Интернет на работе

Сниферы

В фильмах про хакеров периодически появляется упоминание о том, как хакер вскрывает или использует программу для отслеживания всех сообщений электронной почты. Нет, речь идет вовсе не о том, что хакер запускает Outlook Express или даже подбирает к ней пароль. Все гораздо серьезней и сложнее. Идея заключается в том, что якобы существуют суперкомпьютеры, которые отслеживают весь почтовый трафик данной страны или региона. Они могут быть настроены на поиск определенных слов, например, "взрывчатка", "оружие", "наркотики" и собирать соответствующие сообщения, при их обнаружении. Это позволяет бороться с терроризмом, предотвращая, например, передачу оружия.

Правда это или нет? Спецслужбы по понятным причинам не дают пресс-интервью, которые могли бы развеять сомнения. Иногда в печати проскальзывают сообщения вроде "Агентство национальной безопасности США анализирует трафик AT&T" (http://security.compulenta.ru/338950/), которые подливают масла в огонь. Впрочем, тут же появляются скептики, которые вооружаются калькуляторами и авторитетно заявляют, что почтовый трафик представляет собой чудовищные объемы информации, которые совершенно невозможно обрабатывать в разумные сроки ни на каком суперкомпьютере, а тем более перехватывать их "на лету".

Руководителей компаний волнуют куда более прозаические вопросы. Что может помешать сотруднику, который собирается увольняться, отправить по электронной почте конкурентам компании кучу документов, выдающих с головой ноу-хау? Прямо с рабочего места, открыв (для секретности) анонимный ящик на Mail.Ru? Следить за сотрудником? Но две недели стояния над рабочим местом сведут с ума кого угодно, в том числе и самого "проверяющего".

Между тем, компания "СофтИнформ" (http://www.searchinform.com/) предлагает "хакерские" комплексы, позволяющие надежным образом обеспечить безопасность предприятия. В своем названии они содержат слово "Sniffer", что в переводе с английского языка означает "нюхач". В самом деле, эти программы позволяют "вынюхивать" все возможные проблемы безопасности. Рассмотрим принципы их работы.

MailSniffer

Работа с почтой обычного сотрудника компании сводится к тому, что он может использовать несколько каналов - персональный почтовый аккаунт компании, а также личный ящик на бесплатном сервере типа Mail.Ru (рис. 12.14):

Рис. 12.14. Схема работы с почтой. Иллюстрация СофтИнформ.

Корпоративный почтовый сервер может хранить отправленные сообщения, поэтому в случае утечки данных источник будет быстро найден. Но что мешает сотруднику использовать личный ящик на Mail.Ru? Конечно, мы уже знаем, что при использовании прокси-сервера (UserGate) сайт почтового сервера общего доступа может быть блокирован. Но их очень много - www.gmail.com, http://mail.yandex.ru/, http://mail.rambler.ru/, www.mail.yahoo.com... Всех их заблокировать невозможно, а продвинутые пользователи еще могут использовать веб-анонимайзеры, для того чтобы добираться до своих ящиков.

Радикальное решение проблемы - установить почтовый снифер, который вообще перехватывает весь почтовый трафик (рис. 12.15):

Рис. 12.15. Почтовый снифер. Иллюстрация СофтИнформ.

SearchInform MailSniffer (http://www.searchinform.com/search-site/ru/main/full-text-search-information-security-mail-sniffer.html) перехватывает все сообщения, а также почтовые вложения, помещая их в специальную базу. Неважно, использует ли сотрудник корпоративную почту или бесплатный сервер - все сообщения, отправляемые с рабочего места будут доступны для чтения сотрудниками безопасности. Можно настроить систему на оповещение при обнаружении запрещенных слов (вроде "для служебного пользования", "Бухгалтерский отчет за третий квартал") или вложенных документов. Поиск, как обычно, ведется с учетом морфологии слова ("отчет", "отчета", "отчеты"). Возможность просматривать переписку конкретного сотрудника позволит сосредоточить внимание на проблемном кадре.

Многоуровневая система слежения позволит распределить работу. Начальники отделов смогут видеть письма только сотрудников своих отделов, подчиненные - только свои собственные письма (рис. 12.16):

Рис. 12.16. Распределенная система доступа MailSniffer. Иллюстрация СофтИнформ.

Ну а директор, при желании может видеть почту любого сотрудника, в том числе и начальников отделов. Впрочем, эта схема может быть гибко настроена. Например, начальник нескольких отделов будет видеть почту всех своих отделов.

Цена комплекса MailSniffer с лицензией на пять компьютеров составляет порядка 1500$ на момент написания курса. Этот момент очень важен - даже небольшая компания вполне может позволить такую покупку. Не следует думать, что только при устройстве в корпорацию Вас ждут такие (неприятные) ограничения.

