Некоторые вопросы информационной безопасности

Erez Maharal

                Люди не любят, когда их называют идиотами – это понятно. Быть умным человеком – вне зависимости от материального уровня жизни, социального положения и ощущения счастья – это хорошо. Умными хотят быть все; большинство себя такими считает и прилагает много усилий для развития ума – смотрят телевизор, читают новости в интернете, решают кроссворды. Менее понятна ситуация с такими качествами как «творческий», «свободный», «щедрый». Люди не любят, когда их называют «скучными», «рабами», «скупыми». Но мало тех, кто на самом деле готов прилагать усилия, чтобы творить, не зависеть от обстоятельств и не думать о деньгах. Большую часть жизни люди проводят в зависимости от родителей, детей, работодателей, погоды и прочих форс-мажорно непреодолимых обстоятельств. Поэтому неудивительно, что когда мы говорим о необходимости защиты информации, или даже просто защиты активов, мало кто будет открыто возражать, что это надо делать. Но мало кто, по-настоящему, готов инвестировать в Защиту время и деньги.



                22 января 2010 года Басманный суд Москвы удовлетворил ходатайство Следственного комитета при прокуратуре РФ, разрешив наложить арест на нью-йоркскую квартиру квартиру предпринимателя Бориса Березовского. В июле 2007 года Басманный суд Москвы по аналогичному ходатайству наложил арест на французскую виллу Березовского.

                Сам Березовский, находящийся за границей, заявил, что у него нет квартиры в Нью-Йорке¹ . Понятно, что у него, может, и нет, но у членов его семьи, или у подконтрольной ему LLC, все-таки, может и есть. Однако, узнать это Басманному суду в тот момент не удалось.

                Но правосудие упрямо желает отчудить имущество Бориса Абрамовича. В понедельник, 14 февраля 2011 года, российские средства массовой информации со ссылкой на источники в силовых структурах сообщили, что ФСБ России обнаружила в 15 городах Подмосковья нелегальные игорные залы, работавшие, по мнению следствия, при покровительстве прокуратуры и ГУВД региона.

                В публикациях отмечалось, что офис предполагаемого организатора нелегальной сети, предпринимателя Ивана Назарова, располагался в бывшем доме приемов Бориса Березовского: на Новокузнецкой улице Москвы.

                В ходе обыска, который проводился в ночь на субботу, 12 февраля, в этом офисе были, среди прочего, изъяты копии важных документов, относящихся к делу Березовского² : заверенные нотариальные копии документов на заграничную недвижимость Березовского и его дочери, личные документы олигарха и его близких родственников, документы на оффшорные компании Березовского, большое количество печатей различных фирм, дорогостоящие картины Рембрандта и Пикассо стоимостью свыше 5 миллионов долларов.

                На минуту отвлечемся от печатей забытых историей «различных» фирм, и даже от дорогостоящих картин, которые могли просто висеть на стенке в галерее. Но что делали там документы на недвижимость и оффшорные компании (очевидно, с доверенностями и трастовыми договорами, иначе, откуда можно предположить, что они принадлежат Березовскому)? Сторонники теории заговоров, считают, что все эти документы давно находились в руках ФСБ, и их требовалось лишь «легализовать», то есть «найти» их в помещении, каким-то краем связанным с Березовским. Другие, более прагматичные комментаторы, считают, что документы все время тупо лежали в коробке из под обуви на антресолях дома на Новокузнецкой. Забытые хозяином? Или, таким образом, «спрятанные в надежном месте»?



                Прошли времена, когда российского бизнесмена нужно было уговаривать открыть счет в банке. Но еще не так давно, самым надежным способом хранения денег считался карман, а для большого количества – пластиковый пакет в шкафу с бельем. Я, кстати, не сторонник инвестиций в так называемые «ценные бумаги», но об этом – в другой статье. Критерием выбора банка, к сожалению, не всегда была его надежность. Банк выбирали (и выбирают) по не относящимся к сути вопроса признакам, а именно: узнаваемость торговой марки, удачность рекламного лозунга, советы «друзей», близость к месту проживания. Именно поэтому, латвийские банки в свое время были такими популярными. По правде говоря, россияне не очень-то подходили под желаемый клиентский профиль более надежных – швейцарских или израильских банков.

                Разумеется, основное требование к банку – наличие программы, позволяющей управлять счетом по интернету. Нелепо полагать, что интернет-доступ каким-то образом защищает клиента банка от мошенничества.
В чем заключалась афера 90-х? Занести поутру «платежку» - эта такая бумажка с подписью Директора и Гл. Бухгалтера – в банк знакомой тетеньке в перманенте, и, свежо улыбаясь, подсунуть ей шоколадку. Далее – несколько вариантов. Если речь шла о кидалове поставщика, то печать банка на «платежке» могла убедить владельца товара отпустить его, не дожидаясь получения денег на счет. Если же это была инсайдерская операция, то деньги натурально переводились на ЧП Ромашка, о существовании которого ни Директор ни Гл. Бухгалтер, разумеется, не подозревали .

                Впервые россияне узнали о возможности управлять своим банковским счетом удаленно и безбумажно – то есть по телефону, факсу или интернету – от латвийских банков, и, в первую очередь от Парекс Банка (ныне, после склочной реструктуризации – Банк Цитадель). Латвийские банки также первыми предоставили россиянам в широкое коммерческое использование средства криптографии, кодирования и идентификации владельцев счетов. С течением времени, все латвийские банки обзавелись интернет-доступом, понятие «Банк-Клиент» приобрело универсальный характер, оторвавшись от основного фонетического смысла. Высокая скорость и общедоступность интернета популяризовали такой способ коммуникации с банком, что сделало его привлекательным для специалистов по фальшивым платежным документам.

                Жалуется ограбленный предприниматель³ : «Кража происходит у всех по одной схеме: компьютер, на котором установлен «Банк-клиент» блокируется, чтобы не было оперативного доступа к счёту (блокируется у всех по разному, у кого то не работает пароль в «Банк-клиент», у кого-то забивается канал, у кого то вообще разрушается жесткий диск), в это время преступники действуют (переводят деньги используя цифровую подпись «которую нельзя подделать» и оперативно снимают деньги с помощью банкоматов и просто из банка со счёта), когда пострадавшие совершенно случайным образом узнают, что был несанкционированный платёж, то уже слишком поздно, денег нет. Все пострадавшие из разных банков, но все следы ведут туда, по крайней мере в тех многочисленных случаях, которые мне известны, физ. лица -клиенты «Альфа Банка».

                Поскольку затронуты интересы не государства, а частных лиц, правоохранительные органы лениво посоветовали предпринимателям тщательнее подбирать сотрудников и, вообще, быть поосторожнее.

                В то же время, на фронте борьбы с обналичкой “честной” (то есть по инициативе самих предпринимателей), также наблюдается технологический прогресс. ГУВД по Москве обратилось в ЦБ с просьбой обязать банки при подключении к системе банк-клиент прописывать IP-адрес. Заместитель начальника отдела следственной части Главного следственного управления при столичном ГУВД Максим Дементьев отметил, что любая юридическая фирма имеет свой адрес, телефон и другие координаты, и одним из признаков фиктивности фирмы является не нахождение фирмы по указанным реквизитам. Кроме того, в настоящее время руководители фирм по обналичиванию денежных средств устанавливают программы банк-клиент на ноутбуки и осуществляют незаконные операции из любой точки Москвы, что осложняет их поимку. По его мнению, обязательная регистрация расчетных счетов и системы банк-клиент на конкретный IP-адрес фирмы существенно осложнит работу незаконных фирм, а также освободит банки от лишнего присутствия милиции, когда оперативники изымают информацию о подозрительных компаниях ⁴.



                Поколению менеджеров и ботаников не нужно объяснять, что такое IP-адрес. А вот старая гвардия в недоумении чешет репу – да я, вроде, еще е-мейл не освоил… В то же время, динозавры предпринимательства отлично знают, что такое признаки фиктивной фирмы. Большинство из них пользуется так называемыми «оффшорными» компаниями – юридическими лицами, зарегистрированных как можно дальше от страны проживания бенефициара. Такая компания, разумеется, не имеет ни  офиса, ни сотрудников, но зато на фирменных бланках всегда присутствуют признаки не-фиктивности: телефон, факс, адрес. Однако, е-мейл, который вам придет от такой фирмы в большинстве случаев будет не с корпоративного домейна (динозавры, простите за выражение), а с Яндекса или Google. Наиболее продвинутые все же регистрируют свой оффшорно-корпоративный домейн, но хостится (все, больше не буду) он все равно на публичном сервисе. Но так ли это важно, если для работы с электронной почтой приходится пользоваться российским (локальным) провайдером, и соединение с Банком-Клиентом происходит с одного и того же IP-адреса, приводящего в офис российской прописки?

                Выпив стопку дармовой водки на приеме в одном из представительств швейцарских банков в Москве, предприниматель может похвастаться, что он предпринял все возможные меры безопасности по защите своей бесценной информации. В зависимости от степени паранойи и выделенного на защиту собственной задницы бюджета, это могут быть

                - флешка с паролем, на которой находится теневая бухгалтерия и контракты. Да, ее можно потерять или она может сломаться, или ее можно отобрать при обыске и взломать, зато это дешево и у секретарши есть копия.
 
               - лэптоп (точнее,  I-Pad) с виртуальным PGP диском и допуском по отпечатку пальца. Это безусловно круто, но это - та же флешка, только для тех, кто полагает, что размер имеет значение.

                - удаленный сервер в подвале соседнего дома, которым управляет низкооплачиваемый сисадмин-одиночка, а техническую безопасность обеспечивает электрик дядь-Ваня.

                Но даже закрыв глаза на очевидное, нельзя забывать, что IP-адрес все равно далеко не убежал. Он остался в России.

                В распоряжении СМИ⁵  оказался документ, выпущенный управлением ФНС по Москве под грифом "для служебного пользования". "Регламент организации работы налоговых органов г. Москвы по истребованию документов (информации) у контрагентов проверяемых налогоплательщиков" описывает, как инспекциям следует на практике применять статью 93.1 Налогового кодекса, дающую налоговым органам право запрашивать документы не только у проверяемого налогоплательщика, но и у его контрагентов, а также у "иных лиц", которые могут располагать информацией об объекте проверки. Под "иными лицами" в этом контексте могут подразумеваться, например, интернет-провайдеры.

                Новинкой можно назвать интерес ФНС к IP-адресам, с которых контрагент общается со своим банком через интернет по системе "банк-клиент" (для выявления аффилированности покупателя и поставщика).

                Не удивительно, что интерес тут же подкреплен соответствующей директивой. Министерство связи и массовых коммуникаций РФ разработало проект приказа⁶ , согласно которому провайдеров могут обязать сообщать правоохранительным органам о владельцах динамических IP-адресов. Новое постановление предлагает провайдерам делиться с оперативниками персональными данными владельцев динамических IP-адресов. Ведомство разместило на сайте проект приказа "Об утверждении требований к сетям электросвязи для проведения оперативно-розыскных мероприятий. Часть 2. Требования к сетям передачи данных". В частности, документ содержит требования к провайдеру предоставлять информацию "о выделенных абоненту IP-адресах", а также "о местоположении пользовательского оборудования, используемого для передачи и приема информации". Требование также касается динамических адресов, выдаваемых пользователю при каждом начале сессии.

                И не верю я хвастливым заявлениям, что все операции с «Банк-Клиентом» предприниматель осуществляет сидя в интернет-кафе на одноразовом лэптопе, который он, якобы, выкидывает раз в неделю..






                Что хочет донести до читателя автор, который уже использовал почти 1700 слов, и, видимо, не собирается останавливаться, так как пресса обильно заполонена ссылками, цитатами, историями и разоблачениями? Видимо, у автора есть какое-то предложение, которое сможет решить эти зудящие в одном, очень конкретном месте, проблемы? Обычно, автор пишет в таких случаях – извините, универсального решения не существует. Но не сегодня. Сегодня я с большой радостью объявляю – решение существует, недорогое и изящное.

Называется оно – ИнфоСейф (InfoSafe). Это не банковский сейф в привычном смысле слова – место, где за то, чтобы попользоваться вашими же деньгами, с вас занудно требуют бесконечные объяснения, подтверждающие документы, и, вдобавок, еще берут немалые комиссионные. ИнфоСейф – это банк для информации. Для той информации, которую не хочется потерять вместе с украденным I-Padом, отобранной при обыске флешкой или спаленной укурком сис-админом. ИнфоСейф предоставляет возможность оперативного доступа к собственной чувствительной информации (24 часа в сутки, 365 дней в году), причем в удобном для пользователя виде – экран компьютера выглядит как обычно, только этот компьютер находится за пределами России – в нейтральной Швейцарии. Дата-центр соответствует всем нормативам технической и программной защиты информации, физический доступ к серверам невозможен. Однако, не это главное. IР-адрес этого компьютера находится в Швейцарии. Соответственно, запуская программу Банк-Клиент из ИнфоСейфа, клиент не раскрывает своего истинного расположения. Клиент может находиться в Москве, Магадане или Лондоне, но Банк будет думать, что он – в Швейцарии. Разумеется, е-мейлы отправляются через локального (Швейцарского) провайдера.

Подключение к ячейке в ИнфоСейфе происходит с использованием современных методов кодирования канала связи, а также одноразовых паролей, генерируемых кодирующим устройством.

Разумеется, пройдет не более трех лет, и защищенное размещение информации станет таким же обычным, как и хранение денег в сберкассе. Однако, сегодня можно лишь посочувствовать тем, кому придется ждать эти три года в местах отдаленных.

На десерт  – неприятный, но забавный случай, произошедший с одним из моих хороших знакомых. Человек он серьезный и заботится о своей безопасности. Вся информация находится на сервере за пределами офиса (правда в России…), и пароль к нему есть только у сис-админа. Пароль постоянно надо менять, и пароль к программе смены пароля имеет только сис-админ. Но сис-админ – это не название компьютера, это должность человека, и ничто человеческое ему не чуждо. (Или, как говорят в узких кругах – сис-админ, это – не человек, и все нечеловеческое ему не чуждо). Забыл он пароль. Бывает. Но вспомнить уже неделю не может. Плачет, но не вспоминает. Пытались лечить деньгами, угрозами – не вспоминает. Сегодня отправили к психоаналитику на сеанс гипноза. Когда узнаю чем закончилось – обязательно напишу продолжение.