Все записи

Это один из ключевых вопросов в области ИБ. Над ответом на него бьются лучшие умы отрасли. Что надо для решения этой насущной проблемы? Правильная модель и правильные данные. С первым, в общем, ситуация более менее разрешима. Особенно если привлекать алгоритмы из смежных областей. Относительно недавно на глаза попалось исследование Келдышевского института. Так там говорится о том, что DDoS-атаки и эпидемии червей можно предсказывать заранее; и даже модели приводятся. Но... все эти модели бесполезны без репрезентативных и качественных данных.

Недавно Министерство национальной безопасности США (DHS) запустило новый проект - PREDICT (Protected Repository for the Defense of Infrastructure Against Cyber Threats). Это защищенный репозиторий данных, используемых для исследований в области информационной безопасности. Основная его идея - помочь исследователям, разработчикам новых продуктов и авторам новых технологий.

ЗЫ. В проект можно подключиться как исследователь, использующий данные репозитория, автор новых данных, и хостер для данных.

ЗЗЫ. DHS также анонсировал на днях конкурс National Cybersecurity Awareness Campaign Challenge по сбору и последующей публикацией идей на тему: "Как сделать граждан более защищенными и более подкованными в информационной сфере?" Если есть желащие, welcome ;-)

Вчера был совершенно замечательный день. Настолько замечательный, что я его даже не заметил .

Вчера исполнился 1 год моей фактически журналистской деятельности. 16 марта 2009 года был опубликован первый пост в блоге “Персональные данные по-русски”. Кстати, название было придумано за пару секунд, т.к. в livejournal есть обязательное поле “Название журнала”, которое при регистрации нужно было заполнить, вот я и написал первое что пришло в голову. Ради истории опубликую как есть первый пост, благо он был коротким:

Ждем новую четверку документов ФСТЭК к 1 июня

Вопреки всем, кто ожидал выход новой редакции в конце первого или начале второго квартала, новая редакция документов ожидается к лету. Документы станут открытыми, так что готовимся.

Tags: РД, ФСТЭК

Вот так просто и незатейливо все началось. Кстати, ФСТЭК потом тянул со второй редакцией значительно дольше “неофициальнообещанного”.

Кстати, перечитал несколько первых постов, и очень хочется надеяться, что те смутные времена остались позади.

Другие записи

• Внимание! Не нравятся документы регуляторов – предложи свои!
• Заседание рабочей группы Ассоциации Российских Банков 22 мая 2009. Практические шаги банковского сообщества в решении задачи защиты персональных данных.
• Проверка ФСТЭК или аудит с молотком
• Очередной пакет документов по защите персональных данных
• Что изменилось области персональных данных для: Субъекта персональных данных?
• День сурка или новые документы ФСТЭК

17 . 11

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | Оставить коментарий |
Post tags: РД, Требования, ФСТЭК

Однажды генеральный директор одного большого холдинга работал с местной информационной системой. Система была в значительной степени самописной, сложной и довольно развесистой. И чего-то ему показалось неправильным. На одном из интерфейсов он не увидел нужной ему настройки. Как показало проведённое впоследствии разбирательство, имелось числовое поле ввода, а к нему примечание: «Чтобы убрать ограничение, выставьте в этом поле "-1"»*. Примечание директор просто не заметил и подумал, что не хватает ещё одной настройки – чекбокса "убрать ограничение".

Как поступил гендиректор? Самым простым и самым неправильным образом. Он вызвал(1) начальника Департамента ИТ, ткнул пальцем в экран и сказал: "Вот тут добавьте снятие ограничений".

Догадались, что было дальше? Ну, конечно. Начальник департамента, человек солидный, пожилой, уважаемый и уважающий начальство и даже немного разбирающийся в информационных технологиях, понял босса немного неправильно. К тому же, он не успел запомнить, на какой именно форме (а их в развесистой ИС были сотни) следует "снять ограничение".

Он бы, может быть и смог бы восстановить картину инцидента, если бы вплотную поработал со службой техсаппорта. Посмотрел бы все вероятные "директорские" интерфейсы, послушал бы, какие на каждом из них "ограничения". Но начальнику цельного Департамента общаться с рядовым саппортом западло. Поэтому он передал(2) распоряжение генерального своему заму, тот перенаправил(3) его начальнику отдела разработки, тот отфутболил(4) руководителю группы проектирования. Проектировщики(5) сели думать, что именно от них требуют.

Что интересно. Переспросить у начальства, а что имелось в виду (в каком контексте, с какой целью, в каких условиях и т.п.) решились только два нижних звена – 5 и 4. Звенья же с 3 попросту не осмелились обратиться к вышестоящим с подобными неуместными вопросами.

Разумеется, ничего путного из этого "проекта" не вышло. Цель (а всего-то и надо было сделать примечание * более заметным) не была достигнута. Хорошо, хоть ничего не испортили.

А каково было бы правильное действие генерального директора?

The final RSA 2010 post covers the last two days: Day 4-5.
As during the previous days, I had quite a few fun meetings with people that will hopefully translates in to more business for Security Warrior Consulting.


One of the days, Branden and I did our PCI book signing (picture). First, we were shocked to learn that the book actually sold out (!) at RSA bookstore and the publisher had to rush another batch in (which actually almost sold out as well by the end of the show…)

On Friday, I went to a really interesting presentation called “Got DLP. Now What?” Some guy from Forsythe delivered a VERY well-thought-through presentation on what to do after you got that DLP box. Basically, stuff on DLP program, process, even how to think about DLP (“not for malicious attacks”, “not for malicious data theft”), etc.
Just as SIEM, DLP most often fails for political and cultural reasons, not because the technology is somehow inadequate.  His range of common DLP mistakes went all the way down to “we don’t know whether we have anything sensitive, but we think DLP will protect us” (yeah right!)
I also loved that he focused on building incident response procedures first after buying DLP (and, better, even before!). Indeed, response plan is needed first (SIEM is the same – what happens when that correlation rule triggers?). He also reminded that DLP will likely require full-time employees (or staff augmentation by a skilled consultant) to operate it.
He also said that “just run DLP and then chase alerts” approach never work. Thousands of alerts – the IDS syndrome- will kill it. Starting from a detailed DLP policy is the only way (surprise! :-)); AUP or general security policy won’t do.
Another thing I loved is the dilemma of “classify first OR discover first.”  Just as I suspected, in a perfect world , “classify first” works – just not in this one (see Rich explain it here). “Discover scan first then create policy/classification” is more useful.
Similarly, “monitor first then slowly add prevention” is the only way to successful implementation. Overall, this presentation proved to me that RSA conference is not just about business development, chasing VCs and partying :-)

Finally, the juiciest bit: The Vendor Hall.


First, the meta-observation. Security industry is baaaack!  RSA 2010 felt more like super-glam RSA 2007 than like the meager RSA 2008. Economy in crisis? Not in this sector, baby! New vendors, old vendors, large vendors, small vendors – everybody is back in business [in fact, even some folks who shouldn’t be… you, triple-dead-zombies, you :-)]
Second, I noticed a lot of new security vendors with REEEEEEEEEEEEEEEALLY bad marketing, all the way down to this [BTW, somebody mentioned that the vendor in question has pretty useful and novel technology, it’s just their marketing is a bit … ya know… dumb].  BTW, “bad” here is defined as actually ineffective, not “overly deceptive” (e.g. compliance appliance) or “somehow offensive” (e.g. utilizes boobs and, especially, augmented ones).
Yes, there was even an obligatory village idiot with “we sell SOC-in-a-box” message. As well as “<our name>= Security” (while everybody knows that their name merely stands for PCI DSS compliance). And don’t even get me started on APT marketing – Rich said it best here.
Sometimes I felt like all vendors are divided into those who know what they are doing and how to market it; those who know what they are doing, but not how to market it; those who know don’t know what they are doing, but with great skills on how to market it; and, finally, those who don’t know what they are doing and have no idea how to market it (sad).
Third, it was funny when I’d approach a booth of Log Management Vendor X and everybody (including people I don’t personally know) will say “Hi Anton.” Then I approach Log Management Vendor Y and ask them a question, while wearing my name tag, and they  will say “come talk to this press guy over here” (!) and then they will start explaining to me what a columnar database is  :-) This was indeed hilarious! BTW, there was plenty of log management and SIEM vendors [some would say too many] and most if not all of them looked pretty optimistic.
Fourth, I have not picked anything that smelled like a new technology trend. It looked like most security subspaces (well, maybe not NAC…) are experiencing a major reemergence. The only thing that jumped at me (not sure why) was a large number of authentication and “access control” (loosely defined) vendors. Cloud stuff – even if in name only! – is even louder than in 2009 (substance is a bit hard to find, of course). You can try to do a quick divination on “Securosis Guide to RSA” [PDF], but I suspect all trends have been mined from there already :-)
Here is some more fun RSA 2010 (and BSides) notes from other folks (in no particular order)

• Martin McKeay on our compliance panel
• Rocky DeStefano on BSides and RSA
• Securosis team on RSA (those guys also notice amazing spurt of optimism!); read this one about APT as well (quote: “astounded at the outlandish displays of idiocy and outright deception among pundits and the vendor community”)
• More RSA 2010 and SecurityBSides impressions are here, here, here (from RSnake) etc.
• And of course, #rsac Twitter hash tag, if you’d like to be overwhelmed.

So, I am really looking forward to RSA 2011 :-)
Possibly related posts:

• RSA 2010 – Day 1 Metricon
• RSA 2010 - Day 2-3
• RSA 2010 EXCLUSIVE PCI Security Standards Council Interview
• RSA 2010: Where to Find Anton?
• All RSA conference coverage (all years)

About me: http://www.chuvakin.org

Nice hack:

Using insider knowledge the two hacked into software that controlled remote betting machines on live roulette wheels, the report said.

The machines would print out winning betting slips regardless of the results on the wheel, Peterborough Today said.

I'd like to know how they got caught.

EDITED TO ADD (4/17): They got their math wrong:

However, the scheme came unstuck after an alert cashier noticed a winning slip for £600 for a £10 bet at odds of 35-1. The casino launched an investigation that unearthed a string of other suspicious bets, traced back to Ashley and Bhagat, IT contractors working at the casino at the time of the scam.

Новые мифы:

• Токены очень удобны и решают все проблемы с аутентификацией
• Dj#wP3M$c – наилучший пароль
• Аутсорсинг дороже, чем создать свой отдел

«Датские исследователи уязвимостей готовят к выпуску бесплатную мета-систему автоматического обновления, которая поможет держать в тонусе 70-80% приложений, функционирующих на платформе Windows конечного пользователя.»
Идея унификации обновлений и интересная, и опасная. Ставить все патчи всех программ одной кнопкой (или вовсе автоматически) означает уменьшить "кормовую базу" ботнетов и прочей сетевой заразы в разы. Одним махом по всему миру.

И одновременно создать потенциальную мега-дыру. На тот случай, если злоумышленники или "злоумышленники" прорвутся к самой системе обновления. Тогда они забабахают супер-ботнет. Одним махом по всему миру.

Перед таким искушением могут не устоять даже спецслужбы, которые пока что благополучно преодолевают соблазн завести своих массовых троянов, которые к тому же не обнаруживаются антивирусами.

Но я бы, несмотря на всю свою служебную паранойю, такую систему на подведомственном предприятии поставил бы. (Кроме личного компьютера, разумеется.) Потому что в случае глобального взлома наказывать всех ИБшников не станут. Типа, форс-мажор...

http://www.rfc-editor.org/rfc/rfc5830.txt
http://www.rfc-editor.org/rfc/rfc5831.txt
http://www.rfc-editor.org/rfc/rfc5832.txt

Continuing my much delayed coverage of RSA 2010, this is my summary of Days 2-3.

Day 2 was all meetings and getting new business for Security Warrior Consulting, so nothing to write about (yet). By far the most fun part was a long discussion with Rocky DeStefano, that went all the way back to 2003 when we faced each other through the gun ports of the warring battleships… eh... competing SIEM vendors [his side eventually won :-)]

Day 3 started from attending  an 8AM session by Bob Russo. Now, think about it!

RSA conference + Wednesday (day after heavy party Tuesday) + PCI DSS + 8AM (!) = empty room?

I honestly thought I’d be the only one who wouldn’t want to miss Bob Russo (session GRC-201). Ha-ha-ha, poor naive Anton :-) I came at 7:55AM – and there was barely a place to sit in a HUGE room. Bob didn’t say that much new, but he heavily focused on educating the merchants to focus on security, not checklists and “teaching to the test” [=PCI assessment]. See my RSA interview with the PCI Council  for more PCI DSS updates.

After the panel, I spent some time wandering the vendor hall – one of my favorite things to do at RSA; coverage of this will be presented in the next post since I am still sleeping on some of the trends that I think I’ve noticed.

Later in the day, I jumped to SecurityBSides where our compliance panel “The Great Compliance Debate: No Child Left Behind or The Polio Vaccine” was about to be held. This time we also had a QSA , a large service provider CSO and the usual suspects: Josh “PCI is the Devil” Corman and Jack Daniel, our illustrious moderator.  The panel went well and was a much better experience overall than our similar ShmooCon panel (notes, video [FLV]): more structure, more useful discussion and just enough anger to keep it fun :-)  To me the most jarring part was a comment by an esteemed audience member (sadly, she is not seen on the video) that implementing PCI DSS controls is COMPLETELY out of alignment of what she needs to do based on her understanding of risk at a mid-size service provider. Hopefully, she clarifies it on her blog soon :-) So, watch the video: part 1 and then part 2. Also, read some more notes here.

Enjoy! One more RSA 2010 post to come: Days 4-5.

Possibly related posts:

• RSA 2010 – Day 1 Metricon
• RSA 2010 EXCLUSIVE PCI Security Standards Council Interview
• RSA 2010: Where to Find Anton?
• All RSA conference coverage (all years)

About me: http://www.chuvakin.org

Interesting research:

Analysing our data for security, though, shows that essentially all human-generated names provide poor resistance to guessing. For an attacker looking to make three guesses per personal knowledge question (for example, because this triggers an account lock-down), none of the name distributions we looked at gave more than 8 bits of effective security except for full names. That is, about at least 1 in 256 guesses would be successful, and 1 in 84 accounts compromised. For an attacker who can make more than 3 guesses and wants to break into 50% of available accounts, no distributions gave more than about 12 bits of effective security. The actual values vary in some interesting ways-South Korean names are much easier to guess than American ones, female first names are harder than male ones, pet names are slightly harder than human names, and names are getting harder to guess over time.

I've written about this problem.

22-23 марта пройдет третий российский съезд директоров ИБ. Достаточно интересная программа заявлена. Соотношение вендоров-заказчиков среди выступающих примерно 50/50. Из интересных докладов можно назвать выступление Михаила Хазина, известного экономиста и футуролога.

Я тоже буду там выступать с темой "7 спобов оценки вероятности риска" (в секции риск-менеджмента).

Here's a promotional security product designed by someone who knows nothing about security. The USB drive is "protected" by a combination lock. There are only two dials, so there are only 100 possible combinations. And when the drive is "locked" and the connector is retracted, the contact are still accessible.

Maybe it should be given away by companies that sell security theater.

Let me start my [much delayed] coverage of RSA 2010 conference with the awesomeness of Metricon 4.5 (technically, a Mini-Metricon 4.5 :-)) where I spent my first RSA day (sacrificing the Cloud Security Alliance meeting that was reported to be packed).

Here is an agenda for the meeting with my comments:

08:45 - 10:05: Morning Session I - Chair: Jeremy Epstein

• Qualitative Tuning as Preparation for Quantitative Methods, Pete Lindstrom

This was one of the most fun presentations, focusing on expert opinion vs. fact/metric in security. Pete showed an interesting approach for assessing the opinions in order to come up with something that looks more like fact.

• Metrics for insights on the state of application security, Ashish Larivee

This was an interesting presentation of Veracode research of binary analysis (paper, some highlights). A few thing actually blew me away first, but, upon further consideration, started to look perfectly logical. For example,  software industry is worse at developing secure software than financial service industry. It can be explained that FS folks develop only mission-critical software though. Still, this seems to prove that in some areas “if you want it done well, do it yourself and do NOT trust the professionals to do it” :-) In fact, commercial software overall fared worse [vulnerability-wise] than internally developed AND outsourced software. It also had longest remediation cycle, while open source had the shortest (for methodology details see their full report)

10:20 - 11:40: Morning Session II - Chair: Joe Magee

• Translating the Narrative into Metrics: The Verizon Incident Sharing Framework,Alex Hutton and Wade Baker

Verizon VerIS was released via this presentation (release, exec summary, document [PDF]). VerIS “translates the incident narrative (the attacker did this, then that, then the other thing) into a data set” and thus allows the creation of such awesomeness as DBIR.

• Ontologies for Modeling Enterprise Level Security Metrics, Anoop Singhal

This presentation was a bit of a cruel joke. It carried unfortunate signs of being done by somebody who never ventured in the real world of security (for example, single number “asset value”, “risk = damageValue”, “security measures that reduce the frequency of attacks”, etc, etc, etc). And, what was even more embarrassing, it came after the stellar presentation by the Verizon team; I think I have seen the grimaces on their faces :-) And every time the NIST speaker mentioned “this was done on tax payer dime” or uttered the word “ontology”, I wanted to just reach for a ShmooBall. To make his material even more insulting, he was also a bad presenter. Yuck!

13:10 - 14:40: Afternoon Session I - Chair: Caroline Wong

• Improving CVSS-based vulnerability prioritization with business context information, Christian Fruhwirth

This was a curious little preso that basically can be summarized in one phrase “using CVSS as it was intended by the original team – with Env scores – is valuable.” Even though there was one “cringe moment” when the speaker expected a normal distribution of vulnerability CVSS scores (pray tell me, why medium severity are more likely than low severity?)

• Security Metrics Field Research, Ramon Krikken

This presentation by a Burton …eh... Gartner… analyst Ramon Krikken was hugely insightful. They did some metrics research among their clients and came up with some surprising conclusion that shows metrics programs largely in the Stone Age (in fact, what was before the Stone Age? Ah, yes, Sharpened Stick Age! The maybe the metrics are in that age…). Here are some of the themes, but get the presentation materials when they are posted – very worthwhile. As expected, “compliance metrics are easy; security metrics are hard”, “assessments and audits matter”, “need to map to ” and “ONLY prevention of ‘business being stopped’ matters at many companies.” The research showed no focus on improvements, no peer benchmarking, etc. Regarding tools, MS Excel was by far the #1, couple of times RSA/Archer and SIEM.

 15:10 - 16:30: Afternoon Session II - Chair: Ray Kaplan

• Metrics for Cloud Security, Lynn Terwoerds, Caroline Wong, Betsy Nichols

This panel announced that CSA is starting a cloud security metrics effort, which was in a VERY early stage. No material has been created yet.

• Identifying critical information security areas with a Threat Agent Risk Assessment, Matthew Rosenquist

I read the TARA paper back when it came out, but this presentation (and the discussion) was still VERY interesting. The main idea is that vulnerability or asset focused approach makes no sense since there are way too many vulnerabilities (presenter example was “data center is vulnerable to a meteor strike”) and thus the way to go is to focus on threat agents that are motivated to cause damage and that can realistically to do so. The logic thus becomes: threat agent –> vulnerability –> control –> what remains is the risk that needs to be dealt with somehow. But read the paper instead of this, Intel folks explain it much better :-)

 

So, as I said, Metricon was the most thought-provoking part of RSA for me! And I am not even mentioning the level of hallway discussions there…

About me: http://www.chuvakin.org

Получил письмо от Майи Ольшанской с интересной ссылкой:

В Череповце есть такой сайт http://mmite.3dn.ru , на нем выкладывают результаты конференций и семинаров по ПДн, которые проводятся при участии Череповецкого Государственного Университета. На последнем семинаре “Обеспечение безопасности персональных данных в органах государственной власти и местного самоуправления” у представителя университета был доклад, в котором он постарался представить шаблонный вариант внутренних документов по ПДн.
Доклады, перечень документов и сами шаблоны можно скачать с сайта (прикрепляю к письму два предложенных пакета документов). Ссылка 1, Ссылка 2

PS Печально, что то, что по идее должно быть сделано регулирующими органами в сфере ПДн, делают сами операторы или “деятели” (которые заполнение этих документов продают за немалые деньги).

Часть документов потеряли актуальность в связи с отменой 2-х документов ФСТЭК, но все таки могут оказаться полезными при написании организационно-распорядительной документации.

Другие записи

• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Внимание! Не нравятся документы регуляторов – предложи свои!
• День сурка или новые документы ФСТЭК
• Знаковые события в области персональных данных или “додуманные” документы ФСТЭК
• День 3. Сокращение перечня сведений, составляющих персональные данные
• ReignVox выложили новый список документов.

1105 . 486

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | 3 коммент. |
Post tags: Классификация ИСПДн, Коллеги, Консультация, Опыт работ, Требования, угрозы безопасности, ФСТЭК

Как-то так сложилось исторически, что производителей никогда не наказывали за излишнюю функциональность выпускаемой техники. Подразумевалось, что чем обширнее набор исполняемых функций, тем лучше (по крайней мере, не хуже, ведь никто не заставляет использовать). В информационный век оказалось, что дополнительная функциональность несёт дополнительные угрозы.

Телефоны шпионят за своими хозяевами. Автомобили ябедничают на водителей. "Умные дома" открывают двери без спроса. Магазинные RFID-бирки посягают на тайну частной жизни покупателей. А уж чего вытворяют компьютеры – лучше даже не начинать перечисление.


— Я совершенно безопасен. У меня и сертификат Гостехкомиссии "Кибердайна" есть. Натуральный "бунт машин". Точнее, его первая часть: роботы людей пока не отстреливают, но уже повиноваться им отказываются. И постоянно о чём-то шушукаются по Сети.

При этом за происшедшие утечки, разглашения, заражения виновными объявляют тех, кто отдал приказ, а не тех, кто внедрил в ПО потенциально опасную функциональность. Всё, до чего смог додуматься человек, отстаивая свою независимость перед киберзахватчиками, это сертификация на отсутствие НДВ. Декларированные же возможности (будь они однажды полезными, дважды расточительными и трижды вредоносными) допускаются почти любые. А прославленные Три закона робототехники остаются фантастикой под надуманным предлогом отсутствия роботов.

Производители софта пока успешно обороняются на рубеже под названием «as is», под прикрытием коего враг рода человеческого Скайнет разворачивает основные силы.

А мы, защитники информации не в состоянии вас защитить, пока вы, люди одной рукой финансируете защиту, а другой – создание опасной функциональности.

"Measuring the Perpetrators and Funders of Typosquatting," by Tyler Moore and Benjamin Edelman:

Abstract. We describe a method for identifying "typosquatting", the intentional registration of misspellings of popular website addresses. We estimate that at least 938 000 typosquatting domains target the top 3 264 .com sites, and we crawl more than 285 000 of these domains to analyze their revenue sources. We find that 80% are supported by pay-per-click ads often advertising the correctly spelled domain and its competitors.Another 20% include static redirection to other sites. We present an automated technique that uncovered 75 otherwise legitimate websites which benefited from direct links from thousands of misspellings of competing websites. Using regression analysis, we find that websites in categories with higher pay-per-click ad prices face more typosquatting registrations, indicating that ad platforms such as Google AdWords exacerbate typosquatting. However, our investigations also confirm the feasibility of signicantly reducing typosquatting. We find that typosquatting is highly concentrated: Of typo domains showing Google ads, 63% use one of five advertising IDs, and some large name servers host typosquatting domains as much as four times as often as the web as a whole.

The paper appeared at the Financial Cryptography conference this year.

Новые мифы:

• Мобильные вирусы представляют большую опасность
• Системы обнаружения атак умеют обнаруживать неизвестные атаки
• Шредер гарантированно уничтожает информацию на бумаге

Решил написать несколько коротких заметок на тему последних изменений в области персональных данных, а именно:

• Принятие Приказа №58 ФСТЭК
• Отмена документов ФСТЭК «Основные мероприятия…» и «Рекомендации…»

Каждый пост будет описывать суть изменений для каждого участника рынка: Оператора, Субъекта, Росконмнадзора и т.д.

Сегодняшний пост будет, наверное, самым простым в этой короткой серии.

Что в последний месяц-полтора изменилось для субъекта? Ничего!

Пока идут рассуждения о «высоком»: обязательность технических требований по защите, поправки в закон о персональных данных и т.д. интересы субъектов никак не затрагиваются.

Другие записи

• День сурка или новые документы ФСТЭК
• Метаморфозы персональных данных (Видео)
• День 3. Сокращение перечня сведений, составляющих персональные данные
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Как учитывают закон о персональных данных в on-line сервисах или будут ли жить Электронное правительство и Электронная Россия?
• Срочно! ФСТЭК отреклись от “Четверокнижия”

1603 . 673

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | 9 коммент. |
Post tags: Privacy, безопасность персональных данных, Коллеги, Консультация, система персональных данных, Требования, ФСТЭК

« По оценке MessageLabs, более 65% спама в настоящее время продвигает фармацевтические изделия.» Подумать только, какую значительную часть спама можно ликвидировать, наведя порядок в фармацевтической отрасли.

Спам – это ведь не только спам, это ещё и ботнеты для рассылки, индустрия создания вредоносов под эти ботнеты, разные мошеннические методы их внедрения и т.д. И весь этот криминальный сетевой бизнес пропорционально уменьшится, если снизить спрос на левые лекарства. Если дать возможность продавать дешёвые медикаменты легально.

В тех странах, где распространённые лекарства можно купить без рецепта врача, где нет высоких необоснованных пошлин и где не свирепствует "интеллектуальная собственность" – там отсутствуют нелегальные интернет-аптеки. Соответственно, нет спама, спамоустойчивого хостинга и всей поддерживающей структуры. Кому нужно лекарство, просто идёт в аптеку и покупает.

Но в США всё не так. Лекарства дороги и малодоступны. На каждую ерунду требуется рецепт, то есть, визит к врачу, анализы, осмотр, все дела... Дешёвые аналоги отсутствуют, во имя Копирайта. В итоге вокруг американского рынка пасутся сотни интернет-торговцев, заваливая спамом не только Штаты, но впридачу и весь мир.

Спам, конечно, зло. Но он – естественная реакция экономики на гораздо большее зло. Спам – это гной экономики, реакция на воспаление товарно-денежных отношений. Бороться следует именно с воспалением.

Наверное, многие слышали про такое понятие как "отрицаемое шифрование" (англ. deniable encryption). Отрицаемое шифрование используется в некоторых криптографических продуктах, предназначенных для шифрования файловых систем, с целью создания возможности правдопободного отрицания наличия зашифрованных данных. Типичным примером являются скрытые контейнеры TrueCrypt, которые располагаются внутри свободного пространства файловой системы внешнего контейнера. По умолчанию, свободное пространство любого контейнера TrueCrypt заполнено (псевдо)случайными данными, а отличить данные скрытого контейнера от случайных практически невозможно. Следовательно, практически невозможно доказать факт наличия или отсутствия скрытого контейнера в свободном пространстве файловой системы другого контейнера TrueCrypt.


Разумеется, у подобного способа компоновки зашифрованных данных существуют недостатки, которые были рассмотрены как нами, так и другими исследователями. А скрытые операционные системы (т.е. операционные системы, установленные в скрытых контейнерах) так и не решили проблемы обнаружения скрытых контейнеров.

Можно ли применить концепцию отрицаемого шифрования для организации скрытых каналов передачи данных? Безусловно. К примеру, протокол TLS (RFC 4346) предусматривает передачу 28 случайных байтов в пакетах Client Hello и Server Hello (секции 7.4.1.2, 7.4.1.3 указанного RFC), которые можно использовать для хранения зашифрованных данных. Протокол TLS довольно часто используется для организации защищенного обмена данными протокола HTTP и, следовательно, сервер, используемый для организации скрытого канала передачи данных, может маскироваться под веб-сайт, работающий по протоколу HTTPS. Отправка одного килобайта данных потребует менее 40 пакетов Client/Server Hello, которые можно довольно легко замаскировать под обмен данными между веб-сервером и веб-браузером.

Возможно ли доказать факт присутствия подобного скрытого канала передачи данных только средствами анализа сетевого трафика? Нет.