А как связано предлагаемое программное решение с вопросами этики? Мы с детства знаем, что читать чужие письма - нехорошо. Но ведь и выносить документы компании с грифом "для служебного пользования" тоже ведь плохо? Поэтому здесь мы видим всего лишь противодействие - пусть и не совсем этичное, но противодействие тоже не совсем этичным действиям.

IMSniffer

Программы для мгновенного обмена сообщениями сейчас используются во многих компаниях в качестве средства работы. Онлайн-консультации, переговоры, уточнения контрактов - все это можно сделать через ICQ или QIP. Впрочем, через ICQ можно отправить кучу документов компании, а также часами болтать ни о чем (вместо работы), обсуждая шефа и коллег.

SearchInform IMSniffer - программа, предназначенная для перехвата сообщения различных Интернет-пейджеров. Опять-таки, перехват осуществляется на уровне протоколов, следовательно практически невозможно защитить свою переписку. Как и для программы MailSniffer, сотрудники безопасности могут отлавливать запрещенные слова, а также осуществлять поиск в базе сообщений.

DeviceSniffer

Для того чтобы сотрудники не уносили сверхсекретные документы, можно снять все CD и DVD дисководы, закрыть кейсы компьютеров на замки, а USB - порты залить клеем "Момент". Но подобное решение проблемы содержит очевидные недостатки. Разумное решение проблемы контролирования записываемых материалов заключается в установке системы SearchInform DeviceSniffer позволяющей перехватывать информацию, записываемую через USB-порты или отправляемые на запись CD/DVD дисков. Как и других сниферах, вся перехватываемая информация помещается в специализированное хранилище.

PrintSniffer

Если сотрудники пользуются рабочим принтером для распечатки литературных произведений - это не очень хорошо. Впрочем, цена картриджей для принтеров вполне может позволить не думать о таких издержках рабочего процесса. Но совсем плохо, если сотрудники будут печатать подотчетные бланки и неучтенные копии документов. Разобраться с этим можно с помощью SearchInform PrintSniffer - программы, перехватывающей содержимое всех документов, отправляемых на печать. Как обычно, программу можно настроить на поиск определенных слов или предложений. При их обнаружении в распечатываемых материалах оповещение будет отправлено сотруднику службы безопасности.

PrintSniffer также позволяет автоматически создать банк всех распечатываемых документов.

Alert Center

Само по себе, перехватывание документов не позволит предотвратить утечку информации. В самом деле, сотрудник может записать к себе на внешний жесткий диск всю базу документов и вынести ее. Запись в базе позволит лишь найти виновника, однако материалы могут быть уже переданы (или проданы). Для оперативного вмешательства необходимо отслеживать работу всех сниферов в режиме реального времени. Для этого предназначена программа SearchInform Alert Center, представляющая собой единый центр мониторинга (рис. 12.17):

Рис. 12.17. Схема работы SearchInform Alert Center. Вся система образовывает контур информационной безопасности. Иллюстрация СофтИнформ.

SearchInform Alert Center отслеживает работу всех сниферов и при обнаружении какого-либо нарушения отправляет сообщение по электронной почте сотруднику службы безопасности. Далее, конечно, могут принимать меры только люди.

Система, включающая в себя комплекс сниферов, систему оповещения, а также специальный сервер SearchInform Server, компанией СофтИнформ называется контуром информационной безопасности.

Подведем некоторые итоги. Даже в небольшой компании может быть внедрена система контроля практически за всеми действиями сотрудника в Интернете. Поэтому не стоит отвечать на личную почту, находясь на рабочем месте. Даже если сообщения не будут содержать глобальных угроз для компании и за них не последуют репрессии, все равно, ваша почта станет доступной, по меньшей мере сотрудникам службы безопасности, а это ведь не так приятно? Не нужно обсуждать в "аське" своего начальника и коллег - может быть шеф сам любит просматривать логи программы Alert Center? Он будет рад узнать о себе честное мнение. Также не следует от нечего делать, лениво, в "поисках лучшего места" рассылать свои резюме с настоящей работы. Неизвестно, как руководство воспримет Ваши мысли по поводу перехода на новую работу. Может быть, ускорит процесс, дав вам срок в две недели? Которые будут наполнены ощущениями бдительного и неусыпного контроля.

Что касается системы глобального слежения… В документе "Технология полнотекстового поиска" компании СофтИнформ использовался самый обычный компьютер с такими характеристиками: CPU AMD Athlon 2,2 ГГц, RAM 2 Гб DDR400. Он продемонстрировал вполне удовлетворительную работу по индексации текстовых документов. Но ведь это же обычный компьютер, не правда ли? Следовательно, для внедрения контура информационной безопасности на предприятии совсем не нужен суперкомпьютер. Суперкомпьютеры можно оставить для суперзадач.