Блоги v корпоративная безопасность

Блоги и социальные сети стали неотъемлемой частью жизни для многих современных пользователей Интернета. Персональный блог является удобной формой выражения мыслей, способом общения и создания сообществ по интересам. Даже те пользователи, которые раньше не особо активно вели сетевую жизнь, не участвовали в форумах и не пользовались чатами, узнав о существовании блогов, начали осваивать эту новую среду коммуникации.

Персональный блог является удобной формой выражения мыслей, способом общения и создания сообществ по интересам

Часто блогожизнь начинается с чтения дневников своих знакомых по реальной, офлайновой жизни, потом стремительно совершаются все новые и новые открытия — пользователи узнают о существовании дневников у известных и авторитетных людей, об онлайновых сообществах и так далее. Блоги затягивают, вызывая иногда особую форму интернет-зависимости.

 

 

Сама среда способствует прогрессированию этой зависимости — ведь так просто можно пообщаться в комментариях с каким-либо человеком, который кажется совершенно недоступным в реальной жизни. На блоги тратится все больше и больше времени, причем зачастую времени рабочего. Вот тут-то и начинаются первые проблемы у работодателей.

Не секрет, что сотрудники часто используют Интернет не только для выполнения своих служебных обязанностей, но и в личных целях. С появлением блогов еще больше возросло время нецелевого использования Интернета на рабочих местах. Сотрудники сотни раз обновляют свою френд-ленту, ожидая увидеть свежие записи и успеть отметиться в комментариях в первых рядах. Существенно позже они узнают об RSS и возможности чтения записей через клиентские программы. Так или иначе продуктивность работы сотрудников снижается. Но в данной статье речь не об этом. Постараемся проанализировать более серьезные последствия чрезмерного увлечения сотрудников блогами с точки зрения корпоративной безопасности, по принципу от простого к сложному.

Почитав чужие дневники и немного освоившись в этой новой среде, пользователи начинают задумываться о начале ведения собственного дневника. Сразу же возникает вопрос: о чем писать? Если дневник ведется в открытом режиме и доступен для всех, то нужно заботиться о своих читателях и как-то привлекать новых онлайновых друзей. Чем интереснее публикуемая информация, тем популярнее станет дневник. Самой первой и явной угрозой корпоративной информационной безопасности является открытая публикация в блоге внутренней конфиденциальной информации компании. Прикрывшись сетевым псевдонимом, за которым бывает очень сложно установить подлинную личность автора, недобросовестный сотрудник может выдавать инсайдерскую информацию компании для создания эффекта сенсационности, эксклюзивности и попытаться таким образом повысить популярность своего блога. Как правило, в таких случаях выдаются небольшие и не очень существенные производственные секреты, если сотрудник дорожит своим рабочим местом. Несмотря на кажущуюся очевидность данной угрозы, выявить ее и тем более своевременно отреагировать бывает довольно непросто.

Другой случай — обиженный сотрудник, особенно бывший. Он может сознательно публиковать в своем блоге информацию, утечка которой максимально болезненно скажется на компании и ее деловой репутации.

Подмена личности — распространенный вид угроз в блогосфере

Еще один вид угроз — подмена личности. Ничего не мешает конкуренту компании А создать блог с идентификатором, явным образом указывающим на кого-то из первых лиц этой компании (например, А1), и вести блог от имени этого лица. Тонкая и аккуратная работа позволит сформировать убеждение, что блог настоящий, и лишь узкий круг лиц, лично знакомых с А1, догадается о фальсификации. Грамотно спланированная атака такого рода не может быть рассчитана на длительный срок, так как фальсификация раскроется, но в то же время она не может быть слишком стремительной — вброс компрометирующей информации должен быть строго дозирован и тщательно замаскирован реальной информацией и легко проверяемыми фактами из жизни А1 и деятельности компании А.

Наконец, уделим основное внимание самому серьезному виду угроз, связанных с блогами. Он полностью основан на социальной инженерии и направлен на получение необходимой информации от сотрудника таким образом, чтобы он сам даже ничего не заподозрил.

