Давешние обыски СБУ – те, что были главным образом в Dragon Capital, подняли волну за и против отечественной спецслужбы, предположительно, занимающейся фиг знает чем.
Абстрагируясь от лично мне неизвестной целесообразности подобных спецмероприятий со стороны СБУ в отдельно взятом инвестфонде, хотелось бы обратить внимание общественности на один из частных аспектов информационной безопасности, внезапно всплывший в рамках обсуждения морального облика СБУ, а также реальными в купе с потенциальными шпионскими примочками “Стахановца”.
В фоне, среди комментариев сторон под релевантными с темой новостями, часто писалось о том, что ПО – даже заведомо шпионское вроде “Стахановца” – при должной настройке корпоративных фаерволов и прочих цысок, джуниперов, микротиков в купе с асусами, д-линками и китайскими ноунеймами, не позволят утечь ничему, никуда и, что самое главное – никогда.
Что, впрочем, не вполне соответствует объективной реальности, данной нам в основном в ощущениях.
Через любой публичный, разрешенный для доступа изнутри корпоративной сети, сервис (пускай даже окрытый опосредовано – типа HTTP(S) через прокси либо разрешение доменных имен через кеширующий ведомственный DNS) можно соорудить в стройной системе корпоративных заборов щель, отверстие, дыру, калитку, ворота, тупо вырыть подкоп либо творчески перебрасывать ценные non-fragile вещи над ограждениями.
Информация в наш цифровой век передается по цифровым каналам преимущественно в виде последовательностей нулей и единичек, из которых формируются пакеты данных. Последние можно сформировать как поверх ICMP, TCP, UDP и прочих других и разных протоколов, так и инкапсулировав внутрь их более высоко- или даже низкоуровневых родичей. Причем, не только в виде непосредственно пейлоадов какого-нить HTTP, которые можно легко фильтрануть либо задетектить, но и нетрадиционно используя совершенно не предназначенные для этого протоколы. Например – можно построить двусторонний канал передачи данных через DNS, даже если прямого выхода tcp:53 либо udp:53 наружу нет. В конце концов, двоичные 0 и 1 можно закодировать не только в виде непосредственно нулей и единичек в, непосредственно, пакетах данных либо заголовках протоколов, но и в, например, задержках запросов-ответов к какому-либо web-сервису, доступному с рабочей станции изнутри периметра безопасности вашего энтерпрайза. Решения по организации цифрового канала утечки ограничены лишь возможностями по непосредственному либо опосредованному доступу потенциального злоумышленника внутрь вашего периметра безопасности.
IMHO, лучшая защита от утечек посредством легального корпоративного ПО – использование открытых активно-развивающихся и хорошо поддерживаемых образцов, неоднократно проинспектированных комьюнити на предмет бэкдоров и истер эггов, и чья технология разработки как правило препятствует внедрению в них подобных сюрпризов. Если же пользовать проприетарщину – то от компаний, угроза потери репутации для которых чревата миллионными (если не миллиардными) провалами котировок. Для всех же остальных – это уже вопрос к вашим юристам, экономистам и безопасникам – насколько штрафные санкции, прописанные в конкретном договоре, и наличествующие активы контрагента в качестве гарантий его добросовествности, будут сопоставимы с возможной потерей ценных для вашего бизнеса данных, учитывая вероятностность такого сценария.
Что до утечек через персонал, то между комплексными мерами по поддержанию лояльности в вашем коллективе либо капитальными вложениями в слежку за ним я бы уверенно выбрал первое. Поскольку украсть либо уничтожить критичные для вашего бизнеса данные может любой должным образом мотивированный имбецил, в то время как лояльнось кроме снижения безопасностных рисков в том числе позитивно сказывается на продуктивности и ответственности труда даже не самого талантливого персонала.
Написанное выше отнюдь не значит, что можно не предпринимать каких либо организационных либо технических мер противодействия шпионажу, диверсиям либо банальной человеческой глупости. Просто вместо шпионских блекбоксов вполне можно использовать неинвазивные средства контроля с оперативной обратной связью, ограничив знание о комплексе предпринимаемых мер безопасности узким кругом особо доверенных и лояльных гиков из службы информационной безопасности. З̶а̶ ̶к̶о̶т̶о̶р̶ы̶м̶и̶,̶ ̶с̶о̶б̶с̶т̶в̶е̶н̶н̶о̶,̶ ̶и̶ ̶о̶р̶г̶а̶н̶и̶з̶о̶в̶а̶т̶ь̶ ̶к̶р̶у̶г̶л̶о̶с̶у̶т̶о̶ч̶н̶у̶ю̶ ̶с̶л̶е̶ж̶к̶у̶ ̶с̶ ̶р̶е̶г̶у̶л̶я̶р̶н̶о̶й̶ ̶и̶ ̶о̶б̶я̶з̶а̶т̶е̶л̶ь̶н̶о̶й̶ ̶р̶е̶к̶т̶о̶с̶к̶о̶п̶и̶е̶й̶.̶
Ну а что там накодили в черном ящике, с издевательским названием “Стахановец”, российские программеры – достоверно знают только сами российские программеры. Ну и разве что ещё, может быть, ФСБ.
А в качестве иллюстрации возможности, казалось-бы, невозможного – вот вам фотка дыры в стене Пентагона 9/11.