нашего собственного движка антивируса перед его запуском, - прокомментировал Коделансер. - Это просто тестовый вредоносный код." Однако понятно, что это не вся правда. Это только официальное объяснение установки вредоносной программы в дистрибутив антивируса, чтобы успокоить общественность и скрыть правду. На самом деле функционал этого кода может быть значительно шире, вплоть до шпионских функций и перехвата управления компьютером. Так кто же страшнее: вирусы, которых ни кто в глаза не видел - о них сообщают только антивирусы, или антивирусы, которые установлены практически на всех компьютерах в мире?

Компания Positive Technologies выпустила свой отчёт по анализу уязимостей в системах SCADA. Хотя я и не люблю анализ уязвимостей, по причинам, о которых уже рассказывал, однако тема уязвимостей в АСУ ТП новая и интересная. Она стала популярна после истории с Stuxnet - и это хорошо видно по материалам отчёта. Активность по поиску уязвимостей возросла как раз в 2010 году, когда, собственно, Stuxnet и был обнаружен. Причем компания Siemens, на продукцию которой был нацелен этот вредонос, даже организовала специальное подразделение, которое занимается поиском и устранением уязвимостей. В результате, именно в продукции этой компании было найдено больше уязвимостей, чем во всех остальных. Но означает ли это, что все остальные решения более безопасны?

Команда Positive Technologies проделала всесторонний анализ данных, используя в качестве первоисточников базу вакансий hh.ru для изучения популярности тех или иных компонент АСУ ТП на российском рынке, исходя из предположения, что если ищут специалиста по то или иной системе, то она, скорее всего, у данного клиента установлена. Понятно, что подход не без изъяна, ибо поиск такими образом ведется по наиболее популярным продуктам, специалистов по которым можно найти на открытом рынке. Но с другой стороны, самопальные системы, на обслуживание которых набирают простых программистов, вряд ли выставляют в Интернет, поэтому пока они не сильно повлияют на общие цифры - их оценкой безопасности можно пренебречь.

Второй первоисточник информации о распространении АСУ ТП - Google и другие поисковые системы. С их помощью сотрудники Positive обнаруживали открытые интерфейсы SCADA-приложений, доступных из Интернет. Делалось это, скорее всего, с помощью поиска характерных для встроенных веб-серверов страниц. Понятно, что метод неточен - множество серверов таким способом не нашлось. Собственно, выставлять веб-сервера промышленных контроллеров в Интернет является не очень хорошим тоном - скорее всего это делали компании, которые не задумывались о безопасности, но больше о удобстве обслуживания. Поэтому и результаты такого исследования также несколько хуже, чем в целом по отрасли.

Стоит отметить, что тот же Stuxnet атаковал АСУ ТП не напрямую из Интернет, но с помощью целевой атаки с засылкой вредоносных сообщений и установки троянской программы. Оценить сколько таких потенциальных жертв представленный отчёт не позволяет. Скорее его можно использовать для оценки того, насколько предприятия заботятся о безопасности своих АСУ ТП. К сожалению, про средства защиты для АСУ ТП в отчёте сказано вскользь - только, что они начали появляться. В то же время не совсем понятно почему нельзя для защиты этих систем использовать стандартные межсетевые экраны, системы управления обновлениями и корпоративные антивирусы. В чём состоит особенность этих специальных продуктов - также в отчёте не сказано.

В целом же отчёт достаточно полезен - видна проделанная специалистами Positive работа, есть информация к размышлению. Да и сами выводы достаточно корректны. Особенно понравилось то, что авторы не только проанализировали уязвимости по их критичности, но также оценили их риск с учетом наличия обновлений от производителя и доступности эксплойтов. Также были проанализированы не только уязвимости в наиболее популярных продуктах, но и проведен инструментальный анализ уязвимости найденных с помощью Google по всему миру компонент АСУ ТП с выяснением того, какого типа уязвимости в них присутствуют. Например, было обнаружено, что в 36% случаев ошибки были связаны с неправильным конфигурированием продуктов. Кроме того, результаты исследования были представлены в Siemens, по результатам чего компания исправила несколько своих ошибок. Таким образом, проведённая компанией работа явно сделала АСУ ТП более защищенными.

В системах документооборота с использованием терминального доступа, например, по технологии Citrix, возникает потребность подписывать документы в удалённом режиме. Причем по соображениям безопасности и ограничения канала передавать подписываемый документ на сторону пользователя не хочется. Просмотреть документ пользователь может через терминальную сессию, по которой сам документ не передаётся, но только его изображение, которое в некоторых случаях может быть компактнее. По требованиям безопасности также не стоит передавать секретный ключ сертификата на сервер, где обрабатывается документ. Как же в таких условиях подписать документ?

Ответ прост - подписывать секретным ключом нужно не сам документ, но его хеш. В такой схеме криптографическая хеш-функция отрабатывает на сервере и результат его работы передается через терминальную сессию на клиент, где пользователь с помощью своего ключа зашифровывает хеш и передает его обратно на сервер, где он присоединяется к документу. Схема полностью соответствует требованиям ФЗ-152 и другим нормативам, поскольку секретный ключ не покидает устройства пользователя. Только важно для подписания использовать сертифицированные библиотеки, причем как на сервере, так и на клиенте.

В частности, компания "Газинформсервис" реализовала подобную схему подписи в своем продукте из линейки "Блокхост", который предназначен для работы в терминальном режиме. Документы не покидают сервера, а терминальные клиенты подписывают хеши документов, передаваемые на устройства по специальному протоколу, разработанному Citrix для реализации подобных дополнительных функций при терминальном доступе. В качестве библиотек шифрования с обоих сторон используется "КриптоПро CSP", который на сервере генерирует криптографический хеш, а на клиенте подписывает документ с использованием криптографического ключа.

Обеспечение информационной безопасность - одна из задач государственного управления. Конечно, компании должны сами и самостоятельно обеспечивать безопасность информации своих клиентов, но государство в принципе имеет право установить хотя бы минимальные требования по безопасности предоставляемых услуг. Такие требования есть уже в банковской сфере, причем как международные - PCI DSS - так и российские, установленные Центробанком. Однако в России есть и другие отрасли, в которых информационная безопасность не менее важна - это связь.

Большинство атак сейчас совершается сейчас с использованием телематических сетей, в том числе и с использованием единой сети связи общего пользования - Интернет. При этом операторы по закону, ограничены в возможности защиты клиентов - закон предписывает им не вмешиваться в передаваемую информацию. Однако, если один клиент нападает на другого, разве не вправе оператор вмешаться? Попытаемся разобраться в этом вопросе.

Вот что написано в основном законе, который регламентирует отношения в отрасли связи, ФЗ-126 "О связи" в статье 12 пункт 2:

Для сетей электросвязи, составляющих единую сеть электросвязи Российской Федерации, федеральный орган исполнительной власти в области связи:

определяет порядок их взаимодействия, а в предусмотренных законодательством Российской Федерации случаях - порядок централизованного управления сетью связи общего пользования;

в зависимости от категорий сетей связи (за исключением сетей связи специального назначения, а также выделенных и технологических сетей связи, если они не присоединены к сети связи общего пользования) устанавливает требования к их проектированию, построению, эксплуатации, управлению ими или нумерации, применяемым средствам связи, организационно-техническому обеспечению устойчивого функционирования сетей связи, в том числе в чрезвычайных ситуациях, защиты сетей связи от несанкционированного доступа к ним и передаваемой по ним информации, порядку ввода сетей связи в эксплуатацию;

устанавливает в соответствии с законодательством Российской Федерации об обеспечении единства измерений обязательные метрологические требования к измерениям, выполняемым при эксплуатации сети связи общего пользования, и к применяемым средствам измерений в целях обеспечения целостности и устойчивости функционирования сети связи общего пользования.

Таким образом, государство в соответствии с законом "О связи" также должно обеспечивать также и целостность единой сети электросвязи и её устойчивость, для чего может предъявлять определённые требования к операторам. Что же подразумевается под этими характеристиками? Вот, как определены целостность и устойчивость в приложении к Приказу министерства связи с номером 113 от 27 сентября 2007 года:

2. Организационно-техническое обеспечение устойчивого функционирования сети связи общего пользования представляет собой совокупность требований и мероприятий, направленных на поддержание:

1) целостности сети связи общего пользования как способности взаимодействия входящих в ее состав сетей связи, при котором становится возможным установление соединения и (или) передача информации между пользователями услугами связи;

2) устойчивости сети связи общего пользования как ее способности сохранять свою целостность в условиях эксплуатации, соответствующих установленным в документации производителя, при отказе части элементов сети связи и возвращаться в исходное состояние (надежность сети связи), а также в условиях внешних дестабилизирующих воздействий природного и техногенного характера (живучесть сети связи).

Здесь следует отметить, что целостность подразумевает обеспечение взаимодействия устройств пользователей услуг связи. Операторы же должны как минимум обеспечивать защиту от DoS-атак, не ссылаясь на то, что они предоставляют услуги как есть. Необходимость обеспечить сохранение целостности (устойчивость) в том числе и от дестабилизирующих воздействий техногенного характера, позволяет обязать операторов не только предотвращать DoS-атаку блокированием, но и выполнять некоторые превентивные действия. В частности, сейчас DoS организуется с помощью зомби-сетей, поэтому для сохранения целостности единой сети связи операторам необходимо также пресекать коммуникации зомби с управляющим центром, выявлять сами управляющие центры и организовывать очистку от вредоносных программ клиентов.

Следует отметить, что целостность сети необходима и для обеспечения доступности веб-серверов, тоесть операторы, по идее, должны помогать своим клиентам в защите и от фишинга, и от воровства паролей, и от вредоносных программ, и от большинства сетевых атак. Для этого необходимо обеспечить Читать далее...

Законы активно влияют на отрасль информационной безопасности, однако ситуация с ней улучшается медленно. Многим кажется, что вообще ни как - законы лишь порождают новую отрасль, которая обеспечивает безопасность только на бумаге. Им, видимо, хочется, чтобы простым введением в действие закона можно было бы сразу решить все проблемы информационной безопасности. На самом деле роль законотворчества в это сфере несколько другая - оно изменяет отношение руководства компаний и ИТ-подразделений к проблемам информационной безопасности. Во всяком случае в компаниях появляются люди, которые за безопасность отвечают - и это хорошо.

