Осторожно: вы – на мушке!

На вопросы Executive ответил Андрей Масаловичкандидат физико-математических наук, лауреат стипендии РАН «Выдающийся ученый России», член совета директоров «ДиалогНаука», один из разработчиков интеллектуального поиска Avalanche, в прошлом – подполковник ФАПСИ. Интервью с Андреем Масаловичем состоялось сразу после его выступления в Дискуссионном клубе Executive в июне 2011 года.

Executive: Андрей, тем, что мобильные и прочие устройства собирают данные о пользователях, сегодня никого не удивишь. Поэтому вопрос следующий: а давно ли ведется за нами слежка?

Masalovich.jpgАндрей Масалович: С какого-то момента прекратилась монополия Microsoft и началась – еще до появления гаджетов – конкуренция на рынках массового потребления IT-продуктов и услуг. Выяснилось, что превосходство в этой войне будет на стороне того игрока, кто лучше остальных чувствует массовые предпочтения потребителей. Первоначально конкретный пользователь никого не интересовал, но информацию о нем собирали, для того чтобы ее потом обобщить. Так появились тулбары в браузерах, которые собирали статистику посещений. Первой на этом поймали Google, чей тулбар пересылал с пользовательских компьютеров информацию о перемещениях в Интернете. Вскоре в пользовательском соглашении браузера Google Chrome открытым текстом было сказано, что такие данные передаются и используются компанией в маркетинговых исследованиях.

С приходом и популяризацией гаджетов ситуация обострилась: отслеживать передвижения владельцев стали с помощью мобильных устройств. Их местоположение фиксируется вышками сотовых операторов, даже если аппарат находится в режиме сна. Мало того, появившиеся на айфонах фронтальные камеры фотографируют владельцев без их ведома и отправляют снимки в общую базу Apple. Персональную информацию сегодня сливают чуть ли не все крупные поставщики гаджетов. И даже если вы запретите передачу данных, компании знают, как ее получить другим способом. К слову, накопленные базы используют в качестве инструмента борьбы с терроризмом и не только.

Executive: Но информация часто попадает не в те руки. Расскажите о реальных угрозах.

А.М.: В масштабном плане особую опасность сегодня представляют средства удаленного управления, которые под видом обновлений программ проникают в компьютеры. Такая «маскировка» вражеских вторжений делает любое устройство уязвимым. Только представьте себе, что случится с «Сапсаном», если его система управления обновится и схватит троянскую программу.

Вообще кибервойна началась для меня 25 лет назад. Тогда еще не было Интернета, но существовал CoCom (координационный комитет по экспортному контролю – E-xecutive), который запрещал ввоз в СССР многих технологий, вплоть до дисплеев высокого разрешения. За многими вещами мы ездили сами. Так, для одного трубопровода в Сибири через цепочку посредников закупили управляющее оборудование и соответствующее программное обеспечение, а американцы следили за тем, чтобы СССР не мог приобрести современные средства контроля. Так вот через год работы трубопровода на двух соседних компрессорных станциях одновременно отключился контроль давления. Рвануло так сильно, что спутники нескольких стран засекли запуск ракет.

На уровне отдельного пользователя главной угрозой остаются утечки данных с помощью установки троянской программы, подключения физического устройства (сниффера) и др.

Отдельная тема – банкоматы. Мошеннических схем много. И пудру посыпают на клавиши, и «ливанскую петлю» вставляют, и камеры рядом устанавливают. «Красивая» афера случилась в Лондоне: там поставили «фальшивый» банкомат, который некоторое время полноценно работал – выдавал и забирал деньги, и в итоге получил нехилую базу счетов и паролей. В какой-то момент банкомат исчез.

Executive: И поверь после всего этого в безопасность…

А.М.: Есть только иллюзия того, что кто-то занимается нашей безопасностью. Те же самые антивирусы не способны избавить ваш компьютер от всех видов угроз. На серверах корпоративных сайтов есть документы, в которых прописаны права доступа к той или иной папке, так вот антивирусы их не проверяют. А хакеры прежде всего ищут эти файлы.

