20.06.2013

Ах, обмануть меня не трудно, я сам обманываться рад...



Вчера вокруг "нашей" темы свершилось два события. Первое - очередная волна вокруг PRISM, вызванная заседанием в Совете Федерации. В Twitter'е я вел почти прямой репортаж и могу сказать, что заявления многих персонажей были предсказуемы заранее ;-) Не это стало поводом для написания заметки. И не поездка в Совбез, где обсуждался еще один интересный документ ;-) Речь пойдет об РЖД. Но не в контексте персональных данных... И даже не совсем про РЖД...

Как написали РИА Новости: "Информацию о якобы имевшей место отставке президента РЖД Владимира Якунина, разосланную в среду вечером неизвестными лицами от имени правительственной пресс-службы, распространили все российские информагентства и другие крупнейшие СМИ, включая основные ТВ-каналы". В заметке РИА дан разбор полетов, а я хотел бы вспомнить свою апрельскую заметку про атаки третьего поколения. Она была написана аккурат после ложного сообщения в Twitter'е Associated Press о взрывах в Белом Доме и ранении Барака Обамы. А ведь ни фальшивое сообщение от имени Правительства, ни твит от AP, не были сюрпризом для специалистов по ИБ. Я про это писал еще в 2000-м году. И российские госорганы с этим уже тоже сталкивались. Вот два (первый и второй) примеры с Федеральной службой судебных приставов. А вот пример с Арбитражным судом.
СМИ тоже не первый раз сталкиваются с акой проблемой. В конце марта этого года в СМИ попало сообщение о задержании в США Романа Абрамовича. Сообщение не подтвердилось, но акции успели обвалиться. Аналогичная ситуация возникала и с якобы имевшем место пресс-релизом об аресте главы Сургутнефтегаза в июле 2007-го года.

Лаборатория Касперского в прошлом декабре давала советы, как бороться с такой проблемой. Но эти советы неприменимы в случаях, похожих на "якунинский". Он не имел никаких ссылок, он повторял пресс-релизы, которые Правительство действительно регулярно рассылает. А вот разумный совет "перепроверить" в случае с такого рода информационными поводами не работает. Каждое СМИ хочет быть первым - тут не до проверки - успеть бы опубликовать раньше других. Отсюда и все проблемы. Вчера на программном комитете грядущей InfoSecurity Moscow Рустем Хайретдинов как раз поднял тему, что есть множество бизнес-сценариев, когда безопасность просто лишняя, т.к. работает очень медленно. Например, при финансовых транзакциях, производимых с частотой в милисекунды. Никакая проверка ЭЦП не работает с такой скоростью; особенно с привлечением третьей доверенной стороны. И в ряде сценариев работы индустриальных объектов тоже безопасность не работает ;-( Хотя в данной ситуации проблема была бы решена, внедрив Правительство на своих почтовых серверах технологию DKIM или SPF. Если 8-й Центр ФСБ (а по идее именно он отвечает у нас за информационную безопасность Правительства) не в состоянии настроить почтовый сервер, то может быть стоило приобрести отдельные средства защиты входящей и исходящей электронной почты. Их немало на рынке представлено. Но это лирика. Заметка не об этом. Она о доверии ;-) Да-да, именно о доверии к тому, что написано в Интернет.

Мы стали слишком сильно доверять тому, что написано в Интернет, как раньше доверяли традиционным СМИ и бумаге. В нас исчезает критический фильтр, подвергающий сомнению все, что мы видим или получаем по электронной почте или через социальные медиа (Twitter, блоги, социальные сети...). Отчасти это происходит из-за того, что информации становится слишком много - мы не успеваем ее читать и анализировать. А поскольку не читать не можем (по работе, по привычке, по зависимости), то информационная перегрузка приводит к отсутствию критической оценки получаемых данных. Интернет превращается в доверенный источник - информации, данных, знаний, инструментов (например, программного обеспечения). А мы не проверяем ;-( Напишут где-нибудь, что Путин педофил, развлекающийся с мальчиками в своих многочисленных дворцах, - верим. Напишут еще где-нибудь, что я часами сижу на порносайтах - верим. Напишут, что компания с 4-мя процентами доли рынка вне конкуренции и лидер отрасли - верим. Напишут, что человек по фамилии Зур первым создал межсетевой экран - верим. И чем "солиднее" источник информации, тем доверчивее мы становимся.

Я тут провел простой эксперимент ;-) Скрыл информацию о своем дне рождения в социальных сетях. А в прошлом году не скрывал. Очень существенная разница тех, кто поздравил и тех, кто нет. А все почему? Доверие к информации, опубликованной в социальной сети. Или к отсутствию информации. В этом примере, кстати, хорошо показано доверию к Интернет, как к хранилищу информации. Многие адресные книги выводят в Интернет или просто доверяют хранение этой информации социальным сетям. Ну о последствиях думать не хочется, но вдруг какая-нибудь социальная сеть одномоментно рухнет? Что будем делать с той информацией, которая там накоплена и хранится?

А вообще это философский вопрос ;-) Доверять или нет, хранить или нет? Но в случае с электронной почтой стоит хотя бы просто настроить почтовые сервера, чтобы исключить в будущем такие подставы.

ЗЫ. А вообще число таких атак будет возрастать. Стоит готовиться...

9 коммент.:

Евгений Родыгин комментирует...

Вопрос не в том, выкладывать или нет.
Вопрос в том, что Достоверность информации в открытых системах стала ключевой характеристикой.
Так же показательно - для большинства Авторитетное мышление преобладает. Похоже пора включать в Политики безопасности компаний раздел на озвученную Алексеем тематику.

Евгений комментирует...

Алексей, а почему бы не сказать и про 8 центр ФСБ? :) По поводу давнего мифа "о всесильности КГБ/ФСБ" и супер-профессионалах, которые сидят где-там и стоят им только взяться за дело, то все в стране с преступностью станет хорошо. Вот только им кто-то мешает... "А есть ли мальчик?"

Vadim комментирует...

А вот интересный вопрос об ущербе, связанном, например, с сообщением об отставке Якунина. Атака информационного противоборства прошла, прошла успешно. Но каков же ущерб? Самому человеку - неприятно, конечно, но не более того. Поток потенциальных инвесторов России, м.б., даже возрос бы - с учетом имеющихся сведений о дворце Якунина, превышающем стоимостью несколько годовых заработков. Смысл защищаться от таких вбросов?

Алексей Лукацкий комментирует...

Евгений, про 8-й Центр я в Твиттере уже сказал ;-)

Алексей Лукацкий комментирует...

Защищаться кому? Кто субъект защиты? А что объект?

Vadim комментирует...

Вот именно! В случае с Якуниным - это уравнение со многими неизвестными. По идее, объектом защиты является российский сегмент Интернет. Субъектом - РЖД (?), РФ (?)

ZZubra комментирует...

Очень хочется написать )))) но не буду )))) опять сорвусь на пару страниц )))))

msm комментирует...

Мне кажется, что тут не затронута совсем тема процедур-регламентов признания электронного документа аутентичным, а ведь есть даже ГОСТы касающихся этой темы. Вот вам и последствия, процедуры (в данном случае вера в достоверность информации в документе) неадекватно наложились на технологию (в данном случае транспорт - е-почту). Так что считаю этот инцидент весьма банальным, предсказуемым и к сожалению никого ничему не научившим, посмотрите на реакцию, каждый ещё громче задудел в свою любимую дуду, опять призывы ужесточить наказания вместо того чтобы использовать безопасные защищённые технологии.

evgen2n комментирует...

Фейковость новости сильно преувеличена, просто одёрнули Дмитрия Анатольевича
http://ic.pics.livejournal.com/drugoi/484155/8433891/8433891_original.png