Как известно, самым слабым звеном любой защиты является человек. Будь продукт самым совершенным, эффективным и обеспечивающим защиту от всех угроз, неправильная его эксплуатация всё-равно сведёт все положительные качества на нет. Поэтому законодательные инициативы в основном сфокусированы не на технической стороне информационной безопасности, но на организационной. Именно назначения ответственных за ИБ, обучения специалистов и сотрудников, а также организация процессов по обеспечению защиты в основном требуют законы и стандарты. А было бы лучше, если бы в законах содержались технические требования?

Именно поэтому на уровне организации процессов и организационных мер защиты сейчас сконцентрировались законодатели и стандартизирующие организации. И требуют они не поиска XSS-уязвимостей на сайтах, а наличия службы, которая могла бы принимать сведения о найденных уязвимостях и фактах мошенничества, расследовать инциденты и совершенствовать систему защиты. Компания самостоятельно решает как именно такая служба будет работать и что именно оно будет делать в первую очередь. Именно настройкой этих организационных процессов и занимаются специалисты, к которым почему-то прилепили ярлык "бумажные безопасники". Они занимаются наиболее сложной частью защиты - организационными мерами и работе с людьми.

Недавно институт SANS обнародовал плакат, где собраны 20 наиболее важных инструментов для контроля безопасности корпоративной среды. Причем они названы в порядке убывания важности - первые самые важные, а чем ближе к концу списка, тем необходимость инструментов уменьшается. В этом посте приведу только те инструменты, которые необходимы для обеспечения защиты информационных активов.

[list=1]
[]Инвентаризация авторизованных и неавторизованных устройств. Программное обеспечение обнаруживает устройства, пдключаемые к корпоративной сети, причем как санкционированно, так и без разрешения. Инструмент относится к категории базовых, без внедрения которого обеспечение безопасности вообще невозможно. Выделяют два типа таких приложений: просто инвентаризация устройств и управление  их защищенностью и контроль доступа к сети (NAP). Из предложенных на плакате подуктов  в России доступны Nmap (Open Source), QualysGuard (Qualys), ISE (Cisco).
[]Инвентаризация авторизованного и неавторизованного программного обеспечения. Инструмент необходим для определения установленного программного обеспечения, причём как разрешенного, так и запрещённого. Это также базовый инструмент, без внедрения которого сложно говорить о защите корпоративной среды. Здесь также выделено два уровня реализации: учёт с установкой обновлений и инструменыт для удаления неразрешённого ПО. Институт предлагает следующие продукты этого класса: Tivoli Endpoint Manager (IBM), System Center (Microsoft), QualysGuard Policy Compliance Module (Qualys), SolidCore (McAfee).
[]Безопасное управление конфигурациями для мобильных компьютеров, рабочих станций и серверов. Эта категория продуктов относится к классу инструментов системного управления, но только с повышенными требованиями к безопасности этого процесса. Продукты этой категории позволяют централизованно управлять защитой мобильных компьютеров, рабочих станций и серверов. Они обеспечивают изменение конфигураций для улучшения защищённости и выявляют несанкционированные изменения. К этой категории относятся Tivoli Endpoint Manager (IBM), System Center (Microsoft), QualysGuard (Qualys), CSP (Symantec), Configuration Manager (VMware).
[]Управление уязвимостями и конфигурациями. Продукты этой категории предназначены для постоянного поиска дефектов безопасности и небезопасных конфигураций. Его наличие необходимо для обеспечения безопасного развития информационной среды предприятия. SANS к таким инструментам поиска уязвимостей предъявляет требование по поиску и устранению дефектов в течении 48 часов. В качестве производителей институт предлагает использовать Vulnarability Managment Services (Dell), Vulnarability & Remediation Manager (McAfee), OpenVAS (Open Source), QualysGuard (Qualys), CCS (Symantec). В России к этому классу можно отнести продукт Max Patrol компании Positive Software.
[]Защита от вредоносного ПО. Механизмы этого класса обеспечивают работу в операционной системе только безопасных программ, которые полезны как отдельным сотрудникам, так и предприятию в целом. Выделяется два типа таких инструментов: защита от вредоносных программ и контроль установленных приложений. На плакат попали только продукты, которые позволяют работать с крупными информационными системами. В частности, к ним относятся Admin Kit ("Лаборатория Касперского"), ePolicy Orchestrator (McAfee), Forefront и System Center (Microsoft), Endpoint Protection (Sophos), SEP (Symantec), Control Manager (Trend Micro), SolidCore (McAfee).
[]Инструменты для тестирования ПО. Эти инструменты предназначены для определения безопасности того или иного программного обеспечения, которое может быть сделано методом статического или динамического анализа. Обычно эти инструменты используются для сертификации программ, однако в случае использования в компании продуктов заказной разработки, эти инструменты также необходимы для контроля качества представленного разработчиком кода. К этим инструментам относятся следующие продукты: Managed Web App Firewall и Web Application Testing (Dell), Fortify 360 и WebInspect (HP), Ounce Labs Core и Appscan (IBM), QualysGuard WAS (Qualys).
[]Контроль беспроводных устройств. Это продукты для контроля корпоративной беспроводной сети - блокирование посторонних устройств в сети и предотвращение попыток вторжения через неё. В России этой темой практически не занимаются, просто выделяя беспроводной сегмент во внешнюю сеть. Поэтому и из доступных продуктов есть только aWIPS и CleanAir компании Cisco.
[]Безопасное управление сетевыми устройствами.Это продукты, которые обеспечивают безопасное управление корпоративными маршрутизаторами, коммутаторами и межсетевыми экранами. Они должны не просто управлять конфигурацией устройства, но и контролировать насколько получившаяся конфигурация соответствует корпоративной политике безопасности. Из приведённого на плакате списка Читать далее...