Более чем от половины угроз можно защититься элементарными «средствами гигиены»: например, регулярно (раз в месяц) менять пароли, делать их длинными и стойкими. Стандартная ошибка – указывать в качестве пароля набор цифр (телефон, номер ICQ, дата рождения), фамилию, фразу «qwerty» и т.д. Идеальным будет сочетание заглавных и строчных букв, цифр и специальных символов. Ни в коем случае нельзя пользоваться одним паролем на нескольких сайтах. Вы не представляете, насколько часто интернет-пользователи, допуская такую ошибку, попадаются на удочку злоумышленников.

Executive: Андрей, выступая на встрече Дискуссионного клуба Executive, вы сказали, что сегодня бизнесом движет бесконечная война. Какое место в ней занимает конкурентная разведка?

А.М.: Разведка отвечает на вопрос «Зачем?» Зачем конкурентам собирать информацию о вашей компании? Прежде всего, для того чтобы нанести атаку по ее репутации. Разведчики целенаправленно охотятся за подробностями личной жизни руководителей и признаками противоправной деятельности компании. Именно поэтому информация о репутации должна быть спрятана лучше всего.

Также под прицелом разведки – информация о тендерах и транзакциях как реальных показателях деятельности компании, ее клиентские базы. В последнем случае возникает еще одна угроза – внутренняя: гораздо проще получить эти данные, подкупив или переманив сотрудников. Вообще в последнее время конкуренты активнее привлекают методы воздействия на людей – вербовку, провокацию и т.д.

Чем меньше информации о компании в Интернете, тем лучше. В маркетинге даже есть такое понятие, как «лендинг-пейдж» – страница «приземления». Не нужно делать сайты, достаточно завести одну страницу с адресом компании, историей успеха, прайс-листом и регистрационной формой для обратной связи.

Тем компаниям, которые выложили в Интернет большой объем информации, необходимо построить политику безопасности: провести инвентаризацию всех активов компании, определить объекты защиты, виды угроз, факторы риска, назначить ответственных. В итоге должен получиться документ, в котором все это будет зафиксировано.

Executive: Утечки – еще одна головная боль для российского бизнеса. Каков процент компаний защищен от этого?

А.М.: В отчете McAfee написано, что 7-8% компаний могут защитить свою конфиденциальную информацию. Берусь это оспорить, потому что сам отчет конфиденциален, и я могу показать, как до него добраться. Из российских игроков такими исследованиями занимается компания Натальи КасперскойInfowatch, и в ее последнем отчета была другая цифра – 2%. В моей же практике – 0%. За все время, что я провожу аудит утечек, мною ни разу не было подписано заключение «Утечек не обнаружено», хотя среди клиентов есть и спецслужбы. Поэтому никто не застрахован. То, что мы наблюдаем сегодня, назвать техническим противодействием мало. Скорее, это жесткая психологическая борьба, в которую включаются профессиональные разведчики. Человек, который охотится за вашими данными на аутсорсинге, мотивирован: его зарплата начинается от 40 тыс. руб. в день.

В компании эту функцию должна выполнять контрразведка, которая работает под прикрытием другого подразделения компании – например, отдела аналитики или маркетинга. Ее задача – отыскать врагов и друзей. И чем лучше контрразведка работает, тем больше у вашей компании обнаруживается врагов. На деле же получается так, что вся ответственность лежит на службе безопасности. Это неправильно.

Фото: pixabay.com

Расскажите коллегам:
Эта публикация была размещена на предыдущей версии сайта и перенесена на нынешнюю версию. После переноса некоторые элементы публикации могут отражаться некорректно. Если вы заметили погрешности верстки, сообщите, пожалуйста, по адресу correct@e-xecutive.ru
Комментарии
Николай Романов Николай Романов Нач. отдела, зам. руководителя, Люксембург
>Как выйти из нее победителем? Увы, ответ на этот вопрос так и не прозвучал. Ни от стипендиата, ни от бывшего подполковника. Все очень и очень слабо. Причем, слабо даже в сравнении с тем уровнем, который на этот счет можно отследить в сети и который представлен в публикуемой литературе на эту тему. >Их местоположение фиксируется вышками сотовых операторов, даже если аппарат находится в режиме сна. Именно поэтому по-настоящему небывалой популярностью в среде бизнесменов и иных не заинтересованных в публичности лиц пользуются сегодня старые телефонные аппараты мобильной связи. В частности, старая продукция компании «Моторола», которая помимо очень хороших характеристик обеспечения связи за счет мощного передатчика и антенны, в силу технических особенностей и установленного на нее ПО не засекается даже самыми современными средствами слежения. Впрочем, касается это практически любых старых аппаратов конца 90-х и начала «нулевых». Сегодня им даже делают тюнингованный корпус и заменяют клавиатуру, оставляя в неизменности саму электронику и математику. Естественно, такие аппараты не позволяют фотографировать и снимать видео, равно как и не обеспечивают множества иных услуг, к которым уже привыкли современные любители мобильных телефонов, у них ерно-белый терминальный экран и простые меню, но режим конфиденциальности, который они гарантируют, компенсирует эти неудобства сторицей. >«Красивая» афера случилась в Лондоне: там поставили «фальшивый» банкомат, который некоторое время полноценно работал – выдавал и забирал деньги, и в итоге получил нехилую базу счетов и паролей. В какой-то момент банкомат исчез. На самом деле, это самый первый и самый старый способ полноценного мошенничества с использованием банкоматов, который не только дожил до наших дней, но и активно процветает и сегодня. И Лондон здесь не при чем, - началось это в США еще в 80-е, когда банкоматы просто крали, привязывая к мощным машинам и буквально вырывая из мест крепления, а затем использовали для сбора данных. Причем, не всегда даже с выдачей наличных. После запуска карточки и ввода пароля банкомат честно выдавал сообщение, что операции с него не проводятся в силу технических причин и отдавал карту обратно. При этом, вся необходимая информация накапливалась в его базе данных. >На серверах корпоративных сайтов есть документы, в которых прописаны права доступа к той или иной папке, так вот антивирусы их не проверяют. А хакеры прежде всего ищут эти файлы. Обычно, при грамотно построенной сетевой архитектуре публичные серверы никогда не сообщаются со служебными серверами. Т.е. можно сколько угодно долго и успешно взламывать такие публичные серверы, но в итоге ничего не добиться. Естественно, в современном бизнесе, где основной упор делается на службу «он-лайн заказов» и «он-лайн обслуживания» через ресурсы локальных или глобальных компьютерных сетей часто нечто подобное оказывается невозможным. Но и здесь тоже вопрос решается путем разобщения доступа к ресурсам вплоть до их физического размещения на разных машинах, не сообщающихся друг с другом. Также в очень большом почете сегодня оказывается старое программное обеспечение, которое сегодня на современных машинах уже никто не использует и с которым уже никто не помнит, как работать в части его особенностей. >А.М.: Разведка отвечает на вопрос «Зачем?» Разведка в бизнесе и в современном кибер-противостоянии отвечает на три основных вопроса, остающихся неизменными уже несколько столетий. А именно: «Как ? Когда ? Какими средствами ?». Вопрос «Зачем ?» не является приоритетным или даже рассматриваемым за исключением случаев мероприятий по пресечению деятельности конкурентов в области коммерческого шпионажа. >Зачем конкурентам собирать информацию о вашей компании? Прежде всего, для того чтобы нанести атаку по ее репутации. Вот это – действительно глупость. Это самое разрушительное и малопродуктивное направление коммерческого шпионажа. В действительности, основной задачей грамотной построенной системы корпоративной разведки является внедрение в другую компанию таким образом, чтобы не просто заимствовать оттуда некие идеи или наработки, а также быть в курсе всего того, что там происходит, но и исподволь использовать ресурсы этой компании в своих собственных интересах, - например, путем вбрасывания срежиссированных проектов и т.д. Т.е. высший пилотаж такой корпоративной разведки заключается в том, чтобы заставить конкурента полностью или частично работать на себя и в своих интересах. И сделать это так, чтобы он ни о чем не догадывался. А заниматься атаками на репутацию, - да кому такое нужно, когда можно продуктивно использовать, а не разрушать ? >Разведчики целенаправленно охотятся за подробностями личной жизни руководителей и признаками противоправной деятельности компании. Именно поэтому информация о репутации должна быть спрятана лучше всего. Как правило, такой информации вообще не бывает на неких ресурсах, имеющих доступ в сеть. Т.е. для ее хранения обычно используется некий компьютер без выхода в Интернет и даже самой возможности подключения к сети. Даже с использованием старых низкоскоростных модемов. Извлечь из него информацию, равно как и загрузить в него ее можно только вручную. С носителей. Единственный вариант получить такую информацию, - это украсть такой компьютер. Причем, часто самая секретная информация хранится в самом неказистом на вид оборудовании. У знакомых несколько лет назад была такая сиутация, когда «вынесли» все, кроме старого неказистого «Пентиума 133» середины 90-х, «разогнанного» до частоты в 150, на который просто не обратили внимания. Хотя именно в нем и скрывались все основные секреты компании, стоившие вногократно больше, чем все, что было изъято при обыске и конфискации имущества. >Вообще в последнее время конкуренты активнее привлекают методы воздействия на людей – вербовку, провокацию и т.д. Отнюдь не в последнее. Эти методы существуют столько же, сколько существует корпоративный шпионаж. И какого-либо усиления активности в данной облсти в последнее время не намечается и не наблюдается. Причем, «освоены» все основные целевые сегменты воздействия, включая и рядовых сотрудников, через которых гораздо проще собрать необходимую информацию, чем через руководство. И дешевле, и проще, и последствий меньше. В коммерческом шпионаже в реальности используются все без исключения методы классической разведки и получения данных. >Не нужно делать сайты, достаточно завести одну страницу с адресом компании, историей успеха, прайс-листом и регистрационной формой для обратной связи. Причем оформить это в виде *.jpg картинок, а не *.html, выделив под эти цели второстепенную машину, никак не связанную с основным сервером компании. >Человек, который охотится за вашими данными на аутсорсинге, мотивирован: его зарплата начинается от 40 тыс. руб. в день. Но и цена, если его вычислят, тоже немалая. И никакие связи не помогут. Раз провалился, то и отвечай за все сам. Нет, убивать его не будут. В России действует неприятная практика разбивать, плющить или раздавливать такому человеку верхние фаланги пальцев на руках молотком, щипцами или тисками, оставляя его инвалидом. Именно поэтому число таких частных «аутсорсеров» очень невелико, да и то, - скорее, они больше говорят, чем делают. >В компании эту функцию должна выполнять контрразведка, которая работает под прикрытием другого подразделения компании – например, отдела аналитики или маркетинга. Увы. Обычно этим непосредственно занимаются … служба по работе с персоналом, пресс-служба / ”PR”-служба или “GR”. А так, основной груз все равно ложится на службу безопасности компании, которая получает хлеб и за разведку и за контрразведку. >На деле же получается так, что вся ответственность лежит на службе безопасности. Это неправильно. А на ком она должна лежать, чтобы было правильно ? Только на них. Николай Ю.Романов
Председатель совета директоров, Москва
Романов Николай пишет: Причем, слабо даже в сравнении с тем уровнем, который на этот счет можно отследить в сети и который представлен в публикуемой литературе на эту тему...
Бёрд Киви ''Гигабайты власти'' http://dev.answe.ru/sites/default/fil..._power.odt
Николай Романов Николай Романов Нач. отдела, зам. руководителя, Люксембург

Есть и отечественные публикации на эту тему. Очень скучные, очень занудные, часто набранные характерным ''петитом'', во многом позаимствованные из западной практики, на которую их авторы пытаются переложить свой ''советский опыт'', и т.д. Область достаточно хорошо представлена. Но общие рекомендации по ней все равно остаются прежними, что и 30 лет назад. А именно, - подбирать надежных сотрудников, без каких-либо особенно азартных привычек и увлечений, внимательно следить за изменениями в их поведении, а заодно и не использовать компьютеры с публичным доступом в сеть для конфиденциальной или просто служебной деятельности, руководствуясь правилом, что публичная работа в сети - это публичная работа в сети, а работа - это работа.

Николай Ю.Романов
----

Директор по операциям, Москва

Николай, это наверное в первый раз, когда я могу подписаться под каждым Вашим словом :)))

Аналитик, Самара

Если у вас есть что скрывать, рано или позно, всегда найдутся люди кому это будет интересно.
Здесь главное соблюдать баланс между затратами сил и средств на сокрытие информации и ее важостью.

Повторюсь с предыдущей ветки:
''Даже если я или другой участник сообщества поставит себе цель узнать всю подноготную меня или Н.Ю.Р. то это не составит особого труда. Любой новичок из службы безопасности любой компании или нормальный рекрутер сделает это в момент.
Главное, чтобы такой цели не ставили моральные уроды или другие неадекватные люди. Хотя и от них не защитишся.''

CIO, Москва
Слабая статья. Очень ''пахнет'' от нее желанием напугать всех и ненавязчиво ''подтолкнуть'' к сотрудничеству с проффессионалами за 40 тыс в день. Безусловно техническое проникновение в сеть компании может дать возможность многое узнать о ней, но для этого надо еще знать где лежит это ''ценное'' среди гигабайт информационного мусора. Гораздо проще подкупить внутреннего сотрудника. Не очень согласен с тезисом, что бороться с компанией можно через компрометацию ее репутации путем информациооного взлома. Зачем ? Для этого есть журналисты с запросами гораздо ниже 40 тыс в день. Николай Романов
Именно поэтому по-настоящему небывалой популярностью в среде бизнесменов и иных не заинтересованных в публичности лиц пользуются сегодня старые телефонные аппараты мобильной связи. В частности, старая продукция компании «Моторола», которая помимо очень хороших характеристик обеспечения связи за счет мощного передатчика и антенны, в силу технических особенностей и установленного на нее ПО не засекается даже самыми современными средствами слежения.
Вот это я не понял. Местоположение мобильного телефона засекается с помощью 3 базовых станций оператора, которые фиксируют его сигнал. Почему это не работает для старой Motorolы тем более если она имеет ''за счет мощного передатчика и антенны'' ? При чем здесь ПО самого мобильника ? Если предположить, что мобильный пеленгуется или прослушивается с помощью спец антенны, то тем более аппарат с мощным передатчиком тоже должен по идее более легко определяться ?
Владимир Крючков Владимир Крючков Преподаватель, Москва
arc@orgres.ru пишет: Слабая статья. Очень ''пахнет'' от нее желанием напугать всех и ненавязчиво ''подтолкнуть'' к сотрудничеству с проффессионалами за 40 тыс в день.
А по-моему, достаточно актуальная. Просто мы не задумываемся над тем, в какую зависимость попадаем, отказываясь от собственного производства высокотехнологичной продукции. Пример с газопроводом достаточно нагляден. В грузинском конфликте 2008 года наши Грады били по прицелам с 300 м смещением благодаря тому, что прицелы были настроены на координатную сетку GPS, а грузины обучили взвод электронной разведки и просто сместили координатную сетку. Даже если это байка, она заставляет задуматься. Как по-вашему, от хорошей жизни вцепились в полумертвый ГЛОНАСС? А покупка Мистралей и импортных танков - очередная глупость из той же серии. А насчет личных данных - сначала надо что-то представлять из себя, чтобы твоими данными кто-то заинтересовался :D Мы в фирме долго болели ''нелинейными радарами'' и поиском ''жучков'', пока не поняли, что если кто-то наши ''умные разговоры'' пишет полностью, ему можно только посочувствовать 8)
Николай Романов Николай Романов Нач. отдела, зам. руководителя, Люксембург
>Вот это я не понял. Местоположение мобильного телефона засекается с помощью 3 базовых станций оператора, которые фиксируют его сигнал. Пеленгация таким образом в отношении старых телефонов не срабатывает. Она хороша только в отношении нового оборудования. Итоговый треугольник ошибок при пеленгации оказывается настолько большим, что сама идея теряет смысл. Старые аппараты - и тем более, ''перепрошитые'' германского, японского или штатовского производства, - не могут точно быть обнаружены таким образом. Т.е. можно сказать только, что обладатель такой машинки находится где-то на территории города Москвы. В лучшем случае, - если разделить карту города на четыре части, - на уровне какой-то его четверти. Но где именно - увы. Чтобы этого добиться, нужно отслеживать интенсивность сигнала вообще по всем радиостанциям по городу, что реально только в отношении крупных врагов государства. Кроме того, не работает принцип пассивного определения через сигнал. Просто не заложена такая возможность как аппаратно, так и программно в старую технику. Как и многое другое, что используется сегодня для определения с использованием сотовой связи. Определить нахождение такого человека (что он где-то в Москве) можно только тогда, когда он говорит по телефону. Если просто звонить на такой аппарат, а абонент не ''снимает трубку'', определить его нахождение тоже нельзя. Даже с точностью до четверти карты города. В то время как современная техника дает возможности службистам отслеживать перемещения ее обладателя с точностью до метра в любой момент. И еще один момент, - та же старая перепрошитая ''Моторола'' ''Tri-Band'' часто оказывается неслышимой для перехвата сообщений. Номера узнать можно, а что говорили ... - инопланетный язык. Т.е. получается ''белый шум'' или высокий уровень искажения звучания. Что и стало, в частности, причиной того, что ''Моторолу'' в итоге запретили в свое время на российском рынке. Представив это так, что компания якобы ''сама ушла''. Поскольку компания отказалась от предложенного ей российскими органами сотрудничества в области раскрытия конфиденциальности и т.д. применительно к ее продукции и оборудованию. Некоторое время назад на российский рынок была выброшена партия новой продукции этой компании. Но на этом в итоге все и закончилось, поскольку компания упорно придерживается чужого законодательства и на сотрудничество с российскими властями не идет. Вот почему старые модели этой компании сегодня просто на расхват. Даже у скупщиков на электронных рынках не найдете больше, иначе как самые неказистые ''кирпичи''. Но зато бизнес и всякие уважающие себя люди в дорогих костюмах и в дорогих машинах ''шикуют'' тюнингованными аппаратами старого выпуска. И это не случайно. Николай Ю.Романов ----
Аналитик, Самара
Владимир Крючков пишет: А насчет личных данных - сначала надо что-то представлять из себя, чтобы твоими данными кто-то заинтересовался :D
О-тож.
Партнер, Украина
Владимир Крючков, пишет Как по-вашему, от хорошей жизни вцепились в полумертвый ГЛОНАСС? Конечно в военных технологиях лучше быть независимым. Но деньги на их содержание то приходят не только из министерства обороны, а от пользователей. А то получится как в СССР, минобороны скушает весь бюджет. К сожалению, у нас военные товарищи раскручивать коммерческие проекты не умеют. Если я буду выбирать продукт, то выберу с названием GPS, а не ГЛОСНАСС. Не говоря уже об уровне сервиса. В Украине тоже есть гос. проект. Конкурент Visa и т.п. Называется Национальная система массовых электронных платежей (НСМЭП). Вы не поверите, но она так и продвигается. Под брендом ''НСМЭП''. Я помню только удачную маркетинговую историю с космическими носками (или стельками), которые можно носить неделями и не вонять:) и то подозреваю, что это подделка.
Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Россияне стали меньше тревожиться из-за работы

Год назад уровень тревожности россиян по поводу различных возможных проблем на работе был выше.

Уровень счастья напрямую влияет на продуктивность большинства россиян

При этом почти каждый четвертый респондент считает, что их руководитель ничего не делает для счастья сотрудников.

70% россиян отмечают сильное влияние работы на уровень стресса

Наибольший стресс создают строгие дедлайны, внезапные и большие объемы задач, а также собственные ошибки при выполнении задач.