Архив за 2009

Социальные и психологические технологии хакеров

9 комментариев
При фразе “социальная инженерия”, многие из нас представляют хакера, звонящего в офис и просящего сообщить пользователя свой пароль. Так ли на самом деле примитивны технологии, используемые социальными хакерами? Давайте посмотрим, какие методики доступны для осуществления “социального взлома”.
Начну с описания подобного взлома, взятого из книги Виктора Суворова “Аквариум”:
Постановка задачи перед курсантом (социальным хакером):
“Объект: Мытищинский ракетный завод. Задача: найти подходящего человека и завербовать его. Цель первая: получить практику настоящей вербовки. Цель вторая: выявить возможные пути, которые вражеская разведка может использовать для вербовки наших людей на объектах особой важности.
Ограничения. Первое — во времени: можно использовать для вербовки только свое личное время, выходные дни и отпуска, никакого особого времени на проведение вербовки не отпускается; второе — финансовое: можно расходовать только свои личные деньги, сколько угодно, хоть все, ни копейки государственных денег не выделяется.”
Теория:
“Теория вербовки говорит, что вначале нужно найти заданный объект. Это нетрудно. Мытищи-городок небольшой, а в нем огромный завод. Проволока колючая на роликах. Ночью завод залит морем слепящего света. Псы караульные тявкают за забором. Тут сомнений быть не может. А еще у завода соответствующее имя должно быть. Если на воротах написано, что это завод тракторной электроаппаратуры, то это может означать, что кроме военной продукции завод выпускает что-то и для тракторов, но если название ничего не выражает: «Уралмаш», «Ленинская кузница», «Серп и молот» — тут сомнения отбрасывайте в сторону: военный завод без всяких посторонних примесей. Второе правило вербовки говорит, что через забор лезть не надо. Люди из завода сами выходят. Они идут в библиотеки, в спортзалы, в рестораны, в пивные. Вокруг крупного завода должен быть район, где живут многие рабочие, где есть школы для их детей и детские сады. Где-то есть поликлиника, туристическая база, зона отдыха и т. п. Все это надо найти.
Третий закон вербовки гласит, что не нужно вербовать директора или главного инженера — их секретарши вербуются легче, а знают совсем не меньше, чем их начальники. Но вот беда, условия учебно-боевой вербовки запрещают нам вербовать женщин. За рубежом — пожалуйста, во время тренировок — нет. Нужно найти чертежника, оператора электронной машины, хранителя секретных документов, копировальщика и пр.”
“Фильмы про шпионов показывают офицера разведки в блеске остроумия и красноречия. Доводы шпиона неотразимы, и жертва соглашается на его предложение. Это и есть брехня. В жизни все наоборот. Четвертый закон вербовки говорит, что у каждого человека в голове есть блестящие идеи, и каждый человек страдает в жизни больше всего оттого, что его никто не слушает. Самая большая проблема в жизни для каждого человека — найти себе слушателя. Но это невозможно сделать, так как все остальные люди заняты тем же самым — поиском слушателей для себя, и потому у них просто нет времени слушать чужие бредовые идеи…”
“Пятый закон вербовки — это закон клубники. Я люблю клубнику. Я люблю ловить рыбу. Но если рыбу я буду кормить клубникой, то не поймаю ни одной. Рыбу надо кормить тем, что она любит, — червями. Если ты хочешь стать другом кому-то, — не говори о клубнике, которую ты любишь. Говори о червяках, которых любит он.”
Установление контакта:

Они шли в библиотеку. Нет, это не секретная библиотека. Секретная внутри завода. Это обычная библиотека. И вход туда всем разрешен. Вот и я с группой затесался. Молоденькой библиотекарше за прилавком подмигнул, она мне улыбнулась, и я уже у книжных полок.
Теперь я роюсь в книгах и внимательно смотрю за тем, кто чем интересуется. Мне нужен контакт. Вот рыжий очкастый перебирает научную фантастику. Хорошо. Подождем его. Вот он отошел к другой полке, к третьей…
— Извините, — шепчу я на ухо, — а где тут научная фантастика?
— Да вон там.
— Да где же?
— Идите сюда, покажу.
Хороший контакт у меня получился только на третий вечер.
— Что-нибудь про космонавтов? Про Циолковского?
— Да это вот тут.
— Где?
— Идите сюда, покажу.<
/i>”

Развитие:
В библиотеке нельзя говорить громко, да и вообще разговаривать не принято. Поэтому я слушал его на заснеженной поляне в лесу, где мы катались на лыжах. В кинотеатре, в который мы ходили смотреть «Укрощение огня», в маленьком кафе, где мы пили пиво.”
«Взлом»:
“Мы сидим в грязной пивной, и я говорю своему другу о том, что бороводородное топливо никогда применяться не будет. Не знаю почему, но он думает, что я работаю в 4-м цехе завода.
Я ему этого никогда не говорил, да и не мог говорить, ибо не знаю, что такое 4-й цех.
Он долго испытующе смотрит на меня:
— Это у вас там, в четвертом, так думают. Знаю я вас, перестраховщиков. Токсичность и взрывоопасность… Это так. Но какие энергетические возможности! Вы там об этом подумали? Токсичность можно снизить, у нас этим 2-й цех занимается. Поверь мне, будет успех, и тогда перед нами необъятные горизонты…”
Отличная работа разведчика, но это лишь описание из художественной книги, пусть даже основанной на реальных событиях. Какие же сейчас доступны «формализованные» методики, которыми могут воспользоваться современные социальные хакеры? На мой взгляд, их стоит разделить на две группы – ориентированные на использование логики и хитрости и психологические техники.
Первая группа технологий существует давно, но наибольшее развитие, на мой взгляд, получает в настоящее время. Родоначальниками направления являются Сунь Цзы и Николо Макиавелли. Первый описал применение социальных технологий в военном искусстве, второй — в политике. Хорошими современными книгами по данной теме являются:
  • “Искусство управленческой борьбы”, Владимир Тарасов;
  • “Игры, в которые играют менеджеры”, Игорь Зорин;
  • “Стратагемы — стратегии войны, манипуляции, обмана”, А.И. Воеводин.
Основой технологии является разработка некоего управляемого сценария (стратагемы), позволяющего достигнуть своей цели.
Приведу цитату, иллюстрирующий применение стратагемы, из книги Владимира Тарасова “ Искусство управленческой борьбы”
Специалист по подавлению забастовок

В начале XX века на фабрике, расположенной в маленьком поселке, произошла забастовка. Дело было зимой. Предприниматель оказался в затруднении: все три возможных решения его по той или иной причине не устраивали.

Пойти навстречу требованиям бастующих. Они выйдут на работу, но выполнение их требований обойдется недешево. И где гарантия, что их аппетиты не возрастут и они снова не забастуют?

Не идти на встречу их требованиям.3ахотя т есть — рано или поздно выйдут на работу. Однако убытки от простоя фабрики, штрафы за срыв поставок и потеря в имидже окажутся слишком велики.

Вызвать полицию, чтобы повязали и увезли зачинщиков забастовки. Остальные испугаются и выйдут на работу. Но кто сеет ветер, пожнет бурю. Кто поручится, что его собственный дом вскоре не запылает?!

Вариант со штрейкбрехерами даже не рассматривался: их неоткуда было взять! Предприниматель решил обрати ться за помощью и пригласил специалиста по
подавлению забастовок. Специалист приехал, погулял по поселку, подышал морозным воздухом и посоветовал: «Если рабочие не хотят работа ть, пусть хотя бы фабрика работает! Пошлите с утра пару человек, пусть зажгут свет, затопят котлы, чтобы окна сияли и дым из трубы валил! А то уж больно унылая картина!» Так и сделали. Рабочие не поняли, что же там на фабрике происходит. Кто- то пошел посмотре ть. И исчез. Второй пошел узнать, куда девался первый, и тоже исчез. А что увидел рабочий, когда пришел на фабрику? Ничего особенного. Просто это было, как праздник. Нечто неожиданное и приятное. Прошелся по двору, прошелся по фабрике. И уж, конечно, — к своему рабочему месту. Осмотрел, все ли на месте, все ли в порядке. Погладил рукоятки станка, попробовал включить. Тело сразу все само вспомнило. Почувствовал, как приятно работа ть… Один за другим рабочие потянулись в ворота фабрики и молча приступили к работе. Забастовка окончилась.”
Что же касается психологических техник, подходящих для использования социальными хакерами, то в их главе стоит нейро-лингвистическое программирование (NLP). Включает в себя массу приемов, мастерское
владение которыми, позволит получить любую информацию от практически любого человека. В основе лежит эриксоновский гипноз. Хорошее описание NLP можно найти в различных книгах Сергея Горина. Также интересные психологические приемы можно найти в книгах по социальной психологии и транзактному анализу.
Враждебное применение социальных технологий и психологических приемов в отношении людей, имеющих доступ к важной информации и рычагам управления в компании, может привести к серьезным последствиям для бизнеса. От таких приемов нельзя защититься с помощью программного или аппаратного обеспечения — необходимо повышать осведомленность наших сотрудников в данном вопросе. На мой взгляд, более менее серьезная программа повышения осведомленности в области информационной безопасности должна предусматривать и проведение соответствующего обучения, по крайней мере, для руководства компании.

Александр Дорофеев (c)

Possibly Related Posts:


Информационная безопасность в Великобритании

3 комментария
Попался на глаза отчет с результатами исследования по информационной безопасности, проведенного в Великобритании коллегами из компании PricewaterhouseCoopers по заказу Department for Business, Enterprise & Regulatory Reform.
Основные результаты исследования:
  • 99% компаний осуществляют резервное копирование критичных данных;
  • 98% компаний используют средства выявления шпионского ПО;
  • 97% компаний осуществляют фильтрацию электронной почты в целях борьбы со спамом;
  • 95% компаний проверяют сообщения электронной почты на наличие вирусов;
  • 94% компаний используют шифрование для защиты беспроводных сетей;
  • 55% компаний имеют формализованную политику информационной безопасности;
  • 40% компаний имеют программу повышения осведомленности сотрудников в области информационной безопасности;
  • 11% компаний внедрили ISO 27001;
  • 13% компаний обнаружили факты внешнего вторжения в свою сеть;
  • 9% компаний столкнулись с тем, что их клиенты подверглись фишинг-атакам;
  • 9% компаний столкнулись с фактами “кражи личности” (identity theft) клиентов;
  • 6% компаний сообщили о том, что они выявляли факты утечки конфиденциальной информации;
  • 10% сайтов электронной коммерции не шифруют данные о кредитных карточках клиентов;
  • 21% компаний тратят на ИБ менее 1% от бюджета ИТ;
  • 35% компаний не ограничивают использование мессенджеров;
  • 48% компаний не тестировали планы восстановления деятельности в 2008 году;
  • 52% компаний не проводят формальной оценки рисков информационной безопасности;
  • 67% компаний не используют мер по предотвращению утечки данных через носители информации;
  • 78% компаний, которые столкнулись с фактом кражи компьютеров, не внедрили средств шифрования жестких дисков;
  • 79% компаний не ознакомились с содержанием таких стандартов по ИБ как ISO 27001/27002.
  • 84% компаний не осуществляют контроль исходящей почты на наличие конфиденциальных сведений.

Александр Дорофеев (c)

Possibly Related Posts:


Интерес к хакерам и их технологиям

7 комментариев

Похоже, мир осознает важность защиты своих информационных ресурсов от атак хакеров и в Великобритании и США уже открыто создаются подразделения по борьбе с кибератаками (см. например http://inopress.ru/article/29Jun2009/guardian/cyber.html).

В России же пока можно увидеть возрастающий интерес к технологиям хакеров со стороны обычных граждан: абсолютное количество запросов «как стать хакером?» в период октябрь 2008 — май 2009 довольно сильно возросло, судя по статистике Яндекс.
Сложно оценивать причину роста такого интереса, но можно предположить, что определенный вклад в него был привнесен желанием сотрудников насолить своему
работодателю, закручивающему гайки во время кризиса.
Интересно также, что может найти человек, решивший встать на путь хакера. Это прежде всего:
  • Руководства различной степени адекватности.
  • Сборники на компакт-дисках, содержащие программное обеспечение для взломщиков (стоимость ~ 1000 рублей)
  • Ссылки на печатные книги, наподобие “Как стать хакером: Интелектуальное руководство по хакингу и фрикингу.”
  • Предложения по взлому ящиков электронной почты и сайтов.
В общем, при желании, человек сможет найти то, что ему нужно для реализации своих замыслов, правда столкнется с людьми, желающими на его интересе заробатотать, продав ему бесплатные утилиты за 1000 рублей.

Possibly Related Posts:


Акт Сарбейнса-Оксли и информационные технологии

2 комментария

Акт Сарбейнса-Оксли и информационные технологии

Компаниям, чьи акции продаются на Нью-Йоркской фондовой бирже (NYSE), необходимо соответствовать требованиям акта Сарбейнса-Оксли. Сегодня многие вендоры программного и аппаратного обеспечения говорят о том, что их решения соответствуют требованиям данного акта. Предлагаю разобраться в том, что за требования предъявляет акт Сарбейнса-Оксли к ИТ, и как им можно соответствовать.
История вопроса
Акт Сарбейнса-Оксли был принят в 2002 году после нашумевших скандалов с компаниями Enron, Worldcom и некоторыми другими. Напомню, что в случае с Enron, компания готовила мошенническую отчетность, которую смело подписывали аудиторы из компании “Артур Андерсен”. Для аудиторов история закончилась плохо – компании “Артур Андерсен” больше нет, а ее практики в разных странах разбежались по другим компаниям теперь уже «большой четверки». Акт определяет требования как к аудиторам, так и к компаниям, чьи акции продаются на американской фондовой бирже. Так, например, компания из «большой четверки» не может оказывать определенные консалтинговые услуги своим клиентам по финансовому аудиту, так как потом не сможе независимо оценивать результаты своей же работы.
Параграф 404
Когда речь заходит о требованиях акта к ИТ все вспоминают 404-й параграф документа. Давайте посмотрим на текст оригинала повнимательнее:
«SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.
(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall—
(1) state the responsibility of management for establishing
and maintaining an adequate internal control structure and
procedures for financial reporting; and
(2) contain an assessment, as of the end of the most recent
fiscal year of the issuer, of the effectiveness of the internal
control structure and procedures of the issuer for financial
reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING.—With
respect to the internal control assessment required by subsection
(a), each registered public accounting firm that prepares or issues
the audit report for the issuer shall attest to, and report on, the
assessment made by the management of the issuer. An attestation
made under this subsection shall be made in accordance with standards
for attestation engagements issued or adopted by the Board.
Any such attestation shall not be the subject of a separate engagement.»
Не буду переводить полностью, скажу лишь, что аббревиатура “ИТ” в тексте параграфа даже не встречается. Фактически акт требует от компании создать систему внутреннего контроля за процессами формирования финансовой отчетности и регулярно тестировать ее эффективность и готовить соответствующие отчеты с результатами тестирования. И все.
Откуда же берутся требования к ИТ?
Разбираемся дальше. Фактически акт требует создать контроли (контрмеры) в процессах формирования финансовой отчетности, минимизирующие риски ее искажения. Такие контроли могут быть как ручными (например, подпись руководителя на приказе перед тем как чем-то будет дан ход), так и прикладными в информационных системах (например, замена подписи в виде галочки в соответствующей форме). К прикладным контролям также часто относят функционал систем расчета каких-либо цифр, попадающих, в конечном счете, в финансовую отчетность.
Для того, чтобы этим прикладным контролям можно было доверять нужны эффективные общие ИТ-контроли.
Общие ИТ-контроли для SOX
Фактически, когда мы говорим о соответствии ИТ-контролей требованиям акта Сарбейнса-Оксли, мы подразумеваем, что контроли соответствуют пониманию аудиторов из «большой четверки» о том, какие общие ИТ-контроли должны функционировать в компании. Благодаря такой организации, как ISACA понимание аудиторов из «большой четверки» было формально закреплено в документе IT Control Objectives for Sarbanes-Oxley 2nd Edition (для скачивания потребуется регистрация на сайте ассоциации). В документе есть матрица с иллюстративными контролями, которая по сути представляет собой сильно усеченную версию Cobit. Основными ИТ-процессами, которые должны быть на достойном уровне, являются: процесс внесения изменений в информационные системы, процессы управления информационной безопасностью, процесс управления конфигурациями и т.д. В этом же документе есть иллюстративные прикладные контроли, которые также могут быть полезными.
Как выполнить требования SOX (аудиторов из BIG4) к ИТ?
Алгоритм следующий:
  • Определить какие информационные системы и поддерживающая их ИТ-инфраструктура задействованы в процессах формирования финансовой отчетности. На этом этапе также очень важно пообщаться со своими аудиторами и добиться одинакового понимания этого вопроса.
  • Провести оценку ИТ-рисков для выбранных систем и определиться с контролями по их минимизации. Очень рекомендую использовать перечень контролей из обсуждавшегося выше документа “IT Control Objectives for Sarbanes-Oxley 2nd Edition.”. Особое внимание должно быть уделено контролям, связанным с внесением изменений и управлением доступом.
  • Формализовать выбранные контроли в виде политик и процедур. Воплотить их в жизнь.
  • Определить подход к тестированию контролей. Проводить периодическое тестирование контролей с формальным отчетом на выходе.
Вместо заключения
Таким образом, привести ИТ в соответствие требованиям акта Сарбейнса-Оксли не сложно: алгоритмы понятны, доступно хорошее руководство от ISACA. Заявления же вендоров о том, что их продукты, соответствуют требованиям SOX 404 являются всего лишь рекламным трюком.