Компания Digital Security выпустила отчёт, в котором привела результаты своего исследования мобильных клиентов российских банков. Причём исследовались только бесплатные клиенты, которые работают под управлением операционных систем iOS и Android. Таких клиентов набралось 40, и для них были реализации для обоих операционных систем. Хотелось бы несколько слов сказать о используемой в отчёте терминологии - она, по моему мнению, не соответствует тому, что специалисты компании сделали.

В пояснении сказано, что проводился статистически анализ методом чёрного ящика. Этот термин нужно пояснить, поскольку в практике исследования метод исследования чёрного ящика предусматривает, что на вход изучаемого объекта подаются определённые сигналы, а по полученным реакциям делается вывод о свойствах объекта. Понятно, что такой анализ может быть только динамическим - исследуемый объект должен отреагировать на воздействие. В то же время в практике пентестов исследование методом чёрного ящика означает, что исследователь ни чего заранее не знает о объекте тестирования - все данные получаются в процессе тестирования. Конечно, для специалистов по проведению пентестов такой термин кажется вполне понятным, но для ИТ-специалистов в "статистическом анализе методом чёрного ящика" есть определенные противоречия.

Интереснее другой аспект - методика тестирования, приведенная в отчёте, подразумевает следующее: приложение изучили на предмет наличия в нём небезопасных компонент, и за каждую небезопасную библиотеку назначали штрафные очки. При этом совсем не сказано о том, проводилось ли реальное исследование возможности эксплуатации этой уязвимости. Наиболее показательным примером является наличие в клиенте встроенной базы SQLite. В отчёте явно предполагается, что если эта база используется, то приложение уязвимо для SQL-инъекций, хотя для того, чтобы внедрить свой код злоумышленник должен как минимум перехватить сессию связи и навязать клиентскому приложению свои данные. Понятно, что такая атака блокируется, например, использованием SSL с взаимной аутентификацией или хотя бы контролем целостности передаваемых сервером данных. В отчёте же совершенно нет сведений о том, какой процент из использующих SQLite не использует при этом SSL. В то же время указывается, что по меньшей мере 26 продукта шифруют канал связи.

Те же претензии можно предъявить к уязвимости доступа к файлам - если хранятся локальные данные, то получить к ним доступ может другое приложение. Однако не говорится о том насколько критичные данные хранятся в этих файлах. К тому же данные в них вполне могут шифроваться - исследования на этот счёт также явно не проводилось. Аналогично, и защита SSL - в отчёте явно предполагается, что если этот протокол не используется, то злоумышленник может вмешаться в работу системы, однако вполне возможно, что данные по открытому каналу передаются в шифрованном виде с криптографическим контролем целостности - вмешаться в такой сеанс не намного проще, чем в стандартный SSL. Такая же ситуация с уязвимостью XXE - внедрение посторонних XML-объектов в сеанс. Создаётся ощущение, что любое мобильное приложение, которое использует для обмена с сервером формат XML уже уязвимо, хотя обмен данными, вполне возможно, также был прикрыт SSL или другим механизмом контроля целостности - у злоумышленника просто не было возможности встроить свой XML в сеанс общения сайта с сервером.

Тем не менее, отчёт в целом полезен для отрасли. Хотя он и не выясняет конкретных уязвимостей, но только указывает разработчикам на отклонение от лучших практик: правильное использование SSL, контроль целостности передаваемой информации, использование правильных методов межпроцессорного взаимодействия, проверка на взлом защиты устройства, фильтрация посторонней информации в XML и ответах сервера. Хотя конкретных уязвимостей там не опубликовано, но есть стимул для разработчиков подобных мобильных клиентов позаботиться о использовании лучших практик по защите своего мобильного банкинга до того, как им заинтересуются профессиональные мошенники - тогда это будет делать уже поздно.

Мобильные устройства сейчас становятся всё более популярны, поэтому не использовать их становится всё труднее. Однако, я не очень люблю такие одиозные решения как iPad - для моей семьи они представляют экономическую опасность. Поэтому из соображений безопасности ;-) я решил выбрать наиболее популярную платформу - Android. Однако я не собираюсь использовать андроидфон, который сделать безопасным, похоже, невозможно, поэтому остановился на планшете, причём без поддержки 3G - расходы на мобильный Интернет я считаю плохо контролируемыми (опять же экономическая безопасность). Поэтому я и остановился на наиболее дешёвом планшете Texet моего любимого размера A5 (с семидюймовым экраном), который имеет только Wi-Fi и стоит всего 4 тыс. руб.

