Get best of the week

Hack visual: qué amenaza y cómo protegerse del espionaje

Hola Habr!

Me llamo Alisa Shevchenko. En 3M, trabajo en el departamento de protección contra piratería visual, que hace películas en pantallas, para la protección visual de datos. Entre otras cosas, les explico a los usuarios por qué llevar documentos secretos sin carpetas y enviar capturas de pantalla de software interno es una mala idea. Durante mucho tiempo me he estado preguntando qué porcentaje de todos los hacks de alto perfil sobre los que escriben los medios comienza con una fuga de datos visuales. Durante la búsqueda reuní mucha información interesante: resultados de encuestas, ejemplos de piratería visual, nociones de revistas científicas populares. Compartiré los hallazgos más interesantes.

Por cierto, ahora esto es más relevante que nunca: las estadísticas dicen que, incluso antes del autoaislamiento, los empleados no protegían mucha información de espiar, y mientras trabajaban desde casa, se relajaban por completo. Mientras tanto, la filtración de datos confidenciales puede tener graves consecuencias, incluida la responsabilidad penal.

imagen

Ejemplos de piratería visual


Hoy, cuando los trabajos se vuelven más móviles, los medios tradicionales de protección, al menos software, al menos hardware, han dejado de ser una panacea. Si es que alguna vez podrían reclamar ese papel.

Cada vez más empresas permiten que los empleados traigan sus propios dispositivos (BYOD) para el trabajo. Cada vez más personas trabajan con información confidencial de lugares inseguros: en oficinas de tipo abierto, cafeterías, salones de aeropuertos, transporte público.

El contenido solo pide que sea visto o fotografiado por otra persona, sentado cerca o simplemente de paso. Sobre todo teniendo en cuenta el hecho de que ahora todos tienen cámaras potentes en los teléfonos inteligentes.

Cuando alguien olvida cercar sus pantallas e impresiones de miradas indiscretas, corre el riesgo de ser víctima de piratería visual. Tales vergüenzas surgen de vez en cuando:

  • Un funcionario del gobierno del Reino Unido tomó un tren frente a su computadora portátil, con datos confidenciales en la pantalla. El periodista que viajaba en el mismo auto tomó una foto del pobre hombre y escribió una historia sobre él en los medios nacionales. [2]

    imagen

  • A través de las ventanas de la sucursal de Bank of America en San Petersburgo, los transeúntes podían ver los datos personales de los clientes del banco. [3]
  • Un empleado de la mesa de ayuda, sucumbiendo a los trucos del estafador, le proporcionó capturas de pantalla del sistema corporativo de TI. Estas capturas de pantalla ayudaron al villano a revertir el sistema de TI y piratearlo. [4]
  • , , 10 ( - ) . , . [5]

    imagen
  • , , 10. , . . - . [6]

    imagen

¿Con qué frecuencia ocurren tales vergüenzas? ¿Y de dónde crecen sus piernas? Para entender esto, estudié los resultados de las encuestas abiertas y recopilé algunas estadísticas. Como saben, estaba interesado en la fuga de datos de los monitores, así que aquí están los hechos más interesantes al respecto.

Casi el 90% de los empleados están en riesgo, pero solo el 30% está protegido contra la piratería: extractos de encuestas.

Al menos el 50% de las empresas permiten a los empleados traer sus propios dispositivos (BYOD) para el trabajo. [1] El 90% de los empleados adictos a BYOD trabajan no solo en la oficina, sino también en el transporte público: camino al trabajo y camino a casa [10], dedicando de 7 a 14 horas a la semana en esto [9]. La mayoría de ellos están seguros de que su actividad es imposible sin acceso móvil a correo electrónico y mensajería instantánea.

El 80% de los pasajeros del transporte público leen en las pantallas de otras personas al menos una vez; La misma imagen se observa entre los invitados del catering. El 80% de los empleados de oficina no excluyen que alguien externo y no autorizado pueda espiar información confidencial de su pantalla. El 80% de los gerentes están seguros de que los empleados de su empresa no se sorprenderán de proteger sus pantallas de la vista de extraños. [1]

Encontré tales datos en fuentes abiertas. Además, también inició una encuesta por separado de una audiencia empresarial, implementada conjuntamente con el grupo de consultoría Tecart. Participaron representantes de más de 200 empresas extranjeras y rusas del sector financiero (bancos, seguros), consultoría, telecomunicaciones, productos farmacéuticos, fabricación, construcción y comercio. El 72% de los encuestados son gerentes senior y intermedios.

Resultó que el 86% de los empleados de cualquier empresa trabajan con datos personales o confidenciales. El 54% trabaja en oficinas de tipo abierto. El 19% realiza viajes de negocios más de 10 veces al año.

imagen
Diagrama 1. Frecuencia de los viajes de negocios,% del número total de encuestados

28% notó que estaban espiando en su pantalla. Alrededor del 30% toma algunas medidas al respecto.

Aproximadamente el mismo número de encuestados (31% de representantes de compañías internacionales y 20% de compañías rusas) dijo que sus compañías prestaron atención al tema de la seguridad.

imagen
Gráfico 2. La proporción de empresas que se preocupan por la seguridad de los dispositivos corporativos, por sector de actividad

Entre las medidas de protección visual más comunes (personales o corporativas):

  1. minimización de ventanas de trabajo,
  2. bloqueo de pantalla,
  3. expandiendo la pantalla para que los extraños no puedan mirarla,
  4. diferenciación de lugares de trabajo en la oficina (oficina separada, mesa extendida desde una ventana, partición, etc.),
  5. movimiento solo en transporte corporativo.

También descubrimos cuántas personas usan películas protectoras. Resultó que solo hay un 5% de ellos. Aunque esta es una solución simple y obvia.

imagen

Ya escribimos sobre películas protectoras hace 7 años en otra publicación sobre Habré [7], directamente sobre lo que la física, la óptica y la química están detrás, por lo que no me repetiré.

De la encuesta también quedó claro qué dispositivos corporativos tienen más demanda. El 72% usa computadoras portátiles, el 46% usa computadoras de escritorio, el 40% usa teléfonos inteligentes y el 8% usa tabletas.

Cómo los paranoicos se protegen del hackeo visual


Cuando vi que solo el 5% usaba películas protectoras, comencé a buscar lo que la gente generalmente hace para protegerse contra el pirateo visual. Al profundizar en revistas científicas populares, me encontré con un artículo [8] en IEEE Transactions on Consumer Electronics. Allí se describe una forma interesante de protección. No quiero juzgar qué tan práctico es, pero fue interesante conocerlo. Doy una descripción como una digresión lírica.

Esquemáticamente, la protección se ve así:

imagen

Ella tiene software y hardware. Realiza un seguimiento de las personas no autorizadas (en el sentido literal y figurado de la palabra) que miran su pantalla. Habiendo notado a un extraño, la protección crea efectos visuales en la pantalla (manipula el brillo y el contraste) para que el extraño no pueda ver lo que no debe ver. Con brillo o contraste reducidos, solo el usuario ve el contenido de la pantalla.

La parte de hardware de la nave incluye tres sensores: una cámara de video, un buscador de rango ultrasónico y un sensor de luz ambiental. La nave funciona de la siguiente manera.

imagen

Tome fotogramas de una videocámara. Busca allí pares de ojos que miran la pantalla. Cuenta cuántas personas lo hacen. Si hay más de uno, entonces ajusta el brillo y el contraste en la pantalla. Además, regula teniendo en cuenta qué tan lejos está el usuario de la pantalla y qué tipo de iluminación está a su alrededor.

Cinco pasos para la seguridad visual de tus gadgets


Según los resultados de las encuestas, hemos preparado recomendaciones que ayudarán a garantizar la seguridad visual. Estas recomendaciones son relevantes principalmente para aquellos gerentes y empleados que viajan regularmente en viajes de negocios o trabajan en una oficina de espacios abiertos, así como para trabajar de forma remota.

  1. Primero, averigüe cuál de sus datos es confidencial. Clasifíquelos según cuán críticos sean. Este paso facilita la configuración del acceso a los datos basado en roles.
  2. , , . , . . , (, ) .
  3. , . -: ( , ) – , (, Wi-Fi) – .
  4. , . , , .
  5. . , .

Parece ser recomendaciones obvias, especialmente la última. Pero los resultados de la encuesta y numerosas vergüenzas, como las descritas al comienzo del artículo, indican que todavía tenemos algo por lo que luchar en términos de proporcionar seguridad visual.

Bibliografía

1. multimedia.3m.com/mws/media/950026O/secure-white-paper.pdf
2. www.dailymail.co.uk/news/article-1082375/The-zzzzivil-servant-fell-asleep-train- laptop-secrets-view.html
3. multimedia.3m.com/mws/media/950026O/secure-white-paper.pdf
4. www.ey.com/Publication/vwLUAssets/EY_Data_Loss_Prevention
5. www.telegraph.co.uk /news/politics/8731143/Minister-accidentally-reveals-Afghanistan-documents.html
6.www.telegraph.co.uk/news/uknews/5129561/Bob-Quick-resigns-over-terror-blunder.html

More articles:


All Articles