Monday, 15 February 2016

«Информационная безопасность и охрана частного пространства: по плану, а не случайно» (и немного "армянского" юмора)

Так выглядит настоящий "киборг"!
Почему забеременеть случайно легче, чем по плану? Потому что в основе случая лежит игра, а в основе планирования – тяжелая работа.

На прошлой неделе завершилась 17-ая ежегодная международная конференция по проблемам информационной безопасности и охране частного пространства, в которой я принимал участие. Девиз конференции этого года: «Информационная безопасность и охрана частного пространства: по плану, а не случайно» отсылает нас к известному фундаментальному принципу открытости архитектуры информационных систем. Этот принцип я обсуждал в статье «Фундаментальные принципы информационной безопасности: принцип открытой архитектуры» (http://pomyslivden.blogspot.ca/2015/07/blog-post_3.html). Вкратце его суть звучит так: секретность не должна быть единственным слоем защиты информационной системы. Организаторы конференции 2016-го года предлагали участникам пообщаться о том, какие еще слои защиты необходимы современным информационным системам.

Этот диалог как бы разбивается на две части: 1) разговор о современных эффективных слоях защиты информационных систем, например о проблемах криптографии или многофакторной аутентификации; 2) обсуждение уязвимостей современных информационных систем и того, насколько эти уязвимости проблематичны и нуждаются в защите. Чтобы немного "разбавить" этот рассказ, я добавил в него несколько своих собственных шуток в стиле "Армянского радио".

В чем отличие информационной безопасности и сыра? Дырки хороши только в сыре!

Общее послание выступающих на конференции по поводу первого пункта сводится к тому, что часто привычные способы защиты уже неэффективны, они не могут более защищать в достаточной мере системы, нуждающиеся в защите. К этой ситуации привела скорость развития современных компьютеров, подчиняющаяся знаменитому закону Мура, согласно которому количество транзисторов, размещаемых на кристалле интегральной схемы, удваивается каждые 24 месяца. Иначе говоря, современные технологии позволяют создавать такие мощные компьютеры, которые запросто могут решать задачи непосильные предыдущему поколению компьютеров. Экзотическим примером, который на устах у всех специалистов по информационной безопасности, является квантовый компьютер. Но таковых имеются пока только единицы в мире (один из них в Британской Колумбии, где я живу). В статьях сообщают, что это действительно мощнейшие машины, способные «сломать» любой самый сложный пароль, раскодировать любой сложности шифрование, которое например поддерживается протоколом https. Пока такие компьютеры редки, но недалек тот день, когда они станут повседневной реальностью.

Речь на конференции шла о том, что любой взломщик может сегодня за небольшие деньги приобрести такое оборудование или программное обеспечение, такую информацию, которая позволит ему проникать внутрь довольно сложных систем, справляться с весьма сложными защитами. Этому взломщику даже не надо быть технически подкованным, ему нужно просто знать какое взламывающее устройство что делает, то есть просто разбираться в рынке.

Бабушка, а почему у тебя такие большие уши? Чтобы перехватывать радио-переговоры охотников, моя девочка!

Примеров очень много. Доступное в открытой продаже 100-долларовое устройство WiFi Pineapple позволяет перехватывать траффик между жертвой и любым Интернет-ресурсом, который жертва открывает на своем компьютере через WiFi связь. Таким Интернет-ресурсом может быть онлайновый банковский счет, электронная почта, электронный кошелек жертвы, и т.д. Воспользуюсь этим случаем и напомню моим читателям никогда не открывать подобного рода ресурсы в точках открытого беспроводного доступа к Интернету, типа кафе (подробнее на эту тему я высказался в статье «О защите мобильных устройств от взлома», http://pomyslivden.blogspot.ca/2014/04/blog-post_3.html). Я однажды присутствовал на презентации этого самого "ананаса", которая меня убедила раз и навсегда держать свой компьютер или смартфон подальше от WiFi!