Естественно, что активировать свою сберовскую карточку в магазине приложений Google Play я не собираюсь из той же экономической безопасности - ему только дай свои реквизиты! Собственно, даже если кто-то и подсадит мне на мобильное устройство какую-нибудь зверушку, максимум, что она может сделать опасного заблокировать его и уничтожить еще не синхронизированные данные. Все данные с устройства я сохраняю в облачных сервисах, и пока ещё не слышал, чтобы вредоносные программы могли в них поселиться. Поэтому если зверушка и заблокирует работу устройства, то будет достаточно просто перезалить операционную систему и восстановить все приложения. Естественно, я включил сохранение параметров установленных приложений в хранилище Google, чтобы в случае чего восстановить их. Впрочем, пока проверять работу сервиса восстановления мне не приходилось - возможно это тема для отдельного поста.

Но главный пункт моей политики безопасности - не пользоваться браузером, ибо он слишком сложен и, по моим представлениям, является основным источником угроз. Для работы с социальными сетями я, естественно, использую соответствующие приложения, но проблемы возникают при чтении новостей и ссылок из социальных сетей. Для новостей я использую Google Reader (и очень не хочу чтобы он прекратил существование), для которого собрал наиболее интересные RSS-потоки, загружаю новые посты и читаю их off-line. Однако в постах есть ещё ссылки на сторонние ресурсы, которые по умолчанию загружаются в браузере. Чтобы исключить и этот компонент я установил клиент Pocket, который позволяет загружать URL во время подключения, а потом просматривать странички в off-line. Главное, что он принимает ссылки от Reader и других приложений, а в момент подключения к Wi-Fi загружает их на планшет.

Мне могут возразить, что все мобильные приложения для планшета на самом деле построены на базе того же HTML и по своей сути практически являются специфическими браузерами. Это действительно так - основным направлением разработки современных приложений является создание их на JavaScript, который можно исполнять на самых разнообразных платформах. Однако использование таких специализированных браузеров более безопасно, чем универсального. Дело в том, что возможности каждого их них ограничены соответствующим ресурсом самой мобильной платформы - выход за его пределы приводит к вызову меню для передачи запроса в Pocket. Кроме того, каждое такое приложение хранит локально свои данные и получить к ним доступ с постороннего сайта или другого приложения достаточно сложно. При восстановлении приложения из резервной копии оно (по обещаниям производителя) должно восстанавливаться вместе с настройками. Таким образом, можно утверждать, что специализированное мобильное приложение будет более безопасным, чем универсальный браузер - это одно их общих правил безопасности.

[показать]

Дистанционное банковское обслуживание (ДБО) сейчас развивается стремительно. Приводятся цифры оборота только за первое полугодие 2010 года в 101 трлн. руб. Понятно, что эти деньги привлекают мошенников, которые всеми силами стараются вмешаться в работу этих платёжных сервисов. Банки отвечают совершенствование систем защиты: использованием электронных подписей, двухфакторной аутентификации, аппартаных модулей для проверки реквизитов платежей и подтверждением транзакций по SMS. Таким образом, мобильные платформы втягиваются в это противостояние, поскольку становятся частью защиты ДБО.

Следует отметить, что использование мобильных телефонов в качестве средства подтверждения платежа предлагают практически все производители систем для организации дистанционного банковского обслуживания. Причём у всех производителей это средство защиты, поставляемое по умолчанию - остальные технологии, такие как одноразовые пароли и электронная подпись, нужно устанавливать и интегрировать отдельно. Связано это с тем, что все другие средства подтверждения платежа требуют от клиента покупки дополнительного устройства, в то время как мобильные телефоны есть практически у всех.

В то же время уже появились троянские программы для мобильных платформ, которые позводяют злоумышленнику перехватывать SMS-подтверждения банка и отсылать ответные сообщения якобы от имени пользователя ДБО. Таким образом, злоумышленники научились синхронизировать троянские программы для мобильных платформ и для традиционных операционных систем. То есть самая дешёвая защита может на деле обернуться новым витком гонки вооружений. Собственно, такие производители как "Лаборатория Касперского" предлагают свои корпоративные продукты для защиты банковских мобильных приложений, в том числе и для исключения подобных типов атак.

Таким образом, мобильный банкинг является продолжением системы ДБО, которые сейчас атакуют наиболее активно и целенаправлено. Банки же предлагают клиентам, у которых уже есть мобильный телефон для подтверждения транзакций дополнительные функции уже по формированию платежей. В результате, эти приложения стали привлекательной мишенью для хакеров.  Забавно, что наиболее простым способом защиты мобильного банкинга является использование "простофонов" типа Nokia 3310. На него невозможно установить никакое дополнительное вредоносное программное обеспечение, в то же время SMS-сообщения для подтверждения транзакций он вполне может получать и отправлять. Если же банковская система будет ориентированна в основном на SMS, то и взломать её будет сложнее - клонирование SIM-карты или мошенничество с её заменой всё-таки пока сложнее, чем заражение мобильной платформы троянской программой.

[показать]

Совсем недавно мне казалось, что термин Big Data - исключительно маркетинговый. Мне казалось, при обработке больших данных используются те же методы, что и при работе с любыми другими. Только методы эти требуют оптимизации и распараллеливания для работе на больших кластерных компьютерах. Из этого я делал вывод, что безопасность и большие данные существуют в перпендикулярных плоскостях, то есть, конечно, защищать большие данные нужно, но особенных методов защиты для этого использовать не нужно. Ну, а сами большие данные использовать для безопасности бессмысленно, поскольку они все-равно долго считаются.

Однако, как оказалось моё первое впечатление о технологиях, объединяемых термином "Большие данные", оказалось ошибочным. Под ними подразумевают такие методы обработки сырой информации, которые позволяют оперативно делать массовые операции над большим массивом данных. При этом технологии по прежнему не позволяют обработать все данные - они предназначены для выделения из большого массива неструктурированных данных ключевых сведений и оперативного принятия решений по такому беглому анализу.

Для примера рассмотрим систему видеонаблюдения, которая генерирует достаточно большой объём данных. Просто, обычно большая часть информации теряется - систему настраивают на фиксацию и запоминание только определенных действий. Однако полностью обработать видеопоток со всех камер в гипермаркете и выявить по нему вора система пока не в состоянии. Дело в том, что для автоматического предотвращения краж нужно, чтобы система обработки могла проследить путь каждого посетителя по магазину, зафиксировать какие товары он брал, какие товары у него в коляске лежат, за какие он заплатил, а какие где-нибудь выложил. Причем сделать это система должна за то время пока покупатель рассчитывается, чтобы успеть предупредить сотрудника безопасности о возможном воровстве. Именно для решения примерно таких задачи и предназначены технологии из набора больших данных.

Дело в том, что для решения описанной задачи нужно не просто записывать в видеоархив определенные действия посетителей, но успевать распознавать их, их действия по наполнению корзины, их действия по выкладыванию товаров, а главное успеть сверить сведения о взятых товарах и об оплаченных. Конечно, мне возразят, что подобную систему  защиты нужно делать не так - нужны радиометки на каждом товаре, считыватели на каждом коридоре и финальный считыватель после кассы - именно для этого и придумана технология RFID. Это будет правда - ту же задачу можно решить проще, но будет ли она при этом решена эффективнее, а, главное, универсальнее?

[показать]

Существование баз данных уязвимостей, таких как CVS или NVD, провоцирует исследователей сравнивать количество обнаруженных дыр в разных продуктах, их качество и другие параметры, делая какие-то выводы о защищенности того или иного продукта. Однако, читая такие исследования и анализируя их результаты, каждый раз задаёшься вопросом: а если в продукте обнаружено много ошибок и все они устранены, то этот продукт более защищен или наоборот? Ведь если предположить, что качество программирования примерно одинаковое, и разработчики допустили примерно одинаковое число ошибок, то чем больше их найдено и устранено, тем меньше их осталось.

Большое число найденных ошибок также не может говорить и о качестве программирования. Дело в том, что большинство продуктов невозможно полностью проанализировать - у общественности нет доступа к их исходным кодам. Поэтому обнаруживаются ошибки, которые приводят к падению приложения или операционной системы, а это далеко не все возможные ошибки. Собственно, именно поэтому в проектах с открытыми кодами обнаруживается больше ошибок, но их уровень достаточно низкий. В то же время, в закрытых продуктах обнаруживаются в основном критические ошибки - их меньше, но они более заметны, поскольку приводят к падению приложения.

Собственно, такие же выводы сделала из анализа базы уязвимостей компания Sourcefire (частичный русский перевод), которая поддерживает разработку проектов с открытыми кодами систему обнаружения атак Snort и антивирус ClamAV. Правда, она анализировала данные об уязвимостях за 25 лет - с 1988 года, но выводы укладываются в приведённую выше логику. Кроме того, закрытые продукты разделяются по версиям, а OpenSource - почему-то оценивается целиком. В частности, все базы данных по уязвимостям отдельно учитывают версии Windows, хотя все уязвимости Linux всех версий сваливают в одну кучу. К тому же комплект поставки операционных систем также разный - в дистрибутивах Linux есть много дополнительных программ, таких как базы данных, офисные пакеты, игры и многое другое. Однако, если взять только ядро Linux, то оно имеет значительно меньшую функциональность, чем Windows. В частности, графическая оболочка в ядро Linux не входит, а из Windows её вырезать практически невозможно. В результате, прямое сравнение результатов по обнаруженным ошибкам говорит очень мало.

Более показательна скорость, с которой ошибки исправляются. И здесь хорошим примером является прошедший недавно конкурс Pwd2Own, на котором были взломаны три браузера Firefox, Chrome  и Internet Explorer, а также модули расширения от компаний Adobe и Oracle (Java). Во всех были обнаружены ошибки, позволившие взломать продукты, однако только Mozilla (производитель Firefox) и Google (производитель Chrome) исправили ошибки в течении первых суток, Microsoft, в соответствии со свои правилами, обновит свой браузер 12 марта (в течении недели), а о планах обновления модулей других компаний пока ни чего не известно. Причём в приведённых выше базах данных по уязвимостям частично есть данные по времени исправления, однако эти данные почему-то ни кто не анализирует.

