Сегодня, прежде чем украсть кошелек, вор «крадет» знание о его местонахождении
Информация — это не та вещь, которую можно пощупать, понюхать или попробовать на вкус. Она нематериальна и неосязаема. Ее можно получать «ex nihile», а она может бесследно пропадать. В «чистом» виде она не существует: информации обязательно нужен какой-то материальный носитель — хотя бы какая-нибудь волна или мозг человека. А кроме того, ее можно размножать в бесконечном количестве копий, при этом каждая из них совершенно не будет отличаться от предыдущей ни по объему, ни по качеству, ни по составу, несмотря на то, что материальные носители каждой копии могут быть совершенно разные. Два качества этой странной субстанции определяют особое отношение к ее сохранности: ее способность к неограниченному копированию и ее ценность. Люди с самых давних пор стремились добраться именно до той информации, которую от них прятали, потому что, по известной формуле Фрэнсиса Бэкона, знание дает власть. С наступлением информационной эры только знания открывают дорогу к власти. Безопасность — один из важнейших вопросов, возникающих при соприкосновении с информацией и информационными технологиями. Безопасность можно понимать в двух смыслах: как защиту конфиденциальной информации от людей, не имеющих разрешения на доступ к этой информации, и как защиту от нежелательного использования информации, которая хранится в сети и не рассматривается как конфиденциальная.
Защищать информацию и легко и сложно одновременно — всё зависит от того, насколько ценной является эта информация для владельца и сколько он готов затратить сил и средств на защиту.
Кражи ноутбуков отнюдь не редкость. Еще большая «нередкость», когда содержимое его памяти на несколько порядков дороже самого компьютера. Но доступ к запоминающим устройствам может быть закрыт для всех, у кого отпечатки пальцев отличаются от отпечатка указательного пальца владельца. Это, конечно, тоже не панацея, но от части неприятностей уберечь поможет. Фото: Lenovo
Для того, чтобы сделать недоступными для посторонних список с именами и паролями доступа к электронным ящикам, сайтам и базу данных личной бухгалтерии в своем персональном компьютере, достаточно установить на нем соответствующее программное обеспечение, например, TrueCrypt, создать с его помощью зашифрованный электронный диск и не забыть пароль доступа к этому диску.
Сложнее защитить информацию, которая передается от одного человека (с одного компьютера) другому человеку (на другой компьютер). Для этого необходимо установить программу для зашифровки и расшифровки электронных сообщений, например, PGP, создать секретный и открытый ключи и должным образом ими обменяться.
В еще более сложном положении находится любая крупная компании, которой необходимо разработать множество внутренних документов, внедрить какие-либо технические системы и лицензировать их, создать организационное подразделение, ответственное за информационную безопасность и регулярно проводить работу с сотрудниками по вопросам защиты информации. (Разумеется, все эти проблемы возникают и у самой мелкой компании, но сложность их разрешения довольно быстро нарастает с ее ростом.)
Но эта сложность — техническая. Хотя существует множество законов и нормативных актов, охраняющих конфиденциальность внутренних тайн предприятий, у них, как правило, достаточно возможностей обеспечить свою безопасность. Гораздо хуже обстоит дело с обычными пользователями: в плане защиты личной информации они оставлены на произвол судьбы.
Мало кто задумывается, где и какая хранится персональная информация. А, между тем, таких мест очень много. Например, одной из важнейших частей технических систем сотовых операторов является база данных с информацией о клиентах: номера его телефонов и телефонов его собеседников, суммы и сроки оплаты, задолженность и многое другое. В базе данных налоговой инспекции — величина доходов и налогов граждан, в медицинском учреждении — информация о перенесенных заболеваниях, лечении, состоянии здоровья и т.д. И практически везде есть паспортные данные. Всё это — информация, именуемая в соответствующем законе «персональной» и определяемая, как информация «о частной жизни». Номинально этот закон берет ее охрану: «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются» (Конституция РФ, ст. 24). Но не составляет труда найти в нелегальной продаже диски — CD или DVD — с базами данных этих организаций и приобрести их за более чем скромные деньги.
Из-за чего охраняемая законом информация оказывается так легко доступной? В чем причина: в традиционной ли российской безалаберности или в желании заработать на нарушении закона? Важно, конечно, и то, и другое, но всего важнее технология использования человеческих слабостей, разработанная методами социальной инженерии. Поскольку термин этот весьма многозначен, посмотрим, как определяется он в словаре хакерского жаргона: «Социальная инженерия — термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель — обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе».
«Social engineering specialist. Because there is no patch for human stupidity» («Специалист по социальной инженерии. Для человеческой же глупости нет патча», — такие надписи красовались на футболках многих участников DefCon — конференции, проходившей уже 14-й раз с 4 по 6 августа в Лас-Вегасе (штат Невада, США) и собравшей со всего мира хакеров, системных администраторов и других специалистов по информационным технологиям. А принадлежат эти слова Кевину Митнику (Kevin Mitnick) — самому известному, наверное, взломщику, использовавшему социальную инженерию для получения доступа к интересующей его информации.
«Проблема информационной безопасности в гораздо большей степени человеческая, чем техническая», — говорит Дэн Каминиски (Dan Kaminisky) из фирмы Dox Para Research, участник DefCon. Менеджеры компьютерных сетей на конференции признали, что сотрудники фирм, как правило, оставляют пароли, записанные на бумажках, приклеенных к мониторам, или под клавиатурой, и обмениваются секретными кодами доступа со своими сослуживцами.
Интернет сегодня заполнен электронными фишинг-письмами и фишинговыми веб-сайтами. Фишинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, цель которого в получение личной информации пользователей. Онлайн-мошенники хитростью заставляют людей загружать троянские программы, позволяющие хакерам захватывать удаленный контроль над пораженными компьютерами. Преступники могут добыть ценную информацию из компьютеров, в том числе и произвести «кражу личности», то есть средств идентификации человека. Уже зараженные троянскими программами компьютеры продаются на «черном рынке» и могут быть использованы, например, для атак против других компьютеров и вычислительных сетей, рассылки спама или даже для хранения нелегальных данных (в том числе и порнографии) на жестком диске пользователей. Естественно, без уведомления последних.
В буклете конференции содержалась рекомендация не пользоваться сайтами с доступом по паролю, если он передаётся в незашифрованном виде. Участники DefCon, пренебрегающие этой рекомендацией, были без труда «выловлены» в сети, а их логины и пароли вывешены на «Wall of Sheep» (дословно — «Стена овец») для всеобщего устрашения и назидания. В этот список попали инженер Cisco по безопасности, сотрудник фирмы «Deloitte & Touche» и военнослужащий ВМФ США, прозванный «Commander X».
Отдельную и совершенно особую проблему представляет проблема защиты информации, добровольно переданной человеком в сеть, — в чатах, форумах, блогах. Изначально интернет-дневники (блоги) и социальные сети создавались, как сугубо личное пространство их обладателей, доступ в которое он строго ограничивает наиболее близкими ему людьми. Люди довольно скоро стали доверять подобным ресурсам слишком много личного. Прямое личное общение постепенно выходит из моды, поэтому многие пишут о себе откровенные фантазии или совершают поступки, на которые никогда не решились бы в действительности.
Всё это может теперь стать доступно людям, не понимающим этих фантазий или поспешно идентифицирующих их с самим автором. Последствия могут быть очевидны, стоит только представить себе, что эта информация появилась у потенциального работодателя. Даже обычный запрос к поисковым системам может выдать много информации, интересующей специалиста по кадрам, если соискатель достаточно активно ведет себя в сети. А кроме поисковых сервисов существуют и социальные сети, форумы, чаты и пр. И всё, что сказано соискателем на этих ресурсах, может быть присовокуплено к его резюме и истолковано совершенно превратно.
Практика внимательно изучать Интернет в поисках личной информации о претендентах на работу получает все большее распространение среди рекрутеров. Ее главная задача, по словам исполнительного директора Центра по исследованию карьерного роста Нью-йоркского университета Труди Стейнфельд (Trudy Steinfeld), сказанным корреспонденту газеты «New York Times», в том, чтобы собрать как можно больше информации о личной жизни будущего сотрудника и выяснить, «не было ли в ней чего-то такого, что можно было бы счесть сомнительным, или что прямо противоречит основным ценностям нашей корпорации». Если в собранной информации обнаружатся сомнительные моменты, маловероятно, что они будут истолковываться в пользу соискателя.
Во многих организациях существуют подразделения, занимающие вопросами информационной безопасности. В рамках борьбы с «инсайдом» (утечкой информации, происходящей по вине сотрудников) в функции служб безопасности крупных компаний давно входит мониторинг информации и активности сотрудников в сети Интернет. Так или иначе «под колпаком» оказываются те, кто обсуждает своего руководителя, политику компании или внутренние взаимоотношения: личное отношение, высказанное на форуме или блоге, может стать причиной серьезных проблем, вплоть до увольнения. К сожалению, многие сотрудники продолжают откровенничать, не понимая, что опубликованная в сети информация может быть доступна всем, а ее прозрачность позволяет работодателям достаточно легко вычислять «болтунов». Особенно легко выявить сотрудника, который пользуется Интернетом через рабочий компьютер: сервера компании, предоставляющие доступ, ведут регистрацию активности пользователей, а в некоторых и перлюстрацию всей исходящей и входящей информации: электронной почты, номера ICQ и т.д.
Но проблемы могут возникнуть не только на работе. В 2005 году из Санкт-Петербургского гуманитарного университета профсоюзов (СПбГУП) была отчислена студентка факультета искусства Валентина Кныш из-за нелестного отзыва о преподавателях (в том числе и с использованием ненормативной лексики) в своем интернет-дневнике. Однако совершенно очевидно, что эпоха подобных скандалов еще впереди. Информация, попавшая в Интернет, может там храниться очень долго. И никогда нельзя быть уверенным в том, что тот, кто получит к ней доступ, не распорядится ею во вред автору…
Владимир Натров, Вокруг света
