Get best of the week

Visual hack: o que ameaça e como se proteger de espionagem

Olá Habr!

Meu nome é Alisa Shevchenko. Na 3M, trabalho no departamento de proteção contra hackers visuais, que faz filmes em telas - para a proteção visual de dados. Entre outras coisas, explico aos usuários por que não é recomendável carregar documentos secretos sem pastas e enviar capturas de tela de software interno. Há muito tempo que me pergunto qual a porcentagem de todos os hacks de alto perfil sobre os quais a mídia escreve começa com um vazamento visual de dados. Durante a pesquisa, reuni muitas informações interessantes: resultados de pesquisas, exemplos de hackers visuais, noções de revistas científicas populares. Vou compartilhar as descobertas mais interessantes.

A propósito, agora isso é mais relevante do que nunca - as estatísticas dizem que mesmo antes do auto-isolamento, os funcionários não protegiam muita informação da espionagem e, enquanto trabalhavam em casa, relaxavam completamente. Enquanto isso, o vazamento de dados confidenciais pode ter sérias conseqüências, incluindo responsabilidade criminal.

imagem

Exemplos de hackers visuais


Hoje, quando os empregos estão se tornando mais móveis, os meios tradicionais de proteção - pelo menos software, pelo menos hardware - deixaram de ser uma panacéia. Se pudessem reivindicar esse papel.

Mais e mais empresas permitem que os funcionários tragam seus próprios gadgets (BYOD) para o trabalho. Mais e mais pessoas trabalham com informações confidenciais de locais inseguros: em escritórios abertos, cafés, saguão do aeroporto, transporte público.

O conteúdo apenas pede para ser visualizado ou fotografado por outra pessoa - sentado próximo ou apenas passando. Especialmente considerando o fato de que todos agora têm câmeras poderosas em smartphones.

Quando alguém esquece de proteger suas telas e impressões com olhares indiscretos, corre o risco de se tornar vítima de hackers visuais. Tais embaraços surgem de vez em quando:

  • Um funcionário do governo do Reino Unido pegou um trem na frente de seu laptop, com dados sensíveis na tela. O jornalista que estava andando no mesmo carro tirou uma foto do pobre sujeito e escreveu uma história sobre ele na mídia nacional. [2]

    imagem

  • Pelas janelas da filial do Bank of America em São Petersburgo, os transeuntes podiam ver os dados pessoais dos clientes do banco. [3]
  • Um funcionário do suporte técnico, sucumbindo aos truques do fraudador, forneceu a ele capturas de tela do sistema de TI corporativo. Essas capturas de tela ajudaram o vilão a reverter o sistema de TI e cortá-lo. [4]
  • , , 10 ( - ) . , . [5]

    imagem
  • , , 10. , . . - . [6]

    imagem

Com que frequência ocorrem esses embaraços? E de onde crescem as pernas? Para entender isso, estudei os resultados de pesquisas abertas e coletei algumas estatísticas. Como você sabe, eu estava interessado no vazamento de dados dos monitores, então aqui estão os fatos mais interessantes sobre o assunto.

Quase 90% dos funcionários estão em risco, mas apenas 30% estão protegidos contra hackers: extratos de pesquisas

Pelo menos 50% das empresas permitem que os funcionários tragam seus próprios gadgets (BYOD) para o trabalho. [1] 90% dos funcionários viciados em BYOD trabalham não apenas no escritório, mas também no transporte público: a caminho do trabalho e a caminho de casa [10], gastando de 7 a 14 horas por semana nisso [9]. A maioria deles tem certeza de que suas atividades são impossíveis sem acesso móvel a e-mail e mensageiros instantâneos.

80% dos passageiros do transporte público lêem nas telas de outras pessoas pelo menos uma vez; a mesma imagem é observada entre os convidados do buffet. 80% dos funcionários do escritório não excluem que alguém de fora e não autorizado possa obter informações confidenciais em sua tela. 80% dos gerentes têm certeza de que os funcionários de sua empresa não ficarão intrigados ao proteger suas telas da visualização de estranhos. [1]

Encontrei esses dados em fontes abertas. Além disso, também iniciou uma pesquisa separada com um público empresarial, implementada em conjunto com o grupo de consultoria Tecart. Participaram representantes de mais de 200 empresas estrangeiras e russas do setor financeiro (bancos, seguros), consultoria, telecomunicações, produtos farmacêuticos, manufatura, construção e comércio. 72% dos entrevistados são gerentes seniores e médios.

Verificou-se que 86% dos funcionários de qualquer empresa trabalham com dados pessoais ou confidenciais. 54% trabalham em escritórios abertos. 19% fazem viagens de negócios mais de 10 vezes por ano.

imagem
Diagrama 1. Frequência de viagens de negócios,% do número total de participantes

28% notaram que estavam espionando na tela. Cerca de 30% realizam algumas ações nesse sentido.

Aproximadamente o mesmo número de entrevistados (31% dos representantes de empresas internacionais e 20% das empresas russas) disse que suas empresas prestavam atenção à questão da segurança.

imagem
Gráfico 2. A parcela de empresas que se preocupam com a segurança de dispositivos corporativos, no contexto de áreas de atividade

Entre as medidas de proteção visual mais comuns (pessoais ou corporativas):

  1. minimização de janelas de trabalho,
  2. Bloqueio de tela,
  3. expandindo a tela para que pessoas de fora não possam olhar para ela,
  4. diferenciação dos locais de trabalho no escritório (escritório separado, mesa espalhada por uma janela, divisória etc.),
  5. movimento apenas no transporte corporativo.

Também descobrimos quantas pessoas usam filmes protetores. Descobriu-se que existem apenas 5% deles. Mesmo que essa seja uma solução simples e óbvia.

imagem

Já escrevemos sobre filmes de proteção há 7 anos em outro post no Habré [7], até o que está por trás da física, da óptica e da química, então não vou me repetir.

A partir da pesquisa, também ficou claro quais aparelhos corporativos são mais procurados. 72% usam laptops, 46% usam computadores desktop, 40% usam smartphones e 8% usam tablets.

Como os paranóicos se protegem contra hackers visuais


Quando vi que apenas 5% usavam filmes de proteção, comecei a procurar o que as pessoas geralmente fazem para proteger contra hackers visuais. Investigando revistas de ciências populares, deparei-me com um artigo [8] no IEEE Transactions on Consumer Electronics. Uma maneira interessante de proteção é descrita lá. Não quero julgar como é prático, mas foi interessante familiarizá-lo. Eu descrevo como uma digressão lírica.

Esquematicamente, a proteção fica assim:

imagem

Ela tem software e hardware. Ele rastreia pessoas não autorizadas (no sentido literal e figurativo da palavra) que olham para a tela. Tendo notado um estranho, a proteção cria efeitos visuais na tela (manipula brilho e contraste) para que o estrangeiro não possa ver o que não deve ver. Com brilho ou contraste reduzidos, apenas o usuário vê o conteúdo da tela.

A parte de hardware da nave inclui três sensores: uma câmera de vídeo, um telêmetro ultrassônico e um sensor de luz ambiente. O ofício funciona da seguinte maneira.

imagem

Tire fotos de uma câmera de vídeo. Ele procura por olhos emparelhados que olham para a tela. Conta quantas pessoas fazem isso. Se houver mais de um, ele ajusta o brilho e o contraste na tela. Além disso, regula levando em consideração a distância do usuário da tela e que tipo de iluminação está ao seu redor.

Cinco etapas para a segurança visual dos seus gadgets


Com base nos resultados das pesquisas, preparamos recomendações que ajudarão a garantir a segurança visual. Essas recomendações são relevantes principalmente para os gerentes e funcionários que viajam regularmente em viagens de negócios ou trabalham em um escritório em espaço aberto, bem como para trabalhar remotamente.

  1. Primeiro, descubra quais dos seus dados são confidenciais. Classifique-os de acordo com o quanto eles são críticos. Esta etapa facilita a configuração do acesso baseado em funções aos dados.
  2. , , . , . . , (, ) .
  3. , . -: ( , ) – , (, Wi-Fi) – .
  4. , . , , .
  5. . , .

Parece ser recomendações óbvias, especialmente a última. Porém, os resultados da pesquisa e vários embaraços, como os descritos no início do artigo, gritam que ainda temos algo a ser buscado em termos de segurança visual.

Bibliografia

1. multimedia.3m.com/mws/media/950026O/secure-white-paper.pdf
2. www.dailymail.co.uk/news/article-1082375/The-zzzzivil-servant-fell-asleep-train- laptop-secrets-view.html
3. multimedia.3m.com/mws/media/950026O/secure-white-paper.pdf
4. www.ey.com/Publication/vwLUAssets/EY_Data_Loss_Prevention
5. www.telegraph.co.uk /news/politics/8731143/Minister-accidentally-reveals-Afghanistan-documents.html
6.www.telegraph.co.uk/news/uknews/5129561/Bob-Quick-resigns-over-terror-blunder.html

More articles:


All Articles