[показать]

Кто трусы ребятам шьёт?
Уж, конечно, не пилот...
С. Михалков

Разработка новых продуктов и технологий - процесс сложный, и не всегда понятно как он происходит. Иногда вначале появляется технология, которую подтачивают под требования заказчика, и получается продукт. Иногда же вначале у компании возникает потребность в решении определенного круга задач, и менеджер принимает решение разрабатывать собственную технологию, которую в определенный момент просто обобщают и превращают в продукт. Какой путь создания продукта более правильный, эффективный и успешный? Не всегда понятно. Поэтому попробуем разобраться в особенностях этих двух подходов.

Технический

Разработчик технологии очень хорошо знает свой собственный продукт, поэтому он может быстро и с минимальными правками решить практически любую задачу клиента. При этом решение может оптимизировано под конкретного заказчика и максимально эффективно решать его задачу.  При этом решение может оказаться достаточно дешёвым, поскольку в нём нет ни чего лишнего. Придельным случаем таких проектов является OpenSource,  который практически не требует финансовых расходов, дает возможность самому клиенту подстроить функциональность под свои нужды и позволяет дописать новый функционал сотрудниками потребителя.

Однако у такого подхода с точки зрения бизнеса очень много минусов. Продукт оказывается не масштабируемым или требует для своего развития держать собственных технических специалистов, которые постоянно его дорабатывали бы. Он привязан к конкретному техническому специалисту, от личности которого зависит работа компании. Он уникален для каждого клиента, и поэтому на техническую поддержку тратится либо слишком много сил, либо её качество отталкивает новых клиентов. В результате, у продукта складывается плохая репутация, и дальнейшее продвижение его на рынок оказывается затруднительным.

Менеджерский

Проект, возглавляемый менеджером, как правило, уже до выпуска имеет одного-двух клиентов, требования которых были положены в основу техзадания и на базе которых продукт создавался и тестировался. Развивается продукт предсказуемо, в строгом соответствии с планом и техзаданием, проходит тестирование и реализует все лучшие практики программирования. В лучшем случае он достаточно масштабируем и легко настраивается - если соответствующие требования были изначально заложены менеджером.  Его цена взвешена и соответствует общерыночным тенденциям на данные типы продуктов. Предусмотрена хорошая поддержка и сопровождение, можно пройти обучение и сертифицировать специалистов для работы с продуктом. Продукт активно рекламируется, и о его использовании не стыдно и рассказать - имидж продукта растёт до небес. Предельным случаем такой модели являются стартапы, которые живут не за счёт клиентов, а на деньги инвесторов.

Однако сути технологий, заложенных в нём, ни кто не понимает. Код написан достаточно грязно, разными людьми и для разных целей. Часто он дублирован, и поэтому размер и производительность оставляет желать лучшего. Он выполняет только заявленные функции, а для добавления какой-то минимальной функции нужно заново проводить весь процесс разработки, поэтому реализуются только те функции, которые нужны как можно большему числу клиентов. В результате, работа с таким продуктом может вылиться для клиента в кругленькую сумму, но полного соответствия требованиям конкретного заказчика может и не случиться - продавцы просто будут убеждать клиента, что такой функционал ему не нужен или его можно чем-нибудь заменить. Особенно ушлые обычно предлагают внедрить ещё один продукт.

Реальность

Собственно, описанные выше модели являются идеальными, которые в жизни встречаются редко. Ибо не всегда технологии в технических проектах так уж хороши, да и менеджеры достаточно часто ошибаются. Успеха же в основном достигают те компании, в которых есть хорошая технология, а менеджер понимает как с её помощью можно решать проблемы клиентов. Когда каждый занимается своим делом, то и приходит успех. В таких проектах плохо становится, когда менеджер начинает настаивать на технических преимуществах продукта, а разработчик вдруг решает, что может сам руководить компанией.

При этом в успешных проектах часто возникает впечатление, что  основная  сила компании как раз в маркетинге, но это только впечатление, поскольку маркетинговая активность менеджера на виду, а разработчик практически незаметен. Тем не менее, технические специалисты также активно работают, создавая новый функционал по требованиям менеджера. Поэтому не стоит от менеджера требовать технических знаний, а перед технарём оперировать суммами, рисками и сертификатами - эти сущности обитают в параллельных мирах.

К 2020 году планируется все автомобили должны быть оснащены терминалами системы Экстренного Реагирования на Аварии (ЭРА-ГЛОНАСС), которые будут сообщать в центр данные о местоположении автомобиля, а также о срабатывании различных датчиков. Обязательными являются тревожная кнопка, которую автовладелец может нажать в любой момент, внутренний акселерометр и датчик аварии. Однако производители устройств могут подключать дополнительные датчики - вплоть до считывателя данных с диагностической шины автомобиля.

Прежде, чем говорить о информационных рисках, которые принесёт такое нововведение, следует немного сказать о преимуществах. Когда во всех автомобилях будут установлены подобные устройства, а ТС без модуля будет признаваться технически неисправными, то это позволит автоматически определять аварии, угоны и даже проводить дистанционную диагностику автотранспорта. При этом технология опирается на мобильную связь стандарта GSM, на самый простой её вариант - голос. Данные из ТС в центр будут поступать в виде специальных сообщений MSD, которые центром будут расшифровываться, преобразовываться в XML и рассылаться во все заинтересованные системы. При этом сигнал передается в виде тонового набора в голосовом канале - эта разработка была реализована в европейской системе eCall, а наша система будет с ней совместима, но в российской системе передача сообщений может дублироваться и по SMS.

