Человеческий фактор

19/12/2017

Данная статья опубликована несколько лет назад. Что изменилось? А ничего! Поэтому решил опубликовать ее еще раз. Может кому-то наконец-то она поможет?
 
Человеческий фактор
 
Написал и задумался. Ведь сейчас сложно обойтись без поисковых систем, карт, интернет-банкинга или электронной почты. Кроме того, компьютер в современной жизни, особенно благодаря изделиям от Apple, становится показателем статуса.
2012-й вошел в историю как год, когда закончилось господство персональных ПК. Вслед за Apple и Google Microsoft сделал ставку на многообразие устройств: мобильные телефоны, планшеты, набирающие популярность телевизоры с операционной системой. Все эти устройства стремительно вытесняют компьютеры с лидирующих позиций, и все чаще вместо жесткого диска используются облачные хранилища. Широкое распространение получают социальные сети. Однако стоит понимать, что у любой технологии есть оборотная сторона. Все чаще и чаще люди сами заявляют в социальных сетях о том, что находятся в конкретном месте и описывают свою частную жизнь. Общество начинает само за собой следить. Однако стоит понимать, что оперировать можно только той информацией, которой владеешь. А ведь сегодня мы с вами прекрасно знаем, что зачастую рекламная индустрия крайне заинтересована в том, чтобы внушить нам «реальность» в соответствии со своими целями, и нельзя исключать ситуацию взлома системы и подмена информации.
Защита в нагрузку
Мы много и долго говорим, что пользовательский ПК нуждается в защите. А так ли это? Многие ИТ- и ИБ-специалисты, прочитав последнюю фразу, будут удивлены, мол, а как же?! Конечно нужно! А я задам провокационный вопрос: а зачем?
Что сегодня хранит пользователь на своем домашнем ПК? Фотографии? Фильмы, скачанные с ближайшего пиратского сервера? Ворованное ПО? Ведь в большинстве случаев домашние ПК используются для развлечений. Ну попытаются взломать, ну неприятно… Если я не использую интернет-платежи, что мне за вред от банковского трояна? Никакого! Если у меня безлимитный интернет, что мне за вред от червя, живущего на моем ПК? Скорость упала? И что? Пусть себе живет. Вирусы? Ну, заразили, подумаешь… Позову соседа, переставит ОС. Все равно ведь не купил же я ее, в конце концов. Ну упала, и что? В конце концов, поставят бесплатный антивирус. Ну и что, что реже обновляется? Зато ХАЛЯВА!
Все верно. До поры до времени. Не зря ведь говорят, пока гром не грянет, мужик не перекрестится. Вот и бегают потом, кричат, что на ПК была единственная копия диплома! Защита через неделю, а резервной копии нет. SOS! Так и хочется спросить: «А чем же вы думали, уважаемый? Ведь вас предупреждали!» А думали, что пронесет! «Флешки» вставляли вирусные (так на то ж и «флешка», чтобы вставлять!). По Интернету гуляли, порнография потребовалась, кто ж знал, что там вирусов полно! Я ж думал, раз у меня антивирус, то и не страшно. Как какой? Бесплатный! Я ж мало зарабатываю! Обновления ставили? Да нет, у меня ж «винда» пиратская, а вдруг работать перестанет?! Как почему не купил? Говорю же, зарабатываю мало. Помогите! И что самое интересное, помогают. А потом этот же пользователь уверен, что вот Вася (Петя, Маша) — крутой специалист, за бутылку коньяка компьютер починил… И после этого мы хотим, чтобы он о чем-то задумался? А зачем?
И вот тут в полный рост встает проблема BYOD — использование личных устройств на работе. Распространение принципа BYOD — использования сотрудниками личных устройств в рабочих целях — делает рынок средств администрирования мобильных устройств (Mobile Device Management, MDM) одним из самых активных в корпоративных ИТ.
Однако все популярные мобильные операционные системы страдают от ограничений, не позволяющих создать единые для всех стратегии удаленного управления и обеспечения безопасности данных. Такие выводы делают аналитики фирмы Ovum в очередном докладе Solutions Guide: Enterprise Mobile Device Management Vendors. Главной проблемой для ИТ-службы является обеспечение конфиденциальности, целостности и доступности корпоративной информации. Все это накладывает дополнительные требования на пользователя, однако сегодня он ни своими знаниями, ни умениями не успевает за развитием техники. Более того, появление интеллектуальных машин и компьютеров привело к тому, что пользователи начинают к ним относиться как к холодильнику: включил и работает. Правильно ли это? Думаю, нет.
Что имеем — не храним
На одном из форумов на замечание о безопасности и о том, что надо иметь мозги, мне было заявлено, что дело пользователя — включить и работать, а безопасность — это проблема разработчиков. Что тут ответишь? Вот вам несколько примеров, к чему это приводит.
Вспомним UAC (User Account Control) в Windows Vista/7/8. Вроде бы благое начинание — отучить пользователей работать с правами администратора. И сделано неплохо. НО! Первое, что потребовалось пользователям, — отключить UAC! Он, видите ли, мешает работать. Хотя на самом-то деле отнюдь не мешает, а наоборот, способствует более высокому уровню безопасности. Но пользователи не готовы ограничить свои потребности, хотя и требуют надежной защиты. Но так ведь не бывает!
Вспомним другой пример. Не так давно в Интернете прозвучало, что все существующие на сегодня 14-значные пароли Windows можно взломать методом грубой силы (Brute Force) за несколько часов. Вывод? Парольная система ненадежна! Но давайте говорить откровенно. Можно ли заставить пользователя применять пароль длиннее 8–9 символов, и к чему это приведет? Пароли тут же записываются на бумажку, приклеенную к монитору, клавиатуре и т.д. Или службу поддержки тут же начинает лихорадить, поскольку пользователи забывают пароли в массовом порядке. Вывод вроде бы прост — использовать системы многофакторной аутентификации. Но и тут не все так просто.
Разработчик программного обеспечения, компания Siber Systems, известная своим менеджером паролей RoboForm, провела опрос пользователей с целью узнать, как они воспринимают требования информационной безопасности в Интернете и что готовы сделать для защиты конфиденциальных данных. В опросе приняли участие жители разных стран, преимущественно США и Западной Европы. 60% из них выразили уверенность, что интернет-компании безответственно относятся к защите персональных данных своих клиентов. Каждый третий (31%) не доверяет организациям, хранящим данные в облачных сервисах. Почти 30% респондентов сказали, что хотя бы один из их аккаунтов когда-то был взломан. Чаще всего это электронная почта (53%), аккаунт в социальной сети (29%) или счет в интернет-магазине (23%). Не доверяя интернет-компаниям, казалось бы, пользователи должны полагаться на собственные силы в защите конфиденциальных данных. К сожалению, это не является очевидным фактом для большинства. Так, около 80% граждан продолжают пользоваться тем сервисом, где у них был взломан аккаунт, а каждый третий использует одинаковый пароль на работе и дома.
Но самое интересное, что не все пользователи готовы перейти на более защищенные методы аутентификации, если такие доступны на некоторых сайтах в Интернете. Например, если сервис предлагает двухфакторную аутентификацию и присылает дополнительный код на мобильный телефон, то для 13% респондентов такой метод «слишком сложный». Каждый четвертый пользователь (26%) сказал, что у него «нет времени» проходить подобные процедуры.
При этом люди вполне понимают, что подобные техники повышают их безопасность: 42% говорят, что они больше доверяют именно тем компаниям, которые предлагают двухфакторную аутентификацию для дополнительной защиты.
Еще один интересный факт обнаружился при опросе пользователей разных возрастов. Оказалось, что больше половины (55%) респондентов старше 45 лет считают собственным делом защиту персональной информации. А вот среди более молодых граждан, наоборот, больше половины (58%) считают это заботой интернет-компании.
Безопасно или удобно?
По данным недавнего исследования ZoneAlarm, в котором приняли участие 1245 человек, большинство представителей поколения Y (поколение родившихся после 1980 г.) не придают интернет-безопасности должного значения. Только 31% опрошенных считают безопасность важнейшим фактором при принятии решений, связанных с использованием компьютера. В основном же представители поколения Y отдают развлечениям и общению более высокий приоритет по сравнению с безопасностью. Тем не менее, 50% участников исследования отметили, что сталкивались с угрозами безопасности своего компьютера в течение последних двух лет.
Еще интереснее дело обстоит при использовании мобильных устройств. Сегодня существует два подхода к созданию и использованию приложений для смартфонов. Назовем их условно «закрытый» и «открытый». Что я имею ввиду? «Закрытый» — это идеология Apple и Microsoft. Каждое приложение подвергается пристальному анализу. Все приложения можно загрузить только из соответствующего магазина приложений. Сложно? Да! Безопасно? ДА! Конечно, можно сделать джейл-брейк, но это приведет к снижению уровня защищенности. А ведь делают — потому что «так удобней».
Открытый — подход Google. Да, можно загрузить приложения с Google Play, но никто не запрещает загрузить их со сторонних магазинов приложений. Удобно? Безусловно! Приложения публикуются чаще, потому как проверяются реже. Пользователь имеет полный контроль над своим мобильным устройством. К чему это привело? Уже более 30 000 экземпляров вредоносного кода существует для Android. И количество «вредителей» растет и растет.
Какой же вывод? Пока пользователь сам не осознает, что ему нужно самому обеспечивать свою безопасность, большинство технических средств практически бессильны!
Реклама

Сказки о безопасности: Для определения местоположения можно обойтись без геолокации

19/12/2017

http://www.itweek.ru/themes/detail.php?ID=199077

Вчера была вьюга, а сегодня как в насмешку над понедельником утро выдалось солнечным. Так не хотелось идти на работу. Однако несмотря на солнечное утро, день выдался хмурым. Впрочем, таким же было и настроение. Непонятно, что делать с последней просьбой комиссара полиции. Нужно было разобраться, как отследить местоположение преступника. Он не использовал GPS, да и в принципе не пользовался GSM. Когда ему нужно было позвонить, он использовал ближайшую бесплатную Wi-Fi точку и звонил через Интернет. Что делать и как?

— Марк, Рита, может вы подскажете, что делать?

— Шеф, в принципе задача сводится к тому, как на его смартфон заслать нужный троян, который установит нужное нам приложение.

— Погоди, Рита, а разве существует приложение, которое позволит нам отследить его точное местоположение, если на устройстве отключен GPS?

— Конечно существует. Современные смартфоны и планшеты оборудованы огромным количеством датчиков, которые фиксируют множество различных данных, которые мы можем сравнивать с различными внешними источниками, например, топографическими картами, картами погоды, картами Wi-Fi покрытия и т. д. В принципе таких данных достаточно для того, чтобы отслеживать перемещения пользователя.

— Рита, вы гений! Нам нужно в срочном порядке в тестовой лаборатории апробировать такой подход. А что еще можно собирать?

— Давайте попробуем собрать данные об IP-сетях и Wi-Fi подключениях и сверим их с общедоступными базами данных сетей Wi-Fi, а затем нанесем их на карту.

— А если также использовать данные гироскопов, акселерометров и датчиков высоты для определения скорости, направления движения, остановки объекта и текущей высоты? А после этого объединить все и с помощью специального алгоритма определить способ передвижения владельца, например, шел ли он пешком, ехал на поезде, автомобиле или же летел на самолете?

— А причем тут сведения о погоде?

— Можно использовать показания датчиков температуры, влажности и атмосферного давления, сравнивая полученную информацию с отчетами службы прогноза погоды для проверки и подтверждения полученных ранее результатов.

Прошло две недели.

— Что показал эксперимент?

— Точность обнаружения удовлетворительная. Главное, чтобы сторонние сервисы давали правильные данные. А то у нас выйдет как с датчиком погоды. Вспомни, Марк!

— Ага. Карта погоды соврала. А мы два дня думали, что с программой.

— Хорошо. А как заразить, придумали?

— Это самая простая задача. Придумали.

А вы думали, что, отключив GPS, вы станете незаметны? Не обольщайтесь! Исследователи безопасности из Принстонского университета разработали PoC-приложение PinMe, позволяющее отслеживать точное местоположение пользователя, даже если на устройстве отключен GPS. Оно было установлено на трех тестовых телефонах — Samsung Galaxy S4 i9500, Apple iPhone 6 и Apple iPhone 6S. Программе удалось отследить перемещения испытуемых без доступа к данным о геолокации устройств.