Хакер #305. Многошаговые SQL-инъекции
Intel объявляет о недавнем исследовании, которое показывает, что бизнес и
другие организации рискуют потерять миллиарды долларов в год из-за потери или
кражи ноутбуков. Но не беспокойтесь: есть "третий столп", который может
подстраховать эти потери.
"Ознакомившись с результатами, вы едва ли сможете осознать, насколько
значительны финансовые последствия, которые повлекли за собой потерянные
ноутбуки", сказал Ананд Пашупати, главный менеджер Intel Anti-Theft Services.
"Еще более удивительно то, что, несмотря на уязвимость ноутбуков и их данных,
большинство этих компаний не принимают даже базовые меры предосторожности для их
защиты", добавляет Пашупати.
У Intel, конечно же, есть свои причины того, почему спектр уязвимостей
безопасности ноутбуков расширяется – 7,68 миллиардов причин, если быть совсем
точными. Столько долларов отдала корпорация за
McAfee, которую купила в
этом августе.
Во время обсуждения этого приобретения с журналистами и аналитиками,
исполнительный директор Intel Пол Отеллини сказал: "Мы пришли к выводу, что
безопасность стала третьим столпом компьютерной обработки данных наряду с
энергосберегающей производительностью и подключением к Интернету".
Intel опубликовал свое исследование – "The
Billion Dollar Lost Laptop Problem" – совместно с исследователями
персональной информации и информационной безопасности из Ponemon Institute.
В исследовании приняли участие 329 частных и общественных организаций США,
которые в общей сложности потеряли или лишились 86 455 компьютеров.
Эти данные всего лишь прикрытие - точная сумма в долларах, которой рискуют
поплатиться компании за потерянные, утраченные или украденные ноутбуки, неясна.
В разговоре с журналистами в Сан-Франциско в четверг председатель и
основатель Ponemon Institute Ларри Понемон сказал, что исследование, проведенное
в 2009, "Cost
of a Lost Laptop", определило, что с одним потерянным ноутбуком организация
лишается в среднем $49 246.
Результат опроса был округлен в большую сторону для того, чтобы отразить
такие факторы как разные комбинации шифрования и секретные материалы, хранящиеся
в этих потерянных 86 455 ноутбуках. Цены – иначе говоря "риски" - включают такие
факторы как "стоимость замещения, регистрации, переговоров, утечки данных,
потери стоимости интеллектуальной собственности, потери производственных,
легальных, консультационных и регулятивных затрат".
Понемон пояснил, что подобные округления не отражают то, что большинство –
или даже многие – ноутбуки являются ценностью. "В некоторых случаях, на ноутбуке
не хранят никакой стоящей информации", сказал он репортерам, "но иногда там
может храниться информация о мировых секретах производства. Вероятность того,
что такой ноутбук потеряется или его украдут очень мала, поскольку очень
немногие устройства содержат информацию такого рода".
"Поэтому когда мы подсчитывали среднее число, мы брали во внимание, что
некоторые ноутбуки предположительно являются очень дорогими, потому что подобные
устройства уникальны. Однако большинство же ноутбуков не обладают подобное
ценностью".
Несмотря на такие пояснения, в докладе сообщается, что общая сумма риска в
329 опрошенных организациях составляет "ошеломляющие 2,1 миллиарда долларов".
К Понемону в среду присоединился и главный директор информационной
безопасности Intel Малкольм Харкинс, который сказал, что редко встретишь
пользователя, который, хотя бы знает о ценности и конфиденциальности информации
на своем ноутбуке. "Если ты спросишь кого-нибудь: "На твоем ноутбуке есть важная
информация?", он ответит: "Нет" в большинстве случаев. Почти 75 процентов людей
не знают, что у них на ноутбуке такая информация есть".
Больше чем просто потеря данных
Еще один участник дискуссии, консультант по безопасности Principle Logic
Кевин Бивер, указал на то, что дело не только в файлах, хранящихся на ноутбуках,
которые могут подвергнуть систему безопасности риску. Описывая недавнее
тестирование, которое он провел для классификации ноутбуков и организаций, он
заявил:
"Во-первых, я мог загрузить (ноутбук) с помощью загрузочного диска и взломать
пароли для того, чтобы войти в систему локально. Я обнаружил файлы, которые
хранились локально, временные файлы, которые хранились в приложениях, о котором
пользователи даже не знали, и пароли домена. Я мог видеть некоторые тайные
пароли, которые пользователь использовал для входа в домен Windows – сам домен
пароля не имел, но там были хэшированые пароли и я смог взломать их, чтобы домен
целиком открылся для потенциального вторжения в систему.
Соединения VPN, подключение к удаленному рабочему столу, беспроводные ключи
шифрования – все это я обнаружил на нескольких ноутбуках. Здесь же мы обсуждаем
потерю данных, но мы не должны забывать и о будущих вторжениях в сеть.
Вероятность того, что пользователь знает, как проделать подобные манипуляции,
очень мала, но на самом деле – знать наверняка, в каких руках окажется наш
ноутбук мы никогда не можем".
Бивер также сказал, что организации не обращают достаточного внимания на
безопасность ноутбуков: "Организации вкладывают десятки тысяч, сотни тысяч
долларов в предотвращение SQL-инъекций и межсайтового скриптинга в их
веб-приложениях, они пытаются сделать все возможное, чтобы защитить свои данные.
А тем временем их работники разгуливают с незащищенными ноутбуками. Это просто
глупо".
Понемон был не менее резок: "Мы проводим большое исследование и наблюдаем,
что многие организации некомпетентны в организации защиты информационных данных.
Ноутбуки и другие устройства небольшого размера, хранящие информацию, почти
всегда могут подвергнуться опасности".
Бивер согласился, сказав: "Ноутбуки всегда находятся в опасности, что я и
обнаруживаю в любом отчете по безопасности".
Генеральный менеджер Intel Anti-Theft Services Ананд Пашупати подчеркнул
масштаб проблемы, ссылаясь на результаты опроса, которые показали, что за 3 года
да пропадает один из десяти ноутбуков.
Если ноутбук пропал или украден, у вашего бизнеса могут возникнуть
неприятности, сказал Пашупати. "По сути, данные, которые определяют ваш бизнес,
определяют и вашу компанию".
Не загружать на ноутбук важные данные, и вместо этого использовать ноутбук в
качестве терминала для доступа к облаку - тоже не является решением проблемы,
сказал Харкинс: "Даже если вы так сделаете, это не защитит ваши данные, потому
что вы потеряете терминал с паролем к аккаунту, и не зависимо от того, находится
ли он в облаке, вы сможете взломать его и получить доступ. Не стоит думать, что
смена одного устройства другим устранит динамику риска, это может лишь изменить
ее".
Бивер сказал, что причина того, что безопасность ноутбуков является такой
проблемой, одна: "Я бы сказал, что бездействие – возможно самая большая
проблема, связанная с безопасностью. Руководство ИТ знает, что мы сталкиваемся
со многими проблемами безопасности – сетевые администраторы, менеджеры
безопасности и специалисты по совместимости – они знают, что проблема с
безопасностью существует, но мы по-прежнему бездействуем. Люди не хотят тратить
свое время, деньги и ресурсы на исправление этой проблемы".
Он также свалил проблему на руководство: "Это дело руководства, насколько
доверять пользователям или их сетевым администраторам – сетевые администраторы
говорят: "Все в порядке, все под контролем" - и доверяют пользователям, которые
якобы следят за тем, чтобы их ноутбуки всегда находились в безопасном месте".
Понемон согласился: "Я был свидетелем случаев, когда организации по ИТ
безопасности не были ответственны за потерю ноутбуков – это проблема технической
поддержки. Поэтому если вы, например, встретитесь с руководителем отдела по
безопасности, и спросите "Сколько ноутбуков пропало или украдено в этом году?",
он ответит: "Откуда мне знать? Это не мое дело. Этим занимается тот-то". Но этот
"кто-то" может не иметь и малейшего представления о безопасности вообще".
Между работниками безопасности и ИТ и их руководством лежит пропасть. В
основном, начальство слушает позитивные истории, когда "все хорошо". Когда
безопасность невидна, все хорошо. А когда они узнают об уязвимости, они меняют
тактику поведения. И тогда они начинают вкладывать деньги в такие вещи как
шифрование всего диска и другие программы безопасности, которые являются
доступными.
Безумные пользователи
Часть ответственности несут также и пользователи. Понемон сказал, что
некоторые товарищи очень небрежно обращаются с установленными мерами
безопасности. "Даже такие вещи как шифрование, например шифрование файла, а него
всего диска, очень легко отключить". И многие пользователи просто говорят "Как я
могу обойти систему безопасности? Да например моя загрузка каждый день. Это
дополнительные 10 секунд… Я не хочу с этим мириться".
"Таким образом компания думает что все в порядке", говорит он, "хотя на самом
деле пользователь носит с собой мину замедленного действия".
Но ленивых пользователей можно понять, говорит Понемон: "По большей части
пользователи не являются людьми, занимающимися безопасностью. Безопасность
только доставляет им лишние хлопоты".
Решение - тут то мы и вспоминаем о "третьем столпе" Intel – сделать
безопасность ноутбуков элементарной. "Чем больше вы сможете защитить ноутбук от
бездумного пользователя, сделав защиту легкой или невидимой для него, тем
лучше".
Бивер думает, что аппаратные средства безопасности неизбежны. "Может быть
через год, может быть через 5 или 10 лет, но я думаю можно будет услышать что-то
наподобие "Ну что Мистер Hardware, что вы там делаете для защиты моих данных?"
Несмотря на очевидную связь послания экспертной группы с приобретением McAfee
компанией Intel, Бивер был единственным кто об этом упомянул: "Я всегда говорил,
что пока производители "железа" не придумают что-нибудь для защиты на аппаратном
уровне, у нас будет много проблем с безопасностью данных. Будь то средство по
защите от кражи или что-то связанное с недавним приобретением, это будет очень
серьезным подспорьем в плане безопасности и поможет осуществить множество
ожиданий в будущем".
Пашупати может быть прямо и не сказал о "третьем столпе" Intel, но он
произнес восторженную речь о больших перспективах аппаратной безопасности
ноутбуков. "Наша цель – по крайней мере цель моего продукта – внедрить
безопасность в "железо" и построить экосистему, которая со временем станет
стандартом. Пока это не стандарт, но это обязательно случится в светлом
будущем".
Понемон также говорит об одном быстром и низкотехнологичном пути повышения
безопасности на ноутбуках. "Некоторые компании требуют приклеивания на ноутбуки
этикеток, таких например как "Я работаю на Accenture." Возможно это не очень
хорошая идея, даже несмотря на то, что это поможет быстрее вам определить "Это
мой Dell" а не чей-либо другой. Но по сути это также может увеличить вероятность
кражи, а как мы убедились, так обычно все и происходит.