Матушкин Андрей Николаевич
Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
The last two weeks of the Runet have been shaken by data leakage scandals: first, MegaFon users’s SMS got public access, then the personal data of sex shop buyers, Russian Railways passports, and the day before the network community had fun all day reading government documents with the heading “For official use ". The editorial board of NTV.ru is trying to figure out who is to blame for what happened. To do this, we contacted a data protection specialist.
Andrei Masalovich is an expert on information security and competitive intelligence. He studied methods of protecting and hacking data in the KGB, then in FAPSI. In 1997, he was transferred to the reserve with the rank of lieutenant colonel, after which he led a number of companies providing network audit services. In 2001, he became president of the Inforus consortium, which unites more than 30 Russian IT companies.
Two years ago, for the sake of an experiment for the Slon.ru editorial office, Masalovich’s search robots on the Internet in just ten minutes found a 266-page secret document with data on the Y-12 object - enriched uranium storage in the USA, and then a map of the storage itself . Andrei Masalovich is convinced that truly safe systems do not exist, but information leakage can be stopped. That's just worth it millions.
- On the eve of the article about the next scandal with the disclosure of the data of passengers who bought train tickets online, on our website came out under the heading “Runet is cracking at the seams”. What do you think is happening on the Web and why did such massive data leaks suddenly appear?
Andrei Masalovich: Now there are two fundamentally different areas of information hunting on the Internet - google hack (“google hack”), when people search for vulnerabilities on sites through a search engine to hack these sites later, and google dork (“google dock”), from English "dork" - "blockhead." The latter is not considered hacking in its purest form, but rather a set of tricks that allow you to find someone else’s existing blunder or hacking fact and mock it. For comparison, it’s the same as going out onto the streets of a resort town and starting to photograph drains of sewers –– it seems that there was an environmental disaster in the city, but we know that such a situation exists in all neighboring cities. As for the Network, I can show how to find from 5 to 15 thousand open folders on the Pentagon website with one command.
- And how does this compare with the scandals surrounding the information that appeared in the search for Yandex?
Andrei Masalovich: It so happened that Yandex has grown to Google - now more than half of the requests go through them, and on top of that, these tools (from the google dork category - approx. NTV) fell into the hands of youngsters, so what’s happening Now both with SMS and with train tickets - not a leak, this is a statement of the abundance of minor leaks for everyone without exception. And anyone can get to them.
- Representatives of search engines say that the whole problem is that the sites where the data flowed from did not have a special Robot.txt file, which should contain instructions for the search robot - which files to index and which not.
Andrei Masalovich: As for the Robot.txt file, this is an ethical norm, no more. The presence of such a file is not mandatory either for sites or for search engines. However, search engines constantly violate ethical rules, for example, the robot.txt file on the Megafon website was on July 19 and 20, that is, after the scandal broke out, but the data was still indexed by Yandex and Rambler ". Search engines continued to monitor the pages of the mobile operator, although now, of course, they are quite difficult to convict of this. Now they (representatives of search engines - approx. NTV) say: “Prove it!”. But it is clear that their programmers have long since cleared all traces.
- So what really happened then, and how did the leak of SMS, data of buyers of sex shops, passengers of Russian Railways happen?
Andrei Masalovich: In all three examples, the same thing happened technically: if there is a large database, it is very beneficial from the point of view of site performance to create a buffer space - a cache, in order to synchronize the database later. If you do not protect this space correctly, it becomes available. Moreover, the robots are accessible not for ordinary users, but because the robot can visit the site at least 10 times per minute and catch short-lived pages. So did the Yandex robot in the case of a leak of passenger data of Russian Railways, when the pages themselves were not accessible to users, but in the Yandex cache for the short time that this data existed, it was saved.
- It turns out that you can’t protect yourself from such leaks in any way?
Andrei Masalovich: My worldview is based on two statements: the first - leaks cannot be avoided, the second - you cannot build a 100 percent information security system. You know, in my opinion there is such a rule written down in the GOST of labor protection - it is forbidden to use the word “safe” as an adjective, simply because there is nothing absolutely safe. We can only minimize risks to an acceptable level - but at the same time, we must correctly assess these risks and threats. In general, there are four things that I advise companies that care about the confidentiality of information to implement:
1. Develop a security policy, and as part of this policy, calculate the risks, as well as the responsibility for non-compliance with any rules. Honestly, I have never seen a literate security policy.
2. Conduct an audit - an initial inventory of the level of leaks. I can tell you a little secret - any mobile operator from the Big Three (MTS, Beeline, Megafon - approx. NTV) - leaks happen all the time. The case with the “Megaphone” SMS is what young boys discovered who dabbled in google dork tools. At work, I constantly encounter a password leak from these organizations, and this is already serious.
3. Constantly improve staff literacy. Over the past 200 weeks, I have conducted 200 seminars, now I'm flying to Tashkent to train the prosecutor's office of Uzbekistan. It happens that people have read some books about hackers, and these experts do not know anything about real threats. For example, did you know that there are already hardware keyloggers - keyboard traffic interceptors disguised as a regular mouse, a kind of trojan. It is enough for an attacker to give such a “mouse” to the victim, in a week the hacker will take everything from the system, including passwords and confidential information, without using the Internet at all. Miracle mouse, by the way, is mass-produced.
4. And the last one is monitoring automation, you can’t manually track all the leaks, but you can automatically. Leaks of passwords, personal data - these tasks are easily formalized. Of course, we are talking about a high-level system, its cost can reach 10–20 million rubles, but companies like Yandex have such money and if they pressed it, they would put it.
- Do you think that it is the search engines that should install them?
Andrei Masalovich: Data disclosure - if it’s not about state secrets, when everyone is to blame, the one who makes the data publicly admits. The extreme ones are search engines, although to be honest, everyone has a stigma in the cannon. By the way, how else does google hack differ from google dork - there are dozens of documents with a signature stamp for official use in the search engine results, but there are few real secrets there. To find truly secret documents - you need to use serious hacking methods. There are people who are successfully doing this.
This is called competitive intelligence. It appeared about 25 years ago, before Google. Then the collection of information was also carried out on open sources, for example, newspaper articles. Understand - for a long time there is a set of methods that allow you to get to sensitive information. In my arsenal of such tools there are probably 700 pieces. About 10 years ago it turned out that search engines help me a lot, sometimes because of unethicality, sometimes due to oversight by developers, sometimes they simply suck in documents that actually go public should not.
- In your opinion, any scandals related to the ingress of personal data are possible in the near future?
Andrei Masalovich: For the past four years I have been engaged in information security and what is called an “information security leak audit”. It is clear that customers are not poor people, and they have something to hide. But for 4 years of inspections, I have never signed the conclusion "no leaks were found." Something, yes, will certainly come up.
Read more: https://www.ntv.ru/novosti/234528#ixzz2oQsBVyEC
Original message
Последние две недели Рунет сотрясают скандалы, связанные с утечкой данных: сначала в открытый доступ попали СМС пользователей «Мегафон», потом личные данные покупателей секс-шопов, паспорта пассажиров РЖД, а накануне сетевое сообщество весь день развлекалось чтением правительственных документов с грифом «Для служебного пользования». Редакция НТВ.ру пытается разобраться в том, кто виноват в случившемся. Для этого мы связались со специалистом по защите данных.
Андрей Масалович — эксперт по информационной безопасности и конкурентной разведке. Изучал способы защиты и взлома данных еще в КГБ, потом в ФАПСИ. В 1997 был уволен в запас в звании подполковника, после этого руководил рядом компаний, предоставляющих услуги сетевого аудита. В 2001 году стал президентом консорциума «Инфорус», объединяющего более 30 российских ИТ-компаний.
Два года назад, ради эксперимента для редакции Slon.ru, поисковые роботы Масаловича в Интернете всего за десять минут нашли в открытом доступе 266-страничный секретный документ с данными об объекте Y-12 — хранилище обогащенного урана в США, а потом и карту самого хранилища. Андрей Масалович убежден, что по-настоящему безопасных систем не бывает, но утечки информации можно остановить. Вот только стоит это миллионы.
— Накануне статья об очередном скандале с разглашением данным пассажиров, купивших ж/д билеты онлайн, на нашем сайте вышла под заголовком «Рунет трещит по швам». Как вы считаете, что сейчас происходит в Сети и почему вдруг появились такие масштабные утечки данных?
Андрей Масалович: Сейчас в Интернете существуют два принципиально разных направления информационной охоты — это google hack («гугл хак»), когда через поисковую систему люди ищут уязвимости на сайтах, чтобы потом эти сайты взломать, и google dork («гугл док»), от английского «dork» — «болван». Последнее не считается хакерством в чистом виде, это скорее набор приемчиков, которые позволяют найти чей-нибудь уже существующий ляп или факт взлома и поглумиться над ним. Для сравнения — это все равно что выйти на улицу какого-нибудь курортного города и начать фотографировать слив канализации — сложится впечатление, что в городе произошла экологическая катастрофа, но мы-то знаем, что такая ситуация существует и во всех соседних городах. Что касается Сети, я могу показать, как одной командой найти от 5 до 15 тысячи открытых папок на сайте Пентагона.
— А как это соотносится со скандалами вокруг той информации, что появилась в поиске «Яндекса»?
Андрей Масалович: Так получилось, что «Яндекс» дорос до Google — сейчас больше половины запросов идет именно через них, и вдобавок ко всему эти инструменты (из разряда google dork — прим. НТВ) попали в руки малолеток, так что то, что происходит сейчас и с СМС, и с железнодорожными билетами — не утечка, это констатация изобилия незначительных утечек у всех без исключения. И добраться до них может любой человек.
— Представители поисковых систем заявляют, что вся проблема в том, что на сайтах, откуда утекли данные, не было специального файла Robot.txt, в котором должны содержатся инструкции для поискового робота — какие файлы индексировать, а какие — нет.
Андрей Масалович: Что касается файла Robot.txt — это этическая норма, не более. Наличие такого файла не является обязательным ни для сайтов, ни для поисковых систем. Однако поисковики постоянно нарушают этические правила, например файл robot.txt на сайте «Мегафона» был и 19-го, и 20 июля, то есть уже после того, как разразился скандал, но данные все равно индексировались и «Яндексом», и «Рамблером». Поисковики продолжали мониторить страницы сотового оператора, хотя теперь их, конечно, довольно трудно в этом уличить. Теперь они (представители поисковых систем — прим. НТВ) говорят: «Докажите!». Но понятно, что их программисты уже давно все следы подчистили.
— Так что же на самом деле тогда произошло, и как случилась утечка СМС, данных покупателей секс-шопов, пассажиров РЖД?
Андрей Масалович: Во всех трех примерах технически происходило одно и то же: если есть крупная база данных, то очень выгодно с точки зрения эффективности работы сайта заводить некое буферное пространство — кэш, с тем, чтобы потом делать синхронизацию базы данных. Если правильно не защищать это пространство, оно становится доступным. Причем доступным не простым пользователям, а роботам в силу того, что робот может заходить на сайт хоть 10 раз в минуту и ловить короткоживущие страницы. Так сделал робот «Яндекса» в случае с утечкой данных пассажиров РЖД, когда сами страницы пользователям доступны не были, но в кэше «Яндекса» за тот короткий момент, пока эти данные существовали, они сохранились.
— Получается, защититься от таких утечек никак нельзя?
Андрей Масалович: Мое мировоззрение построено на двух утверждениях: первое — утечек избежать нельзя, второе — нельзя выстроить 100-процентную систему защиты информации. Знаете, по-моему есть такое правило, записанное в ГОСТе охраны труда — запрещается использовать слово «безопасный» как прилагательное, просто потому, что нет ничего абсолютно безопасного. Мы можем только свести к минимуму, к допустимому уровню риски — но в то же время мы должны правильно оценивать эти риски и угрозы. Вообще есть четыре вещи, которые я советую реализовать компаниям, которые заботятся о конфиденциальности информации:
1. Разработать политику безопасности, и в рамках этой политики просчитывать риски, а также ответственность за неисполнение каких-либо правил. Честно говоря, я практически ни разу грамотной политики безопасности не видел.
2. Провести аудит — начальную инвентаризацию уровня утечек. Могу открыть маленький секрет — у любого оператора сотовой связи из «большой тройки» (МТС, Билайн, Мегафон — прим. НТВ) — утечки случаются постоянно. Случай с СМС «Мегафона» — это то, что обнаружили молодые пацаны, которые баловались инструментарием google dork. Я же по работе постоянно сталкиваюсь с утечкой паролей из этих организаций, а это уже серьезно.
3. Постоянно повышать грамотность персонала. За последние 200 недель я провел 200 семинаров, сейчас лечу в Ташкент обучать прокуратуру Узбекистана. Бывает, что народ начитался каких-то книжек про хакеров, а о настоящих угрозах эти специалисты ничего не знают. Например, знаете ли вы, что есть уже аппаратные кейлоггеры — перехватчики клавиатурного трафика, замаскированные под обычную «мышку», своего рода троян. Злоумышленнику достаточно подарить жертве такую «мышку», через неделю хакер унесет из системы все, включая пароли и конфиденциальную информацию, причем не задействуя Интернет вообще. Чудо-мышку, кстати, выпускают серийно.
4. И последнее — это автоматизация мониторинга, вручную отследить все утечки не получится, а вот автоматически можно. Утечки паролей, персональных данных — эти задачи легко формализуются. Конечно, речь идет о системе высокого уровня, стоимость ее может достигать 10–20 миллионов рублей, но у компаний типа «Яндекса», такие деньги есть и если бы их прижали, они бы их поставили.
— А вы считаете, что именно поисковики должны их у себя устанавливать?
Андрей Масалович: Разглашение данных — если речь идет не о гостайне, когда виноваты все, допускает тот, кто делает данные общедоступными. Крайними тут являются поисковые системы, хотя честно говоря, у всех рыльце в пушку. Вот кстати, чем еще google hack отличается от google dork — документов c грифом для служебного пользования в выдаче поисковых систем — десятки, но реальных секретов там мало. Чтобы найти по-настоящему секретные документы — нужно применять серьезные методы взлома. Есть люди, которые этим успешно занимаются.
Это называется конкурентной разведкой. Появилась она лет 25 назад, еще до Google. Тогда сбор информации осуществлялся тоже по открытым источникам, например газетным статьям. Поймите — уже давно существует набор методов, которые позволяют добираться до закрытой информации. В моем арсенале таких инструментов — наверное штук 700. Лет 10 назад выяснилось, что очень хорошо в этой работе помогают поисковые системы, которые иногда по неэтичности, иногда по недосмотру разработчиков, иногда просто по ошибке засасывают документы, которые вообще-то в открытый доступ попадать не должны.
— Как Вы считаете, какие-то скандалы связанные с попаданием персональных данных возможны в ближайшее время?
Андрей Масалович: Последние четыре года я занимаюсь защитой информации и тем, что называется «аудит утечек информационной безопасности». Понятно, что заказчики — люди не бедные, и им есть что прятать. Но вот за 4 года проверок я ни разу не подписал заключение «утечек не обнаружено». Что-нибудь, да обязательно всплывет.
Read more: https://www.ntv.ru/novosti/234528#ixzz2oQsBVyEC