Или другой пример. Знакомый рассказал, что недавно один из сотрудников его компании обнаружил какой-то неизвестный и очень незаметный переходник, через который его клавиатура была подключена к компьютеру. Никто в офисе не знал откуда взялся этот переходник. Когда служба безопасности проверила это устройство, то оказалось, что это беспроводной «килоггер», который записывает все нажатия клавиш и по радио передает их «на базу». Устройство продается совершенно открыто в Интернете, стоит около 60-ти долларов и предлагается для разъемов нового и предыдущего поколений, а также в разных цветовых решениях. Кто установил устройство, как давно – остается невыясненным. Ясно было одно, оно было установлено для слежки и выполняло свою задачу очень эффективно (судя по отзывам покупателей на сайте компании-производителя).

Таким образом, современным информационным системам нужны мощные и многочисленные слои защиты, чтобы хоть каким-то образом снизить риск взлома этими многочисленными, хитроумными и недорогими устройствами и программами. Такие слои сегодня активно разрабатываются, например, многофакторная аутентификация, когда человек проходит через несколько проверок, прежде чем система откроет ему запрашиваемый доступ. В этом смысле можно вспомнить замораживание доступа к онлайновому кошельку, если введенный пароль неверен три раза подряд в пределах 24 часов; или дополнительные вопросы, которые система предлагает, если доступ к ней происходит в необычных условиях (с нового IP адреса или даже с нового Интернет-браузера).

Подруга, посоветуй, где нынче можно встретиться с настоящим мужчиной? Как где, дорогая, в мужском отделении бани конечно же!

Тема многофакторной аутентификации и современных возможностей взламывать информационные системы очень злободневна, ей было посвящено много докладов и обсуждений. Мое общее впечатление: тема эта очень бурно развивается, в ней происходит много любопытнейших и удивительных открытий и достижений, каждому из которых можно посвятить как минимум статью. Два источника, которые я лично держу в виду регулярно в этом смысле – доклады таких ежегодных конференций, как Def Con (https://www.defcon.org) и Black Hat (https://www.blackhat.com), на которые собираются хакеры и «пентестеры», чтобы обсудить последние достижения в своем деле. Конференции эти очень дорогие и престижные, но о сути многих обсуждаемых проблем можно догадаться через темы докладов. В течение года многие тексты докладов публикуются в открытом доступе, и это очень важное чтение для любого человека, который интересуется проблемами информационной безопасности и охраны частного пространства (почитайте, например, любопытнейший доклад компании «Симантек» о проблемах популярнейших сегодня датчиков здоровья (wearables), http://www.symantec.com/connect/blogs/how-safe-your-quantified-self-tracking-monitoring-and-wearable-tech).

Другая часть обсуждений и докладов конференции была посвящена теме уязвимостей современных информационных систем и того, насколько эти уязвимости проблематичны и нуждаются в защите. Здесь тоже происходит много чего такого, от чего глаза просто на лоб лезут от изумления.

Сынок, если бы у меня в детстве были такие же игрушки, как у тебя, я бы наверно умер от счастья! Как хорошо, папа, что у тебя не было таких игрушек!

Одним из таких моментов была встреча с человеком, который вживил в свой мизинец микросхему (чип). Сделал он это для того, чтобы облегчить себе доступ к информационным системам, которыми он пользуется, например к онлайновому кошельку. Встреча эта подавалась в программе конференции, как встреча с реальным «киборгом», хотя на самом деле «киборг» оказался довольно простым и приятным парнем, и даже как будто с пивным брюшком. Он был совсем непохож на зловещего голливудского Терминатора. "Киборг" довольно эффективно защищал удобства перенесения микросхемы «из кармана под кожу». Согласно его логике, мы все равно ее носим на себе, в смартфоне ли или на кредитной карте, только подкожное хранение этого чипа более надежно, чем карманное. С этим сложно поспорить! Вживление чипа в кожу не прошло бесследно для его мозга: он рассказывал, что когда он проходит через магнитные ворота в магазине или в библиотеке, его мозг воспринимает усиление магнитного поля как некую физическую преграду, которую он ощущает. По его рассказу он как-будто сталкивается со стеной из ваты. Здесь можно спорить о том, что этот парень уже не обыкновенный человек, который магнитное поле чувствовать не должен, а некое новое существо, смесь человека и компьютера, у которого имеются новые мало изученные физические возможности.

Этот пример показывает, что высокие технологии проникают в самую сердцевину нашей жизни. Информационными системами сегодня могут стать предметы домашнего обихода и даже сами люди. У этого нового явления имеется название: «умные» вещи или даже «умные» люди. Благодаря этому симбиозу компьютерным системам открываются наши самые интимные привычки, действия, а частное пространство просто исчезает. Данные, которые записываются и передаются на компьютеры через этот симбиоз, становятся чрезвычайно персональными, например, можно себе представить какими данными оперируют «умные» часы, одежда, холодильники, автомобили и т.д.

К сожалению, хакеры научились взламывать «умные» системы, многие из которых создавались в спешке и практически без оглядки на необходимость их защищать от взлома. Подробно на эту тему я писал в статье «Темная сторона Интернета вещей», http://pomyslivden.blogspot.ca/2014/10/blog-post.html. Ущерб от такого взлома сегодня может быть катастрофическим, стоит вспомнить травматические последствия взлома дистанционных детских мониторов, который еще недавно активно освещался в СМИ.

Кто такие хакеры? Это такие люди, которые не покладая рук трудятся над созданием рабочих мест для сотрудников отделов информационной безопасности и повышением их зарплаты.

Резюмируя эти размышления можно сказать, что современные информационные системы крайне нуждаются в защите, они часто очень уязвимы. Однако тех, кто желает их взломать, очень много, они крайне изобретательны и при нужде быстро объединяются и координируют свои усилия, у многих из них очень темные цели и имеется доступ к большим финансовым ресурсам. Рынок устройств, которые можно использовать для взлома, богат, открыт и доступен для подавляющего большинства людей.

Мы живем в потрясающе удивительные времена, когда перед нами открываются совершенно новые и удивительные возможности. Конференция помогла мне осознать, насколько раздвинулся горизонт этих возможностей, и насколько серьезны риски их использования. Человек-«киборг» признался во время дискуссии, что когда он узнает о какой-то новой доступной технологии, он уже не спрашивает себя «Почему?», в смысле, стоит ли ею пользоваться, типа, этично-неэтично. Ответ здесь таков: технологиями стоит пользоваться потому, что открывающиеся ими возможности позволяют ему быть на шаг впереди остальных и иногда даже эффективно монетизировать этот шаг. В этом смысле разрешено все, что не запрещено. Сегодня «киборг» задает себе вопрос, «Почему бы и нет?», то есть, что мешает ему воспользоваться преимуществами, которые открывает та или иная технология? Эффективная информационная безопасность помогает этому «Почему бы и нет?» свершиться в глобальном масштабе, тогда как ее неэффективность будет всерьез ограничивать наши возможности, все четче разделяя людей на тех, которые «могут», и тех, которые «не могут».

3 comments:

  1. Wearable Warning: IEEE Highlights Top Security Risks For Fitness Trackers
    https://threatpost.com/wearable-warning-ieee-highlights-top-security-risks-for-fitness-trackers/116291/#sthash.6XwGSzSn.dpuf
    As sales of IoT [Internet of Things] devices continue to see year-over-year double digit growth, security experts are urging the wearable industry to put security front and center when it comes to designing fitness tracker hardware, firmware and backend systems. In a report released Wednesday [17th] by the IEEE Center for Secure Design, researchers spotlighted six security red flags for the wearable industry and proposed guidelines for developers to take into account to ensure security figures into how wearable devices are coded. The report, “WearFit: Security Design Analysis of a Wearable Fitness Tracker,” argues poorly designed wearables are a security threat. The IEEE report says the popularity of wearables coupled with the amount of sensitive personal data they collect and share with third-parties make them an attractive target. IEEE’s focus for this report is on fitness trackers worn on the wrist that track heart rate, physical activity, have sensors such as accelerometers and can use a third-party device’s connectivity to upload user data to a centralized server. One of the biggest takeaways is that wearables represent many familiar types of vulnerabilities such as SQL injection, phishing, cross-site request forgery and buffer overflow attacks. “The vast majority of attacks target software systems regardless of the hardware. Whether it’s a wearable, smartphone or cloud application on a backend server, all of these systems use the same software systems,” said Jacob West, chief architect, security products, NetSuite, one of the report’s authors.

    ReplyDelete
  2. Airport Wi-Fi Experiment Reveals “Reckless” Behavior Among Smartphone Users
    http://www.tripwire.com/state-of-security/latest-security-news/airport-wifi-experiment-reveals-reckless-behavior-among-smartphone-users/
    A recent experiment conducted at an airport demonstrates that smartphone users are prone to “reckless” behavior when connecting to public Wi-Fi hotspots. In an effort to demonstrate how at risk people are when they connect to public Wi-Fi, security researchers at Avast Software created three open networks next to the Mobile World Congress (MWC) registration booth at the Barcelona Airport. These networks were given unassuming Service Set IDentifiers (SSIDs) by the researchers, including “Starbucks” and “Airport_Free_WiFi_AENA.” The MWC, which is sponsored by the GSM Association, provides an overview of current developments and trends in the mobile industry worldwide, including ongoing efforts to protect users’ smartphones and tablets.
    After just four hours, the researchers had collected 8 million data packets from more than 2,000 users who had connected to the test networks. Those packets, which were scanned but not stored, revealed a great deal of information about the users. For instance, approximately half (50.1 percent) of those users had an Apple device, compared to those who accessed the hotspots using an Android device (43.4 percent) or Windows Phone (6.5 percent). The researchers were also able to determine the services the users had visited on their devices while connected to the test networks, the kinds of social media applications installed on their phones, and even the identity of the user at the time of the connection. “Many individuals recognize that surfing over open Wi-Fi isn’t secure. However, some of these same people aren’t aware that their device might automatically connect to a Wi-Fi network unless they adjust their settings,” said Gagan Singh, president of mobile at Avast.

    ReplyDelete
  3. http://besttoday.ru/read/8269.html
    Эпоха гаджетов подходит к концу by Kirill Martynov

    В конце апреля один из руководителей Google Сундар Пичай заявил, что эпоха гаджетов подходит к концу. По старинке, мы называем отрасль компьютерной, хотя в действительности фокус все отчетливее смещается в сторону приложений, ориентированных на искусственный интеллект и машинное обучение. Это конец "девайсоцентризма" в том отношении, что вычислительная мощность или бренд вашего смартфона или ноутбука вскоре не будет интересовать никого.

    Гораздо важнее, какими программами AI вы пользуетесь, насколько хорошо они натренированы, и насколько гладко происходит ваше взаимодействие. Вместо жизни, выстроенной вокруг смартфона, мы будем жить вместе с виртуальными помощниками, доступ к которым будет возможен через любой терминал, от традиционных настольных ПК и вплоть до умных очков или гарнитуры, вставленной в ухо. Siri и подобные системы были всего лишь первыми поколением таких приложений.

    Сейчас на огромных серверных фермах все ведущие игроки индустрии исследуют машинное обучение - например, фермы на графических чипах Nvidia обрабатывают экзабайты информации, полученные в результате анализа действий водителей-людей для того, чтобы научить компьютер безошибочно и точно водить автомобили.

    Иными словами, общество еще толком не успело адаптироваться к жизни со смартфоном, не успело выстроить под это работу, семьи и дружеские отношения, как индустрия предлагает новый качественный рывок. И параллельно находятся люди, которые утверждают, что "технологический прогресс замедлился" - в тот самый момент, когда он теперь разворачивается на поле замены/дополнения человеческих мозгов.

    Люди, которые по культурным и экономическим причинам готовы и имеют возможность превращаться в цифровых кентавров, делегировать свою жизнь машинам, и интегрировать AI в повседневную рутину, получат в течение ближайших 10 лет, невероятные преимущества по сравнению со всем остальным населением планеты.

    В это время в России, как обычно, опоздав на 20 лет, кто-то разрабатывает "русской смартфон Йота" - для нас это все еще фронтир. О разработках AI в России давно ничего не слышно. Поезд уходит и, скорее всего, уже ушел.

    ReplyDelete