Департамент Государственной Безопасности США планирует объединиться с двумя институтами: SANS Institute и Mitre для того чтобы выпустить документ, направленный на ознакомление широкой публики с уязвимостями ПО, на котором работает большая часть веба, сделав его таким образом менее восприимчивым к атакам, участившимся в последнее время, не без помощи LulzSec и Anonymous. Как пишет The New York Times — это будет список из 25 наиболее распространенных программных ошибок, которые могут привести к серьезным и критичным хакам различных систем. Идея проста и заключается в том, чтобы научить частные компании и государственные организации работать с каналами и инструментами, которые используются взломщиками для получения конфиденциальной информации или доступа к серверам. Как правило для подобных атак используются общие дыры или ошибки в ПО.
Согласно NYT — первой в списке стоит ошибка, делающая сервер неустойчивым против SQL-инъекций, которые использовали две уже упомянутые хакерские группы для получения данных.
Инструкция будет включать в себя конкретные рекомендации для различных жестко-вертикальных структур, вроде банков или фабрик, рассказывая о том, какие уязвимости наиболее критичны в различных типах ПО и как они используются злоумышленниками.
И хотя LulzSec (распускающаяся, а может быть и нет) и Anonymous отличались умом и сообразительностью в своих методах, наибольшую опасность как для государства, так и для корпораций представляют не программные ошибки, но собственные сотрудники.
На этой неделе Bloomberg опубликовал замечательную статью: "Человеческие ошибки, идиотизм питающий хакинг" где достаточно глубоко рассматривается в первую очередь человеческий фактор, влияющий на утечку ценных данных (ведь в итоге сам по себе взлом системы, без последствий, не несет урона организации). И хотя на первый взгляд это может показаться беспочвенным обвинением, не будем забывать о том, что крупнейшая утечка в современной истории — WikiLeaks, произошла исключительно из-за доступа одного человека с носителем данных к конфиденциальной информации. По сообщениям людей хорошо знакомых с ситуацией, все что нужно было сделать Брэдли Маннингу (Bradley Manning) — вставить диск в компьютер и начать скачивать.
Самое замечательное в истории с американским Департаментом Гос. Безопасности — это то, с какой артистичностью они подошли к проверке своих догадок об идиотизме как таковом. Агенты разбросали на парковке государственного учреждения компакт-диски и USB-накопители для того чтобы проверить, сколько из них будет поднято и в итоге загружено в компьютер. Не сообщается, какой процент от общей массы в итоге перекочевал в карманы приехавших на работу сотрудников (предполагаю что немалый), однако в итоге обычные флешки и диски загружались в 6 из 10 случаев, а те, на которых было нанесено официальное лого (SIC!) — в более чем 90% случаев.
Одно дело, когда среднестатистический гражданин поднимает с земли флешку или диск с аббревиатурой "DHS" и совершенно другое, когда это делает работник государственной организации, которых специально учат возможным рискам и угрозам безопасности, в том числе и на таких конкретных примерах. Сама история с разбросанными дисками очень похожа на события, описанные в фильме «Сжечь после прочтения», когда Брэд Питт находит CD с банковской информацией другого человека и думает, что это сверхсекретная информация.
Еще один интересный «пунктик», описанный в публикации Bloomberg, касается атак основанных на социальной инженерии, которые в последние годы становятся все более сложными и эффективными. Согласно отчету "State of Spam and Phishing" от Symantec (выпускающемуся ежемесячно) — за последний год количество фишинг-атак возросло на 6,7%. Меня лично, признаюсь, особенно радуют названия некоторых подвидов такой «рыбалки»: например «рыбалка копьем» или «spear phishing» отличается повышенной таргетированностью и ориентируется на отдельных индивидуумов или их группы, а так же «рыбалка на кита» (whale phishing) целящаяся на представителей среднего менеджмента.
Слова Марка Раша (Mark Rasch) из Computer Science Corporation цитируются изданием во всей красе: «Правило №1 — не открывайте подозрительные ссылки, правило №2 — смотрите правило №1, правило №3 — смотрите правила 1 и 2».
Как только цель фишинга переходит по ссылке, содержащей одну из 25 возможных угроз, с наибольшей вероятностью все что напишет DHS в своем послании «в народ» сразу же будет скомпрометировано. Когда дело доходит до безопасности (не только информационной) суть заключается в том, что наибольшая угроза для любой организации и структуры — люди работающие в ней, а не какая-то эзотерическая группа хакеров живущих в Интернете.
За материал спасибо Bloomberg, The New York Times, ReadWriteWeb
