Switch language: EN|RU

Thursday, August 31, 2017

ФБ (финансовая безопасность) и мобильные операторы




... или хвалебный пост Теле2 от чистого сердца.

Я проверяю баланс на личном сотовом номере телефона раз в 3-4 месяца, чаще смысла нет. Удобные тарифы позволяют легко планировать: пакета за 200 руб. в месяц хватает с лихвой на необходимые звонки, всяческий интернет и неиспользуемые совершенно смс. Поэтому я кладу на баланс 3000 руб. 1 раз в год. По личному телефону я не звоню практически межгород. Однажды вечером, взяв телефон, чтобы позвонить супруге, я услышал приветливый голос робота: "на вашем счете недостаточно средств для совершения звонка". Вот так сюрприз. Зайдя в личный кабинет, я обнаружил расходы, более чем в 2000 руб. за 2 месяца по статье затрат "Контент". Надо ли говорить, что сервисы типа «смешные анекдоты по СМС каждый день» я вообще ни разу в жизни не подключал. Самая фишка была в том, что подключенные подписки никак не подтверждались по СМС, причем ни в качестве уведомления, ни в качестве вопроса, ни в просто как факт подключения. Я специально поискал в истории СМС что-то похожее – ничего.

Написал в техподдержку Теле2, объяснил ситуацию. Причем понимая, как ни крути, свою долю возможной ответственности (нажал какую-то кнопку во сне носом и случайно подключил подписки), я честно попросил оператора предоставить мне информацию о хоть каких-то смс или звонках на платные номера, которые хоть в какой-то мере подтверждали бы мой акцепт по подключенным подпискам. После пары-тройки уточняющих вопросов, Теле2 совершенно неожиданно, если честно, ВЕРНУЛИ мне деньги на баланс, причем все до копейки за те самые мифические подписки. Кроме того, они еще подсказали, как включить бесплатную услугу «Контентный счет», который отвязан от основного баланса номера телефона и пополняется отдельными платежами.

Да, я сам неправ, что слежу за своим счетом столь редко. Но компания, которая реально встает на сторону клиента в таких щекотливых и не очевидных вопросах, реально ответственно относится к своим клиентам. Кроме того, такой компании веришь, когда на очередной конференции по ИБ она в очередной раз заявит, что развивает свою систему антифрода, по-настоящему борется с мошенничеством в мобильных технологиях и непрерывно и на деле совершенствует систему борьбы с «грязным мобильным бизнесом», а не только декларирует это как факт, неправдоподобно рассказывая, что операторские комиссии в копилку дохода от таких подписок их совершенно не интересуют.

Thursday, August 10, 2017

AntiDDOS и гражданская позиция



Существует одна из классификаций - делить информационную безопасность на внутреннюю и внешнюю. Корректная ли она -  вопрос дискуссионный, а я сегодня хотел бы поговорить о кейсе, в котором случился в некотором роде симбиоз: даже не поймешь, к какой безопасности данный случай отнести. Не хочу отступать от тематики и основной идеи блога, поэтому кейс так же из обычной жизни и вполне может коснуться даже обычного сисадмина в маленькой компании.

Обычный сисадмин Ваня (со странной фамилией, не помню уже точно, не то Краев, не то Крайнов) из Небольшой компании однажды понял, что его вконец достал непонятный поток DNS-ответов от некого белого IP адреса, пробив который по сервису WhoIS, он, как ответственный гражданин, написал 2 официальных письма: одно - организации-владельцу подсети (Большая компания), другое – провайдеру-владельцу автономки (AS), из которой эта подсеть выделена. Кстати, Большая компания, не дожидаясь, что мы придем к ним, сама пришла к нам по поводу этого письма, предварительно, конечно же, проведя у себя расследование. Оно (расследование) и правда выявило постоянные случаи массового DOS с одного из DNS серверов компании. Баги были пофикшены, патчи поставлены, заражения устранены, заодно и обновлено ПО, до которого руки не доходили уже год-другой. Т.к. компания весьма уважаемая и публичная, то повторение таких казусов службе ИБ явно не к лицу. Тем приятнее было подключать услугу «Мониторинг трафика и защита от DDOS-атак» и отвечать на вопрос «вы сможете с этим что-то сделать?» утвердительно: «Да, мы мониторим и исходящий трафик тоже».

Получив, как полагается, официальный ответ на письмо по всем канонам «исх. №…. на вх. №….» Ваня был крайне горд за свою гражданскую позицию, ведь он мог просто забанить вредные адреса, не сказав ни кому об этом, а он, напротив, внес свою копеечку в наше общее дело спасения мира от киберугроз. Будь как Ваня

Thursday, August 3, 2017

Криптография. История Пети и Рихтера.



О том, что с криптографией сталкиваются в своей жизни все без исключения, полагаю, спорить бесполезно, да, в современном мире, это касается каждого из нас. Даже, оказывается, может коснуться любого из «них».

Для Пети (прим. с июня 2017 года вымышленное имя героя истории стало придумывать проще), как для обычного сотрудника международного концерна с офисами и производством в России, общение с коллегами из-за границы и командировки - привычное дело. Причем общение далеко не ограничено телефоном, само собой, есть корпоративные системы, к которым необходимо иметь общий доступ ему и коллегам из разных стран. Поскольку бизнес связан с работой с физическими лицами-гражданами РФ, а масштабы сотрудничества и вовлеченность не позволяют предприятию забивать на наши законы, то с принятием ФЗ-242 о «Хранении ПДн Россиян на территории РФ» оно озаботилось локализацией некоторых своих информационных ресурсов. Отсюда сразу вырос проект по ЗПД и были внедрены соответствующие СЗИ, в том числе сертифицированные СКЗИ с ГОСТом для обеспечения безопасности при удаленном доступе. Все прекрасно до того момента, когда, не дай Бог, Петю на границе остановят и попросят пояснить, куда и зачем он вывозит, а потом и ввозит обратно вместе со своим ноутбуком СКЗИ (прим. вопрос как это проверить, особенно если СКЗИ только программные, оставим для другой дискуссии. Так же за рамками остается тема «Для личного пользования». Если нужно – проверят.), и проблемы компании станут и его проблемами тоже. Получение специальных лицензий, разрешений, оформление нотификаций и т.п. в планы концерна по изначально «мелкому» в его масштабах проекту соответствия местечковому ФЗ-242 явно не входило.

Для Рихтера, как для обычного сотрудника международного концерна в своей стране, но с офисами и производством по всему миру, в том числе в России, удаленный доступ к иностранным производственным площадкам – привычное дело. Но после внедрения проекта по соответствию местному законодательству для доступа к некоторым ресурсам в России пришлось устанавливать на свой компьютер особенного VPN-агента, которого он раньше никогда не видел. Да, по началу он лоббировал идею ходить через старый добрый привычный VPN, но идею отодвинули, решив попробовать сделать, как ему сказали, «все правильно». Да, ему лично никаких особых неудобств это не доставило (кроме некоторых технологических и трудностей и юзабилити), однако, дошли слухи, что в целом к концерну есть какие-то претензии от Российских властей, связанные с появлением у него нового VPN. А к слухам в соцсетях, статьям в прессе, рассказам коллег Рихтер всегда относился крайне трепетно, т.к. сам нет-да-нет торговал акциями своего концерна на бирже.

Притянута ли история за уши? Да, возможно, она все-таки вымышленная и все совпадения случайны, хоть и мотивирована реальным кейсом.
Могла ли истории быть проще? Да, конечно: доступ из-за границе по ЭЦП, например, к клиент-банку или подпись электронный документов. Кейсов можно придумать достаточно много.
Какая мораль? Да все как обычно: «строгость законов РФ компенсируется необязательностью их выполнения», «невозможно на 100% выполнить все законы, они друг другу часто противоречат» и т.п.
Однако же в настоящей повседневной жизни обычные граждане так или иначе все больше сталкиваются с ИБ, даже не подозревая об этом и, зачастую, вовсе этого не желая. А вникать придется.
прим. далее напрашивается: так выпьем же за ИБ! =)

Tuesday, August 1, 2017

О криптовалютах или "coin-лихорадка"

Блокчейн академия, ICO (initial coin offering) консалтинг – эти слова не ругательства и становятся все более на слуху в широкой прессе. Более того, каждый «уважающий себя» стартапер активно смотрит на эти направления при планировании развития своего дела. Учитывая непрерывный информационный фон, складывается впечатление, что если ты не прикупил себе *coin, то ты как минимум не в тренде, а как максимум – по факту проиграл и неудачник. 

Если посмотреть на графики роста криптовалют, то да, просматривается одна из самых привлекательных инвест-идей. Золотая coin-лихорадка десятилетия, стоит ли бросаться с головой в нее? Между тем, даже учитывая взрывной рост криптовалют за последние годы, как показала практика минувшего квартала, как раз с безопасностью тут есть проблемы. Новости типа «как взломать 2FA аппаратные токены», «блокчейн сети ждет атаки типа «51%», «сеть bitcoin подверглась атаке типа «двойной вывод» и т.п. не позволяют расслабляться. И об этом обязательно нужно думать не только нам, ИБшникам, и потенциальным инвесторам необходимо будет вникать в суть, в том числе с точки зрения ИБ.


Очевидно, что скоро нас ожидает всплеск регуляторики в сфере криптовалют, т.к. людей, вовлеченных в операции с киберденьгами, становится уже неприлично много в масштабах даже страны. А пока за нас с вами не начал думать большой брат, главное правило инвестора – не поддаваться панике - работает здесь как нельзя лучше. Когда у нас народ поймет, что в ставках на спорт, в рулетке, в игре на биржах в гарантированном выигрыше лишь один – производители видеокарт крупье, что легких денег не бывает, что если хочешь реально зарабатывать, то в деле надо глубоко разбираться?

А то потом у нас рядом с валютными ипотечниками будут митинговать «обманутые майнеры» и «кинутые инвесторы ICO».