среда, 10 марта 2010 г.

Конец "Основных мероприятий..."

Коллега прислал ссылку на решение ФСТЭК:

"В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 ... не применять следующие методические документы ФСТЭК России:
       Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
       Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
"

Покойтесь с миром :)

четверг, 18 февраля 2010 г.

Маразмы нашего городка

История с показом порноролика на рекламном экране получила неожиданноле продолжение.

2 февраля Комитет по рекламе г. Москвы принял "Положение о защите информации от несанкционированного вмешательства при трансляции видеороликов на светодиодных экранах, установленых на территории города Москвы". По сложившейся традиции, документ утвержден зампредом комитета А.Д. Минчуком. О существовании этого документа заинтересованные лица могли узнать из интервью, прозвучавшем "Вести ФМ". Судя по всему, московские рекламщики Вести ФМ не слушают, так что начавшиеся визиты сотрудников комитета на предмет проверки его исполнения стали для них сюрпризом. Документ не публиковался, распространяется только в бумажном виде, так что для заинтересованных лиц делаю краткий обзор этого эпического труда.

Документ делит светодиодные экраны на два класса по тому, как загружается контент на его сервер управления: экраны с передачей данных на физических носителях и экраны с передачей данных по каналам связи.

В первом случае от операторов экранов требуется:

  • фиксировать факт передачи насителя с роликом
  • проверять целостность данных на носителе
  • организовать маркировку и учет носителей
  • разработать и внедрить собственные нормативные документы по защите экранов от НСД
  • усилить прочность корпуса жкрана
  • установить сигнализацию на вскрытие с датчиком объема и модулем GSM
Ну, допустим. А вот требования к экраном с управлением по сети - это что-то с чем-то. Требования взяты из РД с классификацией АС, но при этом надерганы из разных классов. Для тех, кому лень рыться в РД, в скобках привожу класс, из которого требование взято. Итак, в системе управления экраном должны выполняться следующие требования:
  • должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов ()
  • должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам ()
  • должна осуществляться идентификация информации (самодеятельность);
  • должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа ()
  • должно осуществляться управление потоками информации (
  • должны проводиться маркировка и учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (сформулировано немножко по другому, но эквивалентно требованию из класса )
  • должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова ()
  • должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемой информации ()
  • должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий)  к защищаемой информации ()
  • должна осуществляться регистрация попыток доступа программ  к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей ()
  • должен вестись учет носителей информации ()
  • должна осуществлять сигнализация "нарушений защиты"  (
  • должна контролироваться целостность СЗИ по наличию файлов с нужными именами ()
  • должны отсутствовать средства разработки ()
  • должна обеспечиваться физическая охрана СВТ (, от избытка усердия требование повторили два раза)
  • должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД ()
  •  должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности (, тоже повторили два раза)
  •  должно обеспечиваться информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах ()
  • должны использвоваться аттестованных (сертифицированние) криптографические средства ()
  • должна обеспечиваться целостность программной среды за счет  использования трансляторов с языков высокого уровня и отсутствия средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации ()
  • в СВТ должны тестироваться реализация правил разграничения доступа, очистка памятии прочее бла-бла-бла, взятое из блока требований  тестирования  РД СВТ (требования к СВТ 5-го класса)
  • при наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга (СВТ 4-го класса)
  •  КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи (СВТ 4-го класса)
Требования, выделенные красным, применяются к системам, предназначенных для защиты сведений, составляющих государственную тайну. Даже первый взгляд на этот винегрет показывает, что документ писался человеком, далеким от предметной области. В одну кучу смешаны требования к объектам разной природы (СВТ и АС), причем требования выбраны произвольно (это требование я хочу использовать, а вот это мне не нравится, его я брать не буду) и из разных классов.
Умиляют требования по контролю исполнения требований. От операторов требуют
  • не реже раза в год проводить аудит информационой безопасности (!) систем управления экранами (в оригинале - "систем информационных технологий")
  • проводить аудит информационной безопасности организации
  • аттестовать системы управления экранами в системах сертификации ФСБ и ФСТЭК одновременно
  • установить камеры видеонаблюдения за экранами с возможностью экстренного отключения питания экранов "если что"
  • предоставить сотрудникам комитета удаленный доступ к экранам для просмотра транслируемого изображения
Честно говоря, при чтении документа первыми в голову приходит классическая народная мудрость про инициативу и тех, кто чаще других склонен ее проявлять. Итак, имитация бурной деятельности проведена. Что же делать операторам наружней рекламы?

Прежде всего, нужно понимать, что данный нормативный правовой  акт противоречит федеральному законолательству. Согласно ФЗ "Об информации, информационных технологиях и защите информации", обязанность опратора как обладателя информации принимать определенные меры защиты наступает только в случаях, установленных законодательством РФ (ч. 4 статьи 16 ФЗ). Согласно статье 4 ФЗ законодательство Российской Федерации об информации, информационных технологиях и о защите информации состоит из упомянутого Федерального закона и других регулирующих отношения по использованию информации федеральных законов. Таким образом, орган местного самоуправления не уполномочен самовольно накладывать на оператора экрана какие-либо обязывающие его требования по защите информации.

Более того, федеральным законом "О техническом регулировании" четко установлены механизмы формирования обязательных требований. Обязательные требования по обеспечению безопасности информации могут быть установлены:
  • техническими регламентами, т.е. документами, которые вводятся в действие отдельными федеральными законами или постановлениями Правительства
  • в особых случаях (например, для информации, доступ к которой ограничивается в соответствии с законодательством) - нормативными документами ФСБ и ФСТЭК.

Получается, что комитет в лице г-на Минчука превысил свои полномочия. Поскольку исполнение этого бреда - занятие весьма затратное, я бы на месте заинтересованных рекламных агентсв попытался добиться признания этого документа недействующим. Для этого есть три пути:
  • обращение в орган местного самоуправления
  • обращение в прокуратуру
  • обращение в арбитражный суд
Дерзайте :)

вторник, 9 февраля 2010 г.

Доверять, как себе?

Время от времени умные дядьки рассказывают, как хорошо и правильно отдавать отдельные функции ИБ на аутсорсинг. Большинство говорит правильные слова: аутсорсинг помогает сэкономить. За счет чего? 

В связи с этим очень интересную картинку нарисовала недавно в своем отчете TrustWave (спасибо Дмитрию Евтееву).



"Most compromised systems we investigated in 2009 were managed by third party. In the software POS system breaches we investigates, this third party often introduced many deficiencies exploited by the attacker, such as default vendor-supplied credentials and insecure remote access applications."

Дабы у коллег не возникало соблазна возразить "а вдруг речь идет о компаниях, в которых компьютеры используются как пишущие машинки", уточню: в первой части отчета приводятся результаты анализа инцидентов, результатом которых стала утечка данных платежных карт у участников платежных систем. Вариант "а вдруг подрядчик не знал/не осознавал" в этом случае исключен.

Еще раз обозначу свою позицию по вопросу аутсорсинга: аутсорсить функции безопасности можно, но это исключительно вопрос экономической целесообразности. Выигрыш в затратах на собственные ресурсы оборачивается проигрышем в защищенности, ибо "nil de nihilo fit". Только в том случае, если вы можете организовать такой же контроль за действиями специалистов подрядчика, какой вы организуете в отношении своих специалистов, у вас есть шанс, что аутсорсинг НЕ УМЕНЬШИТ защищенность ваших активов. 

Предложения о том, как аутсорсинг поможит улучшить защиту, я бы предложил обсуждать здесь :)

воскресенье, 7 февраля 2010 г.

