2 В. В. Артюхин, канд. экон. наук, доцент, ведущий научный сотрудник Центра анализа и управления рисками ВНИИ ГОЧС МЧС России, консультант Научно-проектного центра исследования рисков и экспертизы безопасности, член Экспертного совета

Книги по разным темам Pages: | 1 | 2 | 3 | 4 |

18.06.11 - Сбой в работе компьютеров 17 июня привел к отмене рейсов американской авиакомпании United Airlines.

19.06.11 - Хакеры похитили даты рождения, адреса электронной почты и пароли (в зашифрованном виде) пользователей сервиса Sega Pass, принадлежащего компаниипроизводителю компьютерных игр и оборудования Sega.

20.06.11 - Разработчики из Калифорнийского университета создали MyPageKeeper.org - свободное приложение для Facebook, обнаруживающее спам на стенах и в лентах новостей пользователей.

21.06.11 - Власти Турции объявили о том, что владельцев ПК, которые были заражены вредоносным ПО и, по воле хакеров, участвовали в DDoS-атаках на турецкие сайты, найдут и заставят нести юридическую ответственность.

22.06.11 - Евгений Касперский на страницах своего блога опубликовал открытое письмо основателю популярного в Рунете ресурса ВКонтакте Павлу Дурову с предложением повысить уровень безопасности пользователей социальной сети.

26.06.11 - Хакеры из Lulz Sec объявили о прекращении деятельности.

04.07.11 - Хакеры из группы Anonymous сообщили через свой Twitter о том, что взломали один из серверов компании Apple. К записи в микроблоге прилагалась ссылка на документ, в котором содержатся 27 логинов и паролей от аккаунтов администраторов сайта.

04.07.11 - В микроблоге редакции Fox News появилось сообщение об убийстве президента США Барака Обамы. Аккаунт @foxnewspolitics был взломан, о чем впоследствии было объявлено на сайте Fox News.

04.07.11 - На торрент-сайтах появилась финальная версия операционной системы Mac OS X 10.7 под кодовым названием Lion. Официальный релиз ОС состоится в ближайшие недели.

04.07.11 - Ранняя версия игры Gears of War 3 была украдена неизвестными и размещена в интернете для свободного скачивания.

Очевидное различие между этим списком событий и событиями, опять-таки, скажем, 2,лет давности заключается в том, что в нынешнем списке фигурирует много взломов ресурсов и систем крупных компаний. Появились и другие интересные тренды, причем в духе современной информатизации они все в той или иной мере пересекаются и влияют друг на друга. Интенсивность же событий в общем не спадает (каждый день происходит что-то новое, интересное и часто - не очень позитивное).

Наблюдения Основной тренд среди пользователей - это по-прежнему полное непонимание большинством того, что есть информационная безопасность (ИБ). Конечно, многие слышали про вредоносное ПО, но мало кто понимает, что выкладывать на Одноклассниках фотографии своей новой машины и пейзажи острова Бали, снятые в отпуске неделю назад, а затем просить у друзей денег взаймы в связи с бедственным финансовым положением - это тоже нарушение своей информационной безопасности.

Что касается вредоносного ПО, то субъективно, с моей точки зрения, ситуация несколько улучшилась - вирусы на съемных носителях ко мне на работу и домой стали приносить реже. Наверное, дело в том, что вирусописатели сами подложили себе свинью: одно время стало модным распространять троянские программы в форме же-антивирусов.

По иронии судьбы, это, с одной стороны, вынудило компании-производителей правильных антивирусов навести прицел маркетинга и всей своей деятельности на псевдо-конкурентов, а с другой - заставило пользователей задуматься о том, что антивирусы, в принципе, вещь нужная. В результате на сегодняшний день проще установить какое-нибудь известное защитное ПО и не переживать, чем не устанавливать его и постоянно заставлять себя не задумываться о разнообразных цифровых ужасах (в 2010 г. в мире было продано ПО для защиты данных на сумму в $16,5 млрд, что на 12% больше в сравнении с 2009 г., снижение активности же-антивирусов подтверждается в том числе отчетами Kaspersky Security Bulletin (10)). Не думать трудно и по другим причинам - масштабы инцидентов увеличиваются, самые крупные из них освещаются весьма широко, да и на жизнь отдельных пользователей влияют все значительнее.

Однако в части фотографий, общения и социальных сетей в целом ситуация отнюдь не радужная. Интернет на сегодняшний день перестал быть информационной магистралью, а компьютер перестал быть инструментом для обработки информации. Винсент Серф, один из разработчиков стека протоколов TCP/IP, на лекции в Москве в конце 2010 года в какой-то момент воскликнул: Поймите: мы думали, что это эксперимент! Сегодня этот эксперимент представляет собой электронного Франкенштейна: что-то для работы, что-то для общения, что-то для удовольствия и что-то для отрыва от реальности.

Я часто применяю выражение момента выбора: вот ты работаешь со своими файлами, и ты защищен, а вот ты вставляешь чужую флешку, и ты уже уязвим. Даже вне зависимости от того, установлено ли на компьютере антивирусное ПО, важно засечь момент выбора (в данном случае перед вставкой носителя в USB-порт), остановиться, как перед дорожным знаком STOP, взвесить все за и против, оценить уровень опасности, а потом уже продолжать действовать. Но этот принцип работает только в случае, если компьютер - это инструмент для работы. А что если это часть имиджа, часть образа жизни, что если он интегрирован (фигурально выражаясь) с вами, что если быть всегда online - это ваше кредо Фактически в таких условиях пропадают отдельные дискретные действия, они размываются в непрерывном процессе жизни.

Есть еще один аспект: я отношусь к тому поколению людей, которые, обучаясь работе с компьютером, еще видели и чувствовали сам компьютер, то есть железо и отдельные программы. Сегодняшние, более молодые, рожденные уже при Интернете пользователи, да и не только они, часто воспринимают компьютер иначе: они видят электронные письма, электронные книги, услуги, социальные сети и мгновенные сообщения. В такой ситуации момент выбора определить еще сложнее, потому что из общения людей посредством компьютера фактически исчезает сам компьютер (а заражаются именно компьютеры, а не социальные сети). Мне недавно довелось писать раздел по информационной безопасности в будущую Энциклопедию безопасного поведения в современно мегаполисе, и редактор книги предложил разделить две темы: чего нельзя делать на домашнем компьютере и чего нельзя делать на работе. На это я активно возразил: Сегодня такое разделение по большей части необоснованно (а там где оно обоснованно, должны быть дополнительные правила, сформулированные в виде политики информационной безопасности компании или организации)! Организаторы самих социальных сетей подливают масла в огонь. Их цель - увеличение количества пользователей, и любые разговоры о борьбе за повышение уровня приватности слышать довольно странно. Разговор и молчание, общительность и замкнутость, открытость и приватность - это три пары противоположных по смыслу понятий.

За примерами лусилий операторов социальных сетей в плане обеспечения приватности и информационной безопасности своих пользователей далеко ходить не нужно. Вот лишь пара из них:

Упомянутое выше открытое письмо Евгения Касперского Павлу Дурову появилось после того, как администрация ВКонтакте внесла изменения в правила приватности и запретила пользователям популярного в Рунете ресурса полностью блокировать просмотр списков своих друзей. (11) На сайте Facebook давно имеется функция поиска друзей по содержимому ваших почтовых ящиков: сайт предлагает ввести логин и пароль от ящика (не имеющего к Facebook-у никакого отношения, а располагающегося, например, на mail.ru), после чего просматривает его в попытке найти людей, зарегистрированных на самом Facebook-е. На самом деле, это даже более серьезная проблема, чем кажется на первый взгляд. Раньше можно было сказать: Не вводите на одном сайте аутентификации от другого и дополнить эту рекомендацию убийственным слоганом:

Если на сайте вы видите такое предложение, значит, вы имеете дело с мошенниками! Благодаря Facebook-у это убийственное дополнение-слоган потеряло свою однозначность и лубийственность, ведь нельзя утверждать, что организаторы этой социальной сети - мошенники. Нельзя также утверждать, что они аккумулируют и продают логины и пароли от почтовых ящиков на сторону. Но кто может поручиться, что эти данные не хранятся, что, если они хранятся, то в зашифрованном виде, что завтра хранилище с ними не будет взломано, а сами они не утекут в неизвестном направлении - Никто. Мой друг и коллега Игорь Семёнов, специалист по разработке программного обеспечения персональной навигации, работавший во многих компаниях данного профиля, а в прошлом - еще и один из ведущих разработчиков LiveJournal-а, обладает способностью кратко фиксировать мысли, на формулировку которых мне нужен целый абзац. По данному поводу он тоже высказался весьма лаконично: Я не пользуюсь этой функцией. Вот и всё! Кстати, важно понимать, что все, сказанное выше относительно вопросов к условиям хранения данных, касается и любой лоблачной технологии.

Учитывая также, что заражены и опасны могут быть практически любые элементы интернет-инфраструктуры (прокси-серверы, легитимные веб-сайты), что многие вредоносные программы используют уязвимости в операционных системах (в том числе zero-day, то есть уязвимости нулевого дня, обнаруживаемые злоумышленниками раньше или одновременно с тем, как они обнаруживаются производителями систем или разработчиками защитного ПО), что мобильные устройства всегда так или иначе подключены к какой-нибудь сети, можно с сожалением заключить, что польза от поиска момента выбора осталась где-то в прошлом.

Мобилизация вредоносного ПО несколько лет уже предсказывалась большинством аналитиков и специалистов отрасли. Среди прочих и мне было хорошо видно, что она неизбежна (стоило посмотреть только на скорость роста возможностей мобильных устройств), но, скажу честно, я предполагал, что заметной или ярко выраженной эта тенденция станет году эдак в 2013. По факту же, начиная с 2007 года, количество вредоносных программ (троянцев, эксплойтов и т. д.) для мобильных устройств растет экспоненциально (удваивается). Пальму первенства по данному показателю держит Android OS, причем, что интересно, развитие угроз для этой системы напоминает ситуацию с Windows:

В целом, ситуация с Android OS начинает напоминать текущую ситуацию с Windows:

существует огромное количество Android-устройств с устаревшим ПО, которое содержит различные незакрытые уязвимости;

сообщения системы безопасности, появляющиеся в момент запуска и установки любого приложения, в абсолютном большинстве случаев пользователем игнорируются;

связь мобильных вредоносных программ с их хозяевами строится по классической для Windows схеме с использованием командных центров, что в конечном счете ведет к появлению мобильных ботнетов;

существует возможность обхода систем контроля приложений: в Android OS установка приложений возможна не только из Android Market. (12) Предположу, не сильно рискуя, что если ситуация с Android развивается похожим на ситуацию с Windows образом, то и результат через некоторое время будет таким же:

вечная сравнимая по масштабам со случаем традиционных компьютеров война вредоносного и защитного ПО, вредителей-злоумышленников и защитников в лице специалистов по информационной безопасности без малейшей надежды на окончательную победу последних. И хотя это очевидно и было вполне предсказуемо, все равно жаль! Еще один мощный тренд - это интенсификация усилий властей разных стран в борьбе с киберпреступностью. Где-то идут традиционными путями, то есть принимают новые законы и создают новые ведомства, комитеты и комиссии, а где-то, как в Турции, нетрадиционными. Назначить виновными несчастных пользователей, чьи компьютеры были заражены без ведома владельцев, - это оригинально. Вообще, в целом мировые политические усилия производят впечатление бессистемных. Понятно, что само по себе создание комитета не приводит к решению каких-либо проблем. Дело в том, каков будет статус этого комитета, какие инициативы он будет продвигать (юридические, практические, аналитические, научные и т.д.), какими полномочиями обладать, и кто в него будет входить. Серьезно браться за дело - это правильно, но серьезно взяться и серьезно продвинуться в достижении цели - разные вещи. Кстати, борьба с киберпреступностью - это не цель, а задача. Собственно, то, что мы имеем сегодня - это просто еще один (макро) уровень вечной войны, о которой я говорил ранее.

Хорошо то, что как минимум в России, видимо на фоне всемирной активности, политики перешли от мегапроектов наподобие Закона об Интернете к конкретным и нужным темам, таким как электронные деньги. Недавно был принят Думой, одобрен Советом Федераций и подписан Президентом закон О национальной платежной системе, внесенный Правительством аж в ноябре прошлого года. Он устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, использования электронных средств платежа, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе. (13) Хорош закон или плох, мне пока что судить тяжело - я пока не ощутил на себе его действия (хотя являюсь пользователем нескольких систем электронных платежей), но несколько вещей я знаю точно: WebMoney появилась в году и имеет более 14 млн. пользователей, служба Яндекс.Деньги запущена в 2002 году, и все это время системы как-то работали, несмотря на то, что понятие лэлектронные деньги попросту отсутствовало в российском законодательстве, также как понятие лэлектронная платежная система. В частности, владельцы системы WebMoney определяют ее как систему обращения сообщений между зарегистрированными пользователями. То, что хранится в системе на ваших кошельках, - это, так называемые, титульные знаки, а покупка/продажа этих знаков оформляется как покупка/продажа чего-то, сходного с ценными бумагами. Все бы ничего, но уж больно сложно, а вдобавок к этому с точки зрения закона титульные знаки WebMoney не являются ценными бумагами, поскольку не признаны таковыми. Компания Яндекс.Деньги действует иначе и формально выступает всего лишь в качестве агента продавцов товаров и услуг по приему платежей от физических лиц. Я прошу прощения за недостаточно глубокое освещение данного вопроса, но он сложен даже для юристов, к которым я не отношусь, а смысл, думаю, и так понятен: из-за отсутствия специфического прямого регулирования владельцы каждой несуществующей de jure электронной платежной системы искали свои собственные способы соблюдать законы. Pages: | 1 | 2 | 3 | 4 | Книги по разным темам

Blog