Перейти к основному содержанию

6989 просмотров

Информационная безопасность Казахстана оказалась вне закона

Эксперт-аналитик Ak Kamal Security Михаил Поздняков рассказал о стандартах безопасности

Фото: Shutterstock

Обновленный стандарт СТ РК ISO/IEC 15408:2017 является одним из основополагающих в информационной безопасности (ИБ): только после прохождения сертификации программного обеспечения на соответствие данному стандарту оно может попасть в список доверенного ПО.

Предыдущий стандарт СТ РК ГОСТе Р ИСО/МЭК 15408-2006 был основан на российском ГОСТе. Это нормальная практика, которая используется во всем мире и называется гармонизацией государственных стандартов. Плюсов у гармонизации много: единообразные стандарты в разных странах упрощают импорт и экспорт, аудит и многие другие трансграничные операции.

Новый СТ РК ISO/IEC 15408:2017 тоже является результатом гармонизации. Вот только за основу в этот раз решили взять не соответствующий российский ГОСТ, который, по сути, является переводом соответствующего международного стандарта ISO, а, собственно, изначальный ISO/IEC 15408 2008-09 годов и перевести его самостоятельно. По идее, ничего плохого случиться не могло. Но случилось.

Первой проблемой нового стандарта стала терминология. Информационная безопасность – область специфическая, в которой за много лет сложилась своя, особая терминология, чаще всего привязанная к изначальным английским терминам и сокращениям. В частности, один и тот же термин target of evaluation и его аббревиатура ToE изначально переводится как «цель оценки», но почему-то с сокращением (ОО). Далее по тексту могут всплывать не только эти термины, но и «объект оценки», а к середине документа появляется и аббревиатура ЦО. То же самое и с другими важными терминами: «цель безопасности» становится аббревиатурой ЗБ, а далее по тексту можно встретить и само «задание по безопасности». Причем задание по безопасности в казахской версии стандарта неожиданно сохранило оригинальную латинскую аббревиатуру ST, что значительно разобщило две языковые версии стандарта. И это далеко не все примеры путаницы с терминологией.

Вторая проблема этого стандарта в том, что из-за особенностей в нем используется большое количество аббревиатур, с которыми переводчики тоже успели поэкспериментировать. Практически во всем стандарте для обозначения классов, семейств, компонентов и элементов используются латинские обозначения, но в третьей части стандарта, начиная со страницы 90 и до страницы 148, переводчики внезапно решили, что они тоже должны быть на кириллице.

Использование кириллических аббревиатур вместо канонических на латинице было бы уместно только в случае, если бы они использовались в рамках всего стандарта, но не в отдельно взятом блоке. Более того, составители стандарта не озаботились согласовать переведенные на кириллицу обозначения в свод­ных таблицах. В итоге стандарт содержит таблицы, ссылающиеся на семейства и компоненты, которые по факту не описаны в стандарте. Также использование кириллических обозначений выглядит неправильным в перспективе перехода казахского языка на латиницу, так как после перевода кириллических обозначений обратно на латиницу они вряд ли совпадут с оригинальными обозначениями.

Третья проблема стандарта в том, что переводчики не понимали специфики документа, из-за чего делали ошибки или недопустимые упрощения, которые искажали смысл тех или иных моментов или вовсе лишали их сути. К примеру, в пунктах 3.2.8-3.2.11, соответствующих пунктам 115-118 в оригинальном стандарте ISO, переводчики выбросили уточняющие маркеры data, stamp и control, и это привело к тому, что в казахстанской версии получилось четыре одинаковых термина «сцепление вызовов» с разными формулировками.

В общем, несмотря на всю концептуальность и значимость данного стандарта, к его переводу не были привлечены специалисты соответствующего направления. Это привело к тому, что использовать новый документ невозможно. В таких условиях прохождение сертификации на соответствие данному стандарту становится задачей нетривиальной в силу многочисленных ошибок и нестыковок в данном государственном стандарте, который, к сожалению, именно в таком виде прошел все этапы согласований и утверждений.

Кстати, бесплатно получить документ СТ РК ISO/IEC 15408-3-2017 (равно как и любого другого СТ РК) даже в электронном виде невозможно, хотя стандарты ГОСТ РФ находятся в свободном доступе.

1 просмотр

Какие данные о вас на самом деле собирают приложения

Рассказывает управляющий директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии

Фото: Shutterstock

Большинство приложений собирают ту или иную информацию о пользователе. Иногда данные необходимы программам для работы – например, навигатору нужна информация о вашем местоположении, чтобы проложить удобный маршрут. Также нередко разработчики используют информацию о вас для монетизации или улучшения сервиса, предварительно заручившись вашим согласием. Например, собирают анонимную статистику, чтобы понять, в каком направлении развивать программу.

Однако некоторые разработчики могут злоупотреблять вашим доверием: собирать информацию, которая никак не связана с функциональностью их программы, и продавать ваши данные третьим лицам, причем нередко втайне от вас. По счастью, в сети есть сервисы, с помощью которых вы можете вывести такое приложение на чистую воду.

Например, сервис AppCensus дает возможность узнать, какие личные данные и куда отправляет приложение. Для этого применяется метод динамического анализа: программу устанавливают на реальное мобильное устройство, предоставляют ей все запрашиваемые разрешения и активно используют ее в течение определенного промежутка времени. При этом специалисты сервиса отслеживают, какие данные, кому именно и в каком виде – зашифрованном или незашифрованном – она отправляет.

Такой подход позволяет получить результат, отражающий реальное поведение приложения. Если вас что-то смущает в той информации, которую может выдать AppCensus, вы сможете отказаться от программы и поискать более скромный аналог, не пытающийся разнюхать о вас слишком много. Однако информация на AppCensus может оказаться неполной: программу тестируют лишь ограниченное время, а часть функций приложения может активироваться далеко не сразу. К тому же AppCensus изучает только бесплатные и общедоступные Android-приложения.

В отличие от AppCensus другой сервис – Exodus Privacy – изучает не поведение, а само приложение. В частности, сервис оценивает разрешения, которые запрашивает программа, и ищет встроенные трекеры – сторонние модули, предназначенные для сбора данных о вас и ваших действиях. Как правило, разработчики добавляют в свои приложения трекеры рекламных сетей, с помощью которых те пытаются узнать вас как можно лучше и показывать персонализированные объявления. Сейчас сервису известно более 200 видов таких трекеров.

Что касается разрешений, то Exodus Privacy оценивает их с точки зрения опасности для вас и ваших данных. Если приложение запрашивает доступы, которые могут угрожать приватности или нарушить защиту устройства, сервис это отметит. Если вам кажется, что потенциально опасные разрешения не нужны приложению для нормальной работы, лучше их ему не выдавать. В случае необходимости вы сможете расширить его права позже.

Пользоваться обоими сервисами очень просто. Достаточно ввести название программы в поле поиска – и вы получите исчерпывающую информацию о том, какими данными она интересуется и куда их отправляет. Exodus в отличие от AppCensus позволяет не только выбирать приложения из списка, но и самостоятельно указывать, какие программы взять из Google Play для изучения.

Для примера нами была исследована селфи-камера с 5 млн установок из Google Play. Exodus Privacy показывает, что она использует четыре рекламных трекера и требует доступ не только к камере, но и к местоположению устройства, которое для ее работы не обязательно, и к информации о телефоне и звонках, которая ей уж точно ни к чему. Также сервис отметил потенциально опасные разрешения: логичный для приложения доступ к камере и памяти устройства и более сомнительный доступ к местоположению и информации о телефоне.

иллюстрация Вадим.png

Иллюстрация: Вадим Квятковский

Анализ того же приложения, предложенный AppCensus, только добавляет вопросов: по данным сервиса, селфи-камера не просто получает доступ к местонахождению вашего смартфона или планшета, но и отправляет эту информацию вместе с IMEI (уникальным идентификатором вашего устройства в сотовой сети), MAC-адресом (еще одним уникальным номером, по которому устройство можно опознать в интернете и локальных сетях) и Android ID (номером, который присваивается вашей системе при первом запуске) на некий китайский IP-адрес в незашифрованном виде. То есть про благие побуждения можно забыть.

Получается, что к данным, по которым можно однозначно отслеживать перемещения вашего гаджета, получает доступ кто-то в Китае, а еще кто угодно может перехватить их при передаче. Кому эти данные продаются или передаются – тоже хороший вопрос. При этом в политике приватности разработчики заявляют, что не собирают личные данные о пользователе и не передают никому информацию о местоположении устройства.

Можно ли защититься от слежки?

Как видите, популярное приложение с ничем не примечательной политикой приватности может подвергать опасности чувствительные данные. Поэтому мы рекомендуем относиться к мобильным программам с осторожностью.

  • Не устанавливайте приложения на устройство просто так. Они могут следить за вами, даже если вы ими не пользуетесь и не открываете. А если уже установленная программа вам не нужна, удалите ее.
  • Перед установкой неизвестных вам приложений проверяйте их при помощи сервисов AppCensus и Exodus Privacy. Если результат анализа вас смутит, откажитесь от программы и поищите другую.
  • Не выдавайте приложениям все разрешения подряд. Если вам неясно, зачем программе доступ к той или иной информации, откажите ей. 
  • Контролировать выданные программам права удобно при помощи специального защитного ПО.

Читайте нас в TELEGRAM | https://t.me/kursivkz

Биржевой навигатор от Freedom Finance