О беспомощности России в вопросах информационной безопасности

[VSimanin 39]

Создать сию тему меня подтолкнула очередная новость о небезопасности даже открытого ПО (источник).

Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.

Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировало работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений.

В письме также выдвигаются предположения о том, что агентство по оборонным разработкам D

RP

прекратило финансирование OpenBSD после того, как по внутренним каналам была получена информация о внедрении бэкдора. Также подозрение вызывает активная позиция ФБР в плане продвижения использования OpenBSD для создания VPN и межсетевых экранов.

Пока не ясно, удалось ли на самом деле внедрить бэкдор и работоспособен ли он в настоящее время. Пири сообщил, какой именно разработчик OpenBSD занимался внедрением бэкдора и порекомендовал провести аудит коммитов данного человека. С момента первого выпуска IPSEC-стека от проекта OpenBSD прошло более 10 лет, с тех пор код был подвергнут многочисленным изменениям, поэтому степень опасности можно определить только после проведения полного аудита. Вызывает опасение также то, что некоторые большие части кода IPSEC от OpenBSD были заимствованы в других открытых проектах и проприетарных продуктах.

Сразу же пришло на ум недавнее (источник):

Разработчики популярного FTP-сервера ProFTPD сообщили об обнаружении факта взлома основного сервера проекта и подмены архива с исходными текстами на вариант, содержащий вредоносный код. В результате атаки, c 28 ноября по 2 декабря с первичного FTP-сервера проекта и всех зеркал распространялся модифицированный злоумышленниками вариант архива ProFTPD 1.3.3c.

Всем пользователям, загрузившим код в указанный период времени, следует немедленно сверить контрольные суммы для загруженного архива и в случае их несовпадения установить корректную версию ProFTPD. Интегрированный в код сервера бэкдор позволял получить shell-доступ к системе с правами суперпользователя, после ввода FTP-команды "HELP

CIDBITCHEZ". При запуске, модифицированный сервер отправлял уведомление на определенный IP в Саудовской Аравии, давая знать о готовности принять команды злоумышленников....

...взлом мог быть совершен через новую (zero-day) уязвимость в модуле ProFTPD, используемом для аутентификации на SQL-сервере. Исправление для данной уязвимости пока не выпущено...

, что заставило копнуть меня чуть поглубже...

И что я хочу предложить вашему вниманию, как тему для обсуждения заинтересованным форумчанам?

1) Очень интересный материал"Красная пилюля - аппаратная виртуализация в контексте информационной безопасности"

Вот для затравки цитата:

Гипердрайвер - это средство оперативного и тотального контроля за любым аппаратным и программным ресурсом вычислительной системы. Это свойство определяет область его основного применения - регистрацию интересующих программных и аппаратных событий, а также эмуляция несуществующего оборудования.

Особо нужно остановится на возможности гипердрайвера контролировать системы, которые сейчас невозможно проконтролировать в полном объеме – это, как ни странно, БИОС и режимы системного менеджмента (SM mode), процедуры загрузки, выгрузки, сна операционной системы. Программные комплексы ядра гипервизоров от известных производителей также могут подвергаться исследованию и контролю с помощью гипердрайвера, поскольку не представляет сложности пропустить гипервизор любой известной системы виртуализации под управлением ранее запущенного гипердрайвера.

Виртуализация системы виртуализации – это реальная технология уже отработанная и реально существующая. Единственная проблема таких эмуляций – это право «первой ночи», кто первый сел на оборудование виртуализации, тот в состоянии для всех последующих желающих с ней поработать создать соответствующую программно-аппаратную среду.

...Если вы подумали, что речь идет о Хакерах, то Вы ошиблись, все гораздо печальнее. Хакеры последнее время превратились из «крутых программистов» в обычных «продвинутых пользователей», технологии аппаратной виртуализации им просто «не по зубам».

Приведенный выше пример использования технологии аппаратной виртуализации в боевых целях неприменим, поскольку легко обнаруживается при размещении его программного кода на дисках, но он обретает фатальную мощь, если подобный гипердрайвер разместить в БИОС и навесить на него функций из арсенала шпионских технологий.

Универсальные способы размещения дополнительных программных модулей во флеш-памяти БИОС уже давно отработаны и используются даже в легальных коммерческих продуктах типа Computrace, LoJack фирмы

bsolute Software. Описание этой технологии бродит по Сети уже с начала 2007 года. Имеется даже русскоязычная статья «BIOS-ный троян от

bsolute Software» на сайте Rom.by, с ее детальным описанием.

Размер боевого кода гипердрайвера позволяет прописываться в БИОС безболезненно, при этом он может быть обнаружен только на внешнем программаторе, в большинстве случаев только после выпаивания микросхемы ФЛЕШ-памяти из материнской платы.

И даже этот «ломовой» метод будет работать, только если в системе физически отсутствует ТРМ модуль (программно он может быть отключен,- в России это обязательное условие ввоза оборудования).

На современных серверных платформ Intel, используется три отдельных микросхемы флеш-памяти на своих выделенных SPI интерфейсах и присутствует аппаратура шифрования их содержимого. Обнаружить в них программный код гипердрайвера даже после выпаивания микросхемы флеш-памяти абсолютно невозможно без применения криптографических методов.

2) И собственно дальнейшее продолжение этой темы (ссылка):

Основой же Российской информационной безопасности являются модули доверенной загрузки (МДЗ) типа «Аккорд», «Соболь» и др. Кроме этого, непробиваемые методы отключения локальных сетей от внешних линий доступа в Интернет по замыслам архитекторов систем информационной безопасности полностью устраняют все риски внешнего проникновения.

Но, «О УЖАС», эти непробиваемые средства Российской инженерной и административной мысли легко обходятся гипердрайверами и защита трещит по швам (собственно защиты уже давно как таковой нет - есть только многомиллионный бизнес).

И в качестве последнего аккорда пятая ссылка на внешку:

Oфициальный представитель INTEL подтверждает наличие недокументированных возможностей в их аппаратуре.

[VSimanin 39]

просто в продолжение темы ИБ попалась на глаза старая статья. Вот цитата оттуда:

Исполнительный директор Google Эрик Шмидт посоветовал интернет-пользователям менять имена, если они хотят, чтобы их "сетевая история" не мешала им жить.

По мнению Шмидта, развитие поисковых технологий и сбор информации о предпочтениях пользователей даст мощный толчок для развития рекомендательных систем. "Я думаю, большинство людей не хочет, чтобы Google просто отвечал на их вопросы. Они хотят, чтобы он говорил им, что им делать дальше", - заявил Шмидт.

Например, если человек идет по улице, а Google знает, где человек живет и где сейчас находится. Мало того, поисковик знает, что человек собирался купить молока. Поэтому Google подскажет ближайший магазин, в котором продается молоко, и пользователь останется довольным. Это, с одной стороны, отлично, а с другой – корпорацию постоянно обвиняют в том, что они хранят и используют в своих целях огромное количество данных о пользователях.

Шмидт уверен, что никакого регулирования со стороны этому процессу не нужно, так как компания бережет данные своих пользователей. Однако тем, кто данные собирает (в данном случае Google) известно о пользователях всё.

"Общество до сих пор не понимает, что происходит в ситуации, когда все доступно, известно и сохраняется", - заявил Шмидт. И тут предсказал, что, по его мнению, что в будущем любой молодой человек по достижении совершеннолетия будет автоматически менять имя, чтобы избавиться от длинного хвоста прошлого, состоящего из подростковых выходок.

[Юрий 76]

каким образом поисковик будет знать, что человек хочет сделать?

а вот геотаргетинг да, сейчас распространяется с большой скоростью. При этом люди сами же указывают все сои данные, что ИМХО не очень то хорошо

[VSimanin 39]

Примеры кибервойн (Лукацкий)

[Юрий 76]

да, Китай видимо рулит в плане взломов и атак.

[VSimanin 39]

При этом люди сами же указывают все сои данные что ИМХО не очень то хорошо

Ну тогда ещё в тему:

Риски использования социальных сетей (Лукацкий)

каким образом поисковик будет знать что человек хочет сделать?

Он явно указывает, что они УЖЕ знают, зачем пользователь вышел на улицу...

если человек идет по улице, а Google знает, где человек живет и где сейчас находится. Мало того, поисковик знает, что человек собирался купить молока.

[Юрий 76]

Он явно указывает что они УЖЕ знают, зачем пользователь вышел на улицу...

вот и возникает вопрос : ОТКУДА и как? по моему это нереально и невозможно, по крайней мере на данный момент, т.к это надо исследовать поведенческий фактор каждого человека и человеку надо на протяжении некоторого времени указывать свой распорядок

[VSimanin 39]

т.к это надо исследовать поведенческий фактор каждого человека и человеку надо на протяжении некоторого времени указывать свой распорядок

Ну, простой пример от Билайн-TV: уже достали всплывающие на экране телевизора напоминания, что в это время по другому каналу начинается передача, продолжение той, что я когда-то посмотрел. Вывод - собирается база по предпочтениям просмотра передач по каждому пользователю. Можно давать рекомендации по просмотру.

[VSimanin 39]

АPPLE И GOOGLE СОБИРАЮТ ИНФОРМАЦИЮ О ПОЛЬЗОВАТЕЛЯХ

«Айфоны» и смартфоны с операционной системой «Андроид» регулярно рапортуют о своем местонахождении, соответственно, в компании

pple и Google, утверждает The Wall Street Journal, опираясь на результаты собственного расследования. Это вселяет опасения за тайну частной жизни в условиях, когда ширится торговля персональными данными, отмечают журналистки Джулия Энгуин и Дженнифер Валентино-Девриз.

«Google и

pple собирают информацию о местонахождении пользователей, торопясь создать колоссальные базы данных, способные точно устанавливать местонахождение людей через их сотовые телефоны. Эти базы данных, возможно, помогут компаниям выйти на рынок услуг, связанных с местонахождением пользователей. Товарооборот этого рынка – 2,9 млрд долларов, а к 2014 году он возрастет до 8,3 млрд, прогнозирует Gartner Inc.», – говорится в статье.

Так, телефон HTC, работающий на «Андроиде», каждые несколько секунд определял свои координаты на местности и, как минимум, несколько раз в час передавал эту информацию в Google, обнаружил недавно аналитик по вопросам безопасности Сэйми Камкар. «Телефон передавал и названия, координаты и уровень сигнала всех сетей Wi-Fi неподалеку, а также уникальный идентификационный номер телефона»

Вплоть до прошлого года Google собирала сходную информацию о сетях Wi-Fi, используя свой отряд «картографических автомобилей» StreetView. Но компания прекратила эти работы после того, как нечаянно получила из сетей Wi-Fi электронные адреса, пароли и другие личные данные. «Среди данных, передачу которых телефонами с «Андроидом» зафиксировал Камкар, не было подобной личной информации», – говорится в статье.

Компания

pple в прошлом году в письме американским конгрессменам утверждала, что время от времени собирает данные о местонахождении, в том числе GPS-координаты, многих пользователей «айфонов» и окрестных сетей Wi-Fi, а затем раз в 12 часов передает эти данные сама себе

В прошлом году The Wall Street Journal уже обнаружила, что некоторые сверхпопулярные приложения для смартфонов еще более произвольно распоряжаются персональными данными: иногда без ведома и согласия пользователя делятся ими со сторонними компаниями.

На этой неделе вокруг

pple разгорелся и другой скандал: выяснилось, что в «айфонах» хранится незашифрованная база данных о местонахождении пользователя, иногда за последние несколько месяцев.

Информация о местонахождении пользователя помогает оказывать полезные услуги – например, поиск ресторанов в окрестностях или обслуживание специальных опций социальных сетей. Иногда данные о местоположении позволяют сотовым операторам эффективнее перенаправлять звонки. Google утверждает, что на базе этой информации создает точные карты дорожных пробок.

«Массовый сбор информации о местонахождении – передний край бурно растущего рынка личной информации. Еще совсем недавно большая часть данных о поведении людей собиралась через персональные компьютеры. Эту информацию обычно можно привязать к городу или почтовому индексу, но уточнить нелегко. Распространение сотовых телефонов с выходом в интернет, однако, позволяет собирать данные о пользователях с четкой привязкой к конкретным координатам», – говорится в статье.

[VSimanin 39]

и вот ещё много буковок (я вас уже убедил?):

14 марта 2011 г.

Джоэль Стейн | Time

Сбор информации: теперь частные фирмы знают о вас всю подноготную

Вам кажется, что информация в интернете – даровая? Автор статьи в журнале Time отвечает: «Ничего подобного. Вас просто не извещают, что вместо денег вы расплачиваетесь информацией о себе». Журналист Джоэль Стейн заказал в соответствующих фирмах досье на самого себя и, изучив использованные методы, написал статью.

В фирме Reputation.com Стейну назвали его номер свидетельства социального страхования – для американца это важнейший документ, во многих аспектах аналог паспорта, – через три часа после того, как он сообщил всего лишь свое имя и адрес электронной почты.

«За последние несколько месяцев я узнал о себе много фактов поинтереснее, чем номер свидетельства соцстраха, притом что раздобыл лишь толику из колоссального объема информации, которую частные компании тайком собирают в интернете и «в реале», – пишет автор. На взгляд Стейна, иногда фирмы попадают впросак: в

ds Preferences компании Google значится, что он якобы не интересуется литературой и обществом, Yahoo! полагает, что он живет в Нью-Йорке, хотя Стейн уже 6 лет назад как переехал в Лос-Анджелес.

«Фирма RapLeaf, с которой Facebook недавно прервал сотрудничество, так как она залезала в идентификационные данные пользователей, раскусила меня: я женатый мужчина с высшим образованием в возрасте 35-44 лет, живу в Лос-Анджелесе. Но RapLeaf считает, что я бездетен, работаю врачом и езжу на пикапе. Очевидно, они не читают мою колонку в Time», – продолжает Стейн. Intellidyn знает, что Стейн и его жена Кассандра интересуются садоводством, модой, дизайном интерьера и фитнесом. «Мы вряд ли приобретем полис автомобильного страхования по почте, но наверняка отправимся в круиз по рекам Европы, полагает фирма, несмотря на тот факт, что ни в какой круиз по рекам Европы мы не собираемся», – пишет Стейн.

По данным автора, каждая единица этой (достоверной или лживой) информации о нем продается рекламным фирмам примерно за две пятых американского цента. На основе этих данных рекламщики показывают Стейну в интернете рекламу или присылают каталоги. Для сбора данных используются, в частности, программы-соглядатаи на сайтах и приложения для мобильного телефона, изучающие список контактов и местоположение абонента.

Товарооборот индустрии, которая собирает и продает личные данные и информацию о поведении, измеряется миллиардами долларов. Сенатор Джон Керри, ныне глава сенатского подкомитета по делам связи, технологий и интернета, собирается внести законопроект, который обяжет компании охранять всю подобную информацию от хакеров и разрешить гражданам знакомиться с информацией о себе, исправлять ошибки и запрещать слежку за собой.

Федеральная комиссия по торговле США уже призвала крупные поисковые системы разработать механизм, который позволит людям запретить сбор информации о себе компаниям, с которыми они не взаимодействуют напрямую. Вероятно,

mazon по-прежнему будет разрешено запоминать ваши заказы и советовать нечто подобное, но не передавать информацию другим компаниям без вашего разрешения, говорится в статье.

«Сбор информации о вас без спроса и заработок на ней – далеко не новое явление: эта идея породила телефонную книгу, рассылку рекламы по почте и телемаркетинг», – замечает автор. Новые технологии лишь в очередной раз заставляют нас сопоставлять потери и выгоды – стоит ли разглашать свою частную жизнь взамен на мгновенный доступ к информации?

«Некоторые данные о вас – цена вашего дома, документы о разводе, сведения о судимостях и пожертвованиях в политические фонды – всегда находились в публичном доступе, но их хранили в разных зданиях и предоставляли только тем, кто заполнял тягомотные бланки; теперь они на расстоянии одного клика в интернете», – утверждает Стейн. Другую информацию в досетевые времена было бы невозможно собрать: понадобился бы соглядатай, который ходил бы за тобой по пятам в магазинах, подслушивал разговоры и фиксировал, какие статьи ты читаешь в газетах. Теперь все это делается в сети и может отслеживаться немедленно.

Автор отмечает, что сбор информации в интернете нервирует: стоит написать другу, что собираешься в Техас, как Gmail подсовывает рекламу ресторанов в Хьюстоне. Но иногда такие советы могут быть полезны, признает он.

«Поскольку таргетированная реклама намного эффективнее «рекламы вслепую», сайты могут назначать за нее гораздо более высокие расценки. Поэтому баннеры уменьшились в размерах и выглядят менее назойливо, а контент на сайтах стал качественнее, хотя они остаются бесплатными», – отмечает автор. Вдобавок рекламщики интересуются лишь отдельными подробностями твоего поведения, а не профилем в целом. Поэтому М.Райан Кейлоу из Стэндфордской Юридической школы уверяет, что сам по себе сбор информации в сети безвреден. Истинная проблема в том, что на основе ошибочной информации человеку могут отказать в выдаче кредитной карты или трудоустройстве, замечает Джастин Брукмен, директор Center for Democracy and Technology (Вашингтон).

Правда, и в старые времена мы не могли полностью контролировать свой образ для мира: как пишет автор, «друзья хранят письма, в которых мы уже сами не помним, что написали, враги рассказывают о нас истории, не совпадающие с нашими воспоминаниями, школьные альманахи с нашими фото много у кого хранятся». И все же на Facebook или в журнальных статьях человек сам решает, какой информацией о себе делиться.

«Facebook не продает ваши данные, в том числе потому, что ему это не требуется: 23,1% всей рекламы в интернете, за вычетом рекламы на поисковиках, видеосервисах или в ящиках электронной почты, показываются на Facebook. Но фирмы-сборщики «соскребают» всю личную информацию, которая не спрятана под замок, и продают ее всем заинтересованным сторонам. Итак, эта информация продается и покупается, если только ты не выставишь высший уровень приватности на Facebook; но в таком случае ты не сможешь во многих случаях наслаждаться общением, ради которого и пришел в эту социальную сеть», – сообщает автор.

Еще более дотошное досье, чем Facebook, имеет разве что Google. Правда, Google, как уверяют его сотрудники, заботится о приватности информации: разные данные держит в разных местах. В одной «коробке» – персональные данные об аккаунтах из анкет, которые заполняешь при регистрации на Gmail, YouTube и т.д. В другой – история поисков на твоем компьютере. На Google Dashboard и Google

ds Preferences можно изменить настройки, чтобы запретить сбор информации о себе или изменить профиль, согласно которому компания показывает тебе рекламу.

Со своей стороны, борцы за тайну частной жизни возражают против самой философии Google (как утверждает сама компания: «Миссия Google – упорядочить всю информацию в мире и сделать ее всем доступной и полезной»). «Отлично, вот только моя личная информация – часть мировой», – сетует автор.

Стейн сообщает, что скачал программу Ghostery, которая позволяет наблюдать за соглядатаями: выводит на экран список всех фирм, которые отслеживают тот или иной сайт. Фирма Reputation.com может всего за 8,25 долларов в месяц оградить тебя от интернет-соглядатаев. «Значительно более крупный гонорар может обеспечить, чтобы при поиске твоего имени в Google всплывали более льстивые результаты: когда каждый человек знаменит, каждому нужны свои пиарщики», – пишет автор. Основатель и глава фирмы Майкл Фертик предрекает: если сбор данных в интернете не будет регулироваться, каждому вскоре выставят оценку за привлекательность, социализированность и склонность жаловаться, и фирмы смогут отказывать тебе в услугах – совсем как на основе кредитной истории сегодня.

«Но даже если я воспользуюсь услугами Reputation.com, всю публичную информацию о себе скрыть не смогу», – вздыхает автор. Ли Тиен из Electronic Frontier Foundation – организации, которая борется за права в цифровом пространстве, предостерегает: «Что если ваш работодатель получит доступ к информации о ваших болезнях или о том, что женщина беременна или планирует беременность?». Тиен также опасается за политических диссидентов, жертв насилия в семье и других людей, которые нуждаются в анонимности.

В данный момент американские компании стремятся к транспарентности: на Firefox и Google Chrome теперь можно по желанию блокировать сбор данных. В рекламе встречается значок в виде маленькой буквы «i», кликнув на который, узнаешь, какие компании за тобой следят и чем они занимаются.

«Как ни странно, чем больше я узнавал о сборе информации в интернете, тем меньше волновался», – заключает Стейн. У него сложилось впечатление, что фирмы-сборщики не воспользуются информацией в злокозненных целях. «Большая часть нашего информационного следа не имеет для нас ценности. Зато теперь мы можем, например, выяснить, нет ли у нашей няни судимостей и посмотреть полезную рекламу», – заключает автор. Ни один человек не читает ваших досье – не так уж они занимательны, успокаивает он читателей напоследок.

Источник: Time http://www.inopressa.ru/article/14Mar2011/time/info1.html

[Alfach 52]

вот так вот и вгоняем себя, даем о себе чуть ли не полную информацию.

Ни один человек не читает ваших досье

кроме того, кому это может быть интересно