Сеть и Безопасность: Почем ваша Privacy?!

Дорого ли стоит privacy?! Пустяки, сущие пустяки, особенно если рассматривать этот вопрос с точки зрения возможной оценки ущерба при нарушении privacy. А оценивается он, в свою очередь, не очень высоко: например, в случае с известной компанией DoubleClick, размер выплат составил жалкие 1,5 миллиона долларов в качестве судебных издержек и обязательное изменение правил privacy, которыми руководствуется DoubleClick.

Отношение к privacy остается пренебрежительным до сих пор: в этом крупные корпорации схожи с любым правительством - индивидуальная информация - это один из основных активов в современном мире. Однако в США группа сознательных граждан подала иск в суд с требованием раскрыть планы правительственных агентств по созданию общенациональной системы идентификационных карт. И это, следует заметить, поучительный пример борьбы за свои права, за то, что принадлежит каждому из нас. В противном случае гражданин, потребитель, пользователь всегда будет подмят государством или корпорацией под себя и свои интересы.

Хотя, конечно, не стоит сгущать краски, впрочем, элементы драмы все же присутствуют: в Британии, например, наблюдатели констатируют, что на пользователя уже формируется его электронная карта, где отмечается вся связанная с ним информация - от его электронной переписки до местонахождения. Однако имеют место и позитивные сдвиги: недавно была анонсирована платформа Platform for Privacy Preferences (3P), которая, будучи стандартной для разных сайтов, позволит пользователю контролировать процесс сбора его персональнойинформации через специальные опции браузера. Иными словами, после скачивания и установки плагина он будет знать, на каком сайте и в какой мере собирается его частная информация.

Шифрование. Как бы ни менялись слова, которыми его обозначают, особенно в России, суть прежняя - это один из наиболее эффективных методов защиты данных. И, одновременно, один из методов, наименее "подвластных" контролю третьих сторон. Однако его распространению препятствуют формальные и неформальные ограничения, которые в основном устанавливаются правительствами. Как показало одно из исследований в странах, где криптография находится под некоторым давлением, шифрование развито слабо, а используемые криптосистемы сами по себе слабы и уязвимы.

Так, например, во Франции слабое шифрование посредством технологии SSL используется почти в 40% случаев (в среднем по Европе - 25%), в США - шифрование с "уязвимой" длиной ключа используется в 15,1% случаев. "Уязвимой" считается длина ключа, которая составляет менее 900 бит. Именно это, считают исследователи, является одним из факторов, сдерживающих развитие электронной коммерции. Следует также учитывать тот факт, что ограничения, в том числе на экспорт стойких криптосистем, в США были сняты в 2000 году.

Тем временем технологии не останавливаются: развитие ведется как в традиционных, так и в новых направлениях. И получается, что технологии криптозащиты осваиваются медленнее, чем развиваются технологии криптоанализа. Новый метод факторизации, открытый недавно, позволяет получить ключ длиной 512 бит в течение трех недель с использованием аппаратных средств среднего по западным меркам предприятия.

Конечно, шифрование - достаточно сложная технология для понимания тех людей, которые принимают решения о том, какие методы защиты нужно применять и в какой мере осваивать на это бюджет. А сложность, тем временем, как утверждают некоторые из экспертов, - враг номер один для безопасности. В особенности это касается шифрования с открытым ключом, о котором, например, в России немногие знают, а те, кто делают специальные продукты, редко когда ориентируются на широкие аудитории. Напрашивается вывод: чем больше развиты специфические технологии защиты, тем выше безопасность всей зоны в целом. Обратное говорит только о силе контроля со стороны государства и общей слабости защиты ресурсов. Здесь перед нами всплывает вопрос: что важнее для определенной зоны интересов - безопасность или контроль?!

Что касается других тем, то тема вирусов не может, конечно же, быть нами обойдена. Сначала о фактах. Klez остается лидером среди вирусов в марте: об этом прямо говорит статистика Лаборатории Касперского. Данный вирус лидировал с большим отрывом (59,2%) от своего основного конкурента - BadtranseII (18%). Примечательно, что CodeRed до сих пор находится в горячем списке вирусов, по инерции занимая свое место в десятке. Ему до сих пор есть где развернуться: до сих пор сервера некоторых крупных компаний уязвимы для CodeRed.

Кстати, не обошлось на прошедшей неделе и без массового вируса - червь, названный My Life, распространялся по электронной почте с предложением открыть любительскую картинку из частной жизни. После открытия вирус делал попытку форматирования всех дисков на компьютере. Вот такое заманчивое предложение.