В системе появляются следующие элементы, которые могут быть подвержены нападению:

• Терминал. Скорее всего, наиболее популярны будут модели устройств на базе какой-нибудь мобильной платформу - скорее всего не iOS. А если предположить, что их в основном будут делать в Китае, то велика вероятность, что в этих устройствах будет установлен Android. Именно такие устройства, которые будут похожи на современные навигаторы, и будут основными для подобных терминалов, поскольку их будут продвигать и страховщики, и охранники, и телевизионщики, и сами производители автомобилей. Понятно, что к тому времени, когда эти устройства станут обязательными, платформу научаться взламывать. Впрочем, основным вектором атаки, скорее всего, будут троянцы, устанавливаемые на устройство самими пользователями.
  
• Канал связи. Устройства будут подключаться по GSM-каналу, причем через специального виртуального оператора "ЭРА-ГЛОНАСС", что позволит атаковать терминалы в том числе и через мобильную сеть. В частности, вполне возможна атака с фальшивой базовой станцией. Следует отметить, что взломом в данном случае можно также считать и вывод из строя связи, поскольку если устройство не сможет сообщить в центр данные, например, о взломе дверного замка, то и система не сработает как должно. А продукты для глушения GSM-сигналов сейчас достаточно распространены.
  
• Сама система. Поскольку система завязана на SIM-карту, то физический взлом терминала и установка его SIM-карты в любой смартфон позволит навязать системе совсем другую информацию об автомобиле. Вполне возможно, что и само сообщение MSD также можно будет подделать, что позволит обойтись без физического доступа к терминалу, и, например, дистанционно сымитировать угон.

Постараемся представить насколько такая системы может быть опасна и какие риски она порождает?

• Слежка. Первая угроза, которая приходит в голову - это контроль за перемещениями человека в его личном автотранспорте. Минимальная система, скорее всего, будет срабатывать только  в случае чрезвычайных ситуаций, поскольку постоянно посылать сообщения - накладно. Поэтому предотвращать угон такая система не будет. Скорее всего защита от угона - это будет дополнительная услуга, предоставляемая за дополнительную плату. Однако при взломе терминала вполне могут возникнуть проблема со слежкой.
  
• Сюрпризы. Процессоры, управляющий двигателем и бортовой электроникой, традиционно разделены, поэтому взлом терминала не всегда будет эквивалентен получению контроля над автомобилем. Тем не менее, удаленный взлом устройства, возможно, позволит злоумышленникам получить доступ к навигационной информации, мультимедийной системе, климат-контролю и другим не менее важным бортовым системам автомобиля. Вполне возможно, что появится новый тип нападений на автомобилиста, который позволит злоумышленникам реализовывать самые разнообразные модели получения денег с автовладельцев от выкупа за разблокирование музыкального центра до доступа к кошельку, через который оплачиваются дополнительные услуги, поставляемые на устройство.
  
• Угон. Вполне возможно, что старыми методами угнать машину безнаказанно будет непросто, поскольку терминалы будут сообщать о местоположении автомобиля в правоохранительные органы. Однако наверняка появятся новые способы угона, которые позволят делать это в том числе и при помощи сети. Например, взломав навигационную систему автомобиля дистанционно по сети, хакеры смогут так подкорректировать маршрут большегрузной машины, чтобы она приехала сама к их складу.

Таким Читать далее...

Этот блог достаточно давно использовался как инструмент подготовки новостей, но потом для этой задачи "Открытыми системами" была разработана собственная система публикации, которая сейчас расположена на сайте OSP,  и поэтому этот блог был заброшен. Некоторое время я пытался реализовать собственный блог на том же движке, куда была перенесена лента новостей, но результат мне не понравился, поэтому в конце концов я принял решение восстановить работу этого блога.

Впрочем, это не единственная причина, по которой я возобновил именно этот блог. Важнее то, что этот блог фактически является частью движка блогов LiveInternet, который интегрирован в систему публикации "Открытых систем" на уровне DNS. С другой стороны сам LiveInternet интегрирован с сервисом дневников Evernote,  который имеет приложения для подготовки заметок и управления ими в том числе и на мобильных платформах. Это позволило мне организовать процесс подготовки публикации в блог без лишнего копипаста - передачу информации между элементами системы делают роботы, что немаловажно для эффективности публикации постов. Реализовать аналогичную систему своими силами - проблематично, поэтому я и решил восстановить этот блог.

В дальнейшем, я надеюсь интегрировать его в свой центр компетенции по информационной безопасности "Антивирусный центр",  куда собирается информация по теме, опубликована на других страницах сайта. Конечно можно было бы удалить все записи, которые находятся ниже и начать с чистого листа, но мне жаль это делать. Хотя сами новости - товар скоропортящийся, и сейчас опубликованные далее сведения не представляют большой ценности, тем не менее они уже имеют историческую ценность.