...

суббота, 13 июня 2020 г.

Клара у Карла пароли украла и за битки продала: расшифровка эфира с Ашотом Оганесяном

Неделю назад в нашем инстаграм-аккаунте выступил Ашот Оганесян — технический директор и основатель DeviceLock. Ашот ведет телеграм-канал Утечки информации и уже 20 лет занимается проблемами DLP.

Во время эфира Ашот отвечал на вопросы, которые задавали в комментариях в инстаграм и здесь, на Хабре. Делимся записью и расшифровкой интервью.

***


Меня зовут Ашот Оганесян, я – основатель и технический директор компании DeviceLock. Компания занимается разработкой программного продукта, который предотвращает утечки информации с рабочих компьютеров. Я занимаюсь исследованием самих утечек и веду telegram-канал «Утечки информации».

Могу называть себя экспертом в области утечек информации.

Какую ответственность несет банк перед клиентом за утечку личных данных?


О юридическом ущербе я не могу сказать – я не юрист. Могу точно сказать о репутационной составляющей. Банки – организации, чувствительные к репутационным потерям, а утечка информации в современном мире мало чем отличается от ограбления банка, потому что может привести к потере денег.

После утечки возможно несколько вариантов: прямое мошенничество (выманивание средств с использованием телефонных звонков под видом сотрудников банка с использованием украденных данных), либо склонение владельца данных к установке вредоносного ПО (с помощью аналогичных звонков) для получения доступа к его интернет-банку и снятия денег.

Насколько правила по работе с персональными данными прописаны в Законе о защите персональных данных, и как они их защищают?


Любой закон имеет смысл тогда, когда есть инструмент для контроля за его соблюдением.

Насколько я знаю, его можно применить, и можно применить санкции, следующие из его нарушения. Но с санкциями у нас не очень хорошо: насколько я помню, там несущественные денежные штрафы (десятки тысяч рублей). Сейчас рассматривается повышения штрафа до полумиллиона, это хотя бы что-то.

Как защитить свои данные, каковы основные источники утечек?


Физические лица сегодня не управляют своими персональными данными. Квалифицированные пользователи могут принимать некоторые шаги: генерировать сложные пароли, например, но даже это может быть бесполезным, если оказывается, что они хранятся в открытом или слабохэшированном виде.

Защита осуществляется теми организациями, которые управляют личными данными физлиц. Они предпринимают комплекс технических и административных мер. К примеру, если речь идет о данных, которые хранятся на рабочих местах сотрудником организации, то можно упомянуть DLP-решения: предотвращение утечки с рабочего места.

Для защиты баз данных, хранящихся на серверах, применяется определенный регламент: например, использование пропатченных версий программных решений и периодический аудит систем на предмет наличия открытого доступа, часто открытый доступ возникает просто из-за действий пользователей и админов.

Один из основных источников утечек это инсайдеры — люди, имеющие доступ к информации в силу служебных обязанностей. Обычно утечка возникает из-за неосторожности — например, отправка финансового отчета по почте на неправильный адрес.

Однажды CFO Disney случайно отправил такой отчет журналисту (!), и компания попала под санкции регулятора из-за возможности инсайдер-трейдинга. Умышленные утечки иногда производятся с целью мести, например, сотрудником, которого увольняют; также достаточно часто встречаются случаи продажи данных сотрудниками сотовых операторов и банков в виде баз для «пробива» конкретных лиц или организаций. В целом, инсайдеры производят несколько меньше половины утечек.

Второй сегмент «рынка» утечек – это хакеры. Взлом часто приводит к крайне масштабным утечкам (инсайдеры «сливают» немного данных, обычно это единичные записи, реже — сотни или тысячи записей) всего содержимого БД. Например, взлом производителя социальных игр Zynga привел к утечке сотни миллионов записей. Иногда открытый доступ ко всей базе данных возникает из-за неправильного конфигурирования систем (ElasticSearch, MongoDB, Amazon Bucket) эксплуатантами и администраторами – тогда данные могут быть найдены с помощью специализированных поисковиков (Census, Shodan и т.д.), которыми пользуются как исследователи, так и злоумышленники.

Утечек в неэлектронной форме мы не будем касаться.

Кто покупает ворованные данные, почему правоохранители не отслеживают покупателей?


Отслеживают. Я периодически выкладываю сводки в telegram-канале: инсайдеров периодически ловят. Правда, это случается достаточно редко, и наказания обычно бывают условными, либо ограничиваются небольшими штрафами.

Но это зависит от ущерба: например, сотрудник сотового оператора, сливший несколько записей, обычно отделывается штрафом, а в серьезных случаях (например, слив данных из Роспаспорта сотрудником полиции) бывают реальные сроки.

Покупают данные в первую очередь мошенники — они используют хорошо обогащенные данные, содержащие финансовую информацию (стоимость – сотни рублей за одну запись). Менее ценные базы используют спамеры. Другой важный сегмент покупателей – это службы безопасности крупных компаний, которые занимаются проверкой контрагентов и персонала (конечно, это тоже незаконно).

Покупают ли ворованные персональные данные государственные службы через посредников?


Я знаю случай, когда налоговая служба Германии купила данные у хакеров, взломавших швейцарский банк. Это был большой скандал. Я уверен, что это не единичный случай, особенно, если иметь в виду разведывательные и контрразведывательные службы.

Что вы думаете по поводу сервисов, которые парсят открытые источники и отдают данные прямо или косвенно? Примеры: штрафы ГИБДД, выписки из ОГРН.


Есть и сервисы, которые парсят социальные сети (ВК, Facebook, Telegram). В последнее время появляется много таких баз. Я находил Mongo с парсером GitHub (всех аккаунтов). Обычно это принадлежит маркетинговым агентствам и используется для таргетинга рекламы.

Здесь есть явные нарушения лицензионных соглашений этих сервисов, хотя ничего криминального, наверно, нет, собирается только предоставленная пользователем информация. Самый известный случай здесь это та самая Cambridge Analytica — после этого случая Facebook изменил свою политику, стал прятать телефонные номера и убрал поиск по ним.

Насколько популярно/востребовано воровство БД с медицинскими персональными данными? Как запретить передачу своих данных из медбаз в ЕГИСЗ?


Не самый популярный вид баз на черном рынке. Они есть; раньше было много баз американских больниц, в которых системы заражались криптолокерами – они сейчас не только шифруют данные и требуют выкуп, но и сливают; именно американских: криптолокеры часто создаются с программным блоком на срабатывание на территории СНГ. Из наших – я помню, что были сливы данных медстрахования (ОМС, ДМС) по одному из регионов в 14 или 16 году; недавно на Урале арестовали сисадмина больницы, который пытался слить базу ОМС, пользуясь открытым доступом к данным из других больниц.

Имеет ли смысл после закрытия всех счетов в банке написать заявление об отзыве?
Разрешения на хранение персональных данных, или банк уже слил их через посредников? Что делать, если банк отказывается стирать персональные данные, ссылаясь на пункты Закона о защите персональных данных?


Лично я не сталкивался. Закрыв счета, я ничего такого не писал: не думаю, что это изменило бы что-либо. Если были подписаны соглашения, дающие согласие на обработку данных партнерами банка, то данные уже были переданы. Я думаю, если случай не принципиальный, можно ничего не делать.

О создании единой базы, содержащей данные жителей РФ. Какие риски данной базы, готовы ли государственные структуры к ее защите, возможен ли доступ к ней коммерческих организаций?


У меня здесь тоже дзен-подход. Все данные уже есть, сбор новых данных не предполагается. Они уже обрабатываются; временами происходят небольшие сливы (я уже упоминал Роспаспорт), но массовых нет. Сливающие инсайдеры отслеживаются и ловятся. Дополнительных рисков и принципиально новых угроз я не вижу. Будет единый вход в систему; возможно, доступ к данным будет у новых людей.

Безопасность – это паразитная область, сама по себе она не представляет ценности. Будем смотреть, какие плюсы будут от существования этой единой базы, и какие средства можно будет потратить на ее защиту. Если ее охранять, как гос. тайну, то к ней ни у кого не будет доступа, и смысла в ее существовании не будет.

Как выбираются площадки для бесплатного выкладывания или продажи баз? Почему взломщики выбирают ту или иную площадку? Почему Роскомнадзор их не закрывает?


РКН закрывает их. Конечно, люди, которые ими пользуются, обходят блокировку. Насчет выбора, то одни и те же никнеймы барыг присутствуют на всех известных форумах. Они размещают посты о продаже (причем платные) максимально широко, часто с покупкой баннеров на первой странице форума. Закрытых площадок, куда ходят спецы для обмена базами, единицы – и в этом случае все они тоже присутствуют на всех этих площадках.

Как ты стал таким специалистом?


Сначала я занимался программированием, 25-26 лет назад написал DeviceLock – с этого все и пошло. Если много и долго заниматься одной областью, она, конечно, может надоесть, но в какой-то момент ты станешь специалистом.

Физические лица могут предоставлять фейковые данные везде, где это возможно?


А где получится использовать фейковые данные? На несерьезных форумах, где репутация не важна – наверно, можно. И на сервисах, которые в будущем будут не нужны, тоже можно. На госуслугах – нельзя, на службах доставки – нельзя.

Учитывая современные реалии перехода на удаленку: правда ли, что никакое DLP-решение не спасет от намеренной инсайдерской утечки через RDP-сессию?


Большинство – не спасает. Мы достаточно давно, лет 5 назад, заморочились этой темой с DeviceLock, стали партнерами с Citrix, VMWare и Oracle, и начали рассматривать то, что мы назвали Virtual DLP.

Мы ставимся внутрь хостовой машины (на сервер Citrix, например) и внутри сессии, которая пробрасывается на тонкого клиента, мы можем контролировать обмен между виртуальной и реальной средой, в частности, буфер обмена, замапленные на уровне сетевого интерфейса диски, проброшенные устройства с тонкого клиента на сервер (смартфоны и прочее).

Конечно, встает масса вопросов: например, если на одном сервере работает 300-400 человек, и каждого надо фильтровать по контенту, это вызывает большие нагрузки: контентный анализ, особенно распознавание образов – OCR, ресурсоемок. Один из крупных российских банков полностью перешел на Citrix, и мы работаем с ним; несколько сотен сессий держится, идет фильтрация буферов обмена по контенту, не все позволяется перебрасывать между реальной и виртуальной средой.

Какая мотивация у взломщиков сливать данные в открытый доступ?


Есть хакерские группировки, например, kelvinsecteam – которые сливают данные в открытый доступ. Но, как правило, в полностью открытый доступ сливаются только отработанные или несерьезные данные. Это делается для репутации. А «полуоткрытый» доступ, который не за деньги, но пароль не всем дается – это для обмена.

Если главная угроза – внешний злоумышленник, зачем нужно DLP, если можно страховать риски?


DLP это и есть страховка рисков; по крайней мере, на Западе так считается. Двигатель продаж DLP на американском рынке (где мы присутствовали еще с 96 года, до того, как вышли на российский) – это compliance, соответствие законодательству. Мы узнали, что некоторые клиенты даже не устанавливали купленное “для compliance” DLP годами: это вскрылось, когда произошел серьезный инцидент с кражей данных на CD-дисках.

Надо понимать, что DLP – это не защита от злоумышленников, что бы ни говорили вендоры. Прежде всего, DLP защищает от случайных утечек: большая часть инсайдерских утечек именно случайна. От действительно злонамеренного инсайдера защититься очень тяжело. Если такой злоумышленник – дурак, который со своего рабочего места сливает базу под своим логином, конечно, система все залогирует, но такие дураки встречаются редко. Если слив базы заказывают серьезные люди, все происходит по-другому, и DLP не поможет.

Почему криптолокеры не работают по СНГ?


Боятся утюга с паяльником.

Кто из российских банков лучше всего защищен?


Не могу сказать. Дело в том, что, даже если из банка не было громких утечек (замеченных в СМИ или в аналитике), это не означает, что банк защищен лучше всех. Может быть, на него просто не было заказов. На рынке пробивов легко найти данные по всем крупным банкам: клиентов много, сотрудников много, инсайдера найти просто; напротив, пробив по клиенту мелкого банка может оказаться нерешаемой задачей.

Какой подход для DLP-системы эффективнее? Западный (блокировка передачи данных) или восточный (ретроспективный анализ и расследование)?


Я – приверженец блокировок. Важно, что блокировка не отменяет мониторинга и наблюдения.

Для некоторых протоколов очень сложно реализовать блокировку в реальном времени. Если файлы, записываемые на флешку, проверять легко, то проверять в режиме реального времени замапленные сетевые диски, в том числе для терминальной сессии пробрасываемого диска – гораздо сложнее, как и secret-чаты в Skype; если вендор умеет это делать, то уж задачу мониторинга он решит.

Хорошо, когда DLP-система умеет делать и то, и то: тогда можно, например, изначально включить ее в режиме наблюдения и собирать информацию, а потом – выборочно подкручивать движки и делать запрещения.

Допустим, мы заблокируем обмен между хостом и RDP-сервером. Останется возможность полуавтоматически все заскринить через экран; неплохо бы иметь полный контроль сотрудника


Конечно. Вообще, скрины – это большая головная боль. Пробивщики часто предоставляют банковскую информацию именно в виде скринов (не скриншотов, а именно фотографий экрана).

С этим пока ничего не поделать. В этом направлении ведутся разработки: желаемый результат – засекать объекты, напоминающие телефон/фотоаппарат и направляемые на экран, и гасить экран и/или посылать алерт администратору (или писать лог). У нас тоже есть такие наработки.

Еще можно делать вотермарки. Правда, они хорошо работают на скриншотах (и этим пользуются производители игр, например) и часто теряются при фотографировании экрана. Мы стараемся решить эту проблему, но возможности широкого применения вотермарков я пока не вижу.

Самые большие и вредные мифы о воровстве данных?


Самый большой миф – «хакеры через Интернет вламываются в любую систему». Пропагандируется в основном в кино. Хотя он скорее не вредный, а забавный. Фильм «Хакеры» с Анжелиной Джоли — довольной смешной.

Вся цепочка воровства данных? Кто есть кто, кто сколько получает, кто насколько подставляется, кто в итоге зарабатывает?


Цепочки бывают разные. Есть цепочки для слива баз данных, есть цепочки пробивщиков. Насчет вторых я лучше осведомлен: по ним судебных прецедентов больше.

Меньше всех зарабатывает, конечно, сам инсайдер. Из решений судов и заявлений СК РФ по оконченным расследованиям видно, что суммы инсайдеров получаются смешными. Например, какой-нибудь продавец в салоне связи, который продает телефоны и симки и пополняет счета, за одну слитую выписку биллинга получит всего 300-500 рублей (в особо запущенных случаях их уговаривают на слив «по дружбе»).

Посредники получают явно больше, хотя я не могу сказать точно, сколько, потому что не могу точно оценить этот рынок, он, естественно, черный, и весь спрос находится в приватных сообщениях. Если судить только по предложению, то рынок велик, бизнес прибыльный.

Слитые базы данных (более 20-30 миллионов записей) – это другой разговор. Парсинг Facebook может стоить от сотен долларов до пары биткоинов, это зависит от обогащенности данных. Если содержатся только идентификаторы Facebook и данные из профиля – это дешево (сотни долларов за большую базу в 140+ миллионов записей). Если содержатся email, телефоны (особенно американские) – это дорого. Скорее всего, продает базу сам сливший.

В пробиве существует еще прослойка «хедхантинга» — поиска инсайдеров. Такие рекрутеры занимаются поиском и подбором, в основном – через ВК, используя базы сотрудников банков. Никаких конкретных цифр назвать не могу.

Каковы финансовые объемы рынка сливов?


Этого никто не знает. Если какие-то компании предлагают выкладки – не верьте им.

Власть занимается поимкой тех, кто продает базы с форумов?


Да, но их тяжело выявлять. Инсайдера поймать проще, потому что можно сделать «контрольную закупку» — пометить запись в базе, заказать пробив этой записи и посмотреть, кто к ней обратился. Поймается какой-нибудь клерк из колл-центра или продавец.

Но тот, кому он сливал, будет существовать только в виде контакта в telegram – такого тяжело вычислить. Я помню только несколько случаев поимки посредника, причем один из них – накрытие ФСБ целой группировки в Ярославле. Группировка занималась широким спектром «услуг», включая оффлайновые – и среди их «услуг», как оказалось, был пробив.

Что думаете про необходимость pen-testing?


Регулярный аудит информационных систем необходим, особенно сервисам, которые хранят данные пользователей. Это может быть и полноценный pen-testing со взломами, и легкий аудит. Хотя наша компания не занимается pen-testing.

Какой продукт лучше на рынке DLP-решений, на ваш взгляд?


Наш, конечно :)

Могу сказать, что у нас есть определённые минусы – как правило, они касаются аналитики. Мы традиционно сильны во всем, что касается контролей, технологической части. Отстаем по части интерфейсов – иногда руки до них не доходят.

Из продуктов, которые мне понравились, могу назвать DLP от Digital Guardian. Решение дорогое, мультиплатформенное, умеет очень многое.

Конечно, есть и такие, которые я не рекомендую использовать. Не называя конкретных имен, могу сказать: это те, которые выставляют в качестве DLP-систем приложения контроля за действиями пользователя, user activity monitor – запись экрана, кейлоггинг.

Дайте общие рекомендации по минимизации риска слива персональных данных в банках; если можно – тезисно.


Для таких рекомендаций лучше спросить безопасника на стороне клиента. Я мог бы дать поверхностные рекомендации, но от них не будет толка. Я рассматриваю информацию со стороны вендора либо исследователя утечек. В банках далеко все не так просто, как может хотеться технарям.

Как бороться с гос. сервисами, в которых есть утечки данных?


Не надо бороться с гос. сервисами, они сами кого хочешь заборят :)

Борьба с утечками в их случае идет так же, как и у всех остальных. Основная проблема – персонал: чем больше сотрудников, тем больше потенциальных инсайдеров, и за всеми невозможно уследить. Сколько существует отделений МВД с доступом к Роспаспорту?
В общем, им нужна работа с персоналом и технические меры.

Как защитить ПК от стилеров, которые не детектятся антивирусом?


Не запускать ничего, что вам присылают, на реальном хосте. Заведите для этого виртуалку.

Конечно, есть zero-day-уязвимости с возможностью эксплуатации без запуска, но их не так много, и простой стилер, вероятно, не будет их использовать: они для этого слишком ценные. Стилеры почти всегда эксплуатируют что-то давно известное, и многие требуют, чтобы их запустили вручную. Поэтому, если открывать подозрительный PDF или любой другой документ, в котором могут быть скрипты, то только в виртуалке. Ее можно потом просто стереть или восстановить из снапшота.

Насколько безопасно учебным заведениям хранить ПДн на личных онлайн дисках яндекса или гугла?


Небезопасно. Во-первых, их могут найти. Не знаю, как с индексацией у Яндекса и Google, но многие файл-шаринги индексируются поисковиками. Кроме того, это может попросту нарушать Закон о персональных данных.

Откуда была, по вашему мнению, утечка базы ГИБДД?


Как я понимаю, речь идет об обезличенной базе АВТОСТАТ, которую распространяли через торренты с предложением продажи такой же базы, но с личными данными, за биткоины.

Спецы сходятся во мнении, что это база Российского союза страховщиков. Я в этом не разбираюсь, но спецы приводили достаточно правдоподобные, аргументированные объяснения с примерами; они еще и пробили несколько ВИН автомобилей, и те, что не были поставлены на номера, отсутствовали в базе – то есть, база содержала только те транспортные средства, которые получили государственные регистрационные знаки.

Как ваш DLP борется с утечками через облачные технологии?


Это лучше задавать на нашем форуме или через support.

А что дальше?


Следующий прямой эфир пройдет в ближайший понедельник, 15 июня в 20:00.
Руководитель фронтенд-отдела Яндекс.Денег Илья Кашлаков будет отвечать на ваши вопросы в прямом эфире. Эфир пройдет в нашем инстаграм-аккаунте.

Задать ему вопрос можно в комментариях к этому посту



Что было ранее


1. Илона Папава, Senior Software Engineer в Facebook — как попасть на стажировку, получить оффер и все о работе в компании
2. Борис Янгель, ML-инженер Яндекса — как не пополнить ряды стремных специалистов, если ты Data Scientist
3. Александр Калошин, СEO LastBackend — как запустить стартап, выйти на рынок Китая и получить 15 млн инвестиций.
4. Наталья Теплухина — Vue.js core team member, GoogleDevExpret — как пройти собеседование в GitLab, попасть в команду разработчиков Vue и стать Staff-engineer.

Let's block ads! (Why?)

Комментариев нет:

Отправить комментарий