Тем временем исследователи отмечают, что вирусы из года в год становятся сложнее и концептуальнее: например, количество уязвимых мест увеличилось за 2 последних года в 10 раз, а количествоновых вирусов выросло примерно на одну треть. Однако каждый новый удачный массовый червь эксплуатирует разного рода уязвимости для решения разноплановых задач. Неужели от будущих вирусов не будет найдено никакой панацеи?! В это верится с трудом.

Ответ, конечно, будет найден, но будет ли это сделано своевременно - вот в чем вопрос. Проактивные антивирусные технологии две недели назад были представлены переживающей пик общественного внимания Network Associates: новая концепция разрабатываемого продукта под названием ThreatScan была адаптирована под современные условия, в которых вредоносные программы развиваются и распространяются, используя известные дыры и стандартные приемы, что иногда позволит их засечь до начала атаки.

Под конец недели отличился еще один массовый вирус: он максимально широко использовал принципы социальной инженерии и массовые носители, такие, как IRC и IM. Предлагая пользователю бесплатное порно, в случае заражения он использовал машину пользователя в качестве площадки для распространения, соединяясь с чатами и корреспондентами пользователя по переписке. Вирус сам по себе безобиден, хотя то, что он делает, раздражает, отмечают эксперты. А пользователю только и остается - стирать все, что к нему приходит, похожее на вирус.

Как бы то ни было, последние исследования показывают, что события прошлой осени мало чем повлияли на покупку продуктов в области информационной безопасности. То, что это стало одним из поводов наступления на privacy, - это факт. Но в остальном у корпораций превалируют "приземленные" мотивы при покупке специализированного оборудования или программного обеспечения. И имена их известны - это обыденный страх за свою информацию перед хакерами и вирусами.

С другой стороны, исследования также показывают, что почти две трети фирм США терпят финансовые потери в результате проблем и инцидентов, связанных с информационной безопасностью. В свою очередь, ущерб в среднем оценивается в размере 2 миллионов долларов, а это в два раза больше, чем в прошлом году. Лидирующую позицию в структуре инцидентов занимает кража принадлежащих компаниям данных. Исследование также продемонстрировало тенденцию роста внешних атак в сравнении с внутренними источниками угрозы. Маятник покачнулся?!

Новые тенденции также легко заметить в предлагаемых рынку технологиях: недавно, например, несколько известных финансовых компаний подписали соглашения об использовании защищенной системы мгновенного обмена сообщениями (IM). В принципе, до этого в компаниях, работающих с конфиденциальной информацией, всячески ограничивалось использование IM: теперь же они решили задействовать Communicator Hub IM service, который позволит им безопасно сообщаться с партнерами и клиентами. Решения технологически построены на основе SSL- и Java-технологий (работа через java-апплет и защищенный канал), при этом самим компаниям теперь легче управлять и контролировать многочисленные потоки информации, сосредотачиваясь на бизнес-процессах, а не на проблемах безопасности и злоупотреблений среди работников.

Microsoft открывает линию продуктов в области безопасности в связи с проблемами совместимости с гаммой выпускаемой продукции. Уж и впрямь Microsoft не прочь сделать что-нибудь в области безопасности. Хотя дел и так немало: количество дыр и уязвимых мест в программном обеспечении предостаточно - недавно корпорацией был выпущен патч для защиты от вредоносных cookies, которые могли исполнить код локально, т.е. извне после захода на веб-сайт или прочтения письма могла быть совершена несанкционированная и неконтролируемая пользователем операция. Еще одна уязвимость была обнаружена в среде Windows NT, которая позволяла взять под контроль систему.

Microsoft также вновь отличился своей непоколебимой волей "навязывать" пользователю все, что ему угодно: так, недавно был выпущен специальный update для Windows Messenger, который был рекомендован всем пользователям вне зависимости, используют они его или нет. Людям, которые отключали Windows Messenger, все равно нужно было, по мнению и настоянию Microsoft, чтобы он работал в консоле. Но более всего поразила кампания против UNIX, которая очерняла последнюю как закрытую, непонятную, дорогостоящую систему. Самое смешное, что промо-сайт кампании работал под Apache на OpenBSD. Такие резкие ходы, которые направлены против конкурентов, говорят о том, что для Microsoft все методы хороши. Также такие вещи говорят обычно о неважном положении компании на том или ином сегменте рынка. Максимум иронии заключался в том, что после того, как промо-сайт перевели на платформу Windows/ISS, он стал работать некорректно.

В ISS, кстати, в конце недели было найдено и залатано, по разным сведениям, от 8 до 10 серьезных дыр: традиционно одна из них давала возможность атакующему полностью взять контроль над системой в свои руки. Причем Microsoft заявил о данных уязвимостях только после того, как компания выпустила крупный патч, т.е. корпорация твердо следует ей же установленной моде или принципам, кому как угодно.

Более того, в середине недели сторонними экспертами были обнародованы данные о трех уязвимых местах в среде IE, которые распространялись на сферу манипуляции локальными объектами, скриптами и файлами внутри машины пользователя. А ведь Microsoft - это одна из компаний-гигантов, которые обнародовали план по созданию нового стандарта в области передачи шифрованных сообщений.

Что здесь получится, никому не известно, однако факт остается фактом: Microsoft вторгается в зону шифрования. Кстати, в IBM тоже заявили, что планируют разработать технологию шифрования для защиты и контроля любого цифрового объекта от незаконного распространения. Неплохой ход, надо сказать, особенно на фоне не лучших финансовых результатов, связанных с неожиданным уменьшением продаж.

Федеральная Торговая Комиссия США рьяно взялась за мошенничество в Сети: обман в любой форме должен быть пресечен, будь то продажа ненужных лекарств или спам. Впрочем, комиссия действительно быстра на расправу. Она просто делает все, чтобы рекламирующие и продающие что-либо с нарушением закона веб-сайты принудительно закрывались, благо полномочий хватает. Кстати, многие обозреватели отмечают, что для спам-рассылки часто используется сбор частной информации пользователя, а именно специфика его интерактивности.

Здесь, как становится понятно, проблема мошенничества усугубляется еще и нарушением privacy, особенно когда в получаемые письма вкладывается код и тем самым при его активации пользователю можно присвоить "идентификационный номер". Такая коммуникация еще более эффективна, особенно после анализа поведения пользователя до и после получения письма. Однако все это делается за спиной пользователя и почти всегда без его ведома. Так что privacy относительно посещения веб-сайта и e-mail - это немного разные вещи, хотя проблема, очевидно, сопутствует ей одна и та же.

Количество сетевых атак растет, об этой тенденции тебе, читатель, вторят на каждом шагу. А как же насчет преследования хакеров?! Не все так просто, несмотря на позу, которую спешат занять те, кто представляют уголовное преследование: "любой взлом приравнивается к теракту". Судебная система все-таки отталкивается от позиции, что квалификация взлома может быть иной. Поэтому раздутые дела лопаются, как мыльный пузырь: например, в США судья решил, что ущерб в конкретном случае слишком мал, чтобы назвать преступление серьезным. В США даже нашли средства на исследования мотивации хакеров: появилась даже отдельная квалификация "рекреационные взломщики". Вызывает улыбку, но все же это говорит о более детальном изучении природы взломов с психологической точки зрения для того, чтобы подправить социальные и юридические "представления" о них.

Тем временем CERT предупреждает о том, что в будущем усилится тенденция автоматизированных атак, при этом площадки, с которых будет нанесен удар, - это в основном системы IRC и IM, которые помогают сделать массовым и глобальным усилия хакера. Также легко, в случае наличия открытых "мест", задействовать системы P2P - массового обмена распределенными файлами. Именно последнее ставят в упрек системе Kazaa, которая якобы распространяла троянскую программу в своих решениях. При этом есть сведения, что компания-разработчик сознательно вложила вредоносный скрипт в свое программное обеспечение. В целом эксперты указывают на то, что угрозы в Сети будут множиться, при этом источники опасности, например, вирусы будут гибридными, т.е. использующими широкий спектр средств для своего размножения и заражения.

Возвращаясь к старым историям, следует отметить, что eBay весьма просто решила недавно возникшую проблему несанкционированного управления аккаунтами: функция смены пароля аккаунта была убрана. Других компрометирующих безопасность eBay инцидентов пока не было обнаружено. Как говорится, "поживем - увидим". "Это временная мера, - заявили в компании, - но без нее не обойтись, т.к. защищенность наших решений нужно проверить от начала и до конца". И уже с воскресенья наблюдались неполадки и простои в работе eBay: причины данного происшествия так и не выяснены до конца.

Наконец, почти сенсацией завершилась эта неделя: после долгих переговоров и взаимных публичных "уколов" компания McAfee согласилась принять условия Network Associates по покупке оставшегося 25%-го пакета, согласно которым в итоге была предложена цена выше прежней на 15,1%. Теперь одна акция Network Associates приравнивается к 0,73 акции McAfee. Однако последнее слово все равно остается за владельцами самих акций.

Поделиться

Короткая ссылка