Month: September 2015

Каждый хакер желает знать…

Каждый хакер желает знать…

… где сидят фазаны! Кто такие фазаны и где они сидят? Зачем они нужны злобному хакеру?

Большинство хакерских атак начинается не с поиска уязвимостей в информационной системе – это слишком долго и дорого, а хакер – существо с ограниченными ресурсами, в том числе и интеллектуальными. Инцидент в ИБ начинается с социальной инженерии.  Например, оператор буровой платформы знакомится в социальных сетях с симпатичной девушкой, которая присылает ему фото или песенку. Загрузив и открыв файл, в систему попадает специальная программа, которая берет под контроль системы управления буровой платформой (или заводом). Или сотрудник компании открывает рекламный мэйл с предложением хорошей скидки на турпоездку. Или находит на полу флэшку, и радостно втыкает ее в компьютер. И так далее.

Так что же такое “социальная инженерия” (Social Engineering)? Вокруг этого много путаницы, поэтому я решил уточнить это понятие для не только читающей, но и думающей публики. Вот мое определение:  это скрытые манипуляции поведением человека на основе использования социальных навыков и рефлексов человека, персональных особенностей его личности, – с целями, входящими в противоречие с интересами и желаниями объекта манипуляции.

Соответственно, когда мы читаем, что к методам социальной инженерии относится рытье в мусорных корзинах в офисе – не верьте, это не социальная инженерия. Это всего лишь рытье в мусорных корзинах. Так же, как и взламывание замков, проникновение по приставной лестнице на чердак и другие незамысловатые приемы, приписываемые этому искусству. Настоящая социальная инженерия не использует технические и насильственные, равно как и психотропные средства, для вынуждения человека совершать какие-либо действия. Только социальные навыки, особенности личности и рефлексы. Например, как не открыть дверь в офис с кодовым замком человеку, у которого руки заняты огромной коробкой? Социальный навык быть вежливым и помогать просто вынуждает вас сделать это. Сколько раз в своей жизни вы открывали дверь в свой подъезд незнакомому человеку, который нажимал кнопку домофона и ждал ответа?

Именно поэтому социальная инженерия является абсолютным оружием, от которого нет защиты. Чтобы защититься от СИ, нужно отбросить все свои социальные навыки, воспитанные с детства. Но даже если их отбросить (теоретически), станешь невыносимо асоциальным человеком, от которого отвернутся коллеги и знакомые. Можно усовешенствать файерволы и DLP, но усовершенствовать инстинкты человека, созданные тысячелетиями и существующими на уровне сознательных и бессознательных реакций, невозможно.

Вернемся к нашим фазанам. Фазан, как известно, птица полезная, но в то же время недалёкая. Как и наши офисные работники, которые подчас проявляют поразительную наивность, граничащую со слабоумием, доверчивость и беззаботность. Пожалуй, сравнение получилось даже обидным для фазана. Так вот, обитают наши фазаны, как говорят знающие социальные инженеры, где-то ближе к бухгалтерии и близлежащих лугах подразделениях, гда информации побольше и она попитательнее, а сотрудники уж очень консервативны и специализированны.

Как планируется социальная атака, какие особенности личности и социальные навыки используются, а также как их использовать, напишу в следующем посте, если этот почтеннейшая публика найдёт заслуживающим внимания. Сколько лайков – столько слов в следующем посте:)

Advertisements
Внутренний контроль как он есть

Внутренний контроль как он есть

Давеча получил список из 18 пунктов – какие документы я должен представить, потому что одна известная компания хочет заключить со мной договор. Нет, я не оговорился – не я хочу, а они хотят. И поэтому я должен представить кучу документов, ессно, в оригинале, в худшем случае заверенные нотариально копии, не старее трех месяцев: выписку о регистрации, о присвоении кодов ОКПО, бухгалтерские балансы за последние годы и так далее. В списке нет только родословной моей кошки, но это только потому, что они не знают о ее существовании.

Да, забыл сказать, что сумма договора – примерно 100 тысяч рублей. Понятно, что получение всех этих документов обойдется дороже, чем сумма договора, и заниматься этим я не собираюсь. Но в связи с этим подумались две мысли.

Мысль первая: а если бы я представил все-все документы – сколько людей было бы обеспечено работой: их анализом, написанием справок-заключений, согласованиями, совещаниями-решениями, копированиями-сканированиями-пересылками. Стоимость их зарплаты, рабочих мест, соцпакетов-бонусов составила бы под миллион рублей. А что теперь? Простите меня, люди добрые. Не нарочно я.

Мысль вторая. Как же они там, на проклятом Западе, выживают без этих гор документов и согласований? Вот у них безработица почему, все теперь понятно. Чего там работать-то – выписал счет, прислал, оплатили – и все.

По результатам опросов, только 20% российских компаний имеют различные процедуры согласования для различных сумм и типов договоров. Остальные 80% чешут всё под одну гребенку. Все при деле, пот течёт рекой.

А что с эффективностью контроля? А, сами понимаете что, – если затраты на согласование договора превышают сумму договора. Так жить, зарабатывая деньги на рынке, нельзя. А вот попиливая природную ренту, очень даже можно. Так они и жили, долго и счастливо, пока не наступил кризис. В кризис 98 года одна нефтеналивная компания сократила 30% персонала. А потом, когда стало совсем плохо, и нефть стоила по 12 долларов за баррель, еще 50% – от оставшихся. И все стало работать в три раза быстрее. Я наблюдал просветление в головах у оставшихся. И работать стало легче – на содержательную часть работы стало оставаться не 20, а 80 процентов рабочего времени.

А теперь о главном. Контроль – это хорошо. А много контроля – еще лучше. Как говорится, больше контрольных процедур, хороших и разных. По моим наблюдениям, в нормальной российской организации:

– 5% контрольных процедур тупо дублируют друг друга;

– 15% контрольных процедур бессмысленны, если находится в здравом уме и твердой памяти;

– 50% неэффективны (а что такое эффективность?)

Вы даже не поверите, но разработкой контрольных процедур, по всем канонам и скрижалям, должен заниматься менеджмент. При этом никто не интересуется вопросом – а учил ли кто-нибудь его этому. Поэтому, когда приходит аудитор проверять, впору вешать табличку “В пианиста не стрелять, он играет, как умеет”. Странно, возложить на менеджера обязанность ремонтировать сантехнику в своем здании никто не догадался. Что, боитесь, что зальёт? А насчет контрольных процедур не боитесь?

Разработка контрольных процедур как профессия находится примерно на том же уровне, на котором автомобилестроение находилось в начале прошлого века. Тогда каждый автомобиль представлял собой уникальное творение гениального автослесаря. То же самое зрелище представляет собой современная контрольная процедура, которую сваял без отрыва от производства неизвестный менеджер.

Современный автомобиль на 80% состоит из унифицированных узлов, и та же судьба должна постигнуть и контрольные процедуры. Вот об этом – как радикально сократить затраты на контроль за счет унификации контролей и стандартизации их разработки, мы поговорим 8 октября в Перми.

С чего начинается интеллидженс?

С чего начинается интеллидженс?

С картинки в твоем букваре:) На самом деле, меньше пяти процентов профессионалов знают ЭТО СЛОВО. Когда провожу тренинг и спрашиваю, какие виды логических рассуждений вы знаете, наступает тишина. Через пару минут кто-нибудь неуверенно называет дедукцию и индукцию. Дедукция – от общего у частному, индукция – от частного к общему. Все помнят “дедуктивный” метод Шерлока Холмса. А на самом-то деле он совсем и не дедуктивный…

Третий вид логических рассуждений – АБДУКЦИЮ – называют крайне редко. А с изучения абдукции должно должно начинаться образование любого специалиста по проведению расследований и интеллидженс.

В книгах Конан Дойля о Шерлоке Холмсе знаменитый детектив делает заключения из некоторого набора известных ему фактов. Весь фокус в том, что объясняя Ватсону, как он пришел к выводу, Холмс “забывает” сообщить, сколько альтернативных версий (гипотез) он рассмотрел, и как оценил убедительность каждой из них, прежде чем выбрал наиболее вероятную из них.

Первооткрыватель абдукции, американский философ Пирс (Charles Saunders Peirce, 1839-1914) даже не подозревал, что эта логика будет использоваться как основа для создания ЭВМ и современных систем искусственного интеллекта. Что интересно, он был совершенно забыт до 1965 года, когда кто- то откопал его труды. И тут, что называется, понеслось…

Абдукция – это способ рассуждения, когда на основе совокупности фактов выбирается гипотеза, которая из всех альтернативных гипотез лучше всего объясняет эти факты.

Вот цитата из классика:

“Я протянул ему часы, признаться, не без тайного удовольствия, ибо, на мой взгляд, задача была неразрешима, а мне хотелось немножко сбить спесь с моего приятеля, чей нравоучительный и не допускающий возражений тон меня иногда раздражал. Он подержал часы в руке, как бы взвешивая их, внимательно рассмотрел циферблат, потом открыл крышку и стал разглядывать механизм, сперва просто так, а потом вооружившись сильной двояковыпуклой лупой. Я едва удержался от улыбки, когда Холмс, щелкнув крышкой, с разочарованным видом протянул мне часы. – Почти ничего нельзя сказать, – проговорил он. – Часы недавно побывали у мастера. Он их тщательно почистил. Так что я лишен возможности утверждать что-нибудь наверняка. – Вы правы, – ответил я. – Перед тем как попасть ко мне, они действительно побывали у часовщика. Мысленно я упрекнул моего приятеля за то, что он свою неудачу объяснил такой неубедительной отговоркой. Интересно, что можно прочесть по нечищенным часам? – Хотя я и не могу похвастаться результатами, но все-таки я в них кое-что увидел, – сказал он, устремив в потолок отрешенный взгляд. – Если я ошибусь, поправьте меня, пожалуйста, Уотсон. Так вот, часы, по-моему, принадлежали вашему старшему брату, а он унаследовал их от отца. – Вас, конечно, навели на эту мысль буквы “Г. У.”, выгравированные на крышке? – Именно. Ваша фамилия ведь начинается на “У”, не так ли? Часы были сделаны полстолетия назад, инициалы выгравированы почти в то же время. Из этого я заключил, что часы принадлежали человеку старшего поколения. Семейные драгоценности, насколько мне известно, переходят от отца к старшему сыну. Вполне вероятно, что вашего брата звали так же, как вашего отца. А ваш отец, если мне не изменяет память, умер много лет назад. Стало быть, до вас ими владел ваш брат. – Да, пока все правильно, – заметил я. – А что еще вы увидели в этих часах? – Ваш брат был человек очень беспорядочный, легкомысленный и неаккуратный. Он унаследовал приличное состояние, перед ним было будущее. Но он все промотал, жил в бедности, хотя порой ему и улыбалась фортуна. В конце концов он спился и умер. Вот и все, что удалось мне извлечь из часов. Расстроенный, я вскочил со стула и, хромая, зашагал по комнате. – Это, Холмс, в высшей степени некрасиво с вашей стороны. Вы каким-то образом проведали о судьбе моего несчастного брата, а теперь делаете вид, что вам это стало известно каким-то чудом только сейчас. Я никогда не поверю, что все это рассказали вам какие-то старые часы! Это жестоко и, уж если на то пошло, отдает шарлатанством! – Мой дорогой Уотсон, – сказал мягко Холмс, – простите меня, ради Бога. Решая вашу задачу, я забыл, как близко она вас касается, и не подумал, что упоминание о вашем брате будет тяжело для вас. Но, уверяю вас, я ничего не знал о существовании вашего брата до той минуты, пока не увидел часы. – Тогда объясните мне, как вы все это узнали. Ваш рассказ о моем брате соответствует действительности до мельчайших подробностей. – Счастливое совпадение. Я мог только предполагать с той или иной степенью вероятности, но оказалось, что так все и было. – Но это не просто догадка? – Разумеется, нет. Я никогда не гадаю. Очень дурная привычка: действует гибельно на способность логически мыслить. Вы поражены, потому что не видите хода моих мыслей, а мелкие факты для вас не существуют. А ведь именно на них, как правило, строится рассуждение. Вот, например, мой первый вывод – что вашему брату была несвойственна аккуратность. Если вы внимательно рассмотрите тыльную сторону часов, то заметите, что футляр не только в двух местах помят, но и сильно поцарапан чем-то твердым, например, ключом или монетами, которые ваш брат носил в одном кармане с часами. Ясно, что не надо быть семи пядей во лбу, чтобы предположить, что человек, обращающийся с часами, стоящими пятьдесят гиней, таким беспардонным образом, аккуратностью не отличается. Нетрудно также сообразить, что если человек получил по наследству такие дорогие часы, то, значит, и само наследство было не маленькое. Я кивнул, чтобы показать, что слушаю его со вниманием. – В английском ломбарде, когда берут в залог часы, номер квитанции обычно наносят иглой на внутреннюю сторону крышки. Это гораздо удобнее всяких ярлыков. Нет опасности, что ярлык потеряется или что его подменят. На этих часах я разглядел при помощи лупы не менее четырех таких номеров. Вывод – ваш брат часто оказывался на мели. Второй вывод – время от времени ему удавалось поправить свои дела, иначе он не смог бы выкупить заложенные часы. Наконец, взгляните на нижнюю крышку, в которой отверстие для ключа. Смотрите, сколько царапин, это следы ключа, которым не сразу попадают в отверстие. У человека непьющего таких царапин на часах не бывает. У пьяниц они есть всегда. Ваш брат заводил часы поздно вечером, и вон сколько отметин оставила его нетвердая рука. Что же во всем этом чудесного и таинственного? – Да, теперь и я вижу, что все очень просто. И сожалею, что был несправедлив. Я должен был больше доверять вашим исключительным способностям…”

Холмс сказал: “Счастливое совпадение?” Как бы не так… Как мы видим, Конан Дойль либо был не силен в логике, либо одно из двух. Он был современником Пирса, но, разумеется, ничего о нем не знал (интернета в те времена, напомню, не было). Впрочем, гениальному писателю простительно то, что непростительно сегодня профессионалу в области расследований и интеллидженс.

