Net information security

Если ребенок должен жить на берегу океана, лучше научить его плавать, чем строить забор вокруг океана.

Только те способы защиты хороши, основательны и надежны, которые зависят от тебя самого и от твоей доблести (NM)

украден (утерян) смартфон

Информационная безопасность - защищенность информации от любых негативных воздействий:

• информационных (помехи, искажения, шифровка....);

• технических (неисправности, поломки ....),

• временных (старение, потеря актуальности ....),

• социальных (вандализм, подделки, плагиат....);

• природных (ураганы, молнии, падение астероидов...).

Информационная безопасность - защищенность любых систем от негативных информационных воздействий:

• информационных данных (от искажающих дополнений, подмены другими данными....)

• компьютера (от вредоносного программного обеспечения....);

• человека (от разрушающих его личность образов, клеветы, лжи, неинформированности....);

• общества (от агрессивной рекламы низменных страстей, пороков, колдунов, алкоголя и т.д.);

• государства (от спланированных информационных атак со стороны враждебных государств....).

Безопасность информации - защищенность

• целостности  (integrity) - гарантия существования информации в исходном виде

• доступности (availability) - возможность получение информации в нужное для пользователя время

• конфиденциальности (confidentiality) - доступность информации только определённому кругу лиц,

• аутентичности (authenticity) - возможность установления автора информации.

Брюс Шнайер - перевести информацию в царство цифр непросто, а сохранить ее там попросту невозможно.

Термин «безопасность» имеет в русском языке два основных смысловых значения:

• состояние защищенности некоторого объекта или процесса от негативных воздействий со стороны внешних или же внутренних факторов;

• отсутствие вредоносности некоторого объекта или процесса для других объектов или же процессов.

Проблема информационной безопасности может рассматриваться в двух аспектах:

• человек (общество, государство, информационная система) выступает объектом, который нуждается в защите от информационных угроз.

• человек (общество...) сам является источником информационных угроз для других людей, общества, государства, информационных систем.

***

Согласно части 2 ст.188 Уголовного кодекса Беларуси за клевету, в том числе в Интернете, предусмотрен штраф, или исправительные работы на срок до 2 лет, или арест на срок до 6 месяцев, или ограничение свободы на срок до 3 лет.

Брестский пример: В сентябре 2008 года житель Бреста 1986 г.р., студент, осуществил с помощью своего компьютера несанкционированный доступ к интернет-сайту, который принадлежит жителю Минска, и изменил содержащуюся на нем информацию. Злоумышленник отправил с электронного адреса минчанина от его имени письма, содержащие нецензурную брань. Возбуждено уголовное дело по ч. 1 ст. 350 УК (модификация компьютерной информации). Она предусматривает наказание от штрафа до лишения свободы на срок до трех лет.

Чью душу губит душегуб? Свою.

Храните себя от того, чтобы:

• навредить другому публикацией ложных, компрометирующих, оскорбительных или обидных материалов о нем;

• навредить публикацией ложных, некомпетентных, бесполезных, оскорбительных, провоцирующих, безнравственных, опасных для других материалов;

• нарушить чужую приватность, проникнуть в секреты и тайны личной жизни другого.

студенты манипулируют преподавателями!

Брюс Шнайер (один из ведущих специалистов в области информационной безопасности):

• Взаимодействие человека с компьютером таит в себе наибольшую угрозу из всех существующих. Люди часто оказываются самым слабым звеном в системе мер безопасности.

• Люди не понимают, что такое компьютер. Они доверяют его сообщениям и хотят лишь одного — чтобы их работа делалась.

• При выборе способа защиты психология человека играет определяющую роль. Вы можете чувствовать себя в безопасности, хотя на самом деле это не так. И наоборот.

• Люди не понимают, что такое опасность, за исключением разве только случаев явной угрозы. Недооцениваются риски прозаичные, распространенные, естественные, долгосрочные, медленно набирающие силу и затрагивающие других людей. Люди склонны к необоснованному оптимизму — они думают, что будут удачливее других.

• Безопасность — всегда компромисс. От чего вам придется отказаться и что вы получите взамен? Искать подобные компромиссы нам приходится ежедневно.

• Безопасность  — это процесс, а не продукт.

В библиотеке БрГУ книга Секреты и ложь. Безопасность данных в цифровом мире / Б. Шнайер. — СПб.: Питер, 2003. — 368 с.

Вы в зоне риска, если (порядок имеет значение!):

1. являетесь шпионом (разведчиком);

2. маниакально беспокоитесь за собственную безопасность;

3. являетесь богачем (близким ему человеком);

4. являетесь участником (близким активному участнику человеком) какого-либо противоборства (криминального, коммерческого, политического, религиозного, творческого, спортивного....);

5. владеете значимыми для других секретами;

6. являетесь предметом страсти, объектом мести;

7. имеете подключенный к Сети компьютер;

8. ничего не имеете, кроме свободного времени, которое нечем заполнить..

Выходя в глобальную Сеть, Вы впускаете ее к себе. Вы находите и Вас находят. Все связано со всем.

Читайте рассказ Кори Доктороу   Выгуглен

Гугл контролирует вашу почту, ваши видео, ваш календарь, ваш поиск. А если бы он контролировал вашу жизнь?

Кори Доктороу (Cory Doctorow) - канадский писатель, журналист, блоггер, философ, поборник либерализации системы авторских прав, координатор правозащитной организации Electronic Frontier Foundation.

• Спам;

• Вредоносное программное обеспечение;

• Фишинг, вишинг, фарминг;

• Компьютерное пиратство;

• Некомпетентность пользователей;

• Сбор информации о пользователе;

• Агрессивный и порнографический контент;

• Информационная избыточность;

• Инсайдерство.

Dec 30, 2020

What Do You Actually Agree To When You Accept All Cookies

• Люди не читают инструкций. Такова наша природа.

• Благодаря GDPR всплывающие сообщения спрашивают разрешения на cookies.

• Жмём «Согласиться» и продолжаем жить как ни в чём ни бывало.

• Всё равно нельзя отключить «основные» cookie: они нужны для работы сайта.

• На что соглашаемся:

  • веб-сайт собирает и обрабатывает персональные данные

  • хранит некоторые данные на вашем устройстве с помощью файлов cookie

  • некоторые данные могут быть проданы "партнёрам"

  • в том числе для предоставления соответствующего контента

• Партнеров 600+ и у каждого ссылка на УНИКАЛЬНУЮ политику конфиденциальности.

• Желающие прочесть получают текст от 55 000 строк (около 2 000 страниц)

• Ознакомиться с этими условиями можно толкьо нажав кнопку «Согласиться»

• Партнеры (рекламные провайдеры+), однозначно идентифицируя браузер и устройство, могут анализировать и отслеживать ваши действия на разных сайтах для создания максимально точного профиля.

• На каждого "анонимного" пользователя собираются большие объёмы данных.

Единственный выбор — смотреть случайную рекламу, либо персонализированную провайдером.

25.02.2021 Яндекс.Браузер по умолчанию ограничивает передачу ваших файлов cookie сторонним трекерам. 

28.10.2009 Юрий Гуревич (ведущий исследователь Microsoft Research, из доклада на CEE-SECR 2009):

• В наши дни мы не понимаем речи другого человека по причине бурного развития технологий и разделения труда. Психиатр и кардиолог говорят на разных языках. Фаерволы и системы безопасности в СУБД "говорят" на разных языках.

• Важно научить различные системы безопасности (антивирусные программы, системы защиты СУБД, фаерволы и т. д.) "общаться" друг с другом, оперативно обмениваться данными о выявляемых проблемах и угрозах. Но как?

• Возможный подход состоит в создании некой метасистемы, суперэксперта. Здесь есть две проблемы. Первая – высокие накладные расходы. Вторая – никто не знает, как создать такую суперсистему. Есть ли альтернативное решение? Да.

• Даже если эксперты говорят на разных языках, у этих языков есть общее непустое подмножество. Психиатры и кардиологи понимают друг друга, когда говорят, что пациент – мужчина или женщина, что пациент болен или здоров. Аналогичным образом, есть простой "язык", “понимаемый” всеми системами безопасности. В этом, собственно, и состоит идея ESAS.

ESAS (Enterprise Security Assessment Sharing system) - разрабатываемая Microsoft корпоративной системы обмена мнениями о состоянии безопасности.

Фишинг (phishing) — технологии интернет-мошенничества использующие  социальную инженерию с целью завладения чужими конфиденциальными данными (пароли доступа, данные банковских карт и проч), которые жертва предоставляет мошеннику абсолютно добровольно, не понимая сути происходящего.

Почтовый фишинг: по электронной почте отправляется специальное подложное письмо (якобы от банка, аукциона, провайдера...) с требованием выслать какие-либо данные

Онлайновый фишинг злоумышленники копируют сайты (интернет-магазинов), используя похожие доменные имена и аналогичный дизайн. Цены в подложном магазине бросовые, а подозрения снимаются ввиду известности копируемого сайта. Приобретая товар, жертва регистрируется, вводит номер и прочие данные своей кредитной карты...

Фишинг широко применяет key-loggers — специальные программы, отслеживающие нажатия клавиш и отсылающие полученную информацию по заранее назначенным адресам.

***

Только Rock Group, одна из пользовавшихся хостингом RBN (Russian Business Network) банд, которая специализировалась на фишинге, в 2007 году заработала 150 млн долларов.

Вишинг (vishing) -  разновидность фишинга, заключающаяся в использовании war diallers (автонабирателей) и возможностей интернет-телефонии (VoIP) для кражи личных конфиденциальных данных.

В интернет-телефонии звонок по городскому номеру может быть автоматически перенаправлен в любую точку земного шара на виртуальный номер. Звонящий же ни о чем и не догадывается.

Схема обмана:

• клиент платежной системы получает сообщение якобы от администрации или службы безопасности системы с предупреждением, что информация о его кредитной карте попала к мошенникам, и просят немедленно перезвонить по определенному номеру;

• на другом конце провода отвечает типично "компьютерный" голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;

• как только номер введен, вишер становится обладателем всей информации (номер телефона, полное имя, адрес), необходимой для того, чтобы, к примеру, обложить карту штрафом;

• затем, используя этот звонок, можно собрать и дополнительную информацию, такую как PIN-код, срок действия карты, дата рождения, номер банковского счета и т.п.

Существующие системы для выявления нападений не способны определить факт VoIP-атаки.

Фарминг (pharming) - перенаправление жертвы по ложному адресу.

Злоумышленник портит навигационную инфраструктуру, от которой зависит функционирование браузера, и овладевает некоторой ее частью. Это может быть локальная версия, файл hosts или система доменных имен (domain name system, DNS), используемая интернет-провайдером для наведения браузера на нужный объект.

Жертва открывает непрошеное почтовое послание или посещает некий веб-сервер с исполнимым файлом, который тайно запускается в фоновом режиме. При этом искажается файл hosts1. Операция занимает лишь секунду, но вредоносное ПО может содержать URL многих банковских структур. Механизм перенаправления активизируется в тот момент, когда пользователь набирает знакомый доверенный адрес, соответствующий его банку... и попадает на один из ложных сайтов.

Специальных механизмов защиты от фарминга сейчас не существует.

10.03.2009

По данным MarkMonitor наиболее распространенной формой интернет-мошенничества является киберсквоттинг - регистрирация доменных имен, сходных с известными брендами, с целью их дальнейшей перепродажи. В 2008 году количество регистрации таких доменов возросло на 18% или более полутора миллионов случаев мошенничества.

Другая проблема, с которой часто сталкиваются законные фирмы, заключается в том, что мошенники регистрируют доменное имя, лишь слегка отличающееся от известного бренда, с тем, чтобы заманить пользователя на свой сайт (тайпсквоттинг).
Число случаев фишинга за вторую половину 2008 года возросло на 122%. Компания относит это на счет нынешнего экономического кризиса. 

Ботнет (botnet) - компьютерная сеть, состоящая из компьютеров, с запущенными ботами.

Бот (bot, сокр. от «робот») - специальная программа для совершения рутинных операций. Чаще всего бот в составе ботнета является скрытно устанавливаемым на компьютере жертвы и позволяющим злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера программным обеспечением.

Обычно ботнеты используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании (Ddos-атака) и т.д.

25.07.2008 

Термин "botnet", который означает сеть зараженных компьютеров, без ведома владельцев выполняющих удаленные команды, официально признан английским словом и внесен в 11-е издание оксфордского словаря.

11.04.2008

• Stormbot - крупнейшая бот-сеть. За неделю червь Storm инфицировал 1,5 млн. компьютеров в мире, к осени 2007 года бот-сеть насчитывала до 50 миллионов зомби-машин. В создании сети Storm подозревают группу злоумышленников из Санкт-Петербурга.

По оценке создателя протокола TCP/IP Винта Серфа, около четверти компьютеров, подключённых к Интернет, могут находиться в ботнетах. Отдел по безопасности Microsoft Office использует свой собственный внутренний ботнет, который играет ключевую роль в поисках новых уязвимостей в Office за счет симулирования широко распространенной fuzzing-технологии (тестирование программ с помощью случайных данных). Многие из обновлений безопасности в Office 2003 Service Pack 3 являются прямым результатом анализа полученной от ботнета информации.

20.12.2016 

• Ботнет российского происхождения Methbot (запущен в сентябре 2016) просматривает рекламы на $3-5 млн в сутки. По оценкам White Ops в него входит не менее полумиллиона фальшивых пользователей и около 250 тыс. подставных веб-сайтов. С полным отчетом можно ознакомиться здесь. 

• Схема заработка Methbot: подставные веб-сайты участвуют в размещении видеорекламы в рамках соответствующих кампаний, которую потом «просматривают» мертвые души ботнета.

• Как итог из рекламных бюджетов различных организаций вымывается до $5 млн. ежесуточно. Общий ущерб от деятельности подобных сетей по всему миру оценивается в $7 млрд в год, из которых только на Methbot может приходится от 1,1 до 1,8 млрд.

• По статистике, приводимой Wall Street Journal еще в 2013 году, около половина всех размещаемых в сети объявлений люди вообще никогда не видели. Из-за того, что показывались они ботам (если вообще показывались) с целью наживы.

20.10.2008 В Ecole Polytechnique Federale de Lausanne обнаружили возможность перехвата текстов, набираемых на проводной клавиатуре, с расстояния до 20 метров, в том числе через стены.

Электронные компоненты клавиатур излучают электромагнитные волны. Измерялись излучения при нажатии отдельных клавиш и анализировался электромагнитный спектр для идентификации нажатий. Все протестированные 11 моделей проводных клавиатур (PS/2, USB, ноутбучные и т.д.) оказались уязвимы.

 18.07.2009 В Inverse Path, занимающейся системами безопасности доказали, что розетки могут быть инструментом для перехвата информации, которую пользователи вводят на клавиатурах своих компьютеров. Анализируя сигналы, поступающие в электросеть от подключенного к ней компьютера, исследователи смогли установить, какие именно символы набирались на клавиатуре и в какой последовательности на расстоянии до 15 метров от компьютера.

ЗДЕСЬ

За российского хакера Евгения Богачева ФБР назначило награду в $3 млн
https://www.fbi.gov/wanted/cyber/evgeniy-mikhailovich-bogachev

24.05.2007

 Дидье Стивенс (Didier Stevens, специалист в области безопасности) выяснил, что даже прямая угроза компьютеру не может  перебороть готовность кликнуть на ссылку «жми сюда!!!».

Его объявление в Google «Ваш компьютер ещё чист от вирусов? Тогда заразите его здесь!» привело на сайт 409 посетителей.

Дидье Стивенс: За полгода моя реклама всплывала 260 тысяч раз, и по ней прошли 409 раз – в 0,16% случаев. Я специально создал максимально подозрительный дизайн своего объявления, но даже это не насторожило пользователей. Вся «рекламная кампания» обошлась мне в 23 $, по 6 центов за клик, т.е. за один потенциально зараженный компьютер.

15.09.2008

В университете Северной Каролины проверили реакцию студентов на всплывающие окна, которых попросили согласия на выполнение действий на компьютере.

Перед ними выскакивали диалоговые окна, один вид напоминал стандартное окно для системных сообщений Windows XP, а остальные три были очевидными подделками.

63% студентов просто нажимали кнопку "ОК", чтобы побыстрее избавиться от загораживающего обзор окна.
Поддельные всплывающие окна являются распространенным инструментом злоумышленников, с помощью которого они загружают на компьютеры пользователей вредоносные программы.

Майкл Уогэлтериз (руководитель проекта): Эксперимент доказывает, как легко обмануть пользователя. 

20.07.2009

Полиция Германии арестовала недалеко от Ганновера одного из двух британских мошенников, которые под видом сумок с ноутбуками продавали доверчивым покупателям картошку. Всего, по данным правоохранительных органов, злоумышленникам удалось обмануть около 40 человек. Полиция вышла на мошенников только после того, как их узнал один из обманутых покупателей.

18.03.2009 По данным Symantec:

• В Великобритании родители считают, что их дети проводят в онлайне 18,8 часа в неделю. Реальная же цифра составляет 43,5 часа.

• Во всём мире примерно 30% родителей устанавливает интернет-фильтры, чтобы держать детей вдали от опасного контента (в Великобритании 54%).

• 80% респондентов заявили, что абсолютно точно знают, чем их дети занимаются в Интернете. 31% детей считают, что родители не имеют об этом ни малейшего понятия.

• 75% родителей говорили со своими детьми о соблюдении правил безопасности в Сети.

• 33% детей заявили, что они включили своих родителей в число друзей на сайтах социальных сетей.

Мариан Мерритт (представитель Symantec): Наш опрос вовсе не имел своей целью подсказать родителям, что они должны стоять над ребенком с ремнем в руках, когда тот выходит в Интернет.  Интернет представляет собой прекрасное место для обучения и игр, но всё равно граница должна быть на замке.

В России продолжается странно-выборочное уголовное преследование пользователей нелицензионных программ.

2008, декабрь Завершен двухлетний процесс против директора Сепычевской средней школы Пермского края Александра Поносова, за использование нелицензионного софта Microsoft на школьных компьютерах.

2008, декабрь Житель Владивостока приговорен к одному году лишения свободы условно и штрафу в 117 тыс. руб. за незаконную установку Windows XP и пакета Microsoft Office на 4 компьютера.

2009, май Александр Иванчиков-Нееловский, житель Екатеринбурга  1972 года рождения, установивший на свой домашний компьютер нелицензионные копии Microsoft Windows и Microsoft Office обвинет в нарушении двух статей УК РФ, согласно которым может выплатить крупный штраф и провести до 2 лет в тюрьме.

Почему выбор правоохранительных органов пал именно на них, в то время когда миллионы пользователей используют контрафактные программы неизвестно.

По ссылке демонстрируется работа объединенных техник сбора информации на основе:

• измененной версии p0f от ValdikSS,

• техники по поиску скачек с торрентов,

• детектора социальных сетей через favicon,

• обнаружения локального IP-адреса через Webrtc,

• интеграция с DMP Facetz, чей ключ API лежал в открытом доступе.

Теория социального похолодания Тимена Шепа рассматривает последствия информатизации.

• сегодня каждый человек, пользующийся цифровыми устройствами, является объектом слежки компаний (за его интересами, привычками, фактами жизни), зарабатывающих на переработке информации... Анализ их раскрывает предпочтения, взгляды, историю семьи и пр. Информацию о людях сдают в аренду или прямо продают, не зная, как покупатели ею воспользуются.

• Люди, понимая, что за ними следят меняют своё поведение. Общество становится конформистским (старается соответствовать доминирующему мнению, избегает рисков).

  • Теперь уже не каждый кликнет по ссылке с сомнительным содержимым, добавит в друзья людей, которые могут выставить его в невыгодном свете перед работодателем, сделает фото на пьяной вечеринке. Доктор не станет пытаться изобрести новое лекарство для больных, считающихся неизлечимыми (потому что смертность среди его пациентов будет выше и это сделает его неудачником в глазах тех окружающих, которые видят только цифры в досье). Мы знаем, что каждая песчинка информации может быть обращена против нас — и это заставляет нас вести себя по-другому.

• Последствия многообразны, в том числе:

  • из-за самоцензуры мы перестаём быть людьми: никогда раньше люди себя так не вели!

  • гасим творческую энергию: если люди сдерживают себя, стараются не выделяться, меньше будет и перспективных начинаний.

  • ставим под вопрос способность общества развиваться: общество всегда было движимо активистами
    Когда оно станет очевидным, будет уже поздно что-либо менять!

• Приватность — право человека быть несовершенным, совершать ошибки — право быть человеком.

https://www.pineapplejazz.com

https://www.socialcooling.com

Карта крупных кибератак: FireEye Cyber Threat Map

• Даркнет

• Джейми Бартлетт, Подпольный интернет [Темная сторона мировой паутины] (2017)

NIST (Национальный институт стандартов и технологии США, https://www.nist.gov/) рекомендует длинные парольные фразы.

В 2003 году создан стандарт NIST Special Publication 800-63B, который рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы и периодически менять пароли.

Лорри Фейт Кранор (Lorrie Faith Cranor, http://lorrie.cranor.org/),  профессор Университета Карнеги-Меллон, надеется, что изучение платья, с 500 самыми популярными паролями в Сети, поможет окружающим людям осознать необходимость поменять свой слабый пароль.    Все пользователи каждый день тратят примерно 1300 человеко-лет на набор паролей.

Стандарт признан ошибочным (не способствуют повышению безопасности) и переработан в 2017 году.

В новых правилах

• нет требований использовать специальные символы,

• менять пароли рекомендуется только в том случае, если существует вероятность их компрометации.

• рекомендуется использование парольных фраз (их гораздо легче запомнить, причем даже фраза из четырёх произвольных слов обеспечивает надёжную защиту от брутфорса).