- PVSM.RU - https://www.pvsm.ru -
Неделю назад в нашем инстаграм-аккаунте выступил Ашот Оганесян — технический директор и основатель DeviceLock. Ашот ведет телеграм-канал Утечки информации и уже 20 лет занимается проблемами DLP.
Во время эфира Ашот отвечал на вопросы, которые задавали в комментариях в инстаграм [1] и здесь, на Хабре. Делимся записью и расшифровкой интервью.
***
Меня зовут Ашот Оганесян, я – основатель и технический директор компании DeviceLock. Компания занимается разработкой программного продукта, который предотвращает утечки информации с рабочих компьютеров. Я занимаюсь исследованием самих утечек и веду telegram-канал «Утечки информации».
Могу называть себя экспертом в области утечек информации.
О юридическом ущербе я не могу сказать – я не юрист. Могу точно сказать о репутационной составляющей. Банки – организации, чувствительные к репутационным потерям, а утечка информации в современном мире мало чем отличается от ограбления банка, потому что может привести к потере денег.
После утечки возможно несколько вариантов: прямое мошенничество (выманивание средств с использованием телефонных звонков под видом сотрудников банка с использованием украденных данных), либо склонение владельца данных к установке вредоносного ПО (с помощью аналогичных звонков) для получения доступа к его интернет-банку и снятия денег.
Любой закон имеет смысл тогда, когда есть инструмент для контроля за его соблюдением.
Насколько я знаю, его можно применить, и можно применить санкции, следующие из его нарушения. Но с санкциями у нас не очень хорошо: насколько я помню, там несущественные денежные штрафы (десятки тысяч рублей). Сейчас рассматривается повышения штрафа до полумиллиона, это хотя бы что-то.
Физические лица сегодня не управляют своими персональными данными. Квалифицированные пользователи могут принимать некоторые шаги: генерировать сложные пароли, например, но даже это может быть бесполезным, если оказывается, что они хранятся в открытом или слабохэшированном виде.
Защита осуществляется теми организациями, которые управляют личными данными физлиц. Они предпринимают комплекс технических и административных мер. К примеру, если речь идет о данных, которые хранятся на рабочих местах сотрудником организации, то можно упомянуть DLP-решения: предотвращение утечки с рабочего места.
Для защиты баз данных, хранящихся на серверах, применяется определенный регламент: например, использование пропатченных версий программных решений и периодический аудит систем на предмет наличия открытого доступа, часто открытый доступ возникает просто из-за действий пользователей и админов.
Один из основных источников утечек это инсайдеры — люди, имеющие доступ к информации в силу служебных обязанностей. Обычно утечка возникает из-за неосторожности — например, отправка финансового отчета по почте на неправильный адрес.
Однажды CFO Disney случайно отправил такой отчет журналисту (!), и компания попала под санкции регулятора из-за возможности инсайдер-трейдинга. Умышленные утечки иногда производятся с целью мести, например, сотрудником, которого увольняют; также достаточно часто встречаются случаи продажи данных сотрудниками сотовых операторов и банков в виде баз для «пробива» конкретных лиц или организаций. В целом, инсайдеры производят несколько меньше половины утечек.
Второй сегмент «рынка» утечек – это хакеры. Взлом часто приводит к крайне масштабным утечкам (инсайдеры «сливают» немного данных, обычно это единичные записи, реже — сотни или тысячи записей) всего содержимого БД. Например, взлом производителя социальных игр Zynga привел к утечке сотни миллионов записей. Иногда открытый доступ ко всей базе данных возникает из-за неправильного конфигурирования систем (ElasticSearch, MongoDB, Amazon Bucket) эксплуатантами и администраторами – тогда данные могут быть найдены с помощью специализированных поисковиков (Census, Shodan и т.д.), которыми пользуются как исследователи, так и злоумышленники.
Утечек в неэлектронной форме мы не будем касаться.
Отслеживают. Я периодически выкладываю сводки в telegram-канале: инсайдеров периодически ловят. Правда, это случается достаточно редко, и наказания обычно бывают условными, либо ограничиваются небольшими штрафами.
Но это зависит от ущерба: например, сотрудник сотового оператора, сливший несколько записей, обычно отделывается штрафом, а в серьезных случаях (например, слив данных из Роспаспорта сотрудником полиции) бывают реальные сроки.
Покупают данные в первую очередь мошенники — они используют хорошо обогащенные данные, содержащие финансовую информацию (стоимость – сотни рублей за одну запись). Менее ценные базы используют спамеры. Другой важный сегмент покупателей – это службы безопасности крупных компаний, которые занимаются проверкой контрагентов и персонала (конечно, это тоже незаконно).
Я знаю случай, когда налоговая служба Германии купила данные у хакеров, взломавших швейцарский банк. Это был большой скандал. Я уверен, что это не единичный случай, особенно, если иметь в виду разведывательные и контрразведывательные службы.
Есть и сервисы, которые парсят социальные сети (ВК, Facebook, Telegram). В последнее время появляется много таких баз. Я находил Mongo с парсером GitHub (всех аккаунтов). Обычно это принадлежит маркетинговым агентствам и используется для таргетинга рекламы.
Здесь есть явные нарушения лицензионных соглашений этих сервисов, хотя ничего криминального, наверно, нет, собирается только предоставленная пользователем информация. Самый известный случай здесь это та самая Cambridge Analytica — после этого случая Facebook изменил свою политику, стал прятать телефонные номера и убрал поиск по ним.
Не самый популярный вид баз на черном рынке. Они есть; раньше было много баз американских больниц, в которых системы заражались криптолокерами – они сейчас не только шифруют данные и требуют выкуп, но и сливают; именно американских: криптолокеры часто создаются с программным блоком на срабатывание на территории СНГ. Из наших – я помню, что были сливы данных медстрахования (ОМС, ДМС) по одному из регионов в 14 или 16 году; недавно на Урале арестовали сисадмина больницы, который пытался слить базу ОМС, пользуясь открытым доступом к данным из других больниц.
Лично я не сталкивался. Закрыв счета, я ничего такого не писал: не думаю, что это изменило бы что-либо. Если были подписаны соглашения, дающие согласие на обработку данных партнерами банка, то данные уже были переданы. Я думаю, если случай не принципиальный, можно ничего не делать.
У меня здесь тоже дзен-подход. Все данные уже есть, сбор новых данных не предполагается. Они уже обрабатываются; временами происходят небольшие сливы (я уже упоминал Роспаспорт), но массовых нет. Сливающие инсайдеры отслеживаются и ловятся. Дополнительных рисков и принципиально новых угроз я не вижу. Будет единый вход в систему; возможно, доступ к данным будет у новых людей.
Безопасность – это паразитная область, сама по себе она не представляет ценности. Будем смотреть, какие плюсы будут от существования этой единой базы, и какие средства можно будет потратить на ее защиту. Если ее охранять, как гос. тайну, то к ней ни у кого не будет доступа, и смысла в ее существовании не будет.
РКН закрывает их. Конечно, люди, которые ими пользуются, обходят блокировку. Насчет выбора, то одни и те же никнеймы барыг присутствуют на всех известных форумах. Они размещают посты о продаже (причем платные) максимально широко, часто с покупкой баннеров на первой странице форума. Закрытых площадок, куда ходят спецы для обмена базами, единицы – и в этом случае все они тоже присутствуют на всех этих площадках.
Сначала я занимался программированием, 25-26 лет назад написал DeviceLock – с этого все и пошло. Если много и долго заниматься одной областью, она, конечно, может надоесть, но в какой-то момент ты станешь специалистом.
А где получится использовать фейковые данные? На несерьезных форумах, где репутация не важна – наверно, можно. И на сервисах, которые в будущем будут не нужны, тоже можно. На госуслугах – нельзя, на службах доставки – нельзя.
Большинство – не спасает. Мы достаточно давно, лет 5 назад, заморочились этой темой с DeviceLock, стали партнерами с Citrix, VMWare и Oracle, и начали рассматривать то, что мы назвали Virtual DLP.
Мы ставимся внутрь хостовой машины (на сервер Citrix, например) и внутри сессии, которая пробрасывается на тонкого клиента, мы можем контролировать обмен между виртуальной и реальной средой, в частности, буфер обмена, замапленные на уровне сетевого интерфейса диски, проброшенные устройства с тонкого клиента на сервер (смартфоны и прочее).
Конечно, встает масса вопросов: например, если на одном сервере работает 300-400 человек, и каждого надо фильтровать по контенту, это вызывает большие нагрузки: контентный анализ, особенно распознавание образов – OCR, ресурсоемок. Один из крупных российских банков полностью перешел на Citrix, и мы работаем с ним; несколько сотен сессий держится, идет фильтрация буферов обмена по контенту, не все позволяется перебрасывать между реальной и виртуальной средой.
Есть хакерские группировки, например, kelvinsecteam – которые сливают данные в открытый доступ. Но, как правило, в полностью открытый доступ сливаются только отработанные или несерьезные данные. Это делается для репутации. А «полуоткрытый» доступ, который не за деньги, но пароль не всем дается – это для обмена.
DLP это и есть страховка рисков; по крайней мере, на Западе так считается. Двигатель продаж DLP на американском рынке (где мы присутствовали еще с 96 года, до того, как вышли на российский) – это compliance, соответствие законодательству. Мы узнали, что некоторые клиенты даже не устанавливали купленное “для compliance” DLP годами: это вскрылось, когда произошел серьезный инцидент с кражей данных на CD-дисках.
Надо понимать, что DLP – это не защита от злоумышленников, что бы ни говорили вендоры. Прежде всего, DLP защищает от случайных утечек: большая часть инсайдерских утечек именно случайна. От действительно злонамеренного инсайдера защититься очень тяжело. Если такой злоумышленник – дурак, который со своего рабочего места сливает базу под своим логином, конечно, система все залогирует, но такие дураки встречаются редко. Если слив базы заказывают серьезные люди, все происходит по-другому, и DLP не поможет.
Боятся утюга с паяльником.
Не могу сказать. Дело в том, что, даже если из банка не было громких утечек (замеченных в СМИ или в аналитике), это не означает, что банк защищен лучше всех. Может быть, на него просто не было заказов. На рынке пробивов легко найти данные по всем крупным банкам: клиентов много, сотрудников много, инсайдера найти просто; напротив, пробив по клиенту мелкого банка может оказаться нерешаемой задачей.
Я – приверженец блокировок. Важно, что блокировка не отменяет мониторинга и наблюдения.
Для некоторых протоколов очень сложно реализовать блокировку в реальном времени. Если файлы, записываемые на флешку, проверять легко, то проверять в режиме реального времени замапленные сетевые диски, в том числе для терминальной сессии пробрасываемого диска – гораздо сложнее, как и secret-чаты в Skype; если вендор умеет это делать, то уж задачу мониторинга он решит.
Хорошо, когда DLP-система умеет делать и то, и то: тогда можно, например, изначально включить ее в режиме наблюдения и собирать информацию, а потом – выборочно подкручивать движки и делать запрещения.
Конечно. Вообще, скрины – это большая головная боль. Пробивщики часто предоставляют банковскую информацию именно в виде скринов (не скриншотов, а именно фотографий экрана).
С этим пока ничего не поделать. В этом направлении ведутся разработки: желаемый результат – засекать объекты, напоминающие телефон/фотоаппарат и направляемые на экран, и гасить экран и/или посылать алерт администратору (или писать лог). У нас тоже есть такие наработки.
Еще можно делать вотермарки. Правда, они хорошо работают на скриншотах (и этим пользуются производители игр, например) и часто теряются при фотографировании экрана. Мы стараемся решить эту проблему, но возможности широкого применения вотермарков я пока не вижу.
Самый большой миф – «хакеры через Интернет вламываются в любую систему». Пропагандируется в основном в кино. Хотя он скорее не вредный, а забавный. Фильм «Хакеры» с Анжелиной Джоли — довольной смешной.
Цепочки бывают разные. Есть цепочки для слива баз данных, есть цепочки пробивщиков. Насчет вторых я лучше осведомлен: по ним судебных прецедентов больше.
Меньше всех зарабатывает, конечно, сам инсайдер. Из решений судов и заявлений СК РФ по оконченным расследованиям видно, что суммы инсайдеров получаются смешными. Например, какой-нибудь продавец в салоне связи, который продает телефоны и симки и пополняет счета, за одну слитую выписку биллинга получит всего 300-500 рублей (в особо запущенных случаях их уговаривают на слив «по дружбе»).
Посредники получают явно больше, хотя я не могу сказать точно, сколько, потому что не могу точно оценить этот рынок, он, естественно, черный, и весь спрос находится в приватных сообщениях. Если судить только по предложению, то рынок велик, бизнес прибыльный.
Слитые базы данных (более 20-30 миллионов записей) – это другой разговор. Парсинг Facebook может стоить от сотен долларов до пары биткоинов, это зависит от обогащенности данных. Если содержатся только идентификаторы Facebook и данные из профиля – это дешево (сотни долларов за большую базу в 140+ миллионов записей). Если содержатся email, телефоны (особенно американские) – это дорого. Скорее всего, продает базу сам сливший.
В пробиве существует еще прослойка «хедхантинга» — поиска инсайдеров. Такие рекрутеры занимаются поиском и подбором, в основном – через ВК, используя базы сотрудников банков. Никаких конкретных цифр назвать не могу.
Этого никто не знает. Если какие-то компании предлагают выкладки – не верьте им.
Да, но их тяжело выявлять. Инсайдера поймать проще, потому что можно сделать «контрольную закупку» — пометить запись в базе, заказать пробив этой записи и посмотреть, кто к ней обратился. Поймается какой-нибудь клерк из колл-центра или продавец.
Но тот, кому он сливал, будет существовать только в виде контакта в telegram – такого тяжело вычислить. Я помню только несколько случаев поимки посредника, причем один из них – накрытие ФСБ целой группировки в Ярославле. Группировка занималась широким спектром «услуг», включая оффлайновые – и среди их «услуг», как оказалось, был пробив.
Регулярный аудит информационных систем необходим, особенно сервисам, которые хранят данные пользователей. Это может быть и полноценный pen-testing со взломами, и легкий аудит. Хотя наша компания не занимается pen-testing.
Наш, конечно :)
Могу сказать, что у нас есть определённые минусы – как правило, они касаются аналитики. Мы традиционно сильны во всем, что касается контролей, технологической части. Отстаем по части интерфейсов – иногда руки до них не доходят.
Из продуктов, которые мне понравились, могу назвать DLP от Digital Guardian. Решение дорогое, мультиплатформенное, умеет очень многое.
Конечно, есть и такие, которые я не рекомендую использовать. Не называя конкретных имен, могу сказать: это те, которые выставляют в качестве DLP-систем приложения контроля за действиями пользователя, user activity monitor – запись экрана, кейлоггинг.
Для таких рекомендаций лучше спросить безопасника на стороне клиента. Я мог бы дать поверхностные рекомендации, но от них не будет толка. Я рассматриваю информацию со стороны вендора либо исследователя утечек. В банках далеко все не так просто, как может хотеться технарям.
Не надо бороться с гос. сервисами, они сами кого хочешь заборят :)
Борьба с утечками в их случае идет так же, как и у всех остальных. Основная проблема – персонал: чем больше сотрудников, тем больше потенциальных инсайдеров, и за всеми невозможно уследить. Сколько существует отделений МВД с доступом к Роспаспорту?
В общем, им нужна работа с персоналом и технические меры.
Не запускать ничего, что вам присылают, на реальном хосте. Заведите для этого виртуалку.
Конечно, есть zero-day-уязвимости с возможностью эксплуатации без запуска, но их не так много, и простой стилер, вероятно, не будет их использовать: они для этого слишком ценные. Стилеры почти всегда эксплуатируют что-то давно известное, и многие требуют, чтобы их запустили вручную. Поэтому, если открывать подозрительный PDF или любой другой документ, в котором могут быть скрипты, то только в виртуалке. Ее можно потом просто стереть или восстановить из снапшота.
Небезопасно. Во-первых, их могут найти. Не знаю, как с индексацией у Яндекса и Google, но многие файл-шаринги индексируются поисковиками. Кроме того, это может попросту нарушать Закон о персональных данных.
Как я понимаю, речь идет об обезличенной базе АВТОСТАТ, которую распространяли через торренты с предложением продажи такой же базы, но с личными данными, за биткоины.
Спецы сходятся во мнении, что это база Российского союза страховщиков. Я в этом не разбираюсь, но спецы приводили достаточно правдоподобные, аргументированные объяснения с примерами; они еще и пробили несколько ВИН автомобилей, и те, что не были поставлены на номера, отсутствовали в базе – то есть, база содержала только те транспортные средства, которые получили государственные регистрационные знаки.
Это лучше задавать на нашем форуме или через support.
Следующий прямой эфир пройдет в ближайший понедельник, 15 июня в 20:00.
Руководитель фронтенд-отдела Яндекс.Денег Илья Кашлаков будет отвечать на ваши вопросы в прямом эфире. Эфир пройдет в нашем инстаграм-аккаунте [2].
Задать ему вопрос можно в комментариях к этому посту [3]
1. Илона Папава, Senior Software Engineer в Facebook — как попасть на стажировку, получить оффер и все о работе в компании [4]
2. Борис Янгель, ML-инженер Яндекса — как не пополнить ряды стремных специалистов, если ты Data Scientist [5]
3. Александр Калошин, СEO LastBackend — как запустить стартап, выйти на рынок Китая и получить 15 млн инвестиций. [6]
4. Наталья Теплухина — Vue.js core team member, GoogleDevExpret — как пройти собеседование в GitLab, попасть в команду разработчиков Vue и стать Staff-engineer. [7]
Автор: galimova_ruvds
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/354001
Ссылки в тексте:
[1] инстаграм: https://www.instagram.com/p/CAsgAe5jYIa/
[2] инстаграм-аккаунте: https://www.instagram.com/ruvds_com/
[3] посту: https://www.instagram.com/p/CAsgob3DFz8/
[4] Илона Папава, Senior Software Engineer в Facebook — как попасть на стажировку, получить оффер и все о работе в компании: https://habr.com/ru/company/ruvds/blog/502234/
[5] Борис Янгель, ML-инженер Яндекса — как не пополнить ряды стремных специалистов, если ты Data Scientist: https://habr.com/ru/company/ruvds/blog/503448/
[6] Александр Калошин, СEO LastBackend — как запустить стартап, выйти на рынок Китая и получить 15 млн инвестиций.: https://habr.com/ru/company/ruvds/blog/504532/
[7] Наталья Теплухина — Vue.js core team member, GoogleDevExpret — как пройти собеседование в GitLab, попасть в команду разработчиков Vue и стать Staff-engineer.: https://habr.com/ru/company/ruvds/blog/505480/
[8] Источник: https://habr.com/ru/post/506366/?utm_source=habrahabr&utm_medium=rss&utm_campaign=506366
Нажмите здесь для печати.