Александр Дорофеев (c)

Possibly Related Posts:


Обеспечение непрерывности бизнеса и восстановление после сбоев

9 комментариев
Сегодня многие компании начинают задумываться о планировании непрерывности бизнеса (Business Continuity Planning) и восстановлении после сбоев (Disaster Recovery Planning). Эффективная система управления непрерывностью бизнеса позволит минимизировать денежные потери в случае реализации угрозы прерывания бизнеса. Банковским же организациям необходимо выполнять требования Положения 242-П «Об организации внутреннего контроля». В настоящей заметке я рассмотрю основные этапы создания эффективной системы управления непрерывностью бизнеса и ее организационную структуру.
Как создается система управления непрерывностью бизнеса?
У каждой компании свой путь к эффективной системы управления непрерывностью бизнеса, который зависит от вида деятельности, размера организации, корпоративной культуры и многих других факторов. Рассмотрим основные шаги проекта по внедрению
полноценной системы управления непрерывностью бизнеса.
Шаг 1. Оценка рисков
Первым шагом на пути к обеспечению непрерывности бизнеса является создание в компании процесса по идентификации угроз, которые могут оказать столь негативное влияние на бизнес компании.
Перечень угроз для каждой компании будет индивидуальным, но некоторые угрозы будут актуальны для многих компаний.
Приведу примеры некоторых угроз:
  • недоступность офиса;
  • недоступность датацентра;
  • массовое отравление персонала;
  • и т.д.
После идентификации угроз, проводится оценка рисков (как правило, с помощью наиболее понятного и удобного способа и в результате мы получаем ТОП N рисков, с которыми нужно бороться в первую очередь.
Шаг 2. Оценка влияния прерываний на бизнес и определение требований
На этом шаге решается несколько задач, но разбивать его на отдельные шаги, как правило, нецелесообразно.
Задачами данного этапа являются:
  • определение последствий прерывания процессов;
  • выявление критичных бизнес-процессов;
  • выявление взаимозависимости процессов;
  • определение информационных систем, поддерживающих критичные бизнес-процессы;
  • определение требований бизнеса к целевому времени восстановления системы (RTO – Recovery Time Objective) и целевой точки восстановления (RPO – Recovery Point Objective);
  • определение требований к ресурсам, необходимым для минимального поддержания функционирования процессов (персонал, рабочие станции).
Замечание из практики
Очень часто руководители бизнес-подразделений пытаются завысить критичность процессов своего подразделения. Для того чтобы получить адекватную оценку критичности бизнес-процессов необходимо получить подтверждения оценок от руководителей более высокого уровня.
Также в ходе данного этапа формируются списки критичных сотрудников (20% тех, кто делает 80% работы), что также сталкивается с сопротивлением со стороны руководителей подразделений по понятным причинам.
Шаг 3. Оценка текущего состояния
После того, как мы поняли, какие бизнес-процессы для нас являются критичными и определили требования к информационным системам, необходимо определить, насколько эти требования выполнимы в текущих условиях.
На данном шаге мы получаем информацию о существующих проблемах, что позволит нам в ходе непосредственного планирования определить, какие решения нужно принять для выполнения требований бизнеса.
Шаг 4. Разработка нормативной документации системы управления непрерыностью бизнеса
Для того чтобы наша система управления непрерывностью бизнеса заработала, необходима разработка ряда нормативных документов. На мой взгляд, набор документации по BCP для крупной компании должен содержать:
  • Политику обеспечения непрерывности бизнеса;
  • План действий антикризисного комитета;
  • План PR-отдела по реагированию на кризис;
  • План HR-отдела по реагированию на кризис;
  • Планы обеспечения непрерывности деятельности бизнес-подразделений;
  • План восстановления ИТ после сбоев;
  • Инструкции по восстановлению информационных систем;
  • Общий план обеспечения непрерывности бизнеса и восстановления после сбоев;
  • Схемы рассадки персонала
Детально содержание данных документов я рассмотрю в одной из следующих своих заметок.
Шаг 5. Внедрение контрмер

