1. Що маємо - не бережемо
2. Володимир Безмалий

IT Manager Безпека загрози Володимир Безмалий

| 25.02.2013

Написав і задумався. Адже зараз складно обійтися без пошукових систем, карт, інтернет-банкінгу або електронної пошти. Крім того, комп'ютер в сучасному житті, особливо завдяки виробам від Apple, стає показником статусу.

2012-й увійшов в історію як рік, коли закінчилося панування персональних ПК. Слідом за Apple і Google Microsoft зробив ставку на різноманіття пристроїв: мобільні телефони, планшети, що набирають популярність телевізори з операційною системою. Всі ці пристрої стрімко витісняють комп'ютери з лідируючих позицій, і все частіше замість жорсткого диска використовуються хмарні сховища. Широке поширення отримують соціальні мережі. Однак варто розуміти, що у будь-якої технології є зворотний бік. Все частіше і частіше люди самі заявляють в соціальних мережах про те, що знаходяться в конкретному місці і описують своє приватне життя. Суспільство починає сама за собою стежити. Однак варто розуміти, що оперувати можна тільки тією інформацією, якою володієш. Але ж сьогодні ми з вами прекрасно знаємо, що часто рекламна індустрія вкрай зацікавлена ​​в тому, щоб вселити нам «реальність» у відповідності зі своїми цілями, і не можна виключати ситуацію злому системи і підміна інформації.

Захист в навантаження

Ми багато і довго говоримо, що призначений для користувача ПК потребує захисту. А чи так це? Багато ІТ та ІБ-фахівці, прочитавши останню фразу, будуть здивовані, мовляв, а як же ?! Звичайно потрібно! А я задам провокаційне запитання: а навіщо?

Що сьогодні зберігає користувач на своєму домашньому ПК? Фотографії? Фільми, викачані з найближчого піратського сервера? Крадене ПО? Адже в більшості випадків домашні ПК використовуються для розваг. Ну спробують зламати, ну неприємно ... Якщо я не використовую інтернет-платежі, що мені за шкоду від банківського трояна? Ніякого! Якщо у мене безлімітний інтернет, що мені за шкоду від хробака, що живе на моєму ПК? Швидкість впала? І що? Нехай собі живе. Віруси? Ну, заразили, подумаєш ... Позову сусіда, переставити ОС. Адже все одно не купив же я її, в кінці кінців. Ну впала, і що? Зрештою, поставлять безкоштовний антивірус. Ну і що, що рідше оновлюється? Зате ХАЛЯВА!

Все вірно. До пори до часу. Адже не дарма кажуть, поки грім не вдарить, мужик не перехреститься. Ось і бігають потім, кричать, що на ПК була єдина копія диплома! Захист через тиждень, а резервної копії немає. SOS! Так і хочеться запитати: «А чому ж ви думали, шановний? Адже вас попереджали! »А думали, що пронесе! «Флешки» вставляли вірусні (так на те ж і «флешка», щоб вставляти!). По Інтернету гуляли, порнографія потрібна, хто ж знав, що там вірусів повно! Я ж думав, раз у мене антивірус, то і не страшно. Як який? Безкоштовний! Я ж мало заробляю! Оновлення ставили? Та ні, у мене ж «вінда» піратська, а раптом працювати перестане ?! Як чому не купив? Кажу ж, заробляю мало. Допоможіть! І що найцікавіше, допомагають. А потім цей же користувач впевнений, що ось Вася (Петя, Маша) - крутий фахівець, за пляшку коньяку комп'ютер полагодив ... І після цього ми хочемо, щоб він про щось задумався? А навіщо?

І ось тут в повний зріст постає проблема BYOD - використання особистих пристроїв на роботі. Поширення принципу BYOD - використання співробітниками особистих пристроїв в робочих цілях - робить ринок засобів адміністрування мобільних пристроїв (Mobile Device Management, MDM) одним з найактивніших в корпоративних ІТ.

Однак всі популярні мобільні операційні системи страждають від обмежень, що не дозволяють створити єдині для всіх стратегії віддаленого управління і забезпечення безпеки даних. Такі висновки роблять аналітики фірми Ovum в черговій доповіді Solutions Guide: Enterprise Mobile Device Management Vendors. Головною проблемою для ІТ-служби є забезпечення конфіденційності, цілісності та доступності корпоративної інформації. Все це накладає додаткові вимоги на користувача, однак сьогодні він ні своїми знаннями, ні вміннями не встигає за розвитком техніки. Більш того, поява інтелектуальних машин і комп'ютерів призвело до того, що користувачі починають до них ставитися як до холодильника: включив і працює. Чи правильно це? Думаю ні.

Що маємо - не бережемо

На одному з форумів на зауваження про безпеку і про те, що треба мати мізки, мені було заявлено, що справа користувача - включити і працювати, а безпека - це проблема розробників. Що тут скажеш? Ось вам кілька прикладів, до чого це призводить.

Згадаймо UAC (User Account Control) в Windows Vista / 7/8. Начебто благе починання - відучити користувачів працювати з правами адміністратора. І зроблено непогано. АЛЕ! Перше, що треба було користувачам, - відключити UAC! Він, бачте, заважає працювати. Хоча на самій-то справі аж ніяк не заважає, а навпаки, сприяє більш високому рівню безпеки. Але користувачі не готові обмежити свої потреби, хоча і вимагають надійного захисту. Але так не буває!

Згадаймо ще один приклад. Не так давно в Інтернеті прозвучало, що всі існуючі на сьогодні 14-значні паролі Windows можна зламати методом грубої сили (Brute Force) за кілька годин. Висновок? Парольная система ненадійна! Але давайте говорити відверто. Чи можна змусити користувача застосовувати пароль довше 8-9 символів, і до чого це призведе? Паролі тут же записуються на папірець, приклеєну до монітора, клавіатури і т.д. Або службу підтримки тут же починає лихоманити, оскільки користувачі забувають паролі в масовому порядку. Висновок начебто простий - використовувати системи багатофакторної аутентифікації. Але і тут не все так просто.

Розробник програмного забезпечення, компанія Siber Systems, відома своїм менеджером паролів RoboForm, провела опитування користувачів з метою дізнатися, як вони сприймають вимоги інформаційної безпеки в Інтернеті і що готові зробити для захисту конфіденційних даних. В опитуванні взяли участь жителі різних країн, переважно США і Західної Європи. 60% з них висловили впевненість, що інтернет-компанії безвідповідально ставляться до захисту персональних даних своїх клієнтів. Кожен третій (31%) не довіряє організаціям, що зберігає дані в хмарних сервісах. Майже 30% респондентів сказали, що хоча б один з їх акаунтів колись був зламаний. Найчастіше це електронна пошта (53%), аккаунт у соціальній мережі (29%) або рахунок в інтернет-магазині (23%). Не довіряючи інтернет-компаніям, здавалося б, користувачі повинні покладатися на власні сили в захисті конфіденційних даних. На жаль, це не є очевидним фактом для більшості. Так, близько 80% громадян продовжують користуватися тим сервісом, де у них був зламаний акаунт, а кожен третій використовує однаковий пароль на роботі і вдома.

Але найцікавіше, що не всі користувачі готові перейти на більш захищені методи аутентифікації, якщо такі доступні на деяких сайтах в Інтернеті. Наприклад, якщо сервіс пропонує двухфакторную аутентифікацію і надсилає додатковий код на мобільний телефон, то для 13% респондентів такий метод «занадто складний». Кожен четвертий користувач (26%) сказав, що у нього «немає часу» проходити подібні процедури.

При цьому люди цілком розуміють, що подібні техніки підвищують їх безпеку: 42% говорять, що вони більше довіряють саме тим компаніям, які пропонують двухфакторную аутентифікацію для додаткового захисту.

Ще один цікавий факт виявився під час опитування користувачів різних вікових груп. Виявилося, що більше половини (55%) респондентів старше 45 років вважають власною справою захист персональної інформації. А ось серед більш молодих громадян, навпаки, більше половини (58%) вважають це турботою інтернет-компанії.

Безпечно чи зручно?

За даними недавнього дослідження ZoneAlarm, в якому взяли участь 1245 чоловік, більшість представників покоління Y (покоління народжених після 1980 г.) не надають інтернет-безпеки належного значення. Тільки 31% опитаних вважають безпеку найважливішим фактором при прийнятті рішень, пов'язаних з використанням комп'ютера. В основному ж представники покоління Y віддають розваг і спілкування більш високий пріоритет у порівнянні з безпекою. Проте, 50% учасників дослідження відзначили, що стикалися з погрозами безпеки свого комп'ютера протягом останніх двох років.

Ще цікавіше справа йде при використанні мобільних пристроїв. Сьогодні існує два підходи до створення і використання додатків для смартфонів. Назвемо їх умовно «закритий» і «відкритий». Що я маю на увазі? «Закритий» - це ідеологія Apple і Microsoft. Кожна програма піддається пильній аналізу. Всі програми можна завантажити тільки з відповідного магазину додатків. Складно? Так! Чи безпечно? ТАК! Звичайно, можна зробити Джейли-брейк, але це призведе до зниження рівня захищеності. Але ж роблять - тому що «так зручніше».

Відкритий - підхід Google. Так, можна завантажити додатки з Google Play, але ніхто не забороняє завантажити їх зі сторонніх магазинів додатків. Зручно? Безумовно! Додатки публікуються частіше, тому як перевіряються рідше. Користувач має повний контроль над своїм мобільним пристроєм. До чого це призвело? Вже понад 30 000 екземплярів шкідливого коду існує для Android. І кількість «шкідників» зростає і зростає.

Який же висновок? Поки користувач сам не усвідомлює, що йому потрібно самому забезпечувати свою безпеку, більшість технічних засобів практично безсилі!

Ключові слова: безпеку

Журнал IT-Manager № 02/2013 [ PDF ] [ Підписка на журнал ]

про авторів

Володимир Безмалий

MVP Consumer Security, Microsoft Security Trusted Advisor. Освіта - інженер-системотехнік. В ІТ-пресі з 2001 року: публікується у виданнях, орієнтованих як на домашніх, так і на корпоративних користувачів. Улюблені теми: інформаційна безпека як корпоративних так і домашніх користувачів.