Мы живём в удивительное время. Наиболее дефолтная операционная система таит в себе столько неочевидных возможностей, что не написать агент-перехватчик действий пользователя могут только две категории людей – не пишущие кода вообще, и не пишущие такой агент по религиозным соображениям.
Логичный шаг после написания – монетизировать плоды своего труда. Опять же, в зависимости от трудолюбия кодера и его понятий о справедливости – на выходе получаем или банальный троян, или «эффективный инструмент для обеспечения информационной безопасности». Первое обычно маленькое, ищет конкретную узкую информацию, например – номера кредиток, и монетизируется нелегально. Проблемы пользователей такого ПО мы в сегодняшней статье рассматривать не будем.
Второе – громоздко, потому что «перехватывает вообще всё» но зато вполне легально продаётся. Вот на судьбе покупателя и остановимся поподробнее. Легче всего покупателю, который приобрёл систему защиты для того, чтоб уличить жену в измене путём снятия логов платочка, простите, вконтакта. Жена у него, будем надеяться, одна, вконтакты пишет часа четыре в сутки, то есть на чтение написанного уйдёт максимум час.
А если речь идёт о больших массивах информации? В бытность студентом – сталкивался с ситуацией, когда в дипломном проекте… нет, не на сто сорок второй странице надпись «декан – балбес». Сто сорок второй страницы просто не было. Равно как и двух десятков страниц до и после неё. Разумеется, ни руководитель проекта, ни рецензенты, ни кто там ещё обязан диплом читать – этого не заметили. Студентов много, папки толстые, результат – очевиден. А теперь представим вместо преподавателей – офицера безопасности с сотней-другой пользователей под контролем. Ситуация – та же, только не раз в году, а ежедневно. С аналогичной вероятностью вовремя обнаружить инцидент.
Соответственно – стоит задача не только снять лог, но и обратить внимание безопасника на тот его участок, который действительно похож на то, что он ищет. Отбросить в сторону кристаллы сваровски, или хотя бы большую их часть. Дав возможность искать алмаз не в ведре стекла, а выбирая из двух-трёх похожих. Сколько таких систем существует на рынке? Как я в очередной раз убедился – на порядок меньше, чем упомянутых выше «перехватывающих вообще всё». Ну и как объяснять потенциальному клиенту, чем наша система лучше? И почему про ту мы первый раз в жизни слышим?
Впредь – буду путём ссылки на эту статью. Ну да, нескромно. Но мы станем скромными, когда прочие наши достоинства исчезнут.
Александр Ерощев
специалист по информационной безопасности компании SearchInform
специалист по информационной безопасности компании SearchInform