Все, на первый взгляд, просто – у нас есть набор фактов (информации), нужно всего лишь понять: что они означают, что за ними состоит. Вот здесь и “начинается кино”: – а где взять гипотезы (они же версии), которые мы будем оценивать? А как их, собственно, оценивать и сравнивать? А как оценить доказательную ценность фактов, выявить те факты, которые нужно перепроверить? В знании ответов на эти вопросы и умении применять эти знания и заключается наша профессия.

Несложно заметить, что известная методика ACH (анализ конкурирующих гипотез) – не более, чем табличное воплощение абдуктивного анализа.

Цикл непрерывных улучшений (по-ихнему, Кайдзен)

Вшивый – про баню, а я опять про ЦНУ. Еще один кейс из реальной жизни. Покупал давеча в Юлмарте кое-что для жизни. Сразу скажу – лучшая ритейлерная компания на сегодня. Итак, пришел в магазинище, выбрал на экране что надо, оплатил, пошел получать – фигу. Вас здесь не стояло, как говориться. Оказалось, что из-за небольшой недоработки софта разорвалась цепочка необходимых документов. Очень доброжелательные и энергичные ребята-менеджеры, решили проблему минут за пятнадцать, пару раз перезагрузив компьютер, выгрузив базу данных, вручную нашли, чего там не хватает – все чисто по-русски, со смекалкой и матюгами. Я был в восхищении. Вот это класс! Не то что в Европе – чуть что, стоп машина, звоним менеджеру, ждем сервис неделю, принимаем извинения и заверения в искреннем почтении:) Короче, у нас каждый менеджер торгового зала – уже талант, а вдвоем они стоят дивизии китайских хакеров. Но вот что печально. Ребята даже не задумались о том, что завтра будут решать ту же самую проблему (а может быть, это будут не они, но проблема точно осталась). У них не было порыва зафиксировать проблему, выработать предложения по ее решению, организовать ее решение. Всему этому их, к сожалению, не учили. Поэтому на сегодня Юлмарт – лучший ритейлер, а завтра?Kaizen1

2FA – Two Factor Identification: As It Is

2FA – Two Factor Identification: As It Is

Information Security:

Q: May I ask why you advise *not* using two-factor identification? There are a very large way of implementing two-factor. Do you mean a specific implementation, or are you opposed to two-factor in general? I don’t necessarily disagree, but I don’t understand. Curious…

A: Jason, very good question! I am wondering why nobody asked it before? The first reason: password gives you excellent level of security, if system configured to delay more and more after every attempt to login with wrong password. There is no possibility to guess password in reasonable time. But mass service supplier (Google etc) do not use this feature. Why? Interesting question. I configure my systems to block ip after 4 unsuccessful attempts.

The second reason. The only available second factor (“what I have”) is mobile phone. But, mobile identification makes security more weak – a lot of fraud cases show us that it is very easy to cheat the mobile provider to issue new sim-card, then force user to disclose password. Why all US mass service provider made so called “two factor identification” obligatory? Just to simplify spying after you. Now you cannot create fake account and use it. Every user must be accounted in US control system.

The third argument is that some of mass providers really use three-factor identification. For example, gmail service controls your equipment (computer fingerprints) – it is the 3-rd factor “What I am”; as well it controls your geo-location (4-th factor) and immediately blocks login to your account if discover you logging from the new place or from new device. They did not ask your agreement with such policy. They just use it. So, level of security, configured in every mass service access, is very strange: no blocking or waiting after in the process of trying to use different passwords – it is very convenient for password choosing by generation; obligatory use identification with mobile phone – to exclude anonymity; and controlling your fingerprints and location. Looks nice, isn’t it?

Q: Sergey, what is your opinion on 2FA with hard token?

Bob, I consider more reliable when second factor is geolocation, than hard token. Any thing that you have can be stolen or taken by force. I don’t see any meaning in tokens in such cases. Continue reading “2FA – Two Factor Identification: As It Is”

Оценка риска

Событие риска – результат совокупности большого числа известных и, что более важно, неизвестных факторов. К тому же сила влияния этих факторов на событие риска и друг на друга неизвестны. Поэтому оценка риска, хотя бы приблизительно, возможна в двух случаях:
1) у нас есть статистика, мы к тому же предполагаем, что зависимость не меняется во времени – тогда используем статистику; но такие случаи, когда можно использовать статистику, уникальны;
2) у нас есть набор факторов (откуда-то мы его взяли); сила действия каждого фактора (откуда-то мы это тоже взяли) и алгоритм вычисления итоговой оценки риска (мы его тоже туда-то взяли) – тогда мы можем вычислить итоговую оценку риска в неких условных единицах.
Вот, собственно и все возможности. Я бы еще отдельно отметил, что выявление и оценка рисков – это процесс не использования неких математических моделей, а извлечения информации из людей и её анализа.