Это было бы смешно, если бы не было так грустно

"xxx: Я фигею с нового места работы. Охрана круглосуточно, ключи от кабинета под роспись в журнале, пучки видеокамер с потолков свисают, порезанные пользовательские учётные записи на каждой машине без права установки софта и драйверов, каждые 50 дней винда сообщает, что пароль устарел и его надо сменить, причём новый должен быть не короче 8 символов и не должен повторять три предыдущих
xxx: и пароль к админской учётке на всех машинах -- qwerty123
xxx: если б не дёрнуло попробовать -- в жизни бы не догадался
" БОР

Всего три строчки - а как точно описывают ситуацию во многих организациях :)

понедельник, 1 февраля 2010 г.

Так держать или не играйте в азартные игры с профессионалами

Чертовски приятно убеждаться в своей правоте!

Все мы помним, как почти два года назад были выпущены 4 методических документа ФСТЭК, посвященных защите персональных данных. Какие споры разврнулись на форумах! Сколько копий было сломано! Тогда автор этих строк вместе с Алексеем Лукацким и несколькими здравомыслящими коллегами по цеху, находясь в подавляющем меньшинстве, утверждали, что "четырехкнижие" - фикция, не подлежащая исполнению.

И вот сегодня опубликован проект приказа "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", ожидающий подписи Григорова. Что нас ждет в случае утверждения этого документа?

В соответствии со статьей 19 ФЗ 152 требования по обеспечению безопасности персональных данных устанавливает Правительство.

"2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных."

Правительство, утвердив 781-е постановление, поручило ФСТЭК и ФСБ разработать нормативные и методические документы, необходимые для выполнения этого постановления.

"2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением."

В частности, им поручалось разработать методы и способы защиты информации в информационных системах персональных данных.

3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

И вот появился проект документа, который должен устанавить эти самые методы и способы. Я не читал его внимательно, но даже при беглом взгляде видно, что из документа исчезло большинство нелепиц, характерных для "Основных мероприятий...":
1. Нет непрпавомерной нормы, обязывающей отдельных операторов ИСПД получать лицензию на ТЗКИ
2. Исчезли безумные перекрестные ссылки между группами требований
3. Исчез невиданный зверь "защита от программно-математических воздействий"

В документе есть отсылки к "Базовой модели угроз" и "Методике определения актуальности угроз", а вот не к ночи помянутые "Основные мероприятия..." в формиовании требований не участвуют ни прямо, ни косвенно. Требования переместились в приложение, сократились в объеме, приобрели законченный вид и, по-крайней мере на первый взгляд, взаимосвязь с требованиями к АС и МЭ из соответствующих руководящих документов. Учитывая, что опубликован проект документа, что по сути является приглашением к публичному его обсуждению, можно ожидать, что существенные недостатки будут выявлены заинтересованными лицами, и в финальную редакцию не попадут. Что же мешало сделать то же самое два года назад?

Будь я "юношей бледным со взором горящим", написал бы, что мы наблюдаем победу общественности над самодурством государственных органов. Выход бредовых требований ("Жестких!" - поправил меня как-то один уважаемый гражданин. Да нет, Михаил Юрьевич, именно бредовых, как бы упорно вы ни отстаивали необходимость их исполнения), робкие возражения отдельных специалистов, начавшаяся под крылом Минсвязи и ЦБ разработка альтернативных требований, перенос сроков и публикация нынешнего проекта на первый взгляд говорит о постепенном оставлении позиций государственным регулятором.

Но я давно уже не юноша, и в надзорных органах работают пусть и своеобразные, но разумные люди. И то, что мы наблюдали последние два года, скорее похоже на раунд увлекательной забавы, правила которой начали зарождаться при дворе Ивана III и окончательно оформились подле царского трона его грозного внука - замечательной придворной игры "прикрой $%пу".

Немного истории. ФЗ 152 вступил в силу в августе 2006 г. Насколько я помню, на это время приходится бедлам, связанный с расхлебыванием итогов второго этапа административной реформы, параллельно ведомства разгребают обломки перекуроченной ФЗ "О техническом регулировании" системы формирования технических требований, а ФСБ, ФСТЭК и МО усиленно торпедируют разработку технических регламентов в области безопасности,- короче, люди работают, и им не до каких-то там ПД. А часики тикают, и за провал реализации еще одного закона кому-то предется ответить.

