Вера Шенгелия /

Что у вас могут украсть через социальную сеть

Войти в социальную сеть с рабочего компьютера немецким служащим бывает непросто — компании все чаще блокируют доступ к «Твиттеру» и «Фейсбуку». Работодатели уверяют, что делают это из соображений безопасности. Участник проекта «Сноб», ведущий эксперт по IT-криминалистике компании Techfusion, IT-детектив Александр Гессен рассказывает, чем опасны социальные сети, и отвечает на наши вопросы

+T -
Поделиться:

Крупные немецкие компании массово блокируют доступ своим сотрудникам к социальным сетям, сообщило вчера агентство Breitbart со ссылкой на немецкий еженедельник WirtschaftsWoche.

Самое интересное, что руководители компаний озабочены не тем, что их сотрудники сидят в «Твиттере» и «Фейсбуке» в рабочее время, как это бывало и раньше. Wirtschaftswoche цитирует представителя крупнейшего банка Германии Commerzbank, который говорит, что их сотрудникам запрещено выходить в социальные сети по соображениям безопасности. Иными словами, работодатели боятся, что доступ с рабочего компьютера в социальную сеть предоставляет больше возможностей для промышленного шпионажа и утечки информации.

Международная компания Clearwift, которая занимается IT-безопасностью, опросила руководителей немецких компаний и выяснила, что, кроме утечки информации, они боятся, что через социальные сети рабочие компьютеры могут быть легче заражены вирусом. Недовольных тем, что сотрудники тратят рабочее время на личную переписку, оказалось меньше всего.

Александр Гессен

   Большие массивы информации обычно не крадут через интернет, в частности через социальные сети. Я хорошо знаком с тем, как обстоят дела с IT-безопасностью в Америке и Англии, и могу сказать, что компании в очень большой степени регулируют доступ к закрытой информации через интернет.

Маленькие массивы — идеи, наработки — действительно можно украсть с помощью социальных сетей. Для домашних компьютеров, для личной информации социальные сети тоже представляют угрозу. Воспользоваться беспечностью человека, который выходит в социальные сети, гораздо проще, чем воспользоваться беспечностью человека, который этого не делает. Зачастую люди сообщают о себе слишком много личной информации, в наших профайлах тоже часто написано больше, чем нужно, мы не всегда аккуратно пользуемся паролями.

В том же «Фейсбуке» довольно часто меняют настройки доступа к личной информации, настройки приватности, часто все слетает или люди просто не обращают внимания, что эти настройки изменились. Уверенность, что мы пишем что-то только для узкого круга друзей, зачастую становится только иллюзией.   

Эту реплику поддерживают: Виктор Енин
Комментировать Всего 60 комментариев

Александр Гессен Комментарий удален

Александр Гессен Комментарий удален

Александр Гессен Комментарий удален

Большие массивы информации обычно не крадут через интернет, в частности через социальные сети. Я хорошо знаком с тем, как обстоят дела с IT-безопасностью в Америке и Англии, и могу сказать, что компании в очень большой степени регулируют доступ к закрытой информации через интернет.

Маленькие массивы — идеи, наработки — действительно можно украсть с помощью социальных сетей. Для домашних компьютеров, для личной информации социальные сети тоже представляют угрозу. Воспользоваться беспечностью человека, который выходит в социальные сети, гораздо проще, чем воспользоваться беспечностью человека, который этого не делает. Зачастую люди сообщают о себе слишком много личной информации, в наших профайлах тоже часто написано больше, чем нужно, мы не всегда аккуратно пользуемся паролями.

В том же «Фейсбуке» довольно часто меняют настройки доступа к личной информации, настройки приватности, часто все слетает или люди просто не обращают внимания, что эти настройки изменились. Уверенность, что мы пишем что-то только для узкого круга друзей, зачастую становится только иллюзией.

Эту реплику поддерживают: Виктор Енин

Практика, когда работодатель имеет доступ к рабочей переписке сотрудника, распространена довольно сильно, а можно ли контролировать переписку, которую сотрудники ведут в рабочее время, но, например, в «Фейсбуке»?

Без проблем. Единственное, что нужно - предупредить сотрудников, что их переписка с рабочих компьютеров может просматриваться.

Эту реплику поддерживают: Илья Катулин

Может ли сотрудник воспротивиться этому, посчитав, что это нарушение границ его личной жизни?

Если выход в сеть - от работодателя, а тем паче и компьютер рабочий, то вряд ли о защите личной жизни можно говорить (только если в контракте это отдельным пунктом не прописано).

Илья, но о таких вещах предупреждают и их нужно сначала подписать -- я правильно поняла? или это по умолчанию?

По идее, конечно, должны предупредить, но могут это "замылить" в какой-нибудь неочевидной форме. Например, в п.5 написать, что-нибудь вроде "Компьютер компании не может использоваться в личных целях", а через пунктов десять еще один: "Компания имеет право проверять соблюдение условий контракта", или как-то в подобном духе, не связывая напрямую, но, если дойдет до суда, это не будет иметь значения.

Основное условие – это должно распространяться на всех сотрудников одинаково. Но так в Штатах. Во Франции, например, у корпораций гораздо меньше прав.

Ксения, в Штатах, если это правило одинаково распространяется на всех сотрудников, не может.

Дайте несколько конкретных советов, чего никогда нельзя писать в социальной сети?

Например, считается, что рассказать о предстоящем отпуске равносильно объявлению на входной двери «Грабьте с 1 по 15 ноября – я в Турции».

Эту реплику поддерживают: Олег Оксанич, Илья Катулин

Я бы вообще мало что писал о будущих событиях. Вот уже ретроспективно - да, это, менее опасно. Хотя, бывает такое, что не то что в интернет, но и вслух лучше не произносить. :)

Рекомендую к соц.сетям относится как к разговору по сотовому в общественном транспорте - не говорить того, что неудобно сказать всем, а если уж сказали - адекватно отнестись к реакции окружающих.

Александр, а что такое IT-детектив? Расскажите, какие дела вы ведете?

Эту реплику поддерживают: Ксения Чудинова

Сейчас практически невозможно найти область деятельности, где так или иначе не использовался бы компьютер. Примеры корпоративных расследований – хищение интеллектуальной собственности, патенты, злоупотребление служебным положением, финансовые махинации, нарушения копирайта, помощь конкурентам, разборки между партнерами по бизнесу. Частные расследования – вымогательство, шантаж, разводы, незаконные увольнения, и т.д. Объекты анализа – компьютеры, мобильники, и т.д.

Да, privacy policy and settings постоянно меняются в facebook. Странно, что пользователей не предупреждают об этом. Еще недавно можно было запретить публикацию recent activity, а сейчас такая возможность отсутствует.

да, самая невороятная история произошла в мае этого года. об этом писал Нью-Йорк Таймс http://www.nytimes.com/2010/05/06/technology/internet/06facebook.html?_r=1 там произошла ошибка - из-за которой можно было видеть, о чем говорят в чатах между собой твои друзья.

Виктор, спасибо. А чем она важна именно для вас?

Александр, мне не совсем понятно: фирмы боятся соцсетей как источника вредоносных программ или все-таки из-за прямых утечек информации, потому что сотрудники  болтают много лишнего? И если вредоносных программ, то почему от них не спасают антивирусы и другие программные средства защиты?

Существует ли практика "экономического шпионажа" при помощи социальных сетей? Если регулярно мониторить открытые для всеобщего обозрения блоги и фейсбуки сотрудников какой-нибудь корпорации, наверняка можно узнать про нее много интересного. Изменилось ли само понятие "информационной безопасности" с распространением блогов и соцсетей?

А еще вопрос идиота: а зачем кому-то может понадобиться взламывать мой личный компьютер? Ну то есть от стандартных угроз я защищаюсь стандартным же антивирусом - а вот зачем ко мне могут полезть напрямую? Например, через WiFi? Имеет ли смысл частному пользователю защищать свою точку доступа и свой компьютер страшными паролями и файерволлами, ограничивать доступ только для зарегистрированных по мак-адресам  приборов итд?

имеет.

Вы интернет-банкингом дома не пользуетесь?

Мы вот пользуемся.

Поэтому у нас не смотря ни на какие защищенные протоколы WiFi, файрволы и антивирусы, есть wired компьютер. Все денежные операции, а также архив фотографий и пр. - только на нем.

Есть еще любители организовывать DDoS-атаки при помощи кластеров, состоящих как раз из зараженных домашних компьютеров.

Да много гадостей можно придумать с незащищенной сетью...

Wired компьютер или не wired, не так уж важно. Главное, не сохранять на компьютере никаких номеров счетов и паролей. Все, что необходимо, вводить заново во время сеанса связи с финансовой организацией.

Есть хороший анекдот :)

Фирме срочно требуется специалист по защите от сетевых угроз.

Резюме оставлять на рабочем столе нашего сервера.

Вот приблизительно таким же способом муж проверял защищенность основного компьютера. Много смеялся :)

А инструкций по взлому беспроводных сетей в интернете можно найти без труда. Даже защищенных.

нет, только он.

Я - юрист.

Но если ты живешь с айтишником, то рано или поздно часть знаний передается.

Особенно если дома на три человека пять компьютеров. Это еще при условии, что я его отговорила сделать из кладовки серверную... :)

Эту реплику поддерживают: Вера Шенгелия, Александра Штаерт, Илья Катулин

Либо хранить в зашифрованном виде, а ключ носить с собой на флешке :)

На вопрос, чего боятся фирмы – и того, и другого. А по поводу антивирусных защит, то тут кто кого опередит. Появляется новая вредная программа, ее рано или поздно замечают и придумывают защиту. Так что, скажем, первые 10 тысяч компьютеров заражены, а в остальные миллионы ей уже не пробраться. А если кто-то написал программу специально для вашей корпоративной сети, то ее вообще могут не замечать годами.

 

Экономический шпионаж через социальные сети – наверное, существует. А вот кража личной информации точно имеет место. В апреле, например, был арестован хакер, собравший с фейсбука данные на полтора миллиона человек и продаваший ее по цене от 25 до 45 долларов за человека. И эту информацию у него активно покупали.

 

Если у Вас на компьютере нет никакой важной информации, то, наверное, можно не волноваться. По поводу WiFi, любой раутер позволяет шифровать обмен данными с компьютером, и грех эту функцию не включать.

Эту реплику поддерживают: Илья Катулин

Александр, а можно ли выстроить иерархию: что опасней - facebook, vkontakte, twitter, жж...?

Извините, что "влезаю". Наверное, зависит от количества участников сети и от объема возможной передаваемой информации. А так, в общих чертах, наверное, опасен сам человек, неосторожно пользующийся любой из сетей.

Илья, а распишите, что значит "объем возможностей передаваемой информации"

"Объем возможной передаваемой информации..." :)

Ну, скажем, через Твитер много не передашь (хотя, ссылку-другую, а с сжатием, и все десять - можно). В Фейсбуке можно и фото-видео-музыку закачивать, да и информацию о местоположении частенько обновлять, что по объему, конечно больше, и, возможно, более "полезно" для потенциальных "воришек".

ага, поняла, спасибо большое.

Наверное, facebook самый опасный. В первую очередь, из-за невероятного количества участников, что, в свою очередь, привлекает уголовный элемент.

Эту реплику поддерживают: Илья Катулин

Скажите, Александр, что делается по поводу разного рода IT шпионажа и влезание в частные аккаунты законодательно, и можно ли с этим бороться таким способом.

Эту реплику поддерживают: Евгения Найберг

Законы, конечно, есть и иногда они помогают. Но вот что я узнал недавно на закрытом брифинге ФБР. В Штатах, если у вас украли с банковского счета или с кредитной карточки, то ваша потеря составляет только первые 50 долларов, а за остальное расплачивается банк. Федеральные законы на эту тему существуют давно, все это знают и, соответственно, не очень на эту тему волнуются. Так вот, оказывается, это касается любых способов кражи, КРОМЕ телеграфных переводов. В последнем случае все потери за счет владельца счета. Пока этот способ воровства затронул только большие счета, газеты об этом не пишут. И когда еще законы подправят, тем более, что банки в этом не заинтересованы.

У меня была такая теория, что политика безопасности в сети — это банальные правила вежливого общения. А потом как-то внезапно выяснилось, что сделать скриншот с забавной подписью к ошибке в почтовой программе, может кому-то открыть доступ к внутренней работе конторы. И тут я страшно удивилась, и подумала: а наверняка есть какие-то правила, которые не имеют никакого отношения к тому, вежлив ты или нет? Можете поделиться?

Правильно ли я понимаю, что нельзя "насовсем" уничтожить данные? То есть можно, но для этого нужно очень потрудиться. Если это правда, то скажите, это знание как-то коррелируется с Вашими личными представлениями о мире (все можно прокрутить назад / обратной дороги нет)?

данные с жестких дисков уничтожаются насовсем без особых затруднений. Если они, конечно, не записаны где-нибудь на CD/DVD.

А вот по элементарным правилам безопасности оставлю ответ за Александром... интересно :)

На самом деле, уничтожить данные выборочно на жестком диске крайне сложно. Почти всегда что-нибудь остается. Недаром одна из услуг, которую мы предоставляем – физическое уничтожение жестких дисков и мобильников.

Несколько лучше с точки зрения «заметания следов» обстоит дело с новым типом дисков – solidstate – на них остается меньше следов.

А уж то, что было выложено в сеть – улетело навсегда.

Эту реплику поддерживают: Олег Оксанич

да, был у нас один случай, когда муж пытался помочь знакомой компании восстановить их базы данных, перезаписанные вирусом.

База-то была небольшая, меньше гигабайта...

Там, конечно, долго разбирались был ли это вирус или специально кто-то программу внедрил, но факт остается фактом, физическая перезапись велась выборочно по файлам БД.

Что-то, конечно, осталось :)

но толку от этого не было никакого вообще.

Но админы, как известно, делятся на тех, кто еще не бэкапится и тех, кто уже это делает.

Компания после этого перестала экономить на IT.

Услуги по физическому уничтожению - это реальный дефицит в России, было несколько случаев (когда массово заменялись устаревшие компьютеры), когда мы искали компании, предоставляющие такие услуги и - безрезультатно.

Можно, конечно и самим, кувалдочкой там, или в трансформатор кучку положить, но правильнее всё-таки отдавать на уничтожение.

Как Вы считаете, будет ли развиваться рынок этих услуг в России?

Главное, почему лучше отдавать ломать профессионалам – мы выдаем справочку, что уничтожили, и вас труднее будет судить за халатность, связанную с хранением информации.

Эту реплику поддерживают: Ольга Вишневская

Как интересно, никогда бы не подумала, что на такую услугу есть спрос. Казалось, все вокруг наоборот только и думаю, как бы восстановить утраченное.

Опять "влезаю", но молчать не могу! :)

Ксения, уничтожить что-либо выложенное в сеть можно, просто иногда бывает сложно, да и гарантий, что какой-нибудь сервер-поисковик когда-то где-то не оставил копию ваших данных на своих жестких дисках, никто не даст.

А насчет правил, тут скорее не вежливость, а журналистская этика - более уместная аналогия. Мы все теперь в какой-то степени сами себе и журналисты, и читатели, и комментаторы. Следовательно, все, что выложено в Сеть - это наши "репортажи".

Стали бы вы в реальной жизни печатать в популярной читаемой газете определенные фотографии и тексты, которые могут рассказать о другом человеке то, чего он может и не хотел бы сам рассказывать? Обычно, прежде чем опубликовать что-либо в Сеть (и не только в соц.сети), я стараюсь спрашивать разрешения всех, кого этот материал касается.

Например, работаете вы в компании, и решаете сделать скриншот окна почтовой программы. Это примерно то же самое, что сфотографировать в банке открытую ячейку, в которую вы с веселым выражением лица (именно это вы и хотели запечатлеть) кладете слитки золота: в кадр может попасть и камера слежения в отделении, и некоторые сотрудники, номер этой самой ячейки, да еще много чего. Да, само по себе это, вроде бы не так уж и опасно, но сильно "помогает" в "разведке обстановки" разными третьими лицами. Как бы компания отнеслась к такому "фотографу"?

По скриншоту почтовой программы можно понять: 1) какую именно уязвимость эксплуатировать (у каждой почтовой программы - свои "баги", и вы сильно облегчаете жизнь взломщику открыто говоря: "А у нас на фирме - Thunderbird 2.1.1.4"); 2) что за операционная система установлена и используется в компании (и тоже выбрать соответствующую уязвимость); 3) порой в скриншот могут попасть: ваш рабочий e-mail, или e-mail-ы других сотрудников, иногда с заголовками/темами писем; 4) как правило изображение скриншота хранит в себе дату его создания, т.е. можно отследить временной отрезок; 5) если в изображение попадают иконки с рабочего стола, панель задач, или другие информационно насыщенные элементы интерфейса - это тоже все можно использовать в процессе поиска конкретных уязвимостей.

В сети лучшее правило - можешь не быть конкретным - не будь! :)

Александр, а как обстоят дела с IT-криминалистикой в России? 

Есть ли какие-то обменные программы, например, российских и американских IT-криминалистов, некий обмен опытом?

Есть ли общая база IT-преступников, не с Россией, а по всему миру?

Ксения, в России этим, в первую очередь, занимаются органы. В сфере частных расследований одна или две американские фирмы уже предлагают свои услуги в Москве. Наша фирма тоже анализирует возможности работы в России.

Что касается преступников, то они активно взаимодействуют, используя интернет. Источник краж телеграфными переводами, о которых я упоминал выше, прослеживается в Восточную Европу.

Александр, большое спасибо за ответы.

А бывают в IT-преступном мире серийные IT-маньяки?

Facebook and facesheep

В завершение дискуссии про социальные сети. В воскресенье была выставлена на Интернет добавка (add-on) к браузеру Firefox под названием Firesheep. Она позволяет, находясь в открытой WiFi сети (аэропорт, кафе, и пр.), перехватывать сеансы выхода на Facebook из той же сети и действовать от лица владельца счета на Facebook. На сегодня было сгружено 50,000 копий этого add-on.

Эту реплику поддерживают: Олег Оксанич

возможно ли (технически) найти человека, вскрывшего твой почтовый ящик?

В принципе, часто возможно, но нужно сотрудничество Интернет-прова́йдеров, сначала того, чьей почтой вы пользуетесь, а потом того, через которого тот человек вышел на Интернет. Чтобы заставить Интернет-прова́йдеров сотрудничать, в Штатах для этого нужен, как правило, запрос из суда. Находите вы, конечно, компьютер, а не человека, который (компьютер) может оказаться общего пользования.

и если так, то невозможно уже дальше ничего узнать, да?

то есть фактически, современный мир не может предоставить сколько-нибудь убедительной защиты твоей частной интернет-собственности?

Большое спасибо за ответы!

А о какой интернет-собственности вообще идет речь в случае с бесплатным провайдером почты? Вы, по сути, храните данные на чужом изначально компьютере, причем сами согласились на это по контракту.

Если хотите надежности - покупайте доменное имя turova.com (или любое другое на ваш вкус и цвет), ставите свой собственный почтовый сервер (можно дома, можно купить хостинг в хорошей компании), создаете себе ящик [email protected], и пароль получше. Ищите хорошего специалиста по безопасности, он вам настраивает всю систему с точки зрения безопасности, и... все! За все надо платить. :(

У нас тоже нужен запрос, но милицейский. К нам в компанию как-то приходил товарищ, вежливо просил помочь в поисках web-money-вора. Вот он сказал, что на "днях компьютер подозреваемого заберут и будут исследовать", а когда я ему сказал, что не обязательно это и есть вор, товарищ очень удивился, хотя работает в "соответствующем" подразделении милиции. Я тоже удивился.

Эту реплику поддерживают: Илья Катулин

А почему вы решили, что ящик "вскрыл" человек? Это может сделать и какая-нибудь автономная программка.

По идее, конечно, все IP-адреса (которые указывают, с номера какого компьютера заходили в почту) находятся у компании, предоставляющей почтовые услуги (Google, Mail, Yahoo, Microsoft, и т.д.). Другое дело, что они вряд ли дадут их вам на анализ. И потом, если человек действительно умный взламывал, он воспользуется "зомби", т.е. сначала возьмет под контроль компьютер где-нибудь в Китае (а то и цепочку из несколько таких компьютеров из разных стран), и уже через него будет взламывать.

Александр, Вы случайно не однофамилец Маши Гессен?

Близкий родственник. Очень горжусь.

Социальные сети крадут душу. Смотришь иной раз — сидит человек, приглядишься — а внутри пустота, все в сетях.

Юлий Либ Комментарий удален

Випить йаду.

Как дальше жить не знаю. Выбросить комп - не вариант, отключится - тоже. Но что делать, если фактически "все Ваши движения могут быть использованы против Вас"?

Зачем же сразу "против"? Пока вы не начнете заниматься каким-либо действительно значимым, существенным, влияющим на очень многих делом - вы будете эдаким "неуловимым Джо" из анекдота. А вот чем выше по влиянию на умы/кошельки вы поднимаетесь - тем выше и интерес ко всему, что вы делаете или делали в прошлом. Отсюда два основных правила, которые, кстати очень даже верны и в реальной жизни:

- Никогда не делай того, о чем бы пришлось потом сожалеть;

- Если все же сделал (или вынужден) - никому не говори (или сделай "чужими руками").

Практически весь крупный бизнес и вся политика на этом построены.

ps

Кстати, президенту США запрещено даже иметь сотовый (любой), т.к. в нем есть микрофон и передатчик, и многие модели, даже если не находятся в режиме разговора могут передавать звук происходящего вокруг. Постоянно.

Эту реплику поддерживают: Татьяна Непомнящая

Обама сумел уговорить службу безопасности и ему сделали особо защищенный BlackBerry стоимостью больше трех тысяч долларов.

А количество сгруженных копий add-on Firesheep на среду составило уже 320 тысяч.

Эту реплику поддерживают: Илья Катулин