Кому нужна защита персональных данных?

Авторы: Глеб Пахаренко, Кирилл Сухоставский

1. Кому нужна защита персональных данных? a. Предисловие b. Обзор мировой ситуации с защитой персональных данных c. Ботнеты как хранилища огромных массивов персональных данных d. Реакция компаний на сообщения о компрометации персональных данных

их пользователей i. Ebay ii. Google iii. LinkedIn iv. Facebook v. Microsoft Live (MSN)

e. Реакция других субъектов на сообщения о компрометации персональных данных

i. Visa ii. MasterCard iii. FIRST iv. Fraud desk London police v. Secureworks vi. Еще один fraud desk в Лондоне vii. IC3 viii. Анализ сайтов украинских банков

f. Выводы i. Дальнейшие шаги ii. Об авторах iii. Комментарии к статье

1. Интересные материалы по теме 2. Об украинском сообществе специалистов по информационной

безопасности 3. Закон о защите персональных данных Украины

Предисловие

Данная статья раскрывает проблематику защиты персональных данных. Она будет интересна, в первую очередь, профессионалам в области защиты информации и обеспечения безопасности персональных данных. Авторы проанализировали реакцию  на уведомление о компрометации данных компаний их обрабатывающих, международных организаций, занимающихся защитой информации.  В статье имеются цитаты из переписки с вышеназванными субъектами. Оценивается отношение к защите персональных данных таких брендов как Google, E-Bay, Microsoft и ряда украинских банков. Мы приветствуем совместные аналитические работы с другими авторами на основе собранного материала. Также  представляем нашу позицию в отношении необходимости создания более эффективных механизмов устранения инцидентов, связанных с компрометацией персональных данных.

Статья популяризирует Ukrainian Information Security Group.

Обзор мировой ситуации с защитой персональных данных

На сегодняшний день вопросы защиты персональных данных урегулированы в США, Европе и России. В Европе основным нормативным документом является директива Directive 95/46/EC. В каждой стране Евросоюза созданы агенства по защите персональных данных, частью деятельности которых является ограничение на экспорт и обработку этих данных за пределы Евросоюза. В Украине недавно принят закон "О защите персональных данных". Существуют также черные рынки краденных персональных данных. У персональных данных, представляющих ценность для преступников, обычно есть издатель - лицо, которое предоставило информацию пользователю. К наиболее популярным типам данных, которые могут быть украдены, относятся:

Тип данных Издатель данных Варианты незаконного использования

Номера платежных карт Банки, платежные системы Воровство денежных средств

Параметры доступа к  онлайн-банкингу

Банки Воровство денежных средств

Пароли в социальные сети, e-mail аккаунты

Социальные и почтовые службы

Распостранение спама, вредоносного содержимого, фишинг

Реквизиты в электронные платежные системы

Paypal, Ebay, Webmoney Воровство денежных средств и товаров

Пароли в IM и голосовые службы

ICQ, Skype Распостранение спама, вредоносного ПО, фишинг

Номера социального страхования, паспортные данные, ИНН, другие идентификаторы личности

Органы власти Атаки Identity theft

Кроме пользователей, существует ряд субъектов, которым интересно защитить персональные данные и устранить последствия их утечки:

Субъект Описание

Издатели данных и их ассоциации Напрямую заинтересованы в профилактике и устранению последствий утечек персональных данных

FIRST и другие CERT

Команды реагирования на компьютерные инциденты. Помогают в случае компрометации данных из систем, за которые они отвечают

Государственные учреждения Защищают интересы издателей своей страны: часто это департаменты полиции и спецслужб

Ботнеты как хранилища огромных массивов персональных данных

Активное развитие ботнет-сетей привело к появлению многофункциональных и по настоящему простых и удобных для конечного пользователя продуктов. На данный момент человек, не обладающий глубокими знаниями, может организовать свою ботнет-сеть при минимальных финансовых затратах. На публичных и приватных хакерских форумах можно приобрести готовые комплекты зловредного программного обеспечения, снабженного подробными инструкциями по его использованию. При этом, как правило, покупатель получает оперативную техническую поддержку продукта и регулярные обновления, которые улучшают функциональность и устраняют обнаруженные проблемы. Со временем более старые версии становятся доступны публично, что только способствует распространению ботнет-сетей. Как правило, типичный комплект зловредного ПО состоит из двух частей:

Серверной. Обычно она представляет собой административную панель написанную на php, которая позволяет просто и удобно, а главное централизированно администрировать ботнет-сеть.

Билдера, с помощью которого происходит конфигурирование троянского модуля, который выполняет всю необходимую работу по контролю над захваченной системой.

Эффективность троянского модуля зависит, прежде всего, от надежности антивирусного ПО, наличия обновлений операционной системы и прикладного ПО, привилегий пользователя в операционной системе, политики безопасности на компьютере. Не менее важен применяемый способ распространения. На руку злоумышленникам играет и низкая компьютерная грамотность населения - зачастую, обмануть большую часть пользователей можно с помощью простейшего приема социальной инженерии. Один из наиболее удачных примеров: пользователь самостоятельно устанавливает зловредное программное обеспечение, которое выдает себя за кодеки для просмотра видеоролика или соглашается установить фальшивое обновление для операционной системы\браузера\приложения. Но даже если человек внимательно относится к происходящему на экране, то он не застрахован от автоматической атаки на необновленный вовремя браузер. Причем, для этого не обязательно посещать сайты, заведомо относящиеся к группе риска - warez, porno, и т.п. Например, популярный новостной ресурс может быть атакован и инфицирован вредоносным кодом, который будет эксплуатировать одну или несколько текущих уязвимостей. При дневном трафике порядка 50 тысяч уникальных посещений, минимальное

количество зараженных компьютеров составит более 5 тысяч, в зависимости от свежести эксплуатируемой уязвимости. При удачной эксплуатации уязвимости компьютер, как правило, оказывается зараженным одним из популярных троянских ботнет-модулей, вероятность "пробива" (заражения) от 10 до 20%, в зависимости от применяемого пакета эксплойтов. Наибольший интереc у злоумышленников вызывают данные, относящиеся к персональным: личные данные пользователя, реквизиты к онлайн-банкингу и электронным платежным системам, любые аккаунты популярных социальных сетей и торговых площадок. Повышенный интерес к персональным данным связан с высокой окупаемостью затраченных на создание и поддержку ботнета усилий. При этом размер ботнета может составлять всего 1 - 5 тысяч зараженных ПК. Высокая конкуренция на черном рынке привела к тому, что цены на DDOS и SPAM рассылки снизились до минимальных показателей, в то время как персональные данные даже 50-ти человек из двухтысячного ботнета способны полностью покрыть расход на аренду ботнет-сервера и покупку ПО.

Для того чтобы достигнуть максимального эффекта, злоумышленники формируют узконаправленные ботнет-сети. Это достигается с помощью атак на специализированные тематические сайты. Например, для организации высокоприбыльной ботнет-сети проводится заражение среднего по посещаемости финансового портала, большая часть посетителей которого является клиентами сразу нескольких банков\электронных платежных систем. После заражения троянским модулем личные данные пользователя начинают передаваться удаленному центру управления ботнетом. Поступающая информация сохраняются в локальную базу данных, которая работает в связке с административной панелью управления ботнет-сетью. Подобные базы могут достигать достаточно больших размеров - к примеру, база данных 15- тысячного ботнета за месяц достигает 50 гигабайт. Нередко, на одном управляющем сервере могут располагаться сразу две или более административных панели, каждая из которых работает со своей базой данных. Подобное разделение повышает эффективность труда злоумышленника, т.к. позволяет использовать различные версии троянских модулей и оптимально расходовать ресурсы сервера. Подобные базы представляют большой интерес для кибер-преступников. Стоимость свежих, не отсортированных данных, начинается от 0.5 цента за мегабайт и возрастает до 5 долларов. На стоимость данных, прежде всего, влияет наличие коммерческой информации - paypal, online банкинг, etc. Тажке важна страна происхождения. Наиболее популярны -  страны Евросоюза как страны с наиболее платежеспособным населением. 

Реакция компаний на сообщения о компрометации персональных данных их пользователей

Мы обратились к наиболее крупным держателям персональных данных с запросом следующего содержания:

 Dear  CompanyX security team!

Please could you let me know if there is exists a way to inform owners of CompanyX accounts about compromise. As a security researcher I'm finding a lot of credentials in botnet logs.

Нам не хотелось, чтобы сведения о компрометации попали на адрес для общих обращений, так это очень ценные данные, и, в первую очередь, пытались найти адреса команд реагирования на инциденты информационной безопасности.

Ebay

С главной страницы сайта Ebay мы перешли на ссылку SecurityCenter и затем на:  http://pages.ebay.com/securitycenter/researchers.html

Факт того, что контакт безопасников Ebay с легкостью был найден, нас очень порадовал. Написав им письмо, мы мгновенно получили автоответ::

Thank you for contacting Security Disclosure at eBay.  If you have submitted an eBay - specific security vulnerability, a member of our team will respond to you as soon as possible.

If you have submitted your issue to Security Disclosure in error and require assistance on a security-related customer service issue, please visit the HELP page at the link below to get help with your issue.

http://pages.ebay.com/securitycenter/

Thank you,Security Disclosure

Через 2 дня команда eBay обработала наш запрос и попросила переслать данные одному из членов их команды:

You can send them directly to me.

 

Thanks,

РхххGlobal Information SecurityeBay, Inc

Было получено подтверждение о том, что предоставленные нами данные были свидетельством компрометации. Tакже мы выяснили, какие программы мотивации исследователей безопасности существуют у eBay. На данный момент eBay может разместить благодарность и имена исследователей на своих страницах:

We have a public page where we acknowledge researchers. Here's a link to the description of the program: http://pages.ebay.com/securitycenter/researchers.html

 

The acknowledgement page is hyperlinked from there. You'd be the first :)

Google

Поиск по словам "google security" привел нас на страничку с контактами,

  http://www.google.com/corporate/security.html

 

по которой мы связались с security@google.com. Написав письмо, мы сразу получили автоответ:

 

Thank you for reporting this issue to Google's security team. This is anautomatic response to let you know that we've received your message. Wetake security issues very seriously, and if you've identified a securityvulnerability within any of Google's services, systems, or networks, we'llinvestigate as soon as possible and follow up with you shortly.

Please be aware, though, that if you aren't reporting a security issue asdescribed above, you won't receive a response, and we'll be unable to takeaction on your message. Below, we've provided some links that we hope willhelp you find the answer to your question.

If you're writing about your Gmail account -- including concerns aboutaccount access and spam -- please visit the Gmail help center athttp://mail.google.com/support/ for assistance. If you're not a Gmail userand need help with your Google Account, please visithttp://www.google.com/support/accounts/

If you're writing to report private or inappropriate content appearing onany Google site (including YouTube), please visit that product's onlinehelp center for specific instructions. Some helpful articles are listedbelow by product.- Web Search:http://www.google.com/support/bin/answer.py?answer=508&topic=360- Google Video:http://video.google.com/support/bin/answer.py?answer=46541&topic=10919- YouTube: http://www.youtube.com/t/contact_us

Finally, for assistance using any Google product, please visithttp://www.google.com/support/ for a list of our products' online helpcenters. We're always working to provide comprehensive, up-to-date onlineassistance and you're likely to find the answer to your question in one ofour help centers.

We appreciate your taking the time to write to us.

Regards,The Google Team

Через сутки пришел ответ от сотрудника Google:

  Hi Gleb,

I'm contacting the people that look after this sort of thing right now.I'll let you know as soon as I've got more information.

Cheers,Adam, Google Security Team 

Еще через сутки нам ответили следующее:

Hey Gleb,

If you send through the list of compromised account, we'll investigatefurther and take action where necessary.

We appreciate you doing the right thing by contacting us.

Cheers,Adam, Google Security Team

Затем мы получили подтверждение того, что предоставленные данные - действительно актуальные скомпрометированные данные. Интересным было предложение зашифроватьучетные записи:

 

Hi Gleb,

> I have  a set of records similar to this one. Can we consider thisaccount> compromised?

I suppose so.

It looks like that sort of output to expect from a key logger. It's notappropriate for me to validate the credentials.

If you send through the full list, we can enforce a password reset forthose accounts. When you send the list, please encrypt it using our publickey: https://services.google.com/corporate/publickey.txt

Of course, if these machines have key loggers installed, then it's quitepossible the key logger will just grab the new password. Do you plan oncontacting the recipients to let them know about your findings and advisethem to clean their machines?

 

К сожалению никаких программ для мотивации исследователей в Google не предусматривалось.

 

 LinkedIn

 Никакого специального канала для сообщений безопасности у LinkedIn мы не нашли, поэтому связались как простые пользователи через интерфейс для обращений. Получив подтверждающий автоответ стали ждать. Не дождавшись ответа, мы продублировали наш запрос письмом по адресу поддержки: inkedin_support@cs.linkedin.com. Ровно через 2 недели (!)с нами связалась LinkedIn Privacy team:  

Thank you for contacting LinkedIn Customer Support. Are the accounts that have been compromised your profiles?

Thank you for your reply.

Regards,

LindsayLinkedIn Privacy Team

Мы сказали, что предоставленные нами реквизиты - это не наши личные профили. Команда ИБ попросила выслать полученные данные о скомпрометированных профилях.  Нас порадовало, что LinkedIn заинтересовали детали того, как мы получили персональные данные.

Thank you for your reply. We will remove the restriction at this time. I show you have had 18 rejected invitations. Please remember to connect with only those that you do know.

Regarding the accounts that you have provided that you have stated have been compromised, could you please provide further details on how you know they were compromised?

Thank you for your reply.

Дальнейшее общение показало, что в LinkedIn полностью отсутствует поддержка для исследователей безопасности.

Facebook

Мы с большим трудом нашли способ отправить запрос в Facebook. К сожалению, мы получили только автоответ:

Thanks for the interest.  We will certainly keep it in mind as we continue to improve the site. 

Microsoft Live (MSN)

Простой поиск привел нас на страницу, где можно было выслать отчет об уязвимости:  http://www.microsoft.com/technet/security/bulletin/alertus.aspx

Порадовало предложение использовать ключ открытого шифрования . Выслали наш стандартный запрос. Через  час мы получили ответ с предложением обратиться в abuse@microsoft.com:

 Thank you for contacting us.  Please contact abuse@microsoft.com to report this information.

Best Regards,Nate

Наш запрос на abuse@microsoft.com остался без ответа.

Реакция других субъектов на сообщения о компрометации персональных данных

В журналах ботнетов могут находиться массы номеров кредитных карточек и реквизитов доступа к онлайн-банкингам. Непрофессионалу невозможно,  определить издателя (банк, платежную систему) для карточек, а обратиться в каждый банк и, тем более, извлечь записи практически невозможно. Поэтому, мы попытались найти общие организации, которые бы были готовы взять записи о скомпрометированных данных, обработали их и направили  в соответствующие пострадавшие организации.

Visa

Найдя форму контакта на сайте Visa выбрав раздел “Phishing”, мы задали вопрос о том, что нам делать с украденными номерами карт. Ответ нас разочаровал:

Thank you for contacting Visa Europe regarding stolen card numbers.

 

Please be advised to report stolen card numbers to the police.

 

If you have any further questions please do not hesitate to contact us directly on the number below.

 

 

Kind regards,

 

Lena

 

Customer Services Representative I Visa Europe I www.visaeurope.com | +44 207 795 5777

MasterCard

Мы не нашли формы для контакта на сайте MasterCard

FIRST

Секретариат FIRST ничего не ответил нам о том, что делать с персональными и, особенно, финансовыми данными, которые якобы случайно оказались у нас.

Fraud desk London police

Мы попытались найти организации, которые могут помочь нам сообщить английским банкам о нарушениях. Из fraud desk лондонской полиции нам пришел такой ответ :

  Thank you for contacting Action Fraud and alerting us to this. In this particular case, you should contact UK Payments Administration through Bank Safe Online: http://www.banksafeonline.org.uk/.

Secureworks

Компания Secureworks также занимается исследованиями безопасности и публикует различные отчеты о вредителях. На наш запрос о том, что делать с скомпрометированными персональными данными, нам предложили выслать их Secureworks:

Thank you for your email, and apologies for the delay in responding.  We have established relationships with many banks affected by ZeuS and similar botnets.  We would be glad to send them account names and numbers on your behalf.  Let us know if/how you would like to be listed as the source, or if you prefer to remain anonymous.  We can arrange a way to transfer

the account IDs and any other information, including raw logs, to us for distribution.  Please let us know what is a convenient way for you.  Thank you very much for reaching out to us, and I am ccing Don Jackson on this email as he is our lead researcher on the Zeus Trojan.  Look forward to hearing back from you.

 

 

Kind Regards,

 

Elizabeth W. Clarke

VP of Corporate Communications

SecureWorks

404-486-4492

eclarke@secureworks.com

www.secureworks.com

Еще один fraud desk в Лондоне

Мы нашли несколько fraud desk’ов. Один из них дал такой ответ :

Many Thanks for this. We have directed this to the appropiate authority. Regards, 

Steve KellyDetective Constable 577CPIntelligence Officer

Operation Halo

National Fraud Intelligence Bureau* stephen.kelly@city-of-london.pnn.police.uk+ City of London Police        21 New Street        London        EC2M 4TP

С нами никто не связался.

IC3

Среди прочих организаций мы обратились за советом в Internet Crime Complaint Center, http://www.ic3.gov/default.aspx. Но и там  получили отказ:

  The IC3 cannot provide information on a specific company or individual.   IC3 was created to serve as a comprehensive reporting and referral system for Internet crime complaints.  It serves the public and the law enforcement agencies which investigate Internet crime.

Анализ сайтов украинских банков

Для эффективной защиты персональных данных организации-издатели должны предоставлять удобные и защищенные каналы для уведомлений о нарушениях связанных с их данными. Мы просмотрели странички ТОП10 украинских банков (согласно финансовым Результатам сайта finance.ua), а также выполнили небольшой поиск в Google. Порадовали нас следующие учреждения:

 "OTP"  "SEB"  "Unicredit"

У ОТП банка был опубликован контакт отдела по борьбе с мошенничеством:

   http://www.otpbank.com.ua/uab/about/contacts/

Со страницы СЕБ банка можно было отправить сообщение департаменту безопасности

  http://seb.ua/pow/wcp/sebua.asp

 Приятно удивил Unicredit, публикующий статьи по информационной безопасности:

  http://www.unicredit.com.ua/view.secnews/

Выводы

Была проделана большая работа по созданию учетных записей в различных организациях, для эмуляции компрометации персональных данных с целью определить актуальность проблематики защиты этих данных. Часть фактологического материала не опубликована. Мы надеемся, что наше исследование может быть использовано в аналитических работах других специалистов. 

Организации - издатели данных имеют разное отношение к безопасности. Хотелось бы отметить компании Google и eBay как организации, которые действительно (!!!) заботятся о сохранности данных своих пользователей и клиентов. Другим организациям мы бы рекомендовали завести максимально публичный и удобный шифрованный канал

для уведомлений о нарушениях безопасности. Также особое внимание следует уделять мотивации исследователей безопасности, которые могут значительно уменьшить последствия инцидентов информационной безопасности. Реакция VISA и отсутствие контактов у MasterCard наводит на мысль, что в действительности все меры по чрезвычайной заботе о сохранности номеров карт -  однобоки. PCI Council уделяет внимание только предотвращению утечек данных, хотя не менее эффективной может быть борьба с последствиями краж. Но она почему-то не ведется.

Наибольшее разочарование у нас вызвали ассоциации и институции, которые позиционируют себя как коллективные и передовые в области безопасности персональных данных. Они замкнуты в себе и практически закрыты для запросов от простых пользователей Интернет. Катастрофически не хватает организаций, которые бы от имени государства могли бы принимать в обработку журналы ботнетов с компьютеров, зараженных на их территории. В процессе обработки, такой орган разбирал бы уникальный формат журналов, извлекал бы оттуда в порядке приоритета данные финансовых учреждение своей страны и пересылал бы им уведомления. Затем сообщения о компрометации шли бы в социальные сети, в компании, чьи корпоративные сети под угрозой. В идеале этот субъект мог связаться лично с компаниями и гражданами своей страны и сообщить им о взломе их персональных компьютеров.

Дальнейшие шаги

Нас интересует информационная безопасность граждан Украины. Мы планируем инициировать публичное обсуждение закона о защите персональных данных. Это важный и необходимый документ, который нуждается в существенной доработке.

Затем, совместно с другими добровольцами, планируем организовать команду UISG-CERT, которая будет давать рекомендации по первоначальной реакции на инциденты информационной безопасности, по устранению их последствий, определять источники атак и уязвимости для компаний Украины и пользователей Интернет. Параллельно, используя опыт бесплатных консультаций, UISG-CERT может оказывать качественные коммерческие услуги, служить субъектом координации FIRST для своих подписчиков.

Об авторах

Глеб Пахаренко, http://ua.linkedin.com/in/gpaharenko, gpaharenko@gmail.com, модератор Ukrainian Information Security Group.

Кирилл Сухоставский, http://ua.linkedin.com/in/esxcx, kirill@sukhostavskiy.com, independent security researcher.

Мы благодарим рецензентов.

Комментарии к статье

Адрес статьи в интернет:

  http://by.ly/a98qcz2

Адрес дискуссии о статье в LinkedIn(нужна регистрация в Ukrainian Information Security Group):http://www.linkedin.com/groupAnswers?viewQuestionAndAnswers=&discussionID=13683920&gid=1220117

Интересные материалы по теме

1. http://www.securitylab.ru/analytics/370022.php 2. http://www.catonmat.net/blog/how-to-steal-a-botnet-video-lecture-

review/ 3. http://www.securitylab.ru/contest/302888.php?page=user&id=1113

Об украинском сообществе специалистов по информационной безопасности

 http://www.linkedin.com/groups?gid=1220117&trk=hb_side_g 

Закон о защите персональных данных Украины

http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2297-17