Через год вялотекущего брыкания правительство начинает решительные действия: сперва издает распоряжение о разработке отсутствующих требований, а потом подключает тяжелую артиллерию, принимая известное постановление №781, которым, в частности, в ультимативном порядке обязывает ФСБ и ФСТЭК эти требования разработать. Честно говоря, и дату принятия постановления (конец ноября), и срок, отведенный на разработку (три месяца) иначе, как изошренным издевательством назвать нельзя. Понятно, что и за три месяца ничего путного разработать не получится, а тут из этого срока выдрана средняя треть. Если кто успел забыть, с середины декабря по середину января страна фактически уходит на каникулы :) Итог предсказуем - сроки будут сорваны, а виновники - вот они, ведомства, не подотчетные правительству, а подчиняющиеся непосредственно президенту. Изволь царь-батюшка, сам со своими опричниками разбираться.

Но не на таковских напали, и за две недели до конца отведенного срока зам. директора ФСТЭК утверждает знаменитые ДСПшные документы, которые чуть ли через неделю начали активно обсуждать на форумах. Что характерно: на формальную gакость был дан не менее пакостный ответ. Поручили разработать и утвержить? Извольте, разработали и утвердили. А вводить их в действие нам никто не поручал, так что выкручивайтесь сами - и отвечайте сами. И вот сделано все чтобы разработанные документы было невозможно ввести в действие. Нарушены все мыслимые требования: подпись неуполномоченного лица, наличие формальных противоречий законодательству, отсутствие вводящего в действие нормативного акта, гриф ДСП и распространение нормативного по своему смыслк документа путем продажи оного неким институтом, не являющимся частью системы государственной власти. Ничего не забыл? Заметьте, распоряжение правительства формально выполнено, и крайним опять остается правительство.

А часики продлолжают тикать, и возникает вполне реальная опасность с 1 января 2010 схлопотать массовую волну исков в отношении преступного бездействия должностных лиц органов государственной власти. А что еще остается делать крупным операторам? И стремительно возрастающая активность операторов делает такой сценарий вполне правдоподобным. И вот закономерный финал: сперва при поддержке правительства переносятся сроки предъявления требований по безопасности, а после появляется вменяемый проект этих самых требований. А скандальные "Основные мероприятия...", если эти требования будут утверждены, тихо издохнут. RIP.

Все это - хорошо проведенная игра, в которой поучаствовали профессионалы с громадным опытом подковерной борьбы. Но, как водится в таких случаях, нашлись и дилетанты, решившие поучаствовать в этой игре. Одна група таких игроков решила пробежаться впереди паровоза, и срочно реализовать требования этого самого "четырехкнижия" с непонятным правовым статусом, стоило только ему приобрести известность. Вторая группа игроков решила не менее срочно удовлетворить возникший спрос. И вот первые выбивают у себя бюджеты "на приведение в соответствие", а вторые начинаюь подогревать начинающуюся истерию, с каждой подходящей трибуны крича о необходимости срочно-срочно дать им денег на написание грамотных отмазок. А какие фантастические аргументы использовались для того, чтобы хоть как-то увязать предъявляемые требования со здравым смыслом! Какое "красноречие"! Жириновский нервно курит в сторонке.

В общем, результат предсказуем - дилетанты проиграли. Первые потратили деньги на выполнение оказавшихся избыточными требований, вторые потеряли изрядную долю репутации в глазах коллег по цеху. Впрочем, потери небольшие: и деньги, и репутация - дело наживное.

В то же время, у сложившейся ситуации окзался вполне положительный итог. Как выяснилось, в трудную минуту добросовестные заинтересованные лица вполне способны самоорганизоваться и скооперироваться, сообща решая возникшую перед ними проблему. Более того, и органы государственной власти в той или иной степени проявили способность прислушиваться к мнению профессионального сообщества и учитывать это мнение там, где собственной компетенции, что греха таить, не хватает. И хочется надеяться, что практика публичного обсуждения обязательных к исполнению требований - причем до, а не после их принятия - со временем станет нормой.

понедельник, 18 января 2010 г.

Безопасность и здоровье

Конец 2009 года был слишком напряженным, чтобы писать что-то свое. Но все хорошо, что хорошо кончается

На Банкире обсуждаются две философски темы: ”что такое безопасность” и ”чем плоха сложившаяся в России парадигма ИБ”.  И в ходе обсуждения  мне пришла в голову мысль, что безопасность коммерческой компании можно сравнить со здравохранением в отдельно взятом государстве.

Что такое безопасность? Кто-то утверждает, что безопасность - это защищенность от угроз. Но совершенно непонятно, от каких угроз? Какие угрозы считать реальными и брать в рассчет, а какие - отметать как фантазии? Кто-то утверждает, что безопасность - это субъективное ощущение защищенности. Но ведь есть люди, которые считают безопасным кругосветное путешествие на одиночной яхте или выход в открытый космос, и что, это безопасно? Кто-то считает, что безопасность - это некое идеальное состояние, к которому компания может только бесконечно приближаться, внедряя все новые механихмы защиты. Но какое именно это идеальное состояние и когда можно заявить: "Хватит - мы достаточно приблизились"? Ответов на эти вопросы не слышно. А ведь безопасность - это не единственная отрасль, в которой можно ставить подобные вопросы, и для некоторых отраслей ответы на подобные вопросы уже даны.

Если подходить к жизни цинично и до примитивного просто, коммерческое предприятие - это инструмент повышения благосостояния и удовлетворения личных амбиций его владельца и ключевых руководителей, т.е. сравнительно небольшого в процентном соотношении  коллектива, непосредственно, сознательно и целенаправленно определяющего деятельность предприятия. Если так же цинично и упрощенно рассматривать историю общественных отношений,то государство - это инструмент повышения благосостояния и удовлетворения личных амбиций сравнительно небольшой части населения, которая непосредственно, сознательно и целенаправленно определяет его внутреннюю и внешнюю политику. Признаюсь, я не разделяю святую веру многих людей в то, что в мире есть хотя бы одно государство, политика которого определяется решением большинства или хотя бы существенной части своего населения. Скорее, лица, принимающие решения, вынуждены считаться с мнением своего населения - как работодатель считается с настроениями в трудовом коллективе - но никак не отнидь не исполняет его поручения. Решения принимают они - исходя из собственных представлений об из целесообразности. Да, государство заботится о благосостоянии, здоровье и прочих социальных благах населения, но примерно также, как работодатель заботится о благосостояниии и комфорте своих работников.

Почему нам интересно именно здравохранение? Потому что понятие "безопасность" по своим понятийным свойствам очень близко к понятию "здоровье". Собственно, а что такое здоровье? Говоря о человеке как о здоровом, врачи оперируют понятиями "норма" и "отклонение  от нормы". Наличие определенных отклонений рассматриваются как симптомы болезни - и в результате назначается лечение. Или, если эти отклонения таковы, что никакое лечение не вернет к человека к норме, человек признается инвалидом. И наличие некоторой доли людей с отклонениями от нормы здоровья вовсе не рассматривается как недостаток здравохранения.

Что же заботит государство в здоровье населения? Много чего, но прежде всего - трудоспособность. Доля трудоспособного населения - один из важнейших экономических показателей государства. Реализуя меры по охране здоровья, государство не ставит перед собой задачу привести население к каким-то эталонным показателям здоровья. Опять-таки, выражаясь цинично, государство добивается того, чтобы трудоспособным была как можно большая часть взрослого населения - но в пределах разумного. Заметим, современная наука - медицина, биология, генетика - достигли того уровня, когда теоретически возможно решить любую проблему живого организма - вплоть до конструирования новых органов или изменения отдельных свойств живых клеток. Все это - вопрос финансирования. И государство очень легко решает вопрос достаточности финансирования: оно считает принимаемые меры достаточными, если они обеспечивают наличие вот такой доли трудоспособного населения, достаточного для решения стоящих перед государством экономических задач. И вспышки заболеваний, которые регулярно происходят то тут, то там, отнюдь не являются с его точки зрения чем-то из ряда вон выходящим, оно готово с ними мириться, если они своевременно погашены и не оказали заметного влияния на экономические показатели государства. В этом случае население государства считается здоровым. В этом случе государство не будет выделять дополнительные средства здравохранению на дальнейшее улучшение здоровья (увеличение доли трудоспособного населения), поскольку эти расходые не дадут экономической отдачи, т.е. будут неоправданными, нецелесообразными.

Но ведь примерно то же самое происходит и в безопасности компании. Мы можем бесконечно улучшать механизмы защиты, предотвращая все мыслимые и немыслимые угрозы, но нужно ли это бизнесу? Мы хотели бы задублировать все каналы связи, серверы и приложения, и лучше - используя для дублирования альтернативные решения, но оправданно ли это? Где критерий оправданнсти?

Этим критерием являются правила, устанавливаемые бизнесом, правила, основанные на экономических показателях. Если бизнес готов мириться с возможным дефейсом корпоративного портала (мириться осознанно, обладая информацией о всех возможных последствиях) - се ля ви, этот портал безопасен, даже если в нем есть SQL-инъекции.

И немножко о парадигме ИБ. Как я уже писал, многие российские безопасники считают, что для обеспечения безопасности информационной системы нужно отделить ее от такого опасного и непредсказуемого внешнего мира. Этим людям я бы посоветовал посмотреть на работу эпидемиологических служб.

Атака на информационную систему в чем то сродни распространению инфекционных заболеваний. Успешная атака на узел сети превращает его в плацдарм для развития атаки, ставя под угрозу все соседние с ним узлы. Точно так же инфицированный человек становится источником угрозы для тех, кто с ним контактирует. Дайте безопасникам порулить эпидемиологической защитой - и они выстроят кордоны на границе таможенной зоны государства, будут придирчиво осматривать каждого человека, проходящего паспортный контроль, ставить ему градусник и делать анализы при малейшем подозрении - и разворачивать обратно любого праздношатающегося туриста, если он не докажет, что его въезд на территорию государства непременно нужен этому государству. К счастью, эпидемиологической защитой занимаются не безопасники, а медики.

Как строится работа эпидемиологических служб? Она строится на принципе: "Будь готов к вспышке заболевания у себя пол боком". Она строится на постоянном мониторинге даных по заболеваемости в субъектах федерации, областях, районах, населенных пунктах, и даже участках, закрепленных за поликлиниками. Она строится на готовности отреагировать на вспышку заболевания в отдельном небольшом регионе, введя в нем усиленный режим. приостанавив деятельность некритичных для обеспечения жизнедеятельности предприятий, введя ограничение на проведение массовых мероприятий, направляя в регион необходимые лекарства и специалистов. Она основана на готовности ввести дополнительный контроль перемещения людей между санитарной зоной и соседними регионами, на готовности при необходимости полностью изолировать пораженный регион, введя режим чрезвычайного положения и предотвратив распространение угрозы. Она основана прежде всего на работе внутри защищаемого государства, а не на его границах. И этот подход - работает.

четверг, 5 ноября 2009 г.

О мотивации и демотивации

Одна моя знакомая недавно подключилась к Интернету. То есть до того она о нем только слышала, да и не нужен ей он был. Но возможность пообщаться с друзьями дества, которых жизнь разбросала по всему земному шару - штука заманчивая. Как всегда в подобных случаях, произошел стандартный диалог.

- Послушай, год твоего рождения - не самый лучший выбор для пароля от почтового ящика.
- А что, разве моя почта может кому-то понадобиться? Зачем?

Наивно? Конечно наивно - но только когда речь идет о личной переписке. А когда подобные вопросы задает специалист по информационной безоопасности - какой эпитет использовать?

Честно говоря, я устал объяснять айтишникам, что нужно защищаться не только от вирусов, но и от внешнего проникновения. Казалось бы, соглашаются, что и с патчами у них плохо, и с конфигами файрволов не идеально, и с паролями пользователей беда. Но на эту угрозу они старательно закрывают глаза. Нарушитель, считают они, не будет заморачиваться атакой на их сеть, потому что ему это, дескать, не выгодно.

Ну что ж, давайте посмотрим, уместно ли к внешним атакам применять слово "выгода".

Мотивация

Присутствует ли в атаках меркантильный интерес? О да, еще бы. Но является ли этот мотив единственным? Давайте посмотрим на примере все того же Гонзалеса.

С мая 2006 г. Гонзалес с подельниками "выкачивают" из TJX дампы пластиковых карт и продают их через кардерский форум. Операция приносит неплохой доход - только один аплоад (40 000 000 дампов) принес ему $400 000. Вполне себе неплохой доход. И тем не менее, осенью 2007 он начинает атаку уже на следующую жертву.

Что им движет? Явно не отсутствие денег - на момент ареста только на его банковском счету было больше полутора миллионов долларов. Денег много не бывает? Так ведь опять же, не похоже. Смотрите сами: по отчету Symantec, выручка от продажи дампов составляет от 6 центов до 30 долларов за дамп. Ну, допустим, в среднем - около 10 долларов за дамп. Поставьте себя на место Гонзалеса: как бы вы распорядились сорока миллионами дампов? Я бы разбил их на сравнительно небольшие партии (тысяч по 10) и продавал по-отдельности, без ажиотажа, ориентируясь на минимальный порог в 1 доллар за дамп. Гонзалес же такими мелочами не заморачивается - он продает их разом по цене 1 цент за дамп. Сколько он недополучил? Для алчного типа - ну очень нелогичное поведение.

Собственно, на это я и хотел обратить внимания: разрабатывая модель нарушителя, мы часто оперируем критериями выгодно/невыгодно, разумно/неразумно, логично/нелогично. Но нарушитель - живой человек, со своими желаниями, эмоциями, комплексами и прочими тараканами. Разум, логика и выгода - не единственные критерии принятия решения.

Что двигает нарушителем кроме выгоды? Навскидку можно назвать еще минимум два мотива: самореализацию и самоутверждение. Самореализация - вообще мощнейший мотиватор, едва ли не второй двигатель прогресса (после лени), а самоутверждение... Ну, скажем так: это две стороны одной медали - эти два мотива трудно разделить.

Хакер, как и любой художник, хочет признания, но идет к нему по-своему. Кому-то достаточно осознания собственной крутизны. Кто-то развивает и публикует методы эксплуатации уязвимостей, или новые типы уязвимостей, или просто практикуется в том, чего еще не умеет. Кто-то дефейсит сайты известных личностей и компаний, ломает аккаунты друзей и недругов в почтовых ящиках и социальных сетях. Методы самореализации бывают самыми разными, но все они одинаково иррациональны. Кто-то утверждает, что взлом "just for fun" уже не в моде? Мягко говоря, необоснованное утверждение.

И тут появляется элемент самоутверждения. Взлом интернет-сайта - занятие довольно рутинное, но оно становится гораздо более заманчивым, если взламывается ресурс достойного соперника. Причем критерии достойности, опять-таки, иррациональны и сильно варьируются: кто-то гордится сложностью проделанной работы, кто-то - извеcтностью взломанного ресурса и т.п. Недавно появилось сразу несколько статей про уязвимости на Securelist.com. Собственно, сайтов, которые можно использовать как образец "вот так делать нельзя" - каждый третий. Но  посамоутверждаться на бренде Касперских гораздо заманчивее, чем на каком-нибудь "Клубе гольяновских гопников".

А теперь представьте, что у вас есть возможность безнаказанно, совершенно не рискуя, взломать корпоративную сеть известной компании, безопасники которой пиарятся на каждом втором мероприятии по ИБ. Да еще, пусть с призрачной, потенциальной возможностью чем-нибудь поживиться в результате успешной атаки. Заманчиво?

Конечно, ключевое словосочетание - "совершенно не рискуя". И вот тут российским безопасникам, что называется, "не судьба".

Демотивация

Опять-таки, можно выделить три фактора, способных снизить мотивацию нарушителя:

  • возможность наказания
  • техничекая сложность атаки
  • профилактические меры
Факторы, точно так же, взаимосвязанные.

Некоторые эксперты утверждают, что никакой хакер не пойдет на серьезное правонарушение без особой выгоды, опасаясь, что "его посодють". Давайте посмотрим на ситуацию глазами самого нарушителя. Если верить Нургалиеву, за год в РФ регистрируется 15000 нарушений в сфере высоких технологий. По скольким из них возбуждаются уголовные дела - неизвестно, в устных беседах несколько раз звучало число 2000. Сколько из них доходит до приговора - тайна сия великая есть. Все те же эксперты утверждают, что "ловят зарвавшихся, а на остальных машут рукой". Не знаю, не знаю, может быть, но с точки зрения нарушителя все выглядит совсем иначе. Он не читает сводок мингистерства, не интересуется отчетностью МинЮста, зато с интересом следит за прессой. И видит простой расклад: с одной стороны - 15000 инцидентов, с другой - десятка два публикаций об арестованных хакерах. Да каких хакерах!!!

Хакеру-ваххабиту предъявлено обвинение
Банда киберпреступников украла с чужих счетов 5,6 млн рублей (напомню: непосредственный исполнитель проводил атаки со своего домашнего компьютера, не утруждая себя маскировкой)
Программист отомстил экс-начальнику, уничтожив служебную информацию
За взлом страницы "Вконтакте" удмуртскому хакеру грозит 2 года тюрьмы (это тот недоделанный Ромео, который напакостил несостоявшейся Джульетте)
Жителя Прокопьевска судят за выход в интернет под чужими логином и паролем

Ну и так далее. Когда читаешь подобные публикации, создается впечатление, что поймать удаентся не столько "зарвавшихся", сколько неудачников, неумех или клинических идиотов. А наш нарушитель отнюдь не идиот, во всяком случае сам себя он таким не считает, и прекрасно понимает, что отследить человека, раобтающего через TOR, через подключение к публичной беспроводной точке доступа или из-за границы, практически нереально. Так что российская статистика раскрываемости не только не пугает его, но и создает впечатление безнаказанности.


Что касается техничекой сложности атак, то ее, этой сложности, и нет вовсе. Metasploit Framework, Cain & Abel, BackTrack, Rainbow Tables и куча другого необходимого инструментария вполне себе доступна, а главное - работала, работает и будет работать еще долго.


А почему? Во многом благодаря отсутствию противодействия со стороны российских безопасников. Вроде понятно, что профилактические меры намного эффективнее, чем попытки найти и наказать нарушителя (тем более - заставить заплатить за причиненный ущерб). Для средних, тем более - крупных западных компаний считается нормальным подписаться на любую из многочисленных рассылок о появлении критических уязвимостей. Во всяком случае для западной компании не является чем-то из ряда вон выходящим при появлении очередного критического патча от Microsoft разослать по подразделениям циркулярное распоряжение установить этот патч на рабочие места. Про более "продвинутые" процессы вроде управления уязвимостями я уже и не говорю. Российские же безопасники продолжают усиленно считать хакерскую атаку фантастическим сюжетом для очередного фильма с Брюсом Уиллисом.


Мораль

Конечно, глупо зацикливаться на хакерах, имея массу других, более актуальных проблем. Но пренебрегать элементарными мерами безопасности, такими как контроль уязвимостей в Web-приложениях, контроль настроек файрволов, патч-менеджмент, надеясь только на "авось" - все равно, что не мыть руки перед едой. Впрочем, подавляющее большинство моих знакомых руки перед едой не моет.

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP