НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Этот бой мы уже проиграли…

Владимир Безмалый
22.09.2015 12:15:33

Да-да, речь пойдет о безопасности пользователей. Той самой Consumer Security, о которой так любят говорить и писать. И проблема, увы, в нас самих. Ну кто сегодня готов прекратить играть, развлекаться и всерьез заняться собственной безопасностью? Правильно, НИКТО!
Все благие пожелания разбиваются об элементарное безразличие самих же пользователей.
Обратите внимание, технически изящных атак, направленных на пользователя, все меньше и меньше. Более того, они становятся обыденными, как тараканы на кухне.
Все более технологически простыми становятся атаки drive-by-download. Используются буквально несколько CVE. Большинство злоумышленников переезжают на мошенничество. В мобильном мошенничестве участвуют крупные операторы, получая свой процент от прибыли мошенников. Бороться с мошенничеством им невыгодно. "Зомбируют не хитрыми заклинаниями, а простыми ловушками".
Все чаще для создания новых атак используется реверсивная инженерия обновлений. Т.е. обновление выходит, а затем через некоторое (зачастую продолжительное) время появляется злонамеренное ПО, использующее эту уязвимость, ведь огромное количество ПК и серверов так и не будут «пропатчены». Зачем утруждаться? Ведь можно эксплуатировать обычную человеческую лень!
К проблеме утечек, особенно после заявлений Э. Сноудена, просто привыкли. Сегодня сложно найти телефон, планшет, браузер или ОС, которые не сливают о тебе огромное количество мегабайт информации в реальном времени. Покажите мне интернет-магазин, который не требует от тебя личные данные. Или того хуже – социальные сети, в которых люди фактически сами выкладывают всю свою личную жизнь. Причем делается все это сугубо добровольно. Данных уже скапливается столько, что их сложно хранить и тем более анализировать. "Артели и мастерские берут на работу в основном зомби, и рекламируют зомбирование и жизнь зомби - так проще, не надо думать!"
Главное – развлекаться! Не думать!
Прибыль старых антивирусных компаний падает из-за появления новых, бесплатных продуктов. По большому счету, людям абсолютно все равно, кто и как ловит вредоносное ПО, главное – ХАЛЯВА! Бесплатно!!! Технических гиков в компаниях все чаще заменяют финансовые «гении», для которых основное - это EBIDTA, ROI и курс акций. А какие при этом технологии используются – не важно! Главное, чтобы они были дешевле, а прибыль выше. В результате, старые антивирусы работают медленнее и ловят хуже. "Инструменты для борьбы с зомби всё хуже, неудобнее и дороже".
Мало того, антивирусные компании (в частности AVG) не стесняются заявлять, что они собиработ и продают(!) личные данные пользователей рекламным компаниям. Делается это под благовидным предлогом поддержки бесплатного продукта. Ну да, а кто проверять будет? И как?
Пользователям (в том числе корпоративным) безопасность мешает работать, а "если дать пользователю возможность выбора между танцующими свинками и безопасностью, тот всегда предпочтет танцующих свинок".
Мало того, по данным экспертов Dell SecureWorks, большинство утечек в течение года были вызваны хакерами, которые использовали легитимные инструменты администрирования и похищенные учетные данные. Фактически проводятся атаки на пользователей и ИТ-персонал, а не атаки на программное обеспечение.
Поэтому DLP "в разрыв" включают в основном при проверках. "Власти закрывают глаза на зомби, т.к. они основная рабочая сила".
Главная дырка в безопасности большинства компаний - топ-менеджмент, который действует вне правил. Как это – «я хозяин, я владелец, я зарабатываю деньги, а правила – они для черни, для рабов!» Кто из нас, работающих в ИБ, не сталкивался с этим?
Вывод, который можно сделать, очевиден. Пользователи в их нынешнем состоянии обречены. И любые усилия только продляют агонию.

Комментариев: 33

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

22.09.2015 12:26:29

Цитата
Главное – развлекаться! Не думать!


Одно другому не мешает. Думаю, реальная ценность той самой информации, которую уводят у пользователя, для самого пользователя ничтожна. Ну, узнают все, где я провёл отпуск. И что? При желании это и так можно узнать,без всякого интернета.

22.09.2015 12:29:18

Проблема в том, что пользователь НЕ ПОНИМАЕТ сколько стоит его информация

22.09.2015 12:49:07

Стоит для кого? И может ли он как-то её монетизировать? Ели нет, то она нисколко не стоит, увы.

22.09.2015 12:58:17

Монетизировать вряд ли, а вот как ее могут использовать - давайте попробуем.
Воспользуемся вашим примером. Где отдыхает пользователь.
Сразу же возникает вопрос, мол, и что?
По цене отеля (пуст приблизительно) и места отдыха можно судить об уровне благосостояния. Еще больше скажет с кем он отдыхает. Берем цену отдыха, сравниваем с официальным заработком и вот - готов запрос для налоговой. Не так ли?

22.09.2015 13:39:35

Вроде, так. На что налоговая ответит словами Гоцмана: «Тут надо посмотреть за пол-Одессой» smile:).

Думаю, тех, кто делает реально дорогие покупки (квартиры, яхты, суперкары …) налоговая как-то отслеживает и без информации из сети. А до таких мелочей у неё вряд ли руки дойдут. И все это понимают.

22.09.2015 13:41:19

Все мы рано или поздно становимся интересными, если доживаем конечно

22.09.2015 13:44:26

Для мелочей есть big data smile:oops:

22.09.2015 13:59:01

А если серьёзно. Кризис, ИГИЛ, застройки, идиоты за рулём… ИБ, говорите? Да на 125-м месте это ИБ у пользователя. Увы и ах.

Это как я агитировал бизнес за СПО, когда был молодым и наивным. Проверками лицензионной чистоты стращал. Пока один честный и знакомый предприниматель не сказал мне: «Серёга, я десять лет в бизнесе. У меня уже минимум на три пожизненных с пятью конфискациями, причём это только то, что на поверхности лежит. А ты мне про лицензии тут втираешь» smile:).

22.09.2015 14:15:34

Цитата
Пользователи в их нынешнем состоянии обречены.


Уверен, что это тезис совершенно неверен. Причем, даже не важно, в какой связи он произносится - убранизация, глобальное потепление или ИТ. Потому что он противоречит азбучным законам природы.

Это тезис - из области рассказов и том, что завтра будет Конец Света, а потому сегодня вам нужно нести свои деньги в банк. Причем - не просто в банк, а в тот, хозяином которого является проповедник.

22.09.2015 17:23:27

Могу вас огорчить. Я НИКОМУ и НИЧЕГО не продаю smile:) Так что вы ошиблись. На самом деле я согласен с Голубевым. Пользователям наплевать на собственную безопасность. Потому ...
Да и в конце концов, зачем их уговаривать? Ну не смотрят они за собой. В конце концов кто будет крайним?

22.09.2015 17:58:24

Все мы что-то и кому-то продаем. Я, например, продаю свои тексты (мне за них платит деньги редакция).
Так что я не вижу своей ошибки.
И потом я не говорил тут про вас, я сказал, что это похоже на описанную ситуацию.

Donat Lipkovsky
23.09.2015 11:08:03

Чрезвычайно актуальная статья. Спорить абсолютно не с чем. Можно только дополнять.
Собственно всё, как в обычной жизни - все хотят быть здоровыми, при этом во вредными привычках себя никто ограничивать даже близко не собирается.
Самое обидное, что усиливающиеся "падение нравов" и "разруха в головах" касается не только рядовых пользователей, но ИТ-специалистов и руководителей.
В конторах документ по политике безопасности отсутствует, а если есть есть, то формальный, а если не слишком формальный, то хромает практическая реализация. Руководство или категорически отказывается приобретать лицензионный софт в том числе антивирусные решения, то озаботившись безопасностью начинает приобретать DLP при полном бардаке с мерами безопасности на конкретных рабочих местах. В подавляющем проценте организаций т.с. ИТ-вопросы становятся личной проблемой или системного администратора или начальника ИТ-отдела. Денег у руководства на ИТ-нужды нет, но они всегда находятся в любом количестве на покупку очередной модели нового авто, iPhonа и... прочих атрибутов для себя любимого.
Организационными вопросами стараются подменить технические и наоборот, забывая. что безопасность это всегда комплексный организационно-технический подход.
Понятие BYOD понимают буквально, в рамках расшифровки аббревиатуры, забывая, что в корпоративной среде в балансе безопасности и удобства, приоритет всегда отдаётся безопасности.
Продолжать, пожалуй не буду... грустно.

23.09.2015 18:55:10

Цитата
в корпоративной среде в балансе безопасности и удобства, приоритет всегда отдаётся безопасности.


Ну конечно. Вот наша главная проблема — обобщения. Всех одним миром мазать.

Предпочтение отдаётся тому, что важней на данный момент.

Donat Lipkovsky
23.09.2015 22:21:38

Я поясню про подход к безопасности другими словами.
Безопасности должно быть ровно столько, сколько нужно. Если безопасности много, то это лишняя трата сил и средств. Мало безопасности - вытекающие отсюда проблемы. В любом случае начинают с безопасности. Если, условно, в конкретном месте применения достаточно из общих сил и средств 10% выделить на безопасность, то 90% остаётся, в том числе, на удобства. Но если первоначальные затраты на безопасность определены в 90%, то считайте, что вам достались стоячие места ))).
Всё это определяется в документах по безопасности в самой организации, а они в свою очередь базируются на т.н. "руководящх" документах, о которых часто и правильно пишет Владимир Безмалый.

24.09.2015 09:02:15

Цитата
Безопасности должно быть ровно столько, сколько нужно.


Начато за здравие.

Цитата
В любом случае начинают с безопасности.

Всё это определяется в документах по безопасности в самой организации


И снова глобальное обобщение. В том-то и смысл частного бизнеса, что начинаться он может с чего угодно. Мой личный опыт подсказывает, что 90% СМБ начинаются с желания владельца заработать денег. Если составление документации по безопасности этому способствует, то документация составляется. Если нет, то и никакой документации нет.

Вот, допустим, я, Андрей и Владимир решили немного подзаработать. Сделали свой сайт, зарегили какое-то ЗАО, чтобы рекламодателю было куда платить, и работаем. Организация у нас формально есть. Но, уверен, никакой документации по безопасности у нас не будет первые лет пять точно.

Donat Lipkovsky
24.09.2015 12:50:11

Хе-хе...
Описанный в предпоследнем абзаце принцип организация процесса, называется простым и в то же время емким русским словом - БАРДАК. Именно такой подход и печалит автора исходной статьи.
Что касается заключения, то если вас будет всего трое и среди вас будет Владимир, то я не беспокоюсь за вашу безопасность ))). Тем не менее, как только народец привалит, документики, в каком либо виде, писать придётся, ибо в них определяются не только правила, но и юридическая ответственность пользователей.

24.09.2015 12:54:26

А народец привалит? Это совершенно не очевидно. Вон, огромные банки со всеми положенными инструкциями на все случаи жизни валятся, как карточные домики. А небольшие конторки из 3-5 человек существуют десять лет без всяких внутренних формальностей.

Я это, разумеется, не к тому, что никому не надо никаких инструкций. А к тому, что жизнь — штука разнообразная. Никак к общему знаменателю не приводится. Что, разумеется, печалит журналистов и аналитиков, но тем не менее smile:).

Donat Lipkovsky
24.09.2015 13:18:35

Сергей, если не хотят в организации заниматься безопасностью, как это положено - да ради бога. Вопрос в статье не о том надо или не надо заниматься безопасностью и в какой мере. Автор, как мне показалось, с печалью и досадой описывает существующее положение дел. А так да - хозяин барин.

24.09.2015 13:20:10

И снова вы говорите практически то, о чем я думаю.
Кстати, не только в организации. Берите шире. Существует такой непаханный пласт как домашние пользователи. А вот что там творится....

Donat Lipkovsky
24.09.2015 14:13:27

Когда я поворачиваюсь в сторону т.с. "частного сектора", то моё здоровье начинает подрывать вселенская тоска. Сразу вспоминаю бессмертные слова нашего комбрига "стадо непуганых идиотов". В наше время для меня эта фраза приобрела устойчивы характер, причём, при взгляде не только на сферу ИТ.

24.09.2015 13:58:06

А зачем печаль и досада?

Я останавливаюсь в гостиницах, где нет никакой корпоративной политики ИБ. Я питаюсь в кафе, где нет никакой корпоративной политики ИБ. Я покупаю продукты в крестьянских хозяйствах, никакой корпоративной политики ИБ. И прекрасно себя чувствую.

Поставьте вопрос конкретно. Кому это надо?

Вот кому нужна безопасность моего планшета на Android? Мне? Да мне на это минуту своей жизни жалко тратить, если честно. Что мне грозит в худшем случае? Вирус выведет из строя систему? Восстановлю фабричные настройки и всё. Причём, ничего не потеряю. Книги у меня на облаке лежат, игры на серверах сохраняются (кроме преферанса, но там меня общий счёт не волнует), фотографии на медиаплеере… Зачем мне, простому пользователю (причём, как я надеюсь, довольно грамотному), эта ИБ?

Donat Lipkovsky
24.09.2015 14:28:46

Было бы замечательно, если бы проблемы безопасности ограничивались т.с. личными проблемами. Но получив соответствующий троян, компьютер стандартного неофита, может стать участником распределённой сети таких же горемык, которые невольно примут участие в процессе дальнейшего заражения других компьютеров или различного рода атак на серьёзные корпоративные или государственные структуры. Тут полная аналогия с обычной болезью - то, что вы лично заразитесь и, не дай бог, прикажите долго жить, проблема, в общем-то, ваша личная и ваших родственников, но могут пострадать и окружающие.
А если вы со всем этим свои добром подключаетесь к корпоративной среде, то при отсутствии должного внимание к вопросам безопасности в организации, ваши проблемы станут проблемами обще-корпоративными smile:D
В общем нынче, вопрос личной безопасности, к сожалению, это вопрос личной ответственности и сознательности.

24.09.2015 14:39:32

Цитата
это вопрос личной ответственности и сознательности.


Ну вот, в ход пошли давно забытые советские лозунги smile:).

Но всё верно — пострадают «серьёзные корпоративные или государственные структуры». То есть, это надо в первую очередь им. Так им и флаг в руки. Лично я считаю, что если они объединят усилия, то проблема будет если не решена, то минимизирована.

Но они почему-то не решают. Значит, им тоже не надо. Тогда зачем мне её решать?

Donat Lipkovsky
24.09.2015 14:46:58

Сергей, спокойнее... тут главное, чтобы стандартно пассивное безразличие не перешло в принципиально-активную фазу smile:D
PS А Советские лозунги мы ещё вспомним и не только вспомним smile8)

24.09.2015 14:55:58

Боюсь (кроме шуток, боюсь — при всей моей «совковости», эпоха перемен на шестом десятке не радует), что уже переходит. Вот ещё пару раз «серьёзные корпоративные или государственные структуры» поднимут цены и перейдёт.

Donat Lipkovsky
24.09.2015 15:11:04

Сергей, у меня хорошая советская партийная карма. Когда Советская Власть сделает "well be back", я замолвлю за вас словечко. smile:D

24.09.2015 15:25:45

Спасибо. Откроем в «Юном технике» раздел по СПО — мне хватит smile:).

24.09.2015 12:59:59

Donat Lipkovsky как ни странно покажется, но вы пишете буквально моими мыслями. Очень приятно. На самом деле правы и вы и Сергей. Потому что безопасность это безусловно важно, но бизнес должен зарабатывать деньги и именно владелец определяет необходимый ему уровень безопасности

Donat Lipkovsky
24.09.2015 13:28:43

Спасибо на добром слове.
Мы с Сергеем постоянно на полях блогов и статей олицетворяем один из основополагающих принципов диалектического материализма - борьбы и единства противоположностей. Он ярый сторонник "вольницы", не иначе предки его из донских казаков ))), на меня давят 21 год выслуги в ВС. Так вот и поддерживаем баланс. smile:D

24.09.2015 13:29:45

У меня 18 армейских. Там же начал заниматься ИБ smile:)

Donat Lipkovsky
24.09.2015 13:45:25

Ооо, приятно слышать. В нашем полку прибыло. smile:D

24.09.2015 13:46:53

Гвардии сержант, Правительственная Связь smile:).

Donat Lipkovsky
24.09.2015 14:15:36

Таааак... готовимся к строевому смотру. smile:D

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии