Архив метки: Защита

Устройства для скрытого наблюдения

Технологии и человеческая фантазия не стоят на месте, в результате чего мы имеем не только современные компьютеры, смартфоны и прочие устройства широкого потребления, но и огромный выбор современных высокотехнологичных устройств, о которых не известно основной массе потребителей.

Речь пойдёт об аппаратных устройствах, предназначенных для сбора (иногда — негласного), хранения и передачи информации (диктофоны, жучки, скрытые камеры), а также устройствах, предназначенных для защиты от подобной прослушки (подавители, детекторы).

Целью статьи является не пропаганда использования таких решений (оставим это спецслужбам и детективам), а информирование людей о том, каким образом за ними могут следить и как можно от этого защититься.

Читать далее

Антивирусы проигрывают в борьбе с атаками

av-testИсследование немецких учёных из института информационной безопасности AV-Test показало, что за последний год эффективность антивирусных программ заметно снизилась. В ходе исследования было изучено 25 антивирусных программ для домашнего использования и 8 корпоративных продуктов.

Антивирусные программы смогли отразить 92% атак низкого уровня и очистить 91% заражённых систем, из которых, впрочем, лишь 60% смогли продолжить работу.

Три из 25 исследуемых программ не смогли набрать необходимое для получения сертификата безопасности количество баллов: Microsoft Security Essentials, PC Tools и AhnLabs. Среди корпоративных продуктов решение от MS (Forefront) тоже показало себя недостаточно эффективно.

Похожее альтернативное исследование проводилось компанией Imperva в конце 2012 года, и его результаты тоже были необнадёживающими: все задействованные в сервисе VirusTotal антивирусы успешно определили менее 5% новых вредоносных программ.

Перехват корпоративной почты: законно ли?

Распоряжение о просмотре электронной почтыК вопросу о необходимости просмотра всей входящей и исходящей корпоративной электронной почты приходят руководители и сотрудники службы безопасности во многих компаниях, и обычно эта задача адресуется в IT-отдел или напрямую старшему системному администратору.

Обычно необходимость таких мер объясняется соблюдением режима коммерческой тайны и возможностью выявления нелояльных сотрудников.

Опустив технические аспекты решения этой задачи, обратим внимание на юридические, ведь перехват электронной почты попадает под определение «нарушение права на тайну переписки».

В частности, это право определяется второй частью статьи 23 Конституции РФ и первый пункт статьи 63 ФЗ от 07.07.2003 № 126-ФЗ «О связи». Согласно этих пунктов, единственное, что может позволить перехват чужих сообщений электронной почты — судебное решение, добиться которого в данном случае не удастся.

Статья 138 УК РФ предусматривает уголовную ответственность за такие нарушения:

  • первая часть статьи грозит вам штрафом в размере до 80 000 рублей (или заработной платы за 6 месяцев)
  • вторая часть предусматривает ответственность за такое нарушение, совершённое с использованием служебного положения или специальных технических средств для негласного получения информации и грозит лишением свободы на срок до 4 лет или штрафом до 300 000 рублей
  • третья часть предусматривает ответственность за производство или приобретение специальных технических средств для негласного получения информации и грозит лишением свободы на срок до 3 лет
  • кроме того, статья 32 УК РФ обеспечит ответственность и руководителю компании (организатор преступления) и системному администратору (исполнитель преступления), квалифицируя исполнение администратором распоряжения руководства как соучастие.

Как компания может защититься от уголовного преследования, не отказываясь от проверки корпоративной почты сотрудников? Существует ряд рекомендаций, способных перевесить весы правосудия в вашу сторону.

  • Почтовые ящики, за которыми ведётся наблюдение не должны быть личными.
  • Все сотрудники должны быть предупреждены о проверке их корпоративной почты в форме отдельного документа-предупреждения, в тексте трудового договора или в виде локального нормативного акта с обязательной росписью сотрудников.
  • Предупреждение сотрудников должно содержать информацию о том, что корпоративная почта подлежит просмотру руководством и не предназначена для личной переписки. Кроме подписи сотрудников, документ должен содержать подпись лица, выдающего такое распоряжение.
  • Распоряжение о внедрении средств для просмотра почты должно быть в письменном виде и содержать полный список перехватываемых ящиков, периоде перехвата и извещённости сотрудников.
  • Отчёты о просмотре почты должны быть максимально подробными и должны передаваться лицу, выдавшему распоряжение о просмотре, под расписку с сохранением копии в IT-отделе.

Помните: просмотр корпоративной электронной почты незаконен, если отсутствует предупреждение работника об этом.

Наличие документа, подтверждающего извещённость сотрудника о просмотре его почты, по большей части снимет с руководства и IT-специалистов ответственность, хотя однозначного решения подобных вопросов в судебной практике России пока нет.

ZoneDefense: продвинутая мобильная оборона

ZoneDefenseКомпания AirPatrol представила технологию беспроводной безопасности ZoneDefense. Это система, использующая совершено новый подход к вопросу предотвращения утечек конфиденциальных корпоративных данных.

Эта технология довольно узко специализирована и направлена на предотвращение утечек данных посредством мобильных устройств и приложений. Система ZoneDefense внедряется в структуру защищаемого здания, её элементы находятся в каждом помещении контролируемого объекта и определяют местоположение любого мобильного устройства с точностью до двух метров.

Но на этом функциональность системы только начинается. Она позволяет не только обнаружить устройства в пределах защищённого объекта, но и заставить их работать по заранее настроенным внутренним правилам системы. Опираясь на эти правила, ZoneDefense может либо разрешать, либо блокировать работу как самих устройств, так и конкретных мобильных приложений, используя информацию о принадлежности мобильного устройства конкретному сотруднику, типе запущенного приложения, направление движения пользователя и даже нахождения поблизости других устройств.

Эта система также может объявить тревогу, предупреждая службу охраны о вероятной утечке данных или просто нахождении подозрительного устройства в неположенном месте.

Программа помогла вернуть украденный ноутбук

Вернуть макбукНекоторое время назад у одного из американских пользователей ноутбуков от Apple (его имя — Джошуа Кауфман) произошла неприятность: его MacBook был украден, а полиция отказалась прилагать усилия к его поискам. Обычно на этом всё и заканчивается, но эта ситуация сложилась иначе.

Незадолго до кражи владелец установил на свой макбук программу, которая незаметно следила за пользователем: собирала снимки экрана, делала фотографии встроенной камерой и даже определяла координаты вероятного нахождения устройства, основываясь на наличии Wi-Fi-сетей. Все собранные данные программа регулярно отправляла на электронную почту владельцу.

Владелец украденного компьютера завёл блог с названием «У этого парня мой Мак» и стал публиковать туда полученные скриншоты и фотографии, в надежде что кто-то поможет опознать грабителя, или что у полиции появятся весомые доводы, чтобы взяться за работу. К счастью, вор не стал форматировать диск и продавать ноутбук, а оставил его себе и стал использовать в личных целях. В результате в блоге Кауфмана быстро накопилось много фотографий преступника, на которых он спит, сидит за компьютером, едет в автомобиле и т.д.

Спустя несколько дней полиция задержала преступника, а украденное имущество вернула владельцу. По словам полицейских, арест состоялся именно благодаря фотографиям, предоставленных им Кауфманом.

Эта история вызвала серьёзный резонанс среди пользователей макбуков. Многие из них обратились к Apple с просьбой добавить в следующую версию MacOS подобный функционал по аналогии с уже существующими сервисами Find My iPhone и Find My iPad для iOS.

Секретные данные большинства компаний не защищены

Секретные данныеКомпании, чья деятельность связана с сетевой безопасностью, уже несколько лет проводят ежегодные исследования на тему защищённости данных в организациях. Согласно их отчётам, с 2008  по 2011 год ситуация заметно изменилась: краж и утечек секретной информации стало больше на порядок.

При этом хакеры все чаще нападают именно на корпоративные сети, удачно похищая секреты той или иной компании. И на то есть вполне конкретные причины.

1. Хранение данных в на устройствах, плохо поддающихся защите.

С развитием мобильных технологий и систем беспроводной связи, сотрудники крупных компаний всё чаще предочитают иметь доступ к своим рабочим данным с помощью мобильных устройств (телефоны, смартфоны, планшетные компьютеры, ноутбуки). Защитить такие устройства крайне сложно даже от банальной кражи, а на них зачастую хранятся важные корпоративные данные.

2. Системы удалённого доступа к рабочему месту.

Они используются всё чаще, а их взлом представляет из себя намного более простую задачу, чем взлом внутренней закрытой корпоративной сети.

3. Использование облачных сервисов для хранения данных.

Корпоративные облачные платформы зачастую не имеют должной защиты и подвержены высокому риску утери хранящейся в них информации. К тому же подобные системы часто располагаются вне зоны досягаемости специалистов компании (хостинг в других странах), что ещё более затрудняет организацию надлежащих защитных мер.

4. Высокий спрос на корпоративные данные.

Стимулируют хакеров к атакам на сети компаний и значительно увеличившийся спрос на подобные услуги, и весьма высокие расценки на них. Хакеры без проблем продают украденные маркетинговые статистические данные или коды разработок новых программ по немалой цене.

5. Неверная реакция на обнаружение уязвимостей.

Во многих случаях хищения данных компании даже не догадываются, что они произошли. Более того, лишь половина компаний, в которых была обнаружена утечка информации, пытаются восстановить и улучшить систему защиты, и лишь 30% из них обращаются за консультациями к специалистам по сетевой безопасности.

В качестве предупредительных мер эксперты советуют компаниям осуществлять строгий контроль за сотрудниками, которые имеют доступ к секретной информациии.

При использовании мобильных устройств необходимо тщательно контроллировать чтобы все они были защищены хотя бы паролями.

Ни в коем случае не рекомендуется предоставлять сведений о внутренней системе компьютерной безопасности (как и о самой хранимой информации) лицам, не имеющим отношения к организации безопасности компании.

Предустановленный кейлоггер на ноутбуках Samsung

StarloggerМухамед Хассан (Mohamed Hassan), выпускник английского университета города Norwich по специальности «защита информации» и владелец фирмы NetSec Consulting, приобрёл ноутбук Samsung R525 и после полного сканирования системы антишпионским и антивирусным ПО обнаружил в каталоге С:\Windows\SL коммерческий кейлоггер StarLogger.

Тщательно изучив систему, Мухамед пришёл к выводу, что кейлоггер был установлен производителем.

Поменяв (по другой причине) ноутбук на новый Samsung R540 из другого магазина, пользователь обнаружил точно такой же шпионский софт и на нём.

StarLogger (разработчик — Willebois Consulting, цена — от $23) — коммерческий кейлоггер, который перехватывает нажатия клавиш, создаёт снимки экрана и отправляет все собранные данные по электронной почте.

Мухамед дозвонился до службы технической поддержки компании Samsung (обращение № 2101163379) и потребовал объяснений. Реакция специалистов техподдержки постепенно менялась от полного отрицания к попытке обвинить Microsoft как поставщика всего ПО и наконец к признанию того, что компания сознательно устанавливает подобные программы чтобы «следить за производительностью компьютера и понимать, как он используется».

Похоже, Samsung собирает данные об использовании своих ноутбуков без получения согласия пользователей. Не забудьте проверить свой ноутбук.

Спустя 3 недели после инцедента Jason Redmond (Manager, Marketing Communications at Samsung Electronics, Samsung) сообщил, что на данный момент происходит тщательное внутреннее расследование сложившейся ситуации.

Угрозы безопасности в 2011 году

Угрозы безопасности в 2011 годуЯнварь — самое время подвести итоги прошедшего года и ознакомиться с прогнозами специалистов на этот год, и сфера информационной безопасности не является исключением.

Крупный разработчик решений в этой сфере — компания Stonesoft (Хельсинки, Финляндия) — подготовила отчёт о предстоящих угрозах, основанный на анализе данных за несколько последних лет.

Эксперты Stonesoft с 20-летним опытом в информационной безопасности составили список наиболее вероятных тенденций на этот год:

  • Ожидается появление вирусов под операционные системы Apple.
  • Увеличится число атак на социальные сети, в том числе попыток веерных взломов аккаунтов пользователей.
  • Ожидаются «информационные войны» — атаки, направленные на государственные структуры с политическими и финансовыми мотивами.
  • Увеличение количества атак, направленных на компании с целью получения выгоды и с применением методов социальной инженерии.
  • Возможно увеличение количества подобных Stuxnet атак на критические объекты.
  • Возможной мишенью для атак станут сотовые телефоны и смартфоны.
  • Вирусы станут более комплексными в поиске и использовании уязвимостей систем, выполняя задачу «заразить всё любой ценой».
  • Разработчикам систем защиты от вторжений придётся объединить усилия для поиска методов предотвращения атак по недавно открытому механизму AET.

Директор Stonesoft по информационной безопасности Joona Airamo считает, что в 2011 году наиболее опасными информационными угрозами станут логические продолжения самых актуальных тем 2010 года.

А это, напомним, были интеллектуальный червь Stuxnet, динамические техники обхода (АЕТ) и, традиционно, социальная инженерия.

Новые технологии перехвата данных: ПЭМИН

Генератор шума ГШ-1000МУже давно не секрет, что похитить информацию с компьютера можно многими способами, в том числе и довольно простыми в исполнении.

Злоумышленник может незаконно получить удалённый доступ к компьютеру (и выгрузить всё, что его интересует), или установить на компьютер программу для мониторинга или аппаратный кейлоггер, или заразить компьютер контролируемым им вирусом, или перехватить данные с помощью сниффера, или вообще украсть компьютер.

Но технологии не стоят на месте: регулярно публикуются сообщения о появлении новых способов перехвата данных.

Например, ещё в прошлом году была успешно протестирована (погрешность составила менее 5%) технология восстановления набранного пользователем с клавиатуры текста из звуковой записи шума, издаваемого клавиатурой. Таким образом, данные могут быть перехвачены обычным диктофоном, радио-жучком или направленным микрофоном.

Интересным каналом утечки является также излучение элементов компьютера, в том числе и клавиатур (и проводных, и беспроводных, и в ноутбуках). Приняв и изучив эти излучения, можно восстановить весь набранный пользователем текст.

Эти излучения исследуются давно. Их обычно называют ПЭМИН (побочные электромагнитные излучения и наводки), а в англоязычных странах — «compromising emanation» (компрометирующее излучение) или «TEMPEST».

На данный момент разработано и успешно опробовано (и, скорее всего, кем-то применяется) несколько способов перехвата ПЭМИН.

Самый очевидный способ — радио-перехват на определённой частоте. С применением специальных принимающих устройств дальность перехвата достигает 20 метров и может осуществляться даже через стены. А в пределах одного помещения для перехвата достаточно FM-радиоприёмника с ручной настройкой и компьютера с хорошей звуковой картой.

Эксперимент, проведённый в Высшей федеральной политехнической школе в Лозанне (Ecole Polytechnique Federale de Lausanne), показал, что метод действительно применим на практике: все из 11 различных исследуемых клавиатур оказались уязвимы к перехвату ПЭМИН.

На конференции по безопасности Black Hat USA 2009 был показан и другой способ перехвата: через электрическую сеть. Кабель клавиатуры не экранирован, и поэтому пропускает импульс в провод заземления кабеля, а оттуда — в заземляющий кабель системы электропитания, что позволяет применять этот метод, получивший название «power-line exploit».

Если же ноутбук пользователя к элекрической сети не подключен (или их подключено слишком много), то может применяться ещё один способ перехвата: на корпус ноутбука направляется луч лазера, приёмное устройство ловит отражённый луч и фиксирует его модуляции, вызванные вибрацией от нажатия клавиш.

Последнее время всё чаще появляются слухи о технологиях, позволяющих удалённо перехватить не только данные, приходящие с клавиатуры, но и данные, уходящие на монитор.

Защититься от таких методов довольно трудно. В качестве активной защиты можно применять различные генераторы шума, а в качестве пассивной — экранирование деталей компьютера или помещения целиком.

Компьютер дома: один на всю семью

Компьютер дома: один на всю семьюНесмотря на то, что уже у многих дома есть несколько компьютеров, в большинстве семей домашний компьютер всё ещё один. И зачастую уже не пульт от телевизора, а место за компьютером вызывает мелкие, но неприятные конфликты.

Связано это не только с увеличением роли компьютеров и интернета в нашей жизни, но и с тем, что потребности, привычки и уровень навыков работы на компьютере у членов семьи, как правило, разный.

И тому человеку, которому приходится настраивать и обслуживать этот компьютер, приходится находить равновесие между двумя задачами:

  1. создать условия, которые не мешали бы всем пользователям выполнять свои задачи,
  2. обезопасить важные файлы и обеспечить длительную работоспособность системы.

Простейшее решение, которое сразу приходит в голову — создание разных профилей для всех пользователей компьютера с соответствующими полномочиями средствами операционной системы.

Даже это действие, не занимающее много времени и совсем не отнимающее средств, может дать неплохой эффект. Но на практике всё равно возникает ряд проблем, для решения которых лучше воспользоваться сторонним программным обеспечением. Читать далее