WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 || 3 | 4 |

18.06.11 – Сбой в работе компьютеров 17 июня привел к отмене рейсов американской авиакомпании United Airlines.

19.06.11 – Хакеры похитили даты рождения, адреса электронной почты и пароли (в зашифрованном виде) пользователей сервиса Sega Pass, принадлежащего компаниипроизводителю компьютерных игр и оборудования Sega.

20.06.11 – Разработчики из Калифорнийского университета создали MyPageKeeper.org – свободное приложение для Facebook, обнаруживающее спам на «стенах» и в лентах новостей пользователей.

21.06.11 – Власти Турции объявили о том, что владельцев ПК, которые были заражены вредоносным ПО и, по воле хакеров, участвовали в DDoS-атаках на турецкие сайты, найдут и заставят нести юридическую ответственность.

22.06.11 – Евгений Касперский на страницах своего блога опубликовал открытое письмо основателю популярного в Рунете ресурса «ВКонтакте» Павлу Дурову с предложением повысить уровень безопасности пользователей социальной сети.

26.06.11 – Хакеры из Lulz Sec объявили о прекращении деятельности.

04.07.11 – Хакеры из группы Anonymous сообщили через свой Twitter о том, что взломали один из серверов компании Apple. К записи в микроблоге прилагалась ссылка на документ, в котором содержатся 27 логинов и паролей от аккаунтов администраторов сайта.

04.07.11 – В микроблоге редакции Fox News появилось сообщение об убийстве президента США Барака Обамы. Аккаунт @foxnewspolitics был взломан, о чем впоследствии было объявлено на сайте Fox News.

04.07.11 – На торрент-сайтах появилась финальная версия операционной системы Mac OS X 10.7 под кодовым названием Lion. Официальный релиз ОС состоится в ближайшие недели.

04.07.11 – Ранняя версия игры Gears of War 3 была украдена неизвестными и размещена в интернете для свободного скачивания.

Очевидное различие между этим списком событий и событиями, опять-таки, скажем, 2,лет давности заключается в том, что в нынешнем списке фигурирует много взломов ресурсов и систем крупных компаний. Появились и другие интересные тренды, причем в духе современной информатизации они все в той или иной мере пересекаются и влияют друг на друга. Интенсивность же событий в общем не спадает (каждый день происходит что-то новое, интересное и часто – не очень позитивное).

Наблюдения Основной тренд среди пользователей – это по-прежнему полное непонимание большинством того, что есть информационная безопасность (ИБ). Конечно, многие слышали про вредоносное ПО, но мало кто понимает, что выкладывать на «Одноклассниках» фотографии своей новой машины и пейзажи острова Бали, снятые в отпуске неделю назад, а затем просить у друзей денег взаймы в связи с бедственным финансовым положением – это тоже нарушение своей информационной безопасности.

Что касается вредоносного ПО, то субъективно, с моей точки зрения, ситуация несколько улучшилась – вирусы на съемных носителях ко мне на работу и домой стали приносить реже. Наверное, дело в том, что вирусописатели сами подложили себе свинью: одно время стало «модным» распространять троянские программы в форме лже-антивирусов.

По иронии судьбы, это, с одной стороны, вынудило компании-производителей «правильных» антивирусов навести прицел маркетинга и всей своей деятельности на псевдо-конкурентов, а с другой – заставило пользователей задуматься о том, что антивирусы, в принципе, вещь нужная. В результате на сегодняшний день проще установить какое-нибудь известное защитное ПО и не переживать, чем не устанавливать его и постоянно заставлять себя не задумываться о разнообразных цифровых ужасах (в 2010 г. в мире было продано ПО для защиты данных на сумму в $16,5 млрд, что на 12% больше в сравнении с 2009 г., снижение активности лже-антивирусов подтверждается в том числе отчетами «Kaspersky Security Bulletin» (10)). Не думать трудно и по другим причинам – масштабы инцидентов увеличиваются, самые крупные из них освещаются весьма широко, да и на жизнь отдельных пользователей влияют все значительнее.

Однако в части фотографий, общения и социальных сетей в целом ситуация отнюдь не радужная. Интернет на сегодняшний день перестал быть информационной магистралью, а компьютер перестал быть инструментом для обработки информации. Винсент Серф, один из разработчиков стека протоколов TCP/IP, на лекции в Москве в конце 2010 года в какой-то момент воскликнул: «Поймите: мы думали, что это эксперимент»! Сегодня этот эксперимент представляет собой электронного Франкенштейна: что-то для работы, что-то для общения, что-то для удовольствия и что-то для отрыва от реальности.

Я часто применяю выражение «момента выбора»: вот ты работаешь со своими файлами, и ты защищен, а вот ты вставляешь чужую «флешку», и ты уже уязвим. Даже вне зависимости от того, установлено ли на компьютере антивирусное ПО, важно засечь «момент выбора» (в данном случае перед вставкой носителя в USB-порт), остановиться, как перед дорожным знаком «STOP», взвесить все за и против, оценить уровень опасности, а потом уже продолжать действовать. Но этот принцип работает только в случае, если компьютер – это инструмент для работы. А что если это часть имиджа, часть образа жизни, что если он интегрирован (фигурально выражаясь) с вами, что если «быть всегда online» – это ваше кредо Фактически в таких условиях пропадают отдельные дискретные действия, они размываются в непрерывном процессе жизни.

Есть еще один аспект: я отношусь к тому поколению людей, которые, обучаясь работе с компьютером, еще видели и чувствовали сам компьютер, то есть «железо» и отдельные программы. Сегодняшние, более молодые, рожденные уже при Интернете пользователи, да и не только они, часто воспринимают компьютер иначе: они видят электронные письма, электронные книги, услуги, социальные сети и мгновенные сообщения. В такой ситуации «момент выбора» определить еще сложнее, потому что из общения людей посредством компьютера фактически исчезает сам компьютер (а заражаются именно компьютеры, а не социальные сети). Мне недавно довелось писать раздел по информационной безопасности в будущую «Энциклопедию безопасного поведения в современно мегаполисе», и редактор книги предложил разделить две темы: чего нельзя делать на домашнем компьютере и чего нельзя делать на работе. На это я активно возразил: «Сегодня такое разделение по большей части необоснованно (а там где оно обоснованно, должны быть дополнительные правила, сформулированные в виде политики информационной безопасности компании или организации)»! Организаторы самих социальных сетей подливают масла в огонь. Их цель – увеличение количества пользователей, и любые разговоры о борьбе за повышение уровня приватности слышать довольно странно. Разговор и молчание, общительность и замкнутость, открытость и приватность – это три пары противоположных по смыслу понятий.

За примерами «усилий» операторов социальных сетей в плане обеспечения приватности и информационной безопасности своих пользователей далеко ходить не нужно. Вот лишь пара из них:

Упомянутое выше открытое письмо Евгения Касперского Павлу Дурову появилось после того, как администрация «ВКонтакте» внесла изменения в правила приватности и запретила пользователям популярного в Рунете ресурса полностью блокировать просмотр списков своих друзей. (11) На сайте Facebook давно имеется функция поиска друзей по содержимому ваших почтовых ящиков: сайт предлагает ввести логин и пароль от ящика (не имеющего к Facebook-у никакого отношения, а располагающегося, например, на mail.ru), после чего просматривает его в попытке найти людей, зарегистрированных на самом Facebook-е. На самом деле, это даже более серьезная проблема, чем кажется на первый взгляд. Раньше можно было сказать: «Не вводите на одном сайте аутентификации от другого» и дополнить эту рекомендацию убийственным слоганом:

«Если на сайте вы видите такое предложение, значит, вы имеете дело с мошенниками»! Благодаря Facebook-у это убийственное дополнение-слоган потеряло свою однозначность и «убийственность», ведь нельзя утверждать, что организаторы этой социальной сети – мошенники. Нельзя также утверждать, что они аккумулируют и продают логины и пароли от почтовых ящиков на сторону. Но кто может поручиться, что эти данные не хранятся, что, если они хранятся, то в зашифрованном виде, что завтра хранилище с ними не будет взломано, а сами они не утекут в неизвестном направлении – Никто. Мой друг и коллега Игорь Семёнов, специалист по разработке программного обеспечения персональной навигации, работавший во многих компаниях данного профиля, а в прошлом – еще и один из ведущих разработчиков LiveJournal-а, обладает способностью кратко фиксировать мысли, на формулировку которых мне нужен целый абзац. По данному поводу он тоже высказался весьма лаконично: «Я не пользуюсь этой функцией. Вот и всё»! Кстати, важно понимать, что все, сказанное выше относительно вопросов к условиям хранения данных, касается и любой «облачной» технологии.

Учитывая также, что заражены и опасны могут быть практически любые элементы интернет-инфраструктуры (прокси-серверы, легитимные веб-сайты), что многие вредоносные программы используют уязвимости в операционных системах (в том числе zero-day, то есть уязвимости «нулевого дня», обнаруживаемые злоумышленниками раньше или одновременно с тем, как они обнаруживаются производителями систем или разработчиками защитного ПО), что мобильные устройства всегда так или иначе подключены к какой-нибудь сети, можно с сожалением заключить, что польза от поиска «момента выбора» осталась где-то в прошлом.

«Мобилизация» вредоносного ПО несколько лет уже предсказывалась большинством аналитиков и специалистов отрасли. Среди прочих и мне было хорошо видно, что она неизбежна (стоило посмотреть только на скорость роста возможностей мобильных устройств), но, скажу честно, я предполагал, что заметной или ярко выраженной эта тенденция станет году эдак в 2013. По факту же, начиная с 2007 года, количество вредоносных программ (троянцев, эксплойтов и т. д.) для мобильных устройств растет экспоненциально (удваивается). Пальму первенства по данному показателю держит Android OS, причем, что интересно, развитие угроз для этой системы напоминает ситуацию с Windows:

В целом, ситуация с Android OS начинает напоминать текущую ситуацию с Windows:

существует огромное количество Android-устройств с устаревшим ПО, которое содержит различные незакрытые уязвимости;

сообщения системы безопасности, появляющиеся в момент запуска и установки любого приложения, в абсолютном большинстве случаев пользователем игнорируются;

связь мобильных вредоносных программ с их хозяевами строится по классической для Windows схеме с использованием командных центров, что в конечном счете ведет к появлению мобильных ботнетов;

существует возможность обхода систем контроля приложений: в Android OS установка приложений возможна не только из Android Market. (12) Предположу, не сильно рискуя, что если ситуация с Android развивается похожим на ситуацию с Windows образом, то и результат через некоторое время будет таким же:

вечная сравнимая по масштабам со случаем традиционных компьютеров война вредоносного и защитного ПО, вредителей-злоумышленников и защитников в лице специалистов по информационной безопасности без малейшей надежды на окончательную победу последних. И хотя это очевидно и было вполне предсказуемо, все равно жаль! Еще один мощный тренд – это интенсификация усилий властей разных стран в борьбе с киберпреступностью. Где-то идут традиционными путями, то есть принимают новые законы и создают новые ведомства, комитеты и комиссии, а где-то, как в Турции, нетрадиционными. Назначить виновными несчастных пользователей, чьи компьютеры были заражены без ведома владельцев, – это оригинально. Вообще, в целом мировые политические усилия производят впечатление бессистемных. Понятно, что само по себе создание комитета не приводит к решению каких-либо проблем. Дело в том, каков будет статус этого комитета, какие инициативы он будет продвигать (юридические, практические, аналитические, научные и т.д.), какими полномочиями обладать, и кто в него будет входить. Серьезно браться за дело – это правильно, но «серьезно взяться» и «серьезно продвинуться» в достижении цели – разные вещи. Кстати, «борьба с киберпреступностью» – это не цель, а задача. Собственно, то, что мы имеем сегодня – это просто еще один (макро) уровень вечной войны, о которой я говорил ранее.

Хорошо то, что как минимум в России, видимо на фоне всемирной активности, политики перешли от мегапроектов наподобие «Закона об Интернете» к конкретным и нужным темам, таким как электронные деньги. Недавно был принят Думой, одобрен Советом Федераций и подписан Президентом закон «О национальной платежной системе», внесенный Правительством аж в ноябре прошлого года. Он устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, использования электронных средств платежа, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе. (13) Хорош закон или плох, мне пока что судить тяжело – я пока не ощутил на себе его действия (хотя являюсь пользователем нескольких систем электронных платежей), но несколько вещей я знаю точно: WebMoney появилась в году и имеет более 14 млн. пользователей, служба Яндекс.Деньги запущена в 2002 году, и все это время системы как-то работали, несмотря на то, что понятие «электронные деньги» попросту отсутствовало в российском законодательстве, также как понятие «электронная платежная система». В частности, владельцы системы WebMoney определяют ее как «систему обращения сообщений между зарегистрированными пользователями». То, что хранится в системе на ваших «кошельках», – это, так называемые, «титульные знаки», а покупка/продажа этих знаков оформляется как покупка/продажа чего-то, сходного с ценными бумагами. Все бы ничего, но уж больно сложно, а вдобавок к этому с точки зрения закона титульные знаки WebMoney не являются ценными бумагами, поскольку не признаны таковыми. Компания «Яндекс.Деньги» действует иначе и формально выступает всего лишь в качестве агента продавцов товаров и услуг по приему платежей от физических лиц. Я прошу прощения за недостаточно глубокое освещение данного вопроса, но он сложен даже для юристов, к которым я не отношусь, а смысл, думаю, и так понятен: из-за отсутствия специфического прямого регулирования владельцы каждой несуществующей de jure электронной платежной системы искали свои собственные способы соблюдать законы.

Pages:     | 1 || 3 | 4 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.