вторник, 27 декабря 2016 г.

Провожая 2016 ИБ-год



2016 год подходит к концу. Теперь уже можно подвести некоторые итоги и вспомнить наиболее резонансные события, происходившие в сфере ИБ и вокруг нее.

Регулируй меня полностью 

Тенденция, связанная с расширением роли государства в области регулирования Интернета набрала в 2016 году немалые обороты. 
Летом был принят известный всем «пакет Яровой», включающий в себя два «антитеррористических» закона. Эти законы обязывают операторов связи и Интернет-сервисы хранить сообщения пользователей в течение 6 месяцев, а также раскрывать их по требованию уполномоченных органов. Закон предусматривает также передачу уполномоченным органам ключей шифрования, необходимых для расшифровки сообщений.

Буквально на днях «пакет Яровой» был дополнен новыми проектами документов. Согласно ним, во-первых, предусматривается обеспечение «круглосуточного доступа» (в том числе удаленного) уполномоченных органов к содержанию сообщений». 

Во-вторых, определены объемы хранилища данных: 1 Пбайт на каждый Гбит/с пропускной способности  узла связи - с 1 июля 2018 года и 2 Пбайт - с 2019 года. 
В-третьих, проблемы индейцев шерифа не волнуют: оператор связи должен хранить сообщения на своем собственном оборудовании (или оборудовании другого оператора связи по договору аренды). 
Зато производители СХД останутся довольны.


Но уже принятым «пакетом Яровой» дело далеко не ограничивается. Так, недавно появился еще один законопроект «О внесении изменений в Федеральный закон «О связи». В своей текущей редакции, данный законопроект предусматривает создание централизованной системы для хранения информации о «критических элементах» рунета, контроль над точками обмена трафиком, и обязательную регистрацию юридическими лицами и ИП своих публичных IP-адресов (!).

Блокировки ресурсов


В сентябре Роскомнадзор заблокировал Pornhub (думаю, причины блокировки всем примерно понятны). Pornhub не растерялся и предложил сотрудникам РКН премиум-аккаунты, в обмен на отмену блокировки.


Получив вежливый отказ, сайт объявил акцию по раздаче премиум-аккаунтов жителям РФ.

В ноябре пользователи лишились соцсети LinkedIn. Профессиональную соцсеть обвинили в «нарушении прав и законных интересов граждан РФ», посредством сбора, использования и передачи персональных данных без соответствующего согласия, да еще и за пределами территории РФ. В результате LinkedIn была внесена в реестр нарушителей прав субъектов ПДн и заблокирована. Таким образом, Linkedin стала первой крупной «жертвой» закона о хранении ПДн на территории России.



Пока общественность прощалась с LinkedIn и качала Tor, появилась еще одна интересная новость: в список запрещенных сайтов попал анонимайзер HideMe.ru. Правда уже немного по другой причине: на основании того, что «http://hideme.ru», "позволяет пользователям получать доступ ко всем запрещенным сайтам путем анонимного доступа и подмены адресов", суд признал его "содержащим информацию, распространение которой в Российской Федерации запрещено". То есть одновременно с блокировкой сайтов, началась и блокировка средств обхода блокировки (что, впрочем, логично).
В данный момент HideMe.ru доступен, но веб-форма анонимайзера «удалена с российской версии сайта по требованию Роскомнадзора».
Кстати, помимо бесплатного анонимного веб-прокси, HideMe.ru предоставляет также услуги VPN. Такими темпами, следующим шагом в части регулирования Интернета вполне может оказаться запрет VPN (или требование по переносу VPN-серверов на территорию РФ). Блокировка VPN и Tor уже применяется в других странах. Вот, например, в Белоруссии уже начали блокировать Tor.

Под конец года произошла анекдотичная попытка блокировки локалхоста. Хотя летняя история, связанная с блокировкой центра сертификации Comodo, была все-таки изящнее

Новости нормативки по ИБ

Весной ФСТЭК утвердила новые требования к межсетевым экранам.  Вместо 5 классов МЭ, их стало  6. Кроме того, МЭ теперь разделяются на типы: А, Б, В, Г, Д (периметровый, персональный, промышленный, WAF).
По состоянию на конец года, в реестре ФСТЭК МЭ, сертифицированные по новым требованиям, отсутствуют. А большинство вендоров, на вопрос о сроках получения сертификатов, пожимают плечами.
Летом было принято ПП РФ N541, которое внесло изменения в положение о лицензировании деятельности по ТЗКИ. Добавился новый вид лицензируемой деятельности: «услуги по мониторингу информационной безопасности средств и систем информатизации». А «сертификационные испытания на соответствие требованиям по безопасности информации», наоборот, покинули список. Однозначной трактовки данных нововведений в ИБ-сообществе пока нет.
Под конец года появилась обновленная Доктрина информационной безопасности Российской Федерации. Документ, как и следует из названия, очень общий. Так что о его влиянии на отрасль ИБ судить не возьмусь.

К сожалению, в 2016 году я так и не дождался интересных лично для меня документов. Методика определения актуальных угроз безопасности от ФСТЭК так и не была утверждена. Разработчикам моделей угроз остается или использовать методику 8-летней давности (каким-то образом совмещая ее с БД угроз) или же пытаться использовать проект новой методики. Обновлённый Приказ №17 также не появился. Но хотя бы появилась ясность, на кого он будет распространяться.

Кибервойны

Большая политика не обошла стороной сферу ИБ. Накал страстей достиг апогея во время американских выборов. Началось все с обвинений России в атаках на серверы демократической партии и попытках вмешательства в ход голосования. За этим последовали угрозы ответных действий со стороны США, а также информация о проникновении  американских хакеров в российские энергосистемы и даже в «систему управления Кремля».

 

Под конец года ФСБ выступило с предупреждением об атаках на российские финансовые системы. Атаки должны были включать рассылку «провокационных SMS-сообщений» и соответствующие «вбросы» в социальных сетях.
Однако, сведений о попытках претворить угрозы в жизнь не появилось. Правда, у нас, в Татарстане, на волне кое-каких событий, кое-кто начал действительно рассылать SMS, с целью посеять панику среди вкладчиков. Но масштабы этой атаки оказались весьма ограниченными.

Бунт роутеров и криптовымогатели
Еще одной интересной новинкой прошедшего года стали DDOS-атаки, в которых, по утверждению экспертов, принимали участие устройства из «Интернета вещей» (IoT). От подобных атак успели пострадать как зарубежные компании, так и несколько российских банков.Несмотря на громкие заголовки, в большинстве своем в атаке участвовали не взбунтовавшиеся холодильники и тостеры, а Wi-Fi роутеры и IP-камеры.





Наибольшую известность завоевал вредонос «Mirai», который обнаруживал и заражал IoT-устройства со стандартными логином и паролем. Ботнет на основе «Mirai» уже успел продемонстрировать DDOS-атаки с впечатляющей мощностью в 1Тб/с, жертвами которых стали крупные Интернет-ресурсы. В октябре на специализированном форуме был опубликован исходный код «Mirai». Правда потом, учитывая ущерб и широкую огласку, администрация форума сочла за благо прикрыть соответствующий раздел форума. 
Эффективность IoT-ботнетов, а также публикация исходных кодов в открытом доступе, по-видимому, вызовет продолжение таких атак и в следующем году.

Помимо IoT, ИБ-напастью стали вирусы-вымогатели. Согласно отчету Лаборатории Касперского, за прошедший год число модификаций вирусов-вымогателей выросло в 11 раз. Объем вымогаемых злоумышленниками средств в среднем составлял от 200 до 500 долларов. Но были зафиксированы и случаи попыток вымогательства сумм более $10000. Хакеры активно эксплуатируют пристрастие пользователям к соцсетям и методы социальной инженерии. В качестве путей заражения отмечалось использование изображений SVG и фейковых плагинов для браузеров. Примечательно, что вирусами-вымогателями заражаются не только стационарные компьютеры, но и смартфоны.



Заключение

На этом наш небольшой обзор можно и завершить. Но он был бы неполным без прогноза. Если коротко, то от следующего года я жду усиления контроля над Интернетом, выхода новых и обновления старых версий старых НПА, новых громких DDOS-атак, а также дальнейший перевод вопросов ИБ в сферу политики. Но, поживем-увидим, а сейчас пора отдыхать. 
Всем добра, здоровья и хорошего настроения в наступающем 2017 году!