Осторожно: вы – на мушке!

На вопросы Executive ответил Андрей Масаловичкандидат физико-математических наук, лауреат стипендии РАН «Выдающийся ученый России», член совета директоров «ДиалогНаука», один из разработчиков интеллектуального поиска Avalanche, в прошлом – подполковник ФАПСИ. Интервью с Андреем Масаловичем состоялось сразу после его выступления в Дискуссионном клубе Executive в июне 2011 года.

Executive: Андрей, тем, что мобильные и прочие устройства собирают данные о пользователях, сегодня никого не удивишь. Поэтому вопрос следующий: а давно ли ведется за нами слежка?

Masalovich.jpgАндрей Масалович: С какого-то момента прекратилась монополия Microsoft и началась – еще до появления гаджетов – конкуренция на рынках массового потребления IT-продуктов и услуг. Выяснилось, что превосходство в этой войне будет на стороне того игрока, кто лучше остальных чувствует массовые предпочтения потребителей. Первоначально конкретный пользователь никого не интересовал, но информацию о нем собирали, для того чтобы ее потом обобщить. Так появились тулбары в браузерах, которые собирали статистику посещений. Первой на этом поймали Google, чей тулбар пересылал с пользовательских компьютеров информацию о перемещениях в Интернете. Вскоре в пользовательском соглашении браузера Google Chrome открытым текстом было сказано, что такие данные передаются и используются компанией в маркетинговых исследованиях.

С приходом и популяризацией гаджетов ситуация обострилась: отслеживать передвижения владельцев стали с помощью мобильных устройств. Их местоположение фиксируется вышками сотовых операторов, даже если аппарат находится в режиме сна. Мало того, появившиеся на айфонах фронтальные камеры фотографируют владельцев без их ведома и отправляют снимки в общую базу Apple. Персональную информацию сегодня сливают чуть ли не все крупные поставщики гаджетов. И даже если вы запретите передачу данных, компании знают, как ее получить другим способом. К слову, накопленные базы используют в качестве инструмента борьбы с терроризмом и не только.

Executive: Но информация часто попадает не в те руки. Расскажите о реальных угрозах.

А.М.: В масштабном плане особую опасность сегодня представляют средства удаленного управления, которые под видом обновлений программ проникают в компьютеры. Такая «маскировка» вражеских вторжений делает любое устройство уязвимым. Только представьте себе, что случится с «Сапсаном», если его система управления обновится и схватит троянскую программу.

Вообще кибервойна началась для меня 25 лет назад. Тогда еще не было Интернета, но существовал CoCom (координационный комитет по экспортному контролю – E-xecutive), который запрещал ввоз в СССР многих технологий, вплоть до дисплеев высокого разрешения. За многими вещами мы ездили сами. Так, для одного трубопровода в Сибири через цепочку посредников закупили управляющее оборудование и соответствующее программное обеспечение, а американцы следили за тем, чтобы СССР не мог приобрести современные средства контроля. Так вот через год работы трубопровода на двух соседних компрессорных станциях одновременно отключился контроль давления. Рвануло так сильно, что спутники нескольких стран засекли запуск ракет.

На уровне отдельного пользователя главной угрозой остаются утечки данных с помощью установки троянской программы, подключения физического устройства (сниффера) и др.

Отдельная тема – банкоматы. Мошеннических схем много. И пудру посыпают на клавиши, и «ливанскую петлю» вставляют, и камеры рядом устанавливают. «Красивая» афера случилась в Лондоне: там поставили «фальшивый» банкомат, который некоторое время полноценно работал – выдавал и забирал деньги, и в итоге получил нехилую базу счетов и паролей. В какой-то момент банкомат исчез.

Executive: И поверь после всего этого в безопасность…

А.М.: Есть только иллюзия того, что кто-то занимается нашей безопасностью. Те же самые антивирусы не способны избавить ваш компьютер от всех видов угроз. На серверах корпоративных сайтов есть документы, в которых прописаны права доступа к той или иной папке, так вот антивирусы их не проверяют. А хакеры прежде всего ищут эти файлы.

Более чем от половины угроз можно защититься элементарными «средствами гигиены»: например, регулярно (раз в месяц) менять пароли, делать их длинными и стойкими. Стандартная ошибка – указывать в качестве пароля набор цифр (телефон, номер ICQ, дата рождения), фамилию, фразу «qwerty» и т.д. Идеальным будет сочетание заглавных и строчных букв, цифр и специальных символов. Ни в коем случае нельзя пользоваться одним паролем на нескольких сайтах. Вы не представляете, насколько часто интернет-пользователи, допуская такую ошибку, попадаются на удочку злоумышленников.

Executive: Андрей, выступая на встрече Дискуссионного клуба Executive, вы сказали, что сегодня бизнесом движет бесконечная война. Какое место в ней занимает конкурентная разведка?

А.М.: Разведка отвечает на вопрос «Зачем?» Зачем конкурентам собирать информацию о вашей компании? Прежде всего, для того чтобы нанести атаку по ее репутации. Разведчики целенаправленно охотятся за подробностями личной жизни руководителей и признаками противоправной деятельности компании. Именно поэтому информация о репутации должна быть спрятана лучше всего.

Также под прицелом разведки – информация о тендерах и транзакциях как реальных показателях деятельности компании, ее клиентские базы. В последнем случае возникает еще одна угроза – внутренняя: гораздо проще получить эти данные, подкупив или переманив сотрудников. Вообще в последнее время конкуренты активнее привлекают методы воздействия на людей – вербовку, провокацию и т.д.

Чем меньше информации о компании в Интернете, тем лучше. В маркетинге даже есть такое понятие, как «лендинг-пейдж» – страница «приземления». Не нужно делать сайты, достаточно завести одну страницу с адресом компании, историей успеха, прайс-листом и регистрационной формой для обратной связи.

Тем компаниям, которые выложили в Интернет большой объем информации, необходимо построить политику безопасности: провести инвентаризацию всех активов компании, определить объекты защиты, виды угроз, факторы риска, назначить ответственных. В итоге должен получиться документ, в котором все это будет зафиксировано.

Executive: Утечки – еще одна головная боль для российского бизнеса. Каков процент компаний защищен от этого?

А.М.: В отчете McAfee написано, что 7-8% компаний могут защитить свою конфиденциальную информацию. Берусь это оспорить, потому что сам отчет конфиденциален, и я могу показать, как до него добраться. Из российских игроков такими исследованиями занимается компания Натальи КасперскойInfowatch, и в ее последнем отчета была другая цифра – 2%. В моей же практике – 0%. За все время, что я провожу аудит утечек, мною ни разу не было подписано заключение «Утечек не обнаружено», хотя среди клиентов есть и спецслужбы. Поэтому никто не застрахован. То, что мы наблюдаем сегодня, назвать техническим противодействием мало. Скорее, это жесткая психологическая борьба, в которую включаются профессиональные разведчики. Человек, который охотится за вашими данными на аутсорсинге, мотивирован: его зарплата начинается от 40 тыс. руб. в день.

В компании эту функцию должна выполнять контрразведка, которая работает под прикрытием другого подразделения компании – например, отдела аналитики или маркетинга. Ее задача – отыскать врагов и друзей. И чем лучше контрразведка работает, тем больше у вашей компании обнаруживается врагов. На деле же получается так, что вся ответственность лежит на службе безопасности. Это неправильно.

Фото: pixabay.com

Расскажите коллегам:
Эта публикация была размещена на предыдущей версии сайта и перенесена на нынешнюю версию. После переноса некоторые элементы публикации могут отражаться некорректно. Если вы заметили погрешности верстки, сообщите, пожалуйста, по адресу correct@e-xecutive.ru
Комментарии
Директор по операциям, Москва
Цитата: Но зато бизнес и всякие уважающие себя люди в дорогих костюмах и в дорогих машинах ''шикуют'' тюнингованными аппаратами старого выпуска. И это не случайно. Вот поторопился я подписаться под каждым словом ) Любая модель телефона стандарта GSM 900/1800 обнаруживается путем триангуляции с точностью до 300 метров (цифра неточна, приведена для указания порядка значения).
Аналитик, Самара
Мне кажется, вы немного путаете телефонные компании (сотовых операторов), которые могут определить местоположение любой симки во включенном аппарате любой степени навороченности с производителями телефонов, программ и других приблуд для навороченных аппаратов, которые программно отправляют координаты определенного телефона производителю аппарата, тому же пдгнившему яблоку или мелкомягкому через исходящий трафик, например.
Николай Романов Николай Романов Нач. отдела, зам. руководителя, Люксембург

Нет, не поторопились. Все правильно. Но только для новой техники. На ''старье'' это не распространяется. Хотя не исключаю, что ввиду популярности старого оборудования, что-то сделано и на этот счет. В любом случае - это частность.

Николай Ю.Романов
----

Генеральный директор, Новгород
Автор озвучил довольно правильную и интересную мысль: защищаться нужно, прежде всего, от самой службы безопасности. Вот, например, кто сдал Чапман http://www.gazeta.ru/politics/2011/06/27_a_3677345.shtml А вот еще более поучительная история про промышленный шпионаж в Рено: http://auto.mail.ru/article.html?id=33804 Кто обычно возглавляет службы безопасности? Бывшие опера, сыскари и даже кадровики. Чтобы противостоять им, нужно знать больше, чем они. Обычному руководителю это, как правило, недоступно. Чего бы Ельцин достиг без Коржакова? В идеале отдел противодействия промышленному шпионажу и надзора за безопасностью должен возглавлять специалист с богатым практическим опытом ухода от слежки, глубоким знанием СОРМ, администрирования сетей связи (а иначе, как убедиться в безопасности?), BSEE, HS&E… Подобные InfoWotch широко рекламируемые системы, конечно хороши на первый взгляд, но отнимают слишком много ресурсов. Есть значительно более простые и надежные методы надзора за безопасностью, основанные на интеграции видеонаблюдения и других легальных технических устройств. Если же говорить о противодействии, то средства шифрования, которые продаются на рынке, нельзя считать надежными. Существует легальная возможность использования для фирмы собственного программного обеспечения, шифрующего информацию. Способов надежно защитить информацию от утечек на 100% существует множество, но в реальности человеческий фактор приводит к утечкам повсюду. В этом смысле автор нисколько не преувеличил проблему. Вместо использования устаревших телефонов типа Моторолы серьезные руководители используют устройства GSM-трансфера, которые полностью исключают какой-либо контроль за мобильным телефоном руководителя со стороны оператора связи и, разумеется, остальных «братьев», которым операторы сливают информацию. Нужно хорошо представлять себе СОРМ и как он работает на самом деле, а для этого нужно поработать в качестве полноценного оператора связи. Все эти вопросы в России не очень актуальны. Актуальность появляется при выходе на океанские просторы международного бизнеса.
Менеджер по планиров. производства, Украина
Но зато бизнес и всякие уважающие себя люди в дорогих костюмах и в дорогих машинах ''шикуют'' тюнингованными аппаратами старого выпуска. И это не случайно.
Конечно не случайно. Потому что не умеют пользоваться скайпами и прочими такими штуками. Хотя это тоже не гарантия... Просветите зачем нужно знать точное местоположение человека, за исключением случая отправки по этим координатам крылатой ракеты. А разговоры можно прослушать массой других способов. Например поставив в тюнингованный аппарат жучек. Они ж не сами их тюнингуют...
CIO, Москва

это конечно оффтопик, но может кто-то знает как Янедекс карты определяет мое местоположение без наличия GPS на моем компе и т.д. ? Я всегда считал, что они просто юзают сервис операторов, который дают им мои координаты методом триангуляции. Насколько я понимаю этот метод он не зависит от силы сигнала, типа телефона, ПО и т.д.

Владимир Крючков.
По описанному вами случаю проще и СИЛЬНО дешевле нашим войскам тоже ''смещать координатную сетку'' :) хотя надо знать все возможности, чтобы судить о госуд необходимости иметь свой глобальную навигационную систему, возможно она действительно крайне необходима армии.

Менеджер по планиров. производства, Украина
arc@orgres.ru пишет: это конечно оффтопик, но может кто-то знает как Янедекс карты определяет мое местоположение без наличия GPS на моем компе и т.д. ?
по IP адресу скорее всего. Яндекс определяет город же, а не GPS координату.
Менеджер по планиров. производства, Украина

Кстати, недавно узнал о таком методе работы служб - в случае, например, терракта, поднимаются все телефонные переговоры в определенном радиусе с места события и с каждым абонентом работают. Интересно, sms/gprs/3g трафик тоже засекается с привязкой к координатам?

Нач. отдела, зам. руководителя, Московская область

1. Как я понимаю, если телефон своевременно куплен на диком правовом Западе, то у нас он трудноотслеживаемый?
2. Не знаком со стандартами сотовой связи, и в нете этот вопрос не уясню за 5 минут, но подозреваю что:
- термин ''пеленгация'' в данном случае неуместен. Если же да - то существует несколько способов пеленгации (даже по двум станциям), различающихся точностью и требованиями к наличию первоначальной информации.
- связь идёт с ближайшей базовой станцией. При достаточной их плотности (для противодействия помехам в условиях города и обеспечения пропускной способности при большом числе одновременных абонентов) уже неплохой результат даст определение нахождения абонента в радиусе действия базовой станции.
- отслеживается перемещение абонента между соседними базовыми станциями (по крайней мере - говорящего). Что отсюда следует - понятно. Если же это включение телефона - всё равно идет поиск и выбор базовой станции
- при снижении уровня сигнала, телефон показывает это на табло. Самый дилетантский вывод - идёт двусторонний обмен даже в отсутствие разговора (в стиле - запрос-ответ). В противном случае, базовая станция должна постоянно излучать некий уровень сигнала, величина которого и фиксируется. Что энергетически невыгодно.

Особенно хорошо это просматривается в роуминге, при наличии нескольких альтернативных операторов.

Нач. отдела, зам. руководителя, Московская область

''Только представьте себе, что случится с «Сапсаном», если его система управления обновится и схватит троянскую программу.''
Выражаясь языком известных нам лиц - ''дальше статью можно не читать''. Человек говорит о том, чего не знает и в чём не разбирается. Он бы ещё про стратегические ракеты нам напел :) Товарищ держит нас за идиотов или рассчитывает на таких? Какой лопух допустит обновление ПО в таких системах через общедоступные каналы?

''Рвануло так сильно, что спутники нескольких стран засекли запуск ракет'' - из той же серии. Если бы не бывал на объектах СПРН - может и поверил-бы.

''На уровне отдельного пользователя главной угрозой остаются утечки данных с помощью ... подключения физического устройства (сниффера)''. Сниферы - они как правило, программные. И товарищ - снова не в теме.

''Отдельная тема – банкоматы. Мошеннических схем много.'' - и снова детские байки с сайтов для домохозяек :)

''Те же самые антивирусы не способны избавить ваш компьютер от всех видов угроз.'' - хоть одна антивирусная компания обещает панацею?

''Чем меньше информации о компании в Интернете, тем лучше.'' - особенно - для Интернет-магазинов :)

''Тем компаниям, которые выложили в Интернет большой объем информации, необходимо построить политику безопасности: провести инвентаризацию всех активов компании, определить объекты защиты, виды угроз, факторы риска, назначить ответственных. В итоге должен получиться документ, в котором все это будет зафиксировано.'' Типичный подход оперативнника к технической проблеме, в которой он, к тому же - не разбирается! Такие ребята (вы будете смеяться!) заклеивают бумагой с печатями USB-разьёмы на компьютерах, если не в состоянии их отпаять или выкусить кусачками (на оборонных предприятиях).

''Ее задача – отыскать врагов и друзей.'' - вот и квинтэссенция! Вместо вопроза как защитить и предотвратить (Что делать?) - типичное: кто виноват и поиск круга виновных.

Да-с Отметки ''нравится'' 16 человек в Facebook - видать любители детективов от Донцовой :) Сам не читал - но осуждаю! :)

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Исследование: чего ждут российские IT-специалисты от работодателей

Половина сотрудников в IT мечтают о гибриде, но большинство опрошенных вынуждены работать в офисе.

Предлагаемые в России зарплаты выросли на 25% за год

Быстрее всего зарплаты в 2024 году росли у водителей, сварщиков и промоутеров — в 1,5–2 раза.

90% работодателей готовы нанимать неопытных специалистов

Представители бизнеса считают, что перспективные кандидаты, готовые к обучению, могут стать настоящим активом для компании.

Половина россиян оказалась в состоянии выгорания к концу 2024 года

Наиболее распространенные симптомы выгорания — постоянное чувство усталости и раздражительность.