четверг, 28 апреля 2011 г.

Утечки, конфиденциальность…

В последнее время, на Российский рынок активно выводятся DLP системы. В целом эти системы - штука великолепная, особенно если реализация на уровне. Однако создается впечатление, что что в результате продвижения этих систем из возможных угроз у потребителя в голове останется только угроза утечек информации и борьба с инсайдерами.
К вопросу утечек у меня не однозначное отношение. Зацикленность заказчика на конфиденциальности порождает, скажем так, не понимание вопроса. Возникает довольно странная ситуация: при разговоре с заказчиком определяешь, с его слов, как главенствующую задачу обеспечение конфиденциальности. При обсуждении базовых принципов, работы системы защиты информации предупреждаешь, что вот в этих случаях мы отключаем компанию от внешних компьютерных коммуникаций, поскольку возникает угроза разглашения охраняемой тайны. Реакция, вполне предсказуемая – какая конфиденциальность, жизненно необходимо, что бы в этих случаях, система работала и была доступна для внешних пользователей.
Есть еще одна проблема с односторонним восприятием защиты информации как процедуры обеспечения конфиденциальности. Недавно у меня состоялся разговор с одним собственником бизнеса, довольно состоятельным. В ответ на предложение посмотреть, что у него там с информационной безопасностью он ответил: «Знаешь, лучшая защита от утечек и инсайда – монополизация и картельный сговор, кстати, и прибыльность бизнеса повышает существенно». При этом он не работает в ТЭК… Проблема конфиденциальности КТ – это проблема конкурентного рынка. И как следствие делается вывод о ненужности самой системы защиты информации. О других аспектах безопасности вспоминается только при наступлении инцидента.

вторник, 26 апреля 2011 г.

Кто занимается защитой персональных данных

В мою бытность системным администратором, админов нагружали не свойственными им функциями от обслуживания принтеров и программирования офисных АТС до разборок с автосигнализациями и ремонта вентиляторов и кондиционеров. Иногда создавалось впечатление, что все, что имеет розетку, автоматически приравнивалось к компьютеру и сопровождение этого ставилось в обязанность системному администратору. Понятно, что поделки пенсионного фонда, налоговой, ДБО и прочие вешались на админа без его согласия, поскольку ПРОГРАММА, да еще и ШИФРУЕТ.

И вот наступил XXI век и пришел 152-ФЗ… Казалось бы прямая обязанность системного администратора, поскольку:
1. Сфера действия Закона – информационные системы;
2. ОНО шифрует;
3. ОНО требует установке ПРОГРАММЫ и еще каких-то странных вещей, которые втыкаются в розетку.

Так ведь нет, на курсы чаще всего приходят кадровики, бухгалтера и т.п. И приходится уважаемым людям весьма далеким от мира IT объяснять, как защищать ПД. Так как ОПЛАЧЕНО. Вообще все не так и плохо – после курсов приглашают аналитиком или приходит искомый сисадмин. Но логику я перестал понимать. За что так кадровиков-то?

среда, 20 апреля 2011 г.

О целях и целесообразности.

В очередной раз на горизонте появился СКУД. В прошлый раз, удивило мнение компетентных товарищей, что вся биометрия есть К1 и если кто не согласен может идти в сад суд. Теперь порадовали с со стороны операторов.
Есть довольно крупное предприятие, с двумя площадками на расстоянии чуть более 7 км. по прямой. Установлена СКУД с бесконтактными пропусками и управлением базой через web интерфейс. Защита имя пользователя и пароль, доступ по https. Очевидно и закономерно желание предприятия иметь одну базу СКУД на оба объекта. Собственных средств защиты СКУД явно не достаточно даже на системы ал-я «К3, специальная». Повесить средства защиты на элементы сети не получается, из-за слабого железа на турникетах. Выход найден «оригинальный». А давайте возьмём со всех работников расписку, что ФИО, должность и фото являются общедоступными данными, путим трафик через провайдера или вообще по радио, и не будем возиться с защитой СКУДа!
И в принципе-то они правы, особенно если учесть наличие интерактивного справочника предприятия на корпоративном web ресурсе с ФИО, должностью и телефоном. Только портит все ровно один вопрос: «Господа, если ваш СКУД плохой дяденька ломанет и создаст «левый» пропуск на территорию, то вам голову откручивать будут за защиту ПД или защиту другого вида тайн?».

четверг, 14 апреля 2011 г.

В подведем итоги атаки на ЖЖ.

Чем дольше я смотрю на информационный фон вокруг DDOS на ЖЖ, тем больше я убеждаюсь, что DDOS на ЖЖ не так прост, как хотят показать некоторые.
Анализ относительно первой атаки я провел здесь. Вторую атаку я не анализировал, поскольку не предоставил для анализа информацию.
Первое, что настораживает - позиция СУП. Фактически СУП не предоставил ни каких материалов о двух DDOS на ресурсы. Те официальные заявления, по словам представителей СУП, являются "в меньшей мере техническим деталям и в большей - рассуждениям о причинах и следствиях". Хотя вопрос "а была ли атака?" – первостепенный. Если посмотреть сообщения некоторых известных блогеров, то создается впечатление, что есть люди, которым чрезвычайно важно, что бы общественное мнение признало наличие "Кремлевского следа" или крайнем случае причастность "кровавой гэбни". Проблема в том что для России тема тоталитаризма чувствительна. Очень хорошо об этом высказался galmir-irk. "Сторонники конспирологии, что роняет кровавая гэбня. Я зуб не дам, но посуетиться по этому поводу считаю необходимым".

Давайте попробуем разобраться с этим DDOS.
Что известно достоверно:
Было два периода недоступности ЖЖ 30 марта и 4 апреля по 7-8 часов каждый.
Это мог наблюдать каждый. Что это атака DDOS или сбой оборудования, или ошибки настройки новой системы кэширования, или в конце-концов просто отключение серверов я не знаю. Косвенно можно говорить, что по крайней мере 30 марта была DDOS, так как раза с 20 -40 некоторым удавалось загрузить страницы. 4 апреля сервис был доступен с американских proxy. По крайней мере, в некоторые моменты.
Все. Больше ничего! Все остальное обрывки разговоров, мнения экспертов и сопли.
Зато есть публикации:
Начнем с самого интересного: «LiveJournal под атакой» Марии Гарнаевой, эксперта «Лаборатории Касперского». В заметке появилась какая-то техническая информация и если отбросить вопрос откуда дровишки информация, то можно что-то анализировать. Вопросов по структуре много, но один не стыкуется с позицией СУП. По словам СУП ЖЖ находится под атакой с 24 марта с «переменной интенсивностью». По данным Марии Гарнаевой DDOS на ЖЖ велся 24,25,26 и 30 марта. 27,28 и 29 марта атак не было. Это подтверждается графиком от igrick, но не соответствует официальной версии. И тут ЖЖ откликнулся в виде комментария Демьяна Кудрявцева,aka damian: "эта заметка "эксперта" - бессмысленное малоинтересное вранье, которое пытается сделать вид, что по следу одной части тела, может описать животное, структура этой атаки была другой, наиболее атакуемые адреса вообще не упомянуты в этом списке". Упс… Вернулись в начало…
Конечно же отметилась газета.ру статьей "Первая пятерка не сдержала атаку на ЖЖ" Ниже привожу избранные места:
"Навальный считает, что за DDoS-атакой на ЖЖ стоят околовластные структуры..."Вот только пока ни где не опубликована информация об основаниях подобных мнений. Конечно Навальный эксперт в области информационной безопасности, особенно в DDOS.
Источник на рынке компьютерной безопасности утверждает, что ориентировочная цена каждой атаки стоит около $15 тысяч”. А мои источники говорят что DDOS стоит не более $500 за день, только в отличии от газета.ру я называю источники и привожу ссылки: Исследование компании Group-IB, ознакомиться можно по адресу, смотрим 11 страницы раздел "Бот-сети и основные услуги рынка".
Дальше – эмоции.
Ну и как пройти мимо Носика? Почитаем колонку в "Снобе":
"Конечно, вопрос о конкретных целях атаки имеет право на существование. Просто нужно отдавать себе отчет, что правильный ответ знают лишь те, кто организовывал атаку. Все остальные собеседники радиостанций, печатных изданий и сайтов интернет-СМИ могут по этому поводу выступать лишь в роли слепой прорицательницы Ванги, делясь с журналистами своими видениями и прозрениями".
Вот здесь я согласен на все 100%. Но давайте посмотрим в его блоге:
"Почему сегодня им понадобилось валить весь ЖЖ — думаю, тоже догадаться нетрудно. Увы, если я прав, то это была только репетиция"...
Эээ… ну ладно.
"Достаточно просто взглянуть, кого за эти годы атаковала наша неуловимая и вездесущая киберпреступность, и понять принцип формирования этого пестрого списка. Мы увидим в нем сайты госслужб Грузии и Эстонии, серверы «Коммерсанта» и «Газеты.ру», сообщества НБП, блоги известных оппозиционеров (в последние месяцы чаще других «под раздачу» предсказуемо попадает Алексей Навальный — но в иные годы ломали журналы Владимира Прибыловского, Андрея Мальгина, Марии Арбатовой и Олега Панфилова, а из-за грузинского блогера cyxymu положили в один день ЖЖ, Facebook и Twitter. В предвыборный сезон «ломали» почту и блоги известных людей, так или иначе связанных со «Справедливой Россией»".Это опять со "Сноба".
По словам СУПа атаковали сервис, причем здесь все это? То, что на сервисе есть блоги разных людей, не говорит, что их решили завалить. Вообще давайте предположим, что на сей раз решили завалить правдоруба Носика.
Этот впечатляющий список блогов мы встречаем и в "Ъ":
"DoS-атаки не новость в практике ЖЖ: в разные годы им подвергались дневники и сообщества нацболов, ЖЖ грузинского пользователя cyxymu, блог Навального". А что цели кончились. Т.е. за столько лет не набралось разных целей на две статьи?
Там же: "Поскольку такое развитие событий давно прогнозировалось различными комментаторами на предвыборный сезон 2011/12, самой распространенной на сегодняшний день версией является политическая
"
Блин да ЗАЧЕМ? Ответ в том же "Ъ": "Представители компании "Суп", которой принадлежит ЖЖ, видят в этой атаке попытку спровоцировать отток блогеров на другие платформы, гораздо более атомизированные и слабо приспособленные для ведения общественно-политических дискуссий".
Какой отток пользователей из-за двух 7-ми часовых перерывов в работе? О чем вы? И самый главный вопрос: А что из ЖЖ начался отток пользователей? Вот здесь уже становиться интереснее.
Читаем Носика:
"А вот, кстати сказать, другое упражнение на ту же тему, уже не хакерское, а пропагандистское.
В разделе «Техника» сегодняшнего АиФа — статья «Куда податься блогеру из надоевшего ЖЖ», где под видом технического обзора нехитрыми средствами кухонного НЛП читателю навязывается одна простая мысль: из ЖЖ нужно бежать, срочно и безотлагательно
". Взято отсюда.
Ага, после прочтения АиФ блогер Навальный покинул ЖЖ, ну-ну.
"Теперь вбрасываются три простых, как мычание, идеи: во-первых, ЖЖ давно сдох, и никому не интересен. Во-вторых, именно по этой причине никто его не DDoSил. В-третьих, из ЖЖ пора валить, потому что криворукий<суп> его так или иначе угробит" отсюда.
А это уже из СУПа :
"Причина атаки, таким образом, вполне может быть и такой: кому-то очень хочется, чтобы ЖЖ перестал существовать как площадка для открытых и серьезных дискуссий, а аудитория была размазана по другим площадкам (социальным сетям и отдельно стоящими платформами и стендэлонами), где очень просто воздействовать, так сказать, на отдельно взятые группы пользователей". Здесь.
А что у вас таки уходят пользователи и причиной тому стали 7-ми часовые атаки в количестве 2-х штук и статьи в АиФ и некоторый сетевых СМИ типа "Соль"?
Да ладно Вам! Если задавать правильные вопросы, то получаешь правильные ответы.
Вопросов несколько:
1. К каким последствиям привели 2 DDOS атаки на ЖЖ по 7 часов каждая?
2. Почему нет заявления в полицию? Хоть нашу, хоть Американскую.
3. Почему нет конкретной технической информации? Думаю, многим бы реально интересно было посмотреть.
4. Почему не нет соответствия между комментариями представителей СУП? Кто в запальчивости приврал или умолчал?
IMHO весь цирк проплачен, но не Кремлем. Так что, уважаемый galmir-irk, серой увы пахнет, только черт другой. Этой же серой пахло в Египте и Ливии... Список знает каждый, кто следит за новостями.

Ну и что бы не заканчивать, на это конспирологической ноте, еще одна цитата:
"Недели две назад, СУП решил раздобыть немного бабала и интегрировать в себя фейсбук и т.д.., инсталировав в жж сторонние ресурсы и т.д.
В этот момент в сети, в топах, появились интересные блогеры вроде того же Фимы, которые поднимали интересные темы и т.д.. Нахлынувший поток сторонних"вконтактников" "фейсбукинят" "твиттеров" и т.д. - намертво положил серверы жж, тем более, что в тот день пошли выборы Новой в сетевой парламент, тёма Лебедев делал интересные посты, Фима и техномад мочили свои разоблачения и сбылся сон Драгунова
".
Взято отсюда.
Бритва Оккама говорит мне, что это ближе всего к правде. Просто кое-кто решил воспользоваться обстановкой.

среда, 6 апреля 2011 г.

Подписан новый закон о ЭЦП

Справка от kremlin.ru
Федеральным законом регулируются отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также при совершении иных юридически значимых действий.

Федеральным законом определяется понятие электронной подписи, устанавливаются её виды, требования к средствам электронной подписи, с помощью которых создаются и проверяются электронная подпись, ключ электронной подписи и ключ проверки электронной подписи.

Кроме того, Федеральным законом устанавливаются требования к удостоверяющим центрам, осуществляющим функции по созданию и выдаче сертификатов ключей проверки электронных подписей.
Ссылка на на законопроект здесь

DDOS LJ - Подробности?

Похоже цирк с DDOS продолжается. 4 апреля ЖЖ не отвечал, по моим оценкам около 12 часов, хотя может быть ошибка на пару часов в любую сторону. В отличии от 30 марта до серверов от меня не доходили пинги. Без технических деталей понять что это такое не получается, но информация к анализу ситуации есть.
Блог Носика и его статью для журнала оставим за скобками, поскольку там только эмоции, а сам Носик к СУП вроде как отношения не имеет.
Пост ljru_staff фиксирует время начала атаки в 14 часов 4 апреля GMT+4. Там же есть ссылка на "Дополнительные подробности".
Попадаем на пост igrick с романтически названием "Как закалялся ЖЖ". В первых строках читаем: "Эта запись будет посвящена в меньшей мере техническим деталям и в большей - рассуждениям о причинах и следствиях". Блин а где "Дополнительные подробности"?
Это подробности:
"По типу атака отличалась от той, что была 30-го марта. Если предыдущая была смесью из syn и прикладного уровня флуда, т.е. в разной степени направлена на оборудование и канал, то вчерашняя была направлена исключительно на отказ канала и сетевого оборудования и представляла из себя замусоривание последнего битыми TCP-соединениями. В какие-то периоды из Москвы не проходил даже Ping, но расположенные ближе к серверам компьютеры в то же время вполне могли и пробиться (именно по этой причине www.downforeveryoneorjustme.com говорил то про то, что лежит для меня, то про то, что лежит для всех)"
В итоге добило меня сообщение от Касперского . Классная статья с кучей информации, но блин вопросов она порождает больше чем ответов. Да и стыкуется с официальной версией ЖЖ слабо. Те были под атакой, по их словам постоянно с 24 марта…
Итого имеем:
1. Сначала совпадает старт системы фильтрации трафика, потом 30 марта идет реальный DDOS, а 31 марта СУП говорит, что ЖЖ досится с 24 марта и выкладывается картинка, где 28, 29 и 30 до 16-30 с трафиком все нормально. Сам DDOS длился около 7 часов видно на графике, я об этом говорил в предыдущем посте. http://r-a-permyakov.blogspot.com/2011/04/ddos-lj.html
2. 4 апреля DDOS длился опять таки около 7-8 часов. Я так думаю опять 7 часов… (По заявлению СУП)
3. Вопросы: Что это за DDOS? Какие цели можно преследовать такими короткими атаками? Почему сообщения СУП не стыкуются? Почему они до сих пор не обратились в полицию?
P.S. Идея что это тестирование возможностей при подготовке настоящего удара - бредовая по своей сути: механизм воздействия DDOS известен более 10 лет, как работает botnet тоже ясно, что при определенной активности можно заглушить любой сайт известно также. А проверку работоспособности конкретной сети, нужно производить на своем ресурсе, что бы посмотреть качество трафика, разброс адресов и другие тех параметры. Испытание на будущей цели - просто возможность дать цели подготовиться.
UPD: Появился пост у Носика, где есть 2 интересных факта:
1. "Однако же упорное нежелание обеих компаний (и российского <суп>а, и калифорнийской LiveJournal Inc.) привлечь к защите серверов правоохранительные органы — оправдать более чем затруднительно." (с) Носик
2."эта заметка "эксперта" - бессмысленное малоинтересное вранье, которое пытается сделать вид, что по следу одной части тела, может описать животное, структура этой атаки была другой, наиболее атакуемые адреса вообще не упомянуты в этом списке.
Коммерсантъ подвергался такой атаке и мы подавали заявление, так что ты понимаешь, что нет никакой идеологической проблемы с этим. Мы всегда за легальное решение проблемы. Но сейчас есть проблема юридическая и логистическая и не одна. Адвокаты этим заняты. После их заключения мы определимся как и где действовать. Какой-то лох из лаборатории Касперского "выражает недоумение
" (с)Демьяна Кудрявцева,damian, оригинал здесь.

Короче, с начала атаки прошло 14 дней, по словам СУП, а у них адвокаты, только этим заняты. Ну-ну...

суббота, 2 апреля 2011 г.

О DDOS LJ

Наболело…
Началось все с поста в ЖЖ Носика о том, что ЖЖ недоступен… По его словам "не потребуются дедуктивные навыки Шерлока Холмса, чтобы понять, на службе каких политических сил состоят отечественные кибер-гопники". Ежу понятно, что это происки Кремля. Потом был еще один пост.

Попробуем проанализировать ситуацию не претендуя на лавры великого сыщика.

Хронология по постам oceanplexian, igrick, ljru_staff следующая:

24.03 начало атаки??
25.03 14:53 сообщение от о DDOS на жж с 24 марта.
30.03 13:39 сообщение от о проблемах с front-line кэширования внедренным неделю назад (23 марта?).
30.03 13:45 сообщение от сообщение от о 10-кратном увеличение интенисвности атаки.
31.03 11:36 сообщение от о DDOS на ЖЖ с 16 часов 30 марта по Московскому времени(GMT+4).
31-03 12:23 сообщение от о DDOS на жж с 24 марта.
Обратим внимание на график.

Из поста от 31-03 11:36 мы знаем о средневзвешенной норме соединений в 50 тыс. шт. на графике видно, что по крайней мере 29 марта и до 12 часов 30 марта (GMT+0) аномального отклонения трафика не наблюдается, хотя атака идет с 24 марта… Как утверждает "атака завершилась глубокой ночью по Москве" пуcть будет 4 часа (GMT+4). Таким образом атака длилась около 12 часов.
Удивительное рядом: в районе 23 марта (пост от 30 марта: "мы внедрили, где-то с неделю назад, систему front-line кэширования») внедрена новая система кэширования. Так был ли мальчик DDOS?

Немного о DDOS.
Судя по географии
1000 случайных запросов использовалась botnet. Недавно опубликованное исследование утверждает, что в 2010 году зафиксирован рекорд по DDOS атаке в 100 Г/с, при этом стоимость суток атаки колеблется в различных источниках от 70 до 500 долларов за сутки. Емкость сети можно оценить исходя из принципов работы malware и с учетом географии колеблется от 50 до 400 тыс. узлов, т.е. сеть не то что бы очень большая. Здесь я все же не опираюсь на факты, а делаю, как мне кажется корректное предположение. Таким образом с финансовой стороны вся процедура "заказчику" обошлась в $250. Как-то не вяжется со светлым образом кровавой гэбни и черными силами "отечественные кибер-гопников".

Теперь вопрос: А вообще кто стал бы возится с DDOS на 12 часов?

P.S. на всякий случай картинка из поста с графиком запросов.