Определим действующих лиц: пусть компания А — объект атаки, сотрудник А1, работающий в компании А, — объект аналитической разработки, Б — компания-конкурент и Б1 — аналитик службы конкурентной разведки компании Б. Задачей Б1 является получение необходимой информации о компании А через ее достаточно лояльного и добросовестного сотрудника А1 (заранее известно, что А1 обладает искомой информацией), который, однако, слишком увлечен блогами и проводит много времени в составлении заметок в собственном блоге, а также чтении и комментировании чужих блогов.

Вариантов развития событий может быть много, в зависимости от поведения А1. Если он пишет немного, тщательно взвешивая каждое слово, не проявляет свои эмоции, то задача Б1 усложняется и растягивается по времени. Но ключик найти можно. Для этого необходимо заинтересовать объект разработки. Аналитик тратит некоторое время на изучение объекта и выбор оптимальной стратегии.

Утечка конфиденциальной информации через блоги — одна из внутренних угроз компании

Один из самых сложных и длительных путей: аналитик, основываясь на своих наблюдениях за объектом, определяет круг интересов последнего. Далее создается блог и активно заполняется записями, содержимое которых должно быть потенциально интересным объекту. Особенное внимание необходимо уделить заполнению персональной информации о владельце дневника. Для большего доверия указываются псевдореальные данные — вымышленные имя и фамилия, страна и город проживания (если указанное местоположение Б1 будет подальше от объекта А1, то объект будет спокойнее себя чувствовать и якобы уменьшится вероятность предполагаемой встречи в реальном мире), список интересов (в который, разумеется, войдут некоторые интересы А1), номер ICQ (регистрируется специально для этой цели и периодически появляется в онлайне), дата рождения (Б1, скорее всего, окажется старше А1). Б1 может добавить порядка сотни виртуальных друзей, а свой список «friend of» сделать скрытым. После хотя бы одного месяца существования блога-приманки аналитик Б1 станет переходить к непосредственному контакту с объектом. Начать можно, оставив пару комментариев по существу к записям объекта, показав себя в этих комментариях интересным и компетентным собеседником. Немного пообщаться с А1 в комментариях на различные темы. Посмотреть перечень друзей А1, найти среди них наиболее интересных и добавить их к себе в друзья. Отслеживать свежие записи общих друзей и комментарии к ним, ожидая проявления там А1. Вступать в дискуссии с А1 в комментариях к записям в блогах взаимных друзей. Добавить А1 к себе в друзья, рассчитывая на его ответное аналогичное действие. Еще лучший вариант — если А1 первым добавит Б1 в друзья. При этом грамотный Б1 будет не слишком сильно сосредотачиваться на объекте, а попытается добиться реальной популярности своего блога, чтобы на каждую запись получать как можно больше комментариев.

В итоге какое впечатление создается у объекта А1? Он считает, что приобрел нового виртуального друга — солидного человека с популярным блогом интересной тематики, старшего по возрасту и авторитетного в определенных сферах. Б1, несомненно, получает хороший кредит доверия у А1. Таким образом, почва для атаки подготовлена.

Метод атаки зависит от целей Б1 и сложности поставленной задачи. Если необходимо разузнать какие-то общие сведения, которые невозможно найти другим путем в открытом доступе, то аналитик постепенно, как бы между делом, расставляет ловушки в процессе общения с объектом и собирает искомую информацию по крупицам. Б1, стараясь не вызвать подозрений, выясняет отдельные, малозначительные на первый взгляд факты. Потом, используя свои аналитические способности, он складывает их вместе и получает целостную картину.

Если же перед Б1 стоит более сложная задача — например, получить конфиденциальные документы компании А или какую-либо закрытую информацию, которую А1 не раскроет самостоятельно, то в ход идут активные методы атаки — непосредственное внедрение специального вредоносного кода на компьютер А1. Опять же, между делом и под разными предлогами аналитик старается выяснить, как подключен компьютер объекта к Интернету, какая у него версия операционной системы, браузера, почтовой программы, антивируса, межсетевого экрана. Например, Б1 может устроить у себя в дневнике опрос на тему "Кто пользуется какими антивирусами?" и ждать, пока А1 сам ответит, а после чего вступить с ним в дискуссию, попросить его обосновать свой выбор и так далее. Конечно, Б1 должен быть для этого неплохим психологом и уметь тонко чувствовать объект разработки.

Кейлогеры — самый опасный вид шпионских программ

Следующим шагом Б1 должен получить в свое распоряжение специальную программу для перехвата информации. Такими программами изобилует Интернет — это различные перехватчики клавиатуры (кейлогеры), которые доступны в самых различных вариантах. Есть коммерческие мониторинговые продукты, шпионские и троянские программы с функциями кейлогеров, есть даже программы такого рода с открытым кодом. Но куда более надежный вариант — получить кейлогер «под ключ». Написать свой кейлогер могут как программисты ИТ-отдела компании Б, так и сторонние разработчики-фрилансеры. Такой кейлогер будет гораздо сложнее обнаружить существующими антивирусными и антишпионскими программами, подавляющее большинство которых по-прежнему основано на классическом подходе сигнатурного анализа. Понятно, что сигнатура кейлогера, написанного под заказ для единичного использования, никогда не попадет в антивирусные и антишпионские базы. Но даже те прогрессивные антивирусы, которые используют превентивные технологии защиты, на сегодняшний день оставляют желать лучшего. Да, они позволят выявить простой кейлогер, полученный в виде исходного кода из Интернета, немного переделанного и скомпилированного. Но противодействовать серьезному кейлогеру, работающему на уровне ядра операционной системы, 99,9% современных защитных средств не смогут.

Между тем возможности кейлогеров впечатляют. Получив свое название со времен знаменитого hookdump, простейшего перехватчика клавиатуры, сегодняшние программы этого класса умеют гораздо больше, нежели просто записывать в лог-файл нажатые клавиши на клавиатуре. В далеко не полный перечень возможностей входят: перехват нажатий клавиатуры, нажатий и движений мыши, перехват текста из окон приложений, перехват буфера обмена, захват графических изображений экрана, захват видео с веб-камеры и аудио с микрофона, перехват электронной почты и мгновенных сообщений, перехват очереди печати, невидимая для программных межсетевых экранов отправка накопленной информации по различным протоколам. Другими словами, внедрив кейлогер на компьютер объекта А1, аналитик Б1 получает практически неограниченный контроль над всей служебной информацией, которая обрабатывается на этом компьютере.

И последнее: как внедрить кейлогер на компьютер объекта аналитической разработки? Это зависит, главным образом, от технической продвинутости и грамотности объекта. Нельзя забывать, что первым и самым главным средством защиты является собственная голова. Грамотный пользователь не станет заходить на сомнительные сайты, запускать вложения исполнимого формата, полученные по электронной почте. Но вот тут как раз и сыграет роль авторитет старшего товарища, который по-дружески может порекомендовать полезную ссылку или прислать интересный файл с необходимой информацией, которую искал А1.

Стоит отметить, что в описанном типе атаки аналитик Б1 сильно рискует, так как его действия подпадают под Уголовный кодекс. Решившись на преступные действия и осознавая все возможные последствия, Б1, вероятнее всего, главную ставку сделает на невозможность обнаружения кейлогера на компьютере пользователя и его самоуничтожение после выполнения боевой задачи.

В качестве заключения хотелось бы дать простые и краткие рекомендации, позволяющие защитить служебную информацию от компрометации.

Блоггерам: всегда помните о том, что в виртуальном мире очень просто происходит подмена личности. Особенно внимательно относитесь к тем, кто планомерно добивается прямыми и косвенными методами установления дружеских отношений. Даже если вы общаетесь якобы с хорошим приятелем, с которым вы давно знакомы в реальной жизни, не забывайте о том, что данные его учетной записи могут быть похищены злоумышленниками (например, с помощью кейлогера).

Руководителям компаний, ИТ-отделов, администраторам безопасности: вариант первый, не самый лучший и лояльный — запрещать вести блоги на рабочем месте. Вариант второй — отдельно оговорить возможность и правила ведения блогов в корпоративной политике безопасности, довести эти правила до ведома сотрудников. Лучше всего при этом открыть специальный корпоративный блог, который будут вести заинтересованные сотрудники. Блоги — это прекрасная коммуникационная среда, одно из последних достижений современного Интернета. Мудрые руководители сумеют обратить это достижение себе во благо, сократив все возможные риски до минимума.

Ссылки по теме

• LiveJournal
• MySpace
• Blogger
• Google Blog Search
• Blog — Wikipedia, the free encyclopedia

Статья получена: hostinfo.ru

загрузка...