Очевидное-невероятное

Может быть, вы помнить новость о том, что компания Yahoo планирует продавать старые почтовые ящики, которые не нужны бывшим пользователям? Вы можете удивиться, но она таки их продает. Да-да, если у вас есть был старый ящик на Yahoo, которым вы давно не пользовались, с каким-нибудь интересным адресом (ну, вроде benladen@yahoo.com), то им может уже давно владеть какой-нибудь обеспеченный американец, готовый уплатить целых два бакса за ящик на бесплатном почтовом сервисе.

Трудно понять, то ли у Yahoo с головой всё плохо, то ли с деньгами трудно.  Ведь с самого начала было понятно, к чему подобные нововведения приведут. Во всяком случае, в нашем корпоративном блоге я писал об этом уже достаточно давно, так что даже позволю себе процитировать:

Человек, получив имя чьего-то удаленного за неиспользование ящика, получает и корреспонденцию, которую на этот ящик будут по привычке отсылать те, кто знал о его существовании. А ведь есть ящики, которые, к примеру, принадлежат умершим людям. Тот, кто не знал об их смерти, может послать какие-то документы на этот адрес. Вот вам и утечка информации. Думаю, когда об инициативе Yahoo узнают киберпреступники, и они смогут серьезно пополнить бюджет компании, выискивая нужные себе адреса.

С большим трудом могу поверить в то, что в Yahoo не нашлось ни одного человека, который бы смог предположить такое развитие событий. Мне кажется, что даже человеку, бесконечно далекому от информационной безопасности, должно быть очевидно, что если ты продаешь кому-то старый почтовый ящик, то продаешь и всё, что с ним связано. Почему-то ни Facebook, ни Gmail, ни кто-либо еще не продает старые аккаунты пользователей. Неужели Yahoo почувствовали себя такими новаторами, что "забыли" об этой "мелочи"?!

Но самый кайф - это как Yahoo борется с тем, что получилось. 

Чтобы бороться с этим явлением, компания Yahoo реализовала в интерфейсе веб-почты новую кнопку «Не мое письмо».

Это вообще "высший полет", даже никаких комментариев не нужно.

В общем, если не хотите сесть в лужу, лучше включайте голову, придумывая какие-нибудь "инновации". А то можете стать хрестоматийным примером - только не успеха, а наоборот.

Как защитить своё устройство на меропрятии

Пока ИБ-тусовка обсуждает InfoSecurityRussia 2013, мы поговорим о некоторых общих закономерностях безопасного поведения на мероприятиях и презентациях, которые помогут вам защититься от утраты важных данных, которые имеются на вашем компьютере.

Вполне понятно, что в большинстве случаев организаторы конференций и семинаров, совершенно не планируют украсть ваши данные или сделать что-либо подобное противозаконное. Просто всегда там, где много людей, есть опасность нахождения тех, кто станет заниматься этим в целях собственной наживы или, как говорят, just for lulz.

Самый "скользкий" момент - это, конечно, Wi-Fi на таких мероприятиях, не суть важно, "запароленный" или нет. Не пользуйтесь незащищенным соединением в таких местах, не отправляйте через него почту, не сидите в социальных сетях (хотя они вроде уже все используют HTTPS), и вообще, если можете не пользоваться таким интернетом, лучше не пользуйтесь ни для чего, кроме просмотра страничек.

Безопаснее (и зачастую весьма быстрее в плане скорости) будет подключение через мобильного оператора 3G или LTE. К сожалению, этот достаточно неплохой и удобный вариант не всегда возможен, поскольку, например, при проведении мероприятий за границей нужно будