Дайджест событий ИТ-безопасности

Алексей Доля

Монстры тоже боятся утечек

Pfizer — третья утечка за два месяца

Кардеру из Сиэтла грозит 29 лет тюрьмы

Forrester: утечки не дают покоя топ-менеджерам

Под угрозой кражи личности — 760 тыс. пенсионеров

Даже элитные школы допускают утечки

Данные парикмахеров украдены вместе с сейфом

Утечка из TJX может иметь украинские корни

 

В статье рассматриваются наиболее важные события ИТ-безопасности, произошедшие за последний месяц в российских и зарубежных компаниях. Среди них — крупная утечка с рекрутингового сайта Monster.com, уже третья за последние два месяца утечка из фармакологического концерна Pfizer и арест гражданина Украины по обвинению в организации самой крупной в мире утечки.

Монстры тоже боятся утечек

Утечка данных с крупнейшего американского рекрутингового ресурса стала одним из самых громких событий месяца. В середине сентября стало известно, что масштаб утечки оказался больше, чем было объявлено ранее. Как выяснилось, информация была похищена не только с сайта Monster.com, но и с ресурса USAjobs.gov, на котором публиковались вакансии правительственных органов США. Дело в том, что управление этим ресурсом было отдано команде Monster.com на аутсорсинг.

Все началось с того, что неизвестная группа злоумышленников украла данные пользователей Monster.com с помощью трояна Infostealer.Monstres. Эта программа внедрялась на компьютеры пользователей, перехватывала их учетные данные и пересылала на украинский сервер мошенников. Руководство Monster.com не раз утверждало, что похищенные сведения были вполне общедоступными — в руки мошенников попали имена, адреса электронной почты и телефонные номера американцев. Однако эксперты InfoWatch считают, что даже такой информации вполне достаточно для совершения противоправных действий. Уже сейчас стало известно о сообщениях от мнимых работодателей, предлагающих закончить процесс приема на работу и сообщить детали своего банковского счета. В других случаях пользователей Monster.com направляют на подставные сайты, с которых легко подхватить шпионские программы.

Сегодня можно с уверенностью утверждать, что в результате инцидента пострадали более миллиона человек. Представители Monster называют цифру в 1,3 млн. Если прибавить к этой цифре 2 млн пользователей USAjobs.gov, то получается весьма значительное число. К тому же никто не гарантирует, что от действий мошенников не пострадали какие-то другие ресурсы.

Неудивительно, что руководство сервиса серьезно озабочено сложившейся ситуацией. Руководитель компании Сэл Яннуцци (Sal Iannuzzi) уже заявил, что большая часть бюджета на инновации будет направлена на решение проблем с безопасностью. Впрочем, специалисты InfoWatch полагают, что принимать такие меры надо было заранее — теперь же Monster.com понесет серьезные репутационные потери. Вполне возможно, что ресурсы типа USAjobs.gov прекратят свое сотрудничество с Monster.

Pfizer — третья утечка за два месяца

Производитель «Виагры» установил рекорд по «штамповке» утечек данных. В начале сентября стало известно об очередном инциденте с Pfizer, ставшем уже третьим за последние три месяца. Эксперты InfoWatch полагают, что на этом «подвиги» Pfizer могут не закончиться, и если концерн не примет соответствующие меры, череда утечек продолжится.

Последний случай оказался самым масштабным из трех — под угрозой кражи личности оказались 34 тыс. сотрудников Pfizer, преимущественно из штата Мичиган (Michigan). Количество скомпрометированной информации поражает — кроме «классических» номеров социального страхования, Pfizer потерял подписи, а также номера кредитных карт и банковских аккаунтов. Помимо этого исчезли имена сотрудников, их адреса, номера телефонов и даты рождения. Короче говоря, практически вся конфиденциальная информация, которая только существует.

Причиной инцидента стала безалаберность одного из работников Pfizer — он скопировал корпоративную базу данных на собственный ноутбук еще в прошлом году. Политика Pfizer по безопасности предписывает, что такие действия должны быть согласованы с руководством. В данном случае ничего подобного не было сделано, поэтому в Pfizer не знали об утечке вплоть до июля нынешнего года. Какие манипуляции проводились с данными на ноутбуке, до сих пор точно не выяснено.

Теперь Pfizer предоставляет пострадавшим пакет стандартных услуг для защиты от кражи личности. Начав с уведомлений, концерн уже предложил всем пострадавшим бесплатный кредитный мониторинг, а также бесплатную страховку от компрометации приватных данных. Однако все эти меры вряд ли смогут восстановить репутацию компании — прошедшее лето показало, что Pfizer просто не способен защищать конфиденциальную информацию.

Тем временем в Университете штата Южная Каролина (University of South Carolina) произошла серьезная веб-утечка. По всей видимости, один из сотрудников вуза случайно выложил в Сеть данные о полутора тысячах студентов. По словам представителей университета, были скомпрометированы номера социального страхования, а также результаты экзаменов и оценки учащихся. Предполагается, что данные были доступны в Интернете не очень долго.

«С Pfizer случилась настоящая трагедия. Когда несколько утечек происходит подряд, репутационные потери компании растут в геометрической прогрессии. У Pfizer уже сложился имидж катастрофически незащищенной компании, и руководству концерна будет крайне трудно его изменить», — отметил Денис Зенкин, директор по маркетингу компании InfoWatch.

Кардеру из Сиэтла грозит 29 лет тюрьмы

Полиция американского города Сиэтла (Seattle), шт. Вашингтон (Washington), арестовала 35-летнего Грегори Копылоффа (Gregory Thomas Kopiloff). Согласно версии следствия, Копылофф копировал приватные данные (номера кредитных карт) пользователей P2P-сетей и использовал их для дорогостоящих покупок в различных интернет-магазинах. Эксперты аналитического центра InfoWatch отмечают, что Копылофф стал первым попавшимся кардером, извлекавшим нужные данные через P2P-сети.

От действий Копылоффа пострадали пользователи как минимум двух файлообменных сетей: LimeWire и Soulseek. Во время ареста кардер не сопротивлялся и даже отметил, что давно ждал этого момента. Теперь Грегори Копылоффа ждет суд, который может упрятать его за решетку на срок до 29 лет. В общей сложности преступник обворовал не менее 83 человек на сумму 73 тыс. долл. Интересно, что Копылофф был весьма осторожен — в качестве жертв он не выбирал лиц, имевших плохую кредитную историю и годовой доход ниже 150 тыс. долл.

Кражи Копылоффа стали возможны из-за халатности пользователей P2P-сетей, которые неграмотно настраивают свои клиентские программы. В результате в файлообменные сети попадают приватные данные пользователей, а различные злоумышленники их благополучно качают. По словам индустриального эксперта Роберта Бобэка (Robert Boback), 800 тыс. поисковых запросов, происходящих в P2P-сетях каждый день, непосредственно связаны с проблемами приватности (кредитными картами, налоговыми декларациями и т.д.). Другими словами, в Сети орудует критическая масса злоумышленников, которые крадут огромные объемы конфиденциальных данных.

По мнению аналитического центра InfoWatch, пока разумных путей решения P2P-проблемы не найдено. Количество пользователей пиринговых сетей слишком велико, и кто-нибудь из них все равно будет допускать ошибки, выкладывая свои приватные данные в общий доступ. Это означает, что выложенные данные должны быть как-то защищены. Но кто их будет защищать? Администрация файлообменных сетей? Учитывая не самую хорошую репутацию подобных сетей, я не думаю, что их создателей волнуют вопросы приватности. К тому же мониторинг всех выложенных в общий доступ данных является серьезной технической проблемой.

Forrester: утечки не дают покоя топ-менеджерам

В начале сентября на просторах Интернета появилось новое исследование Forrester Research, посвященное анализу проблем внутренней безопасности. По мнению экспертов InfoWatch, конечный отчет в очередной раз подтвердил важность защиты от внутренних угроз. Причем защиты не только технической, но и административной.

В рамках исследования «The state of data security in North America» аналитики Forrester опросили представителей 199 компаний. 46% респондентов работали в крупных предприятиях с годовым оборотом свыше миллиарда долларов и количеством сотрудников в несколько тысяч человек. Все опрошенные специалисты имели должности CIO или CSO (Chief Security Officer) и непосредственно участвовали в обеспечении информационной безопасности (ИБ) собственных компаний.

Основные результаты исследования логично представить в виде отдельных тезисов. Первое: 75% опрошенных считают всеобщую мобилизацию пользователей самой серьезной проблемой ИБ в течение ближайших нескольких лет.

Второе: разработка внутренних политик безопасности и соответствие им беспокоит 62% респондентов. 42% специалистов озабочены внешним регулированием (межотраслевыми нормами и стандартами). «Вертикальные» (отраслевые) нормы серьезно беспокоят 32% респондентов.

Третье: 55% специалистов считают, что их организации полностью соответствуют нормативным требованиям. 60% таких респондентов, правда, отмечают, что это соответствие сопряжено со слишком высокими издержками.

Четвертое: политики шифрования и классификации данных нуждаются в доработке — только 22% опрошенных считают по-другому. Остальные участники исследования полагают, что политикам требуется небольшая (55%) или практически полная (18%) доработка.

Пятое: в течение ближайшего года компании будут внедрять системы шифрования данных (62%), решения по классификации информации (52%) и системы защиты от утечек данных (50%). Все эти продукты так или иначе связаны с внутренней безопасностью. Остальные инициативы находятся далеко позади.

В целом, итоги исследования Forrester указывают на долгосрочную тенденцию развития информационной безопасности, а именно на повышение внимания компаний к внутренним угрозам. Такие меры, как шифрование, защита мобильных устройств и классификация данных, преследуют единую цель — предотвращение утечек конфиденциальной информации. Наконец, повышенное внимание специалистов к политикам говорит о важности не только технических, но и административно-организационных мер.

По мнению экспертов InfoWatch, если раньше директору по безопасности не спалось от хакерских атак, то теперь ему не дают спать политики. Это правильная и важная тенденция, говорящая о взрослении рынка ИБ. Компании начинают понимать, что технические средства не панацея и грамотная политика способна заметно повысить их эффективность.

Под угрозой кражи личности — 760 тыс. пенсионеров

Американские пенсионные службы продолжают «радовать» нас очередными утечками данных. В конце августа случилось сразу два подобных инцидента, каждый из которых затронул сотни тысяч человек. Эксперты InfoWatch предполагают, что пенсионные фонды на этом не остановятся и череда утечек будет продолжаться и в дальнейшем.

Потрясающий по своей глупости инцидент случился в Калифорнии. Организация CalPERS (California Public Employees‘ Retirement System) разослала 485 тыс. листовок, сообщавших о грядущих выборах в собственный Совет директоров. Кроме всевозможной информации, на каждой листовке был напечатан номер социального страхования пенсионера, которому эта листовка предназначалась.

Несмотря на всю абсурдность ситуации, утечка обнаружилась не сразу. Чиновников выручила некая Джанетт Браун (Jeanette Brown) — пенсионерка, проработавшая 39 лет в налоговых органах. Наблюдательная женщина заметила собственный номер социального страхования на листовке и сообщила об этом в соответствующие инстанции. Только после этого сотрудники CalPERS признали факт утечки и извинились в прессе перед пострадавшими пенсионерами.

Причина утечки оказалась весьма банальной. Как выяснилось, адреса для печати на листовках извлекались из файлов некой базы данных, в которых также содержались номера социального страхования. В результате невнимательности сотрудников CalPERS эти номера были перенесены на листовки вместе с адресами назначения. В настоящее время CalPERS принимает ряд мер для ликвидации утечки — организация уже выслала уведомления пострадавшим и организовала бесплатную телефонную линию. Планируется провести и ряд внутренних мер, таких как тренинги персонала и модернизация системы безопасности.

Серьезная «пенсионная» утечка произошла также на другом побережье США — в городе Нью-Йорке. Грегори Хариссон (Gregory Harisson), частный консультант городского агентства финансовых услуг (Financial Information Services Agency), решил захватить в один из корейских ресторанов собственный ноутбук. Результаты ужина были плачевными: лэптоп консультанта был похищен неизвестным грабителем. Ситуация серьезно осложнилась тем, что на похищенном лэптопе были записаны приватные сведения 280 тыс. пенсионеров — клиентов сразу нескольких пенсионных фондов.

До сих пор неясно, была ли эта информация зашифрована. Наиболее вероятно, что пропажа ноутбука была обычным криминальным инцидентом, а значит — вероятность кражи личности не слишком велика. Вполне возможно, что похищенный компьютер очень быстро будет найден — полиция располагает видеопленкой, на которой четко видно изображение грабителя. Запись была сделана с одной из камер наблюдения ресторана.

Даже элитные школы допускают утечки

Студенты дневного отделения школы Loomis Chaffee в городе Виндзор (Windsor), шт. Коннектикут (Connecticut), платят за обучение 30 тыс. долл. год, но несмотря на это их приватные данные были скомпрометированы. По мнению экспертов InfoWatch, даже столь высокая стоимость обучения не гарантирует защиты от утечки.

Несмотря на элитный статус школы, причиной утечки стала банальная кража. Охрана школы не сумела защитить дорогостоящее компьютерное оборудование, похищенное из здания библиотеки. Кража произошла ночью, причем грабители сумели вынести сразу несколько компьютерных устройств и две системы хранения данных. На этих системах хранения находилась приватная информация (имена, контактные адреса и номера социального страхования) бывших студентов школы. В общей сложности от утечки пострадало несколько сотен человек.

По словам директора школы Рассела Вейгеля (Russel H. Weigel), учебное заведение уже разослало уведомления пострадавшим и предупредило их о возможной краже личности. Вместе с тем вероятность доступа к данным оценивается как «низкая», поскольку кража имела явно криминальный характер. К тому же большая часть скомпрометированных данных была защищена шифрованием или паролями. Предполагается, что похищенное оборудование содержало данные только о бывших студентах — нынешние учащиеся и персонал школы не пострадали.

По мнению экспертов InfoWatch, инцидент в Коннектикуте еще раз подтвердил, что от утечки сегодня не защищен никто. Системы, обеспечивающие безопасность конфиденциальных данных, до сих пор распространены не слишком широко. И не важно, в бедной или богатой организации работает человек, — все равно его персональные данные могут быть скомпрометированы.

Данные парикмахеров украдены вместе с сейфом

Самый радикальный способ борьбы с утечками конфиденциальной информации известен еще со времен докомпьютерной эры. Действительно, зачем внедрять какие-то системы, если можно запрятать все данные в надежное место? Эксперты InfoWatch, впрочем, полагают, что даже такая защита не всегда спасает от утечек. Правильное программное обеспечение способно гарантировать стопроцентную защиту, а любое супернадежное место всегда можно обнаружить.

Данный тезис подтверждается недавним инцидентом, который произошел в городе Чарльстоне (Charleston), шт. Западная Вирджиния (West Virginia). В конце августа тамошнее объединение парикмахеров и косметологов допустило серьезную утечку приватных данных, в результате которой пострадало более 10 тыс. человек. Как выяснилось в ходе полицейского расследования, неизвестные воры проникли в офис объединения и украли оттуда огнеупорный сейф, в котором находилось некое компьютерное оборудование с очень интересной информацией.

По всей видимости, в ограблении участвовали профессиональные воры, знакомые с архитектурными особенностями здания. Они умудрились практически не оставить улик и не попасть в объективы камер слежения. Вряд ли взлом сейфа окажется серьезной проблемой для таких профессионалов. Поэтому кража личности представляется вполне вероятной — ведь данные, по всей видимости, не были никак защищены — только сейфом.

По мнению экспертов InfoWatch, прятать компьютерное оборудование в сейф — это анахронизм. Совершенно непонятно, зачем надо было так поступать, поскольку для гарантированной защиты данных вполне достаточно их зашифровать.

Тем временем «отличились» сотрудники Научно-исследовательского института им. Уолтера Рида (Walter Reed Army Institute of Research). Этот НИИ, принадлежащий американской армии, расположен в городе Сильвер Спринг (Silver Spring), шт. Мэриленд (Maryland). Сотрудники института поступили с секретными данными с поистине армейской прямотой — вместо того чтобы отправить их на уничтожение в специальном аппарате, они выкинули бумаги в мусорное ведро. Там документы благополучно пролежали несколько дней, после чего были оперативно возвращены в институт. По данным полиции, в мусорке находилось «несколько коробок с конфиденциальными бумагами», однако, скорее всего, «никто эти бумаги не читал».

Утечка из TJX может иметь украинские корни

Информация об удачных расследованиях утечек появляется в различных СМИ не слишком часто. По мнению экспертов InfoWatch, журналисты предпочитают преподносить в прессе «жареные» факты с максимальной дозой негатива. В этом свете последняя новость стала приятным исключением: в Сети появились новые данные сразу о двух нашумевших инцидентах.

В одном из ночных клубов турецкого города Кемера полиция арестовала 24-летнего гражданина Украины Максима Ястремского. По данным следствия, молодой человек замешан в утечке приватных сведений из компании TJX. Напомним, что аналитики называют этот инцидент крупнейшей утечкой за всю мировую историю — под угрозой кражи личности оказалось 45,7 млн человек.

Правоохранительные органы обвиняют Максима Ястремского в незаконной продаже номеров кредитных карт, украденных из корпорации TJX. Предполагается, что украинец был одним из исполнителей утечки и может вывести детективов на след ее организаторов. «По нашим данным, г-н Ястремский занимался распространением украденной информации, — отметил Грег Крабб (Greg Crabb), агент подразделений глобальных расследований U.S. Postal Inspection Service. — Мы предполагаем, что арестовали самого серьезного продавца похищенных данных». Впрочем, следствие не исключает вероятность того, что именно Ястремский был главным организатором утечки.

Первая информация об аресте Ястремского появилась еще в начале нынешнего августа. В то время не сообщалось о связи хакера с утечкой из TJX, однако широко освещалась тема терроризма в целом и организации «Аль-Каида» в частности. Позже выяснилось, что Ястремский, хоть и является известным хакером и пиратом, не имеет ничего общего с исламскими террористами, но при этом замешан в скандале с TJX.

Интересно, что незадолго до ареста украинца полиция штата Флорида задержала десять человек, использовавших похищенные номера кредитных карт для покупки подарочных сертификатов. Однако следователи не склонны считать, что эти люди причастны к самой утечке данных, — по-видимому, они просто купили украденные номера у таких продавцов, как Ястремский.

Тем временем хорошие новости пришли из американского штата Айдахо. Примерно неделю назад местная Национальная гвардия (Idaho National Guard) объявила о краже «небольшого компьютерного устройства», содержащего номера социального страхования 3400 членов гвардии. Спустя неделю это «устройство» (оказавшееся обычным жестким диском) было благополучно найдено и никаких следов доступа к приватным данным на нем выявлено не было.

Одновременно с обнаружением устройства полиция арестовала и человека, который подозревается не только в этой краже, но и в серии других похожих инцидентов. Предполагается, что грабитель специализировался на взломах автомашин и вряд ли думал о каких-то приватных данных. Интересно, что в задержании участвовала специально обученная собака, «вынюхавшая» преступника в придорожных кустах.

«Меня нисколько не удивляет, что организаторами утечки из TJX могут оказаться жители Украины. Вместе с Индией и Китаем Россия и страны СНГ являются едва ли не главными поставщиками хакеров и вирусописателей на мировой рынок. Будет весьма интересно ознакомиться с развитием судебного процесса и с тем обвинением, которое будет предъявлено г-ну Ястремскому», — заявил Денис Зенкин, директор по маркетингу компании InfoWatch.

 

В начало В начало

КомпьютерПресс 10'2007

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует