Email and content security (workshop)

Prave som na workshope v hoteli Marrol´s firmy Clearswift a Sophos. Viac dopisem z PC. Mojej MPx220 sa zahrieva procesor.
Pokračovanie k workshopu už píšem:


Clearswift a Sophos sami seba deklarujú ako leadrov v systémoch pre jednoduché filtrovacie systémy pre analýzu obsahu. Znamená to niečo podobné ako keď si na linuxový server nakopnete SpamAssasin a nejaký antivir a Vaše snahy skončia tým, že ešte pridáte primitívny filter, ktorý v mime prílohách identifikuje v názve súboru jeho príponu (a urobí najhovadskejšiu vec: odošle mail na adresu uvedenú vo From – nerobte to prosím!).
Produkty týchto firiem však idú v analýze obsahu omnoho ďalej (reči o súkromí si nechajte – nikto živý maily nečíta – ide o strojové spracovanie – a aj keby aj, v dnešnej dobe je to nevyhnutné – nech si kybernetickí aktivisti trieskajú čo chcú).
Bez takýchto riešení sa dnes nezaobíde už ani menšia firma – máte svojich 100 zamestnancov pripojených k internetu? Musíte mať niečo podobné – SpamAssasin, Antivir a „orezávadlo podľa prípon“ prestávajú stačiť. Prečo? Viete o tom, že do DOC súboru je možné vložiť „ikonku“ s iným dokumentom (vkladanie dokumentov do dokumentov). Potrebujete analýzu obsahu – vkladané dokumenty – v Office dokumentoch, archívoch ako je rar či zip.
Clearswift na základe pozorovaní tvrdí (čo aj ja tvrdím), že autori vírusov si úspešne odskúšali pred rokmi ich tvorbu a životaschopnosť. Dnes si už ale zadarmo preukazovať svoje schopnosti nepotrebujú – mať z toho len dobrý pocit, že nasrali milión ľudí nestači. Ich algoritmy sú komerčne použiteľné a preto ich použitie presúvajú na aktivity plodiace príjmy.
Narastá spam – generovaný vo väčšine zo zombie (počítače, ktoré používajú nič netušiaci ľudia doma v kuchyni), ktoré si sami používatelia zavírili týmto typom vírusov.
Je trend, že už nie je zaujímavé vytvoriť megalomanskú vlnu a čakať, že sa niekto chytí a podľahne phishingovej udičke v maili či aktivuje vírus. Sú snahy nahodiť udičku nenápadnejšie a cielenejšie.
Firmy, ktoré poctivo riešia túto problematiku momentálne sústreďujú svoj pohľad najmä na prienik smerom dnu. Ak niečo riešia majú to spravené dosť dobre. Lenže je tu aj problém smerom von. Únik dát. Tu sa problematika rieši omnoho ťažšie a tu ešte len prídu easy riešenia.
Clearswift a Sophos zjavne nefandia snahám Microsoftu – perlička: Gates pred dvomi rokmi vyhlásil, že v tomto čase už nebude o spame nič počuť. Nestalo sa a trendy ukazujú, že spam (počíta do neho aj udičky phishingu) v celom objeme pošty narastá.
Z celého mám uzáver sám pre seba: neučme ľudí iba mailovať. Skôr ich neučme mailovať ale prejsť na štrukturované firemné systémy – výmena a obeh dokumentov nesmie ísť mailami ale firemným uzatvoreným systémom.
Je toho viac, môžete sa pýtať.
áno, obed bol dobrý ;-)

Môže sa Vám ešte páčiť...

8 komentárov

  1. OK. Mame tu spam. Mame tu phishing. Antiviry, kontrola obsahu a dobne systeme zalozene na „enumerating badness“ principe uz nestacia.
    Ale ake je riesenie? To sa pytam vsetkych co stretnem. Ake riesenie spamu, virusov a podobnych malware hraciek vidis ty?

  2. rony píše:

    [1] ziadne. neexistuje.
    prechod od nestrukturovanych systemov pouzivanych pre firemnu agendu k strukturovanym – cize miesto toho aby mi kolega poslal mailom doc, tak robime v nejakom softwarovom systeme – vacsom, mensom, dokonalom, nedokonalom. ale takom, ktory nepouziva separovane dokumenty ale integrovane.
    primitivnym prikladom je wiki system.
    email je ale bohuzial momentalna moda tej casti firemnych infrastruktur, ktore su najmasovejsie a vzhladom na zotrvacnost sa musime zmierit s tym, ze budu mat obrovsky odpor k zavadzaniu veci, z ktorych citia „obmedzovanie“.
    moje riesenie je aspon sa pokusat dokola ludi presviedcat, ze email je nieco ako postar, ktory s vasim otvorenym balikom pomaly kraca preplnenym auparkom a zretelne komentuje jeho obsah.
    a kvoli potrebe odosielatela a prijemcu predsa nevybombardujeme a neodludnime aupark :-)

  3. rony píše:

    miesto pre komentar [3] obsadzujem tymto vyhlasenim: ano, pgp a vseobecne elektronicky podpis by boli riesenim. ale nie su a nebudu tak rychlo a v takej samozrejmej forme, aby sme to povazovali za taku samozrejmost ako tlacitka Reply a Send :-)

  4. rony píše:

    a este ma napadlo, ze pokial by tie siete, ktore sa neustale zavirovavaju pouzivali webove klienty na postu, tak urobia lepsie ako ked si kupia posrany Kerio server ;-) vid. Gmail pre firmy.

  5. Obavam sa, ze nestrukturovanu komunikaciu vo firme sa jednoducho neda potlacit. To je utopia a dokonca by som povedal ze je to kontraproduktivne. Samozejme suhlasim s tebou, ze ju treba nahradzat struktorovanou vymenou udajov kde sa da … ale nie vzdy sa da.
    A co sa tyka komunikacie _medzi_ firmami, tam v najblizsich rokoch asi v nejaku zmenu ani dufam nemozeme. Alebo hej?
    Takze spam a malware je neriesitelny problem?
    Alebo len jednoducho sme to spravne riesenie este nenasli … a len si to nikto nechce priznat?
    (inak, s tym auparkom to mozno nie je taky zly napad :-) )

  6. rony píše:

    [5] ano, mas vo vsetkom pravdu. moja prax ukazuje, ze pokial prestanes tlacit, tak je to este horsie. preto je pre mna uzasny priklad nbusr123. Medzi firmami urcite nie, no zasa nesmieme zabudnut, ze ak mam obchodnych partnerov, tam uz system vymeny dat existuje. Niekolko takych prepojeni existuje ale takmer nikdy s riesenim sa neprislo „zdola“ a zakazdym najprv odrazam utoky typu: „povolte mi prenos udajov emailom“, „nie“, „ale bude to zaheslovane“, „nie“, „branite mi v praci“, „nie, chranim vasu pracu“.
    To s tym auparkom bola dobra rada od jedneho bezpecnostneho bloggera na SME a v tomto pripade mal pravdu: musime pouzivat priklady – ci uz negativne nbucka alebo obrazne prirovnania, ktore dokazu pobavit a priblizit ;-) na iste oddelenia vsak nema ziadny vplyv ziadna „afera“ ;-)
    Aby som sa vratil k strukturovanej vymene dat: treba iba tlacit, analyzovat pohyby a navrhovat. V maili su ludia velmi laxni – zistili, ze je to jednoduche a nehladaju ine riesenia. A preto su velmi lahko oklamatelni. Pokial ti vo firme neustale niekto posiela nejakej pracovnej skupine jeden a ten isty subor (od poslednej rozposielky zmeneny v par udajoch), je to zrele na ine riesenie formou aplikacie. Problem je, ze to naraza na rozpor: forma zadania vyvoja externej firme s dlhotrvajucim vyvojom vs. interny vyvoj. Castokrat postaci rozhodnut sa pre vhodny komunikacny system – tym sa javi napr. Lotus Notes- aplikaciu v tom namaluje mierne zauceny IT maniak aj bez programatorskych skusenosti.
    samozrejme to su iba spekulacie, mojim cielom je vzdy zdoraznovat, ze e-mail je momentalne najvacsia svina a kazdy, kto ho pouziva je potencialna obet a skodca – neumyselne, z nedbalosti, umyselne…
    dakujem ti za reakciu, nuti premyslat ;-)

  7. Piki píše:

    Prechod na štrukturovanú výmenu dát sa mi naozaj pozdáva. Velikánskou bariérou je ale cena. Email mňa (dôležité zámeno) nič nestojí, prostredie na štrukturovanú výmenu (aplikácia, školenie užívateľov) dnes nezaplatím. Momentálne riešim StartUp a do istého momentu musím používať najlacnejśie riešenia. V momente, keď bude na efektívne riešenia, tak budú zamestnanci naučený na email… Takže náklady, náklady, náklady.
    #
    Ale asi upustím od vlastného e-mailového riešenia a naučím aj zvyšok zamestnancov (okrem seba) na Gmail. Ten tvoj tip naozaj funguje. Momentálne je moja firemná adresa …@gmail.com a nemôžem si to vynachváliť.

  8. emmacore píše:

    Princip Wiki sa mi paci. Vyskusam, ked budem najblizsie riesit nieco skupinove. A vela ludi okolo mna pouziva namiesto mailov instant mesindzre, niektori to este navyse kryptuju :-)