Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Verizon «забыла» обезопасить свои конфиденциальные данные

Компания хранила свои данные на сервере AWS S3 без какой-либо защиты.

Очередная крупная компания «попалась» на неумении или нежелании обеспечить защиту своих облачных хранилищ. Исследователям Kromtech Security удалось получить доступ к серверу AWS S3, где крупная американская телекоммуникационная компания Verizon хранит используемые ее биллинговой системой данные и ПО Distributed Vision Service (DVS), на базе которого она работает.

Как пояснили исследователи, DVS является связующим программным обеспечением и централизованной средой для всех приложений, используемых Verizon Wireless (дочерней компании Verizon Communications) для получения и обновления данных биллинга. «Несмотря на то, что утечка не затронула данные клиентов, мы видели файлы и данные с названиями “VZ Confidential” и “Verizon Confidential”, содержащие имена пользователей и пароли. Эти учетные данные могут с легкостью предоставить доступ к другим частям внутренней сети и инфраструктуры Verizon», – сообщили исследователи.

Экспертам также удалось получить доступ к целому ряду сообщений в Outlook и данным серверов для B2B-платежей. Они связались с представителями Verizon, и компания закрыла доступ к своему серверу AWS S3. Похоже, причиной проблемы был человеческий фактор – кто-то из сотрудников компании попросту забыл отключить возможность общественного доступа.

Биллинг в электросвязи – комплекс процессов и решений на предприятиях связи, ответственных за сбор информации об использовании телекоммуникационных услуг, их тарификацию, выставление счетов абонентам, обработку платежей. Биллинговая система – прикладное программное обеспечение поддержки бизнес-процессов биллинга. Биллинг является важнейшим компонентом деятельности любого коммерческого оператора связи.

Дата: 2017-09-23 08:34:20

Источник: http://www.securitylab.ru/news/488698.php



Kак Microsoft пытается отправить мобильную почту к себе

Хранит ли Outlook-iOS-Android копию почтового ящика на сервере микрософт?

В подвешенном состоянии очутились многие корпоративные пользователи, которые недавно обновились до iOS 11. Дело в том, что после обновления перестает работать стандартный клиент (Mail.app) с ресурсами на Exchange Server 2016, Office 365 или Outlook.com
Отправка сообщения заканчивается ошибкой «Cannot Send Mail. The message was rejected by the server.»
Проблема заключается в том, что Exchange 2016 использует HTTPS / 2 TLS-соединения для своих клиентов. Когда почтовое приложение iOS пытается подключиться к Exchange с помощью ActiveSync, оно неправильно согласовывает соединение.

Microsoft подтвердило проблему и в качестве решения предлагает установить клиента Outlook for iOS.

Данное решение весьма спорное, т.к. программа Outlook не подключается напрямую к почтовому серверу, а с введенными учетными записями сервер Microsoft, расположенный в США, подключается к вашему серверу и, скорее всего, загружает на него копию вашего почтового ящика.

Ниже приведен фрагмент анализа логов подключения из программы SkypeTime.

В российском сегменте этому вопросу не уделено достаточного внимания, поэтому приводим ссылки на зарубежные источники.

news.ok.ubc.ca/it/2015/02/03/outlook-app-for-ios-and-android-devices-blocked
blog.winkelmeyer.com/2015/01/warning-microsofts-outlook-app-for-ios-breaks-your-company-security
blog.winkelmeyer.com/2015/02/updates-on-the-latest-outlook-ios-app-issues

Насколько это юридически правильно и хорошо мы судить не будем, но для повышения уровня конфиденциальности можно заблокировать подключение с этих серверов на Exchange 2016.

New-ActiveSyncDeviceAccessRule -QueryString "Outlook for iOS and Android" -Characteristic DeviceModel -AccessLevel Block

Надеюсь данная информация будет кому то полезна.

Дата: 2017-09-23 08:03:19

Источник: https://habrahabr.ru/post/338542/



VPNPivot - Explore Internal Networks


Sometime we do external penetration testing and when we compromise the remote target we would like to explore the internal network behind and getting such compromise like owning Active directory, accessing shared files, conducting MITM attacks ... etc. There are many techniques around like port forwarding, socks4 ..., but each one has its pros and cons. this is the reason why VPN pivoting techniques is out, it solves all the problems encountered by using both of the techniques mentioned above. It lets you interact with internal networks that are prevented by firewalls, NATs... etc.
This is an implementation of VPN pivoting technique in Linux using pure low-level sockets within tap device. It creates a fully encrypted tunnel using a SSL/TLS between the target machine and the attacker.

How it works:

VPN Pivot sends and receive a fully encrypted TCP/IP stack over TCP stream socket, then the peers forward it into the desired device/host. The attacker explores the internal network as he belongs to it within a local IP address taken from the dhcp server or statically configured.

Installation :

Arch Linux

yaourt -S vpnpivot-git

Linux
The installation is pretty straightforward, just type the following commands:
root@pwnies:~# git clone https://github.com/0x36/VPNPivot.git
root@pwnies:~# cd VPNPivot
root@pwnies:~/VPNPivot# ./autogen.sh
root@pwnies:~/VPNPivot# ./configure
root@pwnies:~/VPNPivot# make && make install

VPN Server (pivots):
The VPNPivot server must be run in the attacker machine, it creates a virtual device (tap) with the possibility to change MAC (that seems fine for spoofing and Mac switching), IP address, MTU and also the owner of the interface. The TAP devices interacts with the targets machine, it sends/receives raw Ethernet frame. Once the attacker get a successfully tunnel connection, the tap device can interacts with the DHCP server of the internal hacked network, receives/send broadcast packets, and also IP addresses reuse.
Working with pivots is very easy, you only need to know what does each option:
root@pwnies:~/VPNPivot# ./src/pivots -h
 __      _______  _   _ _____ _            _ 
 \ \    / /  __ \| \ | |  __ (_)          | |  
  \ \  / /| |__) |  \| | |__) |__   _____ | |_ 
   \ \/ / |  ___/| . ` |  ___/ \ \ / / _ \| __|
    \  /  | |    | |\  | |   | |\ V / (_) | |_ 
     \/   |_|    |_| \_|_|   |_| \_/ \___/ \__|
                 
VPNPivot server v1.0 by Simo36
  -i  --iface   <device>  Create a non persistent tap device 
  -I  --ifconf  <ip/mask>  Inteface configuration (IP/MASK)
  -p  --port    <port>   Server port listener (default: 12345)
  -m  --mtu     <size>   Virtual devince MTU size (default: 1550)
  -u  --user    <user>   User device owner (OPTIONAL)
  -H  --hw      <MAC>   Set MAC address for the iface
  -C  --cert    <server_cert>   Filename of PEM certificate
  -P  --pkey    <private_key>   Filename of PEM private key
  -v  --verbose     Verbose mode
  -d       Deamonize
root@pwnies:~/VPNPivot# 
All the options above are optional, but they worth to be explained even their descriptions are self-explanatory:

VPN Client (pivotc):
The VPN Pivot client must be run in the target machine, it creates two socket files, the first as a client for the tunnel and the second for interacting with the device network directly. It works like we are creating an undetectable tap device which makes it harder to detect.
Working with pivotc is easier than the server, you only need to be not confused when you are attempting to make it connect into pivots :
root@pwnies:~/VPNPivot# ./src/pivotc   
Usage : 
./src/pivotc <server IP> <server port> <locale IP> [MTU]
root@pwnies:~/VPNPivot#
The options are :
Video

"https://www.youtube.com/embed/VauxUK3OZnQ"

Дата: 2017-09-22 21:08:12

Источник: http://www.kitploit.com/2017/09/vpnpivot-explore-internal-networks.html



AliExpress «невероятные» возможности вашего профиля в интернет-магазине

Добрый вечер! Покупки — это здорово, а если на Алиэкспресс, то еще и не дорого, но правда рискованно и обычно долго. Конечно над ним постоянно работают, это видно, но пока еще не понятно многое.

Просьба


Началось с того, что меня попросили заказать в интерне-магазине на «Али» противоударный телефон для ребенка. Подобрали модель, согласовали, решили заказывать.
Что то не заладилось сразу и обзавестись профилем в PayPal удалось, а вот привязать к нему карту — нет.
Сразу оговорюсь, что электронными деньгами и картами пользуюсь очень аккуратно и никогда не храню на них деньги, ну если только до 1 000,00 рублей.
Попробовала заплатить картой напрямую, но все равно ничего не получалось. В какой то момент даже засомневавшись узнала баланс на счете, вдруг денег там нет.
Деньги были и в достаточном количестве.

Вышла из одного профиля и зашла в другой, с которого уже делала покупки. Раньше платила с VISA, решила что платеж не проходит потому что у покупателя Маэстро, по крайней мере я не нашла такого значка в списке пластиковых карт.

Вообщем то с самого начала я на электронную почту покупателя зарегистрировала профиль в интернет-магазине, затем добавила карту Маэстро, но платеж не проходил. Забавно что система PayPal со счета списала примерно один доллар, но платеж в пользу продавца не проходил ни как.
У покупателя не было карты VISA, она была только у его супруги, мне скинули фотки карты, но было лень все заново регистрировать, и я добавила карту супруги покупателя на свой профиль.

И тут, вдруг...


«Спасибо за ваш платеж!» или что то подобное выдала мне система. Интересно! Только два реквизита я вводила не с карты — это дата рождения, и номер телефона. Но узнать их не составит определенного труда злоумышленнику, если он напрямую знаком с жертвой или имеет доступ к документации. Или допустим какие то знакомые, коллеги, родственники, не важно, мало ли.
Покупателю сказала, что должно прийти СМС-сообщение из банка с подтверждением платежа, что б они не пропустили и обязательно мне позвонили, сообщили.

Как то прям даже неловко


На следующий день знакомый перезвонил и сказал, что деньги списаны, их просто списали и все. Сообщение пришло такое же, как из банкомата, когда переводишь средства.
И тут возник резонный вопрос — а как? Как так получается, что не какой аутентификации платежа не было и он «провелся» не смотря на то, что владелец карты не был владельцем профиля? Странно, но а как же безопасность? Это допустимо или какая то ошибка при разработке?

Послесловие


Не смотря ни на что, телефон пришел и ребенку очень понравился, а это наверное главное). Проходя по различным учреждениям обращаю внимания как люди заполняющие различные заявления бросают свои документы и карты, наивно полагая, что списать с нее средства не зная пароль, под силу только хакерам или спец.службам.
Как видно из рассказа выше балованный сын или транжира-подружка смогут осуществить покупку с вашей карты на AliExpress, в принципе без вашего согласия и на приличную сумму.
Возможно я не права и это только рассуждения, но лишний раз подтверждает, что ваши деньги те — что у вас в кармане.

Дата: 2017-09-22 20:26:39

Источник: https://habrahabr.ru/post/338534/



Adobe опубликовала по ошибке приватный PGP ключ

Персонал компании Adobe допустил утечку публичного PGP ключа в блоге PSIRT.

Сегодня по ошибке персонал компании Adobe опубликовал в открытом доступе приватный PGP ключ. Утечку обнаружил исследователь по безопасности Юхо Нурминен (Juho Nurminen). Ключ был опубликован в блоге PSIRT. Сообщение содержало публичный и приватный PGP ключи.

Приватный PGP ключ может использоваться злоумышленниками для подделки сообщений, а также для получения доступа к перехваченным зашифрованным письмам, содержащим конфиденциальную информацию.

На момент написания новости на сайте Adobe опубликован уже измененный публичный ключ. Надеемся, что злоумышленники не успели воспользоваться утечкой.

Дата: 2017-09-22 20:25:16

Источник: http://www.securitylab.ru/news/488697.php



Hacked Websites Mine Cryptocurrencies

Hacked Websites Mine Cryptocurrencies

Cryptocurrencies are all the rage now. Bitcoin, altcoins, blockchain, ICO, mining farms, skyrocketing exchange rates – you see or hear this everyday in news now. Everyone seems to be trying to jump on this bandwagon.

This trend resulted in emergence of online platforms that allow webmasters to install coin miners into their websites as an alternative means of monetization. The most notable platforms that provide JavaScript cryptocurrency miners for web sites are JSE Coin and Coinhive .

Continue reading Hacked Websites Mine Cryptocurrencies at Sucuri Blog.

Дата: 2017-09-22 16:56:31

Источник: https://blog.sucuri.net/2017/09/hacked-websites-mine-crypocurrencies.html



Атака CLKSCREW угрожает современным процессорам

Через программное обеспечение для управления энергопотреблением, которое широко используется в современных гаджетах и компьютерах, можно получить контроль над этими устройствами. Такой метод атаки получил название CLKSCREW. Как сообщает Bleeping Computer, его разработала команда исследователей из Колумбийского университета (США).

CLKSCREW – классическая дифференциальная атака, в основе которой провоцирование/создание аппаратных ошибок (differential fault attack, DFA). Она предполагает сопоставление работы аппаратного обеспечения в нормальном режиме и на предельных мощностях. Для обхода систем безопасности требуется изменить в этих данных один байт.

Процессор – это, по сути, набор транзисторов в состоянии логического нуля или единицы. Двоичный код в нем используется при обработке данных, когда они сохраняют свое состояние или меняют его с единицы на ноль или наоборот. Это происходит по «внутренним» часам процессора. Когда нагрузка на процессор возрастает, можно «сжать» это время и вызвать однобайтовые ошибки, при которых один или несколько флип-флопов обрабатывают данные из предыдущего цикла процессора.

Во время атаки CLKSCREW устройство считывает вредоносный контент из Интернета. Программа взаимодействует с драйверами устройства и модифицирует настройки напряжения и частоты, обеспечивая необходимые для DFA стрессовые условия работы устройства.

В качестве объекта исследования они выбрали систему DVFS (dynamic voltage and frequency scaling), которая позволяет контролировать напряжение и частоту потребляемого тока в процессорах. Представленная более 20 лет назад, DVFS до сих пор используется в системах охлаждения процессоров.

В ходе эксперимента атаке подвергся чип TrustZone, который используется для выполнения криптографических операций в центральных процессорах устройств на базе ОС Android. С помощью вредоносного кода CLKSCREW нагрузки на процессор довели до пиковых величин. Чипсет TrustZone также перешел в режим сверхнагрузки, и исследователям удалось зафиксировать показатели его работы в нормальном и стрессовом режимах.

Они обнаружили в них однобайтные ошибки и смогли получить основной ключ, используемый для шифрования и защиты всех вычислений чипсета. С его помощью удалось загрузить посторонний код в тестируемый смартфон Nexus 6.

Отчет по атакам CLKSCREW под заголовком «CLKSCREW: обнаружение угроз безопасности. Забывчивое управление энергией» был представлен на конференции USENIX по безопасности, которая состоялась в Ванкувере, и получил награду Paper Award.

Команда Колумбийского университета считает, что атака может быть легко портирована для взлома считающегося безопасным процессора Enclave SGX Intel.

Исследователи также отметили, что поставщики чипсетов предоставляют сейчас более точные средства управления энергией, но не учитывают безопасность этих инструментов.

«Мы видели это на 64-разрядной архитектуре ARMv8 и новых процессорах Intel, это же происходит и с провайдерами облачных вычислений, которые дают пользователям все больше контроля над управлением питанием», — отметил Эндрю Тан, один из исследователей, в ходе презентации.

Исследователи уже сообщили поставщикам чипсета о своих выводах, и те, по их словам, очень серьезно отнеслись к этому сообщению.

Дата: 2017-09-22 16:35:45

Источник: https://threatpost.ru/clkscrew-attack-hacks-in-through-power-management-software/22440/



Security Week 38: Секьюрити-камеры передают по ИК, нейросеть быстро подбирает пароли, хакеры ведут разведку через Word

Каким бы действенным ни был метод защиты «отрезать кабель в интернет», пользуются им чрезвычайно редко – даже те, кому стоило бы. Но исследователи не унимаются в попытках придумать самый курьезный способ преодоления «воздушного разрыва». То звуком, то светом, то теплом, то голубями почтовыми. И таки трое ловкачей из Университета Бен-Гуриона на днях сообразили кое-что новое – использовать секьюрити-камеры.

Замысел такой: физически изолированная (air-gapped) сеть заражается зловредом. Как – это давно придумано, и даже реализовано (Stuxnet, например). Флешечку можно подкинуть, диск с зараженным софтом, да мало ли что. Но войти – не значит выйти. Однако же мало найдется объектов с изолированной сетью без системы физической безопасности с камерами наблюдения. А чтобы что-то видеть, когда в помещении выключен свет, нужна подсветка, и большинство камер оснащается массивом ИК-светодиодов. Некоторые из этих камер можно увидеть снаружи, через окно.

Соответственно, камеры со специальным троянцем превращаются в ДВУСТРОННИЙ канал передачи данных. Причем невидимый невооруженным глазом. Наружу данные передаются ИК-диодами, а злоумышленник с обычным смартфоном их принимает. Чтобы ввести данные, хакер пользуется таким же массивом ИК-диодов, а камера принимает их сигнал.

Заявленные в исследовании параметры канала внушительны, по сравнению с другими способами преодоления воздушного разрыва – скорость 15 бит/c на каждый светодиод (что дает 120 бит/c при обычных для камер восьми светодиодах), дистанция – сотни метров наружу, и километры при передаче внутрь. Бен-гурионские затейники даже придумали, как обойтись без прямой видимости (правда, максимальная дистанция сокращается до десятков метров).

Что ж, для того, чтобы мы увидели реальное применение такой техники, нам нужно, чтобы совпало три обстоятельства: (1) кто-то решил изолировать сеть воздушным разрывом, (2) его информацией заинтересовались хакеры и (3) этот кто-то включил секьюрити-камеры в свою суперзащищенную изолированную сеть. Звучит глуповато, но все равно, идея красивая.

Разработан AI для быстрого угадывания паролей

Новость. Исследование. Ученые из Технологического института Стивенса и Нью-йоркского технологического института опубликовали ранние результаты своей работы по применению генеративно-состязательных сетей (Generative adversarial network, GAN) для ускоренного угадывания паролей. Ну то есть более быстрого, чем перебор по заданным вручную правилам, как в Hashcat или John the Ripper.

Идея выглядит вполне себе логичной – если кто и может определить, по каким принципам люди придумывают себе пароли, то только нейросети. Генеративно-состязательные сети в последнее время часто используют для забав вроде улучшения порченых фото или автоматического построения реалистично выглядящих картинок зверушек (реалистично выглядят они только для самих экспертов по deep learning, а на самом деле пипец какие страшные, см. пруф).

Суть GAN в использовании двух нейросетей, одна из которых (генеративная) генерит нечто, более-менее похожее на тренировочные образцы, а вторая (дискриминационная) отличает сгенерированные образцы от тренировочных. Играя друг против друга на достаточно большой выборке, обе сети достигают состояния равновесия, в котором способны генерить очень достоверные образцы.

Яйцеголовые хакеры, вооружившись TensorFlow 1.2.1, обучали сеть паролями, слитыми за последние 18 месяцев из LinkedIn и RockYou. Та в итоге сгенерила собственные, усовершенствованные правила подбора паролей. Сами по себе они оказались не сказать, что лучше, чем у HashCat, но если их совместить с правилами HashCat, то количество угаданных паролей из тестовой выборки повышалось на 18-24%. Цифры не очень впечатляют, но надо понимать, что на практике выборку можно взять и сильно побольше. То есть уже довольно скоро оценки сложности подбора паролей придется пересматривать – прогресс не остановить.

Недокументированная возможность MS Office позволяет слить данные профиля

Новость. Исследование. Сколько ни ковыряйся в Microsoft Office, или в его файлах, всегда найдешь какой-нибудь сюрприз. Наши ребята, исследуя целевую атаку Freakyshelly, наткнулись на фишинговую рассылку с файлами OLE2. На первый взгляд, внутри не было ничего вредоносного, ни макросов, ни эксплойтов, ни флеша. А потом нашли ссылки на PHP-скрипты на внешнем хостинге. Открываешь файл в Word, тот лезет по ссылкам – и наружу входят данные по установленному программному обеспечению.

Предположительно, атакерам эти данные нужны для разведки. Вообще для успеха целевой атаки очень важны точные данные о том, какой софт установлен у жертвы, и каких версий. Но зачем Word вообще переходит по этим ссылкам?

Исследователи обнаружили, что хакеры эксплуатируют не полностью документированную фичу MS Office – поле INCLUDEPICTURE в документе. Значение в этом поле всего лишь сообщает Word о том, что к определенным символам в тексте привязана картинка, ссылка на ее расположение должна быть в ASCII. Но кто-то придумал поставить туда хитросоставленный Unicode, и в итоге поле ссылается на определенное смещение в документе, где лежит форма, в дополнительных данных которой есть URL – куда Word и лезет. Помимо Word для Windows, эта фича работает в Microsoft Office для iOS и Android.

Древности


«Subliminal-1487»

Периодически зашифровывает и выводит на экран текст: «LOVE, REMENBER?». Также содержит зашифрованный текст: «N:SUBLIMINAL V1.10 O:ˆHYSTERIA! D:02OCT89».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 35.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Дата: 2017-09-22 16:20:40

Источник: https://habrahabr.ru/post/338520/



Преступники блокируют устройства Apple с целью выкупа

С 17 по 20 сентября владельцы устройств Apple начали жаловаться на блокировку и вымогательство. По информации портала MacRumors, злоумышленники воспользовались сервисом «Найти iPhone» для взлома учетных записей пользователей iCloud, при этом двухфакторная аутентификация препятствием для взломщиков не стала.

Функция FindMyDevice позволяет быстро найти iPhone, iPad или Mac в случае потери или кражи. С помощью сервиса можно отправить на пропавшее устройство сообщение — например, попросить вернуть устройство за вознаграждение. FindMyDevice также может удаленно заблокировать устройство, тем самым делая кражу бессмысленной — после блокировки оно сгодится лишь на запчасти.

Как выяснилось, данная функция может работать и в обратную сторону. Располагая именем пользователя и паролем iCloud, злоумышленник может сам удаленно заблокировать чужое устройство. В процессе блокировки Apple не запрашивает двухфакторную аутентификацию, если утеряно единственное доверенное устройство пользователя.

So a hacker gained access to my iCloud account (despite two-factor authorization) while I was asleep this morning.

— Jason Caffoe (@jcaffoe) September 20, 2017

По мнению MacRumors, пострадавшие использовали одни и те же данные для своих учетных записей. Вероятнее всего, киберпреступники обнаружили их при взломе сторонних сайтов.

Для атаки злоумышленники использовали не только логин и пароль, но и последние четыре цифры кредитной карты (их часто печатают на квитанциях или указывают в онлайн-магазинах в данных о покупке) и адрес выставления счета.

Таким же методом воспользовался преступник, который в 2012 году взломал учетную запись AppleID журналиста Мэта Хонана. Он позвонил в клиентскую службу поддержки Apple под видом Хонана, в ходе идентификации сообщил последние четыре цифры кредитки и адрес выставления счета, после чего поменял пароль и удалил все данные на iPhone, iPad и MacBook журналиста. Злоумышленник также использовал другие аккаунты Хонана как площадку для гомофобных и расистских высказываний. Данные для взлома злоумышленник получил с помощью сервиса FindMyDevice.

Взломы на прошлой неделе ставили себе целью именно выкуп. На экране появлялась надпись о том, на какой счет нужно перевести сумму в 0,01 биткоина (около 40 долларов), чтобы разблокировать устройство.

Y'all my MacBook been locked and hacked. Someone help me @apple @AppleSupport pic.twitter.com/BE110TMgSv

— Jovan (@bunandsomesauce) September 16, 2017

В случае взлома специалисты советуют придерживаться обычной тактики общения с вымогателями — не поддаваться на шантаж и не платить указанную сумму, так как это будет только поощрять злоумышленников. Лучше всего сразу же связаться со службой поддержки Apple.

Для предотвращения взлома следует поменять свой пароль Apple ID, включить двухуровневую идентификацию и никогда не использовать один и тот же пароль для разных учетных записей. Есть и более радикальный способ — полное отключение функции FindMyDevice.

Дата: 2017-09-22 16:00:32

Источник: https://threatpost.ru/find-my-device-allows-blockingdevices/22436/



Пиджаки vs джинсы. В ИБ стало много посторонних...

Описанные в заметке рассуждения давно витали в моей голове, но только на прошедшем в пятницу BIS Summit оформились в некий набор тезисов, который я и хотел выплеснуть на страницы блога. Я прекрасно понимаю, что за данные мысли, возможно, на меня обидятся некоторые мои коллеги и друзья, но в последнее время я уже и так наговорил столько всего и наступил на мозоли стольким людям и организациям, что одной заметкой больше, одной меньше, не критично. Итак, мой тезис простой - в профессии ИБ стало слишком много посторонних!

Несмотря на то, что у нас (и в России, и в мире) ощущается явная нехватка специалистов по информационной безопасности, а Наталья Касперская даже предлагает вводить специальный реестр выпускников ИБ-специальностей и не выпускать их за границу, чтобы не утекали мозги, я вижу, что попадание сторонних людей в профессию только вредит ей. На BIS Summit Рустем Хайретдинов поделился наблюдением, что раньше в отрасли были преимущественно выходцы из спецслужб и иные "погонщики" (от слова "погоны"), которых многие молодые специалисты называют "пиджаками". Молодежь же Рустем назвал "джинсами" и отметил, что их в отрасли становится все больше и больше, сменяя "пиджаков". Это те люди, которые вышли из программеров, пентестеров, хакеров. И вот они начинают превалировать над теми, кто понятие "безопасность" впитывал с молоком отца со скамьи в Высшей школе КГБ, ИКСИ или ином каком закрытом ВУЗе. А еще в ИБ идут люди из ИТ, которые узнали, что в ИБ нехватка людей или что в ИБ много платят.

И вот именно эта тенденция лично меня и пугает. Обе эти категории специалистов (и "джинсы" и айтишники) не имеют сознания безопасников. У них могут быть знания и навыки, но не сознание, которое должно формироваться с самого начала профессионального образования. Как думает "айтишник" в ИБ? Я защитю (защищу) внедрю систему защиты ИТ-активов согласно лучшим практикам, подчерпнутым в ISO 27001, СТО БР, 31-м приказе ФСТЭК, и наступит мне счастье. Как думает "джинса"? Вот тут дыра, тут дыра, а тут просто дырища; поэтому надо проводить регулярные пентесты, нанять Red Team, купить сканер безопасности и анализатор кода, ну и до кучи внедрить WAF с машинным обучением. При этом данные размышления никак не связаны с безопасностью, как ни странно. Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices или покупкой пентестов и WAF.

Также как Роскомнадзор подменил термин "защита прав субъектов персональных данных" "защитой персональных данных", так и в нашей отрасли ИБ ее заменили "ИТ-безопасностью". Мы концентрируемся на защите информации и информационных систем, забывая про субъектов, которую эту информацию обрабатывают, сохдают, хранят, передают. Мы много говорим о культуре ИБ, не предпринимая усилий по ее формирования. Надо признать, что и регуляторы тоже не сильно напрягаются в этом направлении, только постулируя необходимость заниматься этим вопросом. Основы госполитики в области формирования культуры ИБ в СовБезе так и канули в Лету. Уровень высшего ИБ-образования уже стал притчей воязыцех. Вот и получается, что основа, фундамент ИБ разрушен, а соответствующие навыки практически утеряны. Вендорам, в целом, тоже не до формирования культуры - за нее не платят миллионов и сотен миллионов (статьи затрат по программе "Цифровой экономики" говорят именно об этом, хотя про культуру и образование эта программа и говорит очень активно).

Сюда же относится и нежелание/неумение работы с людьми. Иногда гораздо проще и дешевле поговорить с сотрудниками, чем долго и безуспешно внедрять дорогостоящие защитные технологии (они, конечно, тоже нужны, но не стоит преувеличивать их важность). Но у нас этому ИБшников не учат (ФГОСы не содержат таких дисциплин). Хотя по правде тут нужны не знания, а навыки, которые надо не преподавать, а прививать. Но кто это будет делать? Если безопасник попросится на тренинги по управлению конфликтами или на управление коммуникациями, то на него посмотрят как на сумасшедшего. Зачем тебе это? Что за чушь? В лучшем случае пошлют в Информзащиту учиться Контитенту или SecretNet'у.

И эта тенденция только нарастает, последствия чего мы и наблюдаем в последнее время. На ИБ тратяся колоссальные бюджеты, вендора разрабатывают мыслимые и немыслимые технологии искусственного интеллекта, а хакеры на порядки более дешевыми методами продолжают ломать рядовых граждан, малые и крупные компании. Больше денег на ИБ, больше взломов. Такой вот парадокс. А все потому, что сознание у современных ИБшников уже не "безопасное", а "айтишное" или "хакерское". Мы (и я не исключение) не думаем о причинах многих вещей. Мы латаем дыры, не понимая, почему они появились. Чисто айтишный подход - пропатчиться по быстрому. Мы ищем дыры и кричим о них на конференциях, забывая рассказать о том, как их закрыть (и это почему-то называют security research). Это уже хакерский подход. А где подход безопасника? А его-то и нет...

ЗЫ. Предвидя комментарий "а ты сам кто такой?", отвечу: "Не знаю". Я гражданский, хотя мне преподавали преподы из Вышки. Но я и не айтишник и не хакер. Просто 25 лет в информационной (кибер)безопасности немного дают мне права надеяться, что я все-таки больше безопасник, чем...  

Дата: 2017-09-22 15:58:44

Источник: http://lukatsky.blogspot.com/2017/09/vs.html