>

Для повышения устойчивости компании принимают различные решения:
  • договариваются с соседями по бизнес-центру о предоставлении площадей в случае кризисной ситуации;
  • территориально разносят подразделения;
  • выбирают один из офисов в качестве резервной площадки;
  • строят или арендуют резервные датацентры;
  • и т.д и т.д.
В зависимости от требований к целевому времени восстановления может появиться необходимость внедрения различных технических решений, либо настройки существующих в соответствии с требованиями бизнеса.
Обеспечить необходимый уровень устойчивости к сбоям и скорейшее восстановление нам помогут:
  • кластерные решения;
  • виртуализация;
  • системы резервного копирования;
  • сети хранения данных;
  • территориальное разнесение серверов;
  • резервные каналы связи.
Сотрудники должны изучить разработанные планы и знать, что им делать в случае кризисной ситуации.
Шаг 6. Тестирование
После того, как мы определились с угрозами прерывания нашего бизнеса и приняли и внедрили в жизнь соответствующие контрмеры, нам необходимо проверить, насколько все то что мы создали, позволит нам противостоять угрозам в действительности. Для этого необходимо тестирование эффективности принятых мер.
Бывают различные виды тестирования. Можно тестировать только планы, тогда сотрудники собираются в одном помещении и имитируют выполнение действий, которые они бы предприняли в соответствии с планами, а можно устроить боевое тестирование – отозвать партию продукции, остановить работу “боевого” сервера и т.п. Объем и вид тестирования выбираются, исходя из необходимости проверить работоспособность решения/плана и не нанести ущерб бизнесу.
Организационная структура
Для того, чтобы непрерывность бизнеса обеспечивалась, необходимо иметь соответствующую организационную структуру.
В ходе обычного функционирования компании, как правило, выделяется человек (очень редко отдел), который отвечает за поддержание работоспособности системы управления непрерывностью бизнеса (обновление документации, результатов анализа рисков и т.п.). Такого человека часто называют менеджером по обеспечению непрерывности бизнеса. В каждом критичном бизнес-подразделении также назначается координатор, ответственный за поддержание актуальными планов подразделений.
В случае возникновения кризисной ситуации созывается антикризисный комитет, который берет управление компанией на себя для сокращения времени реакции. Для восстановления деятельности создаются специальные команды восстановления, которые и подчиняются антикризисному комитету.
Замечание из практики
Цель создания антикризисного комитета понятна: в случае кризисной ситуации очень важна малая скорость реакции, и поэтому необходимо сосредоточивание власти у довольно малой группы руководителей. Таким образом, если обычно компания управляется десятью директорами, то в случае кризисной ситуации, управление может осуществляться 2-3-мя топ-менеджерами. Понятно, что здесь появляются политические вопросы, в которые консультанты не любят вмешиваться, и иногда антикризисный комитет просто полностью дублирует исполнительный орган управления компании, что, на мой взгляд, не оправдано.
Продолжение следует.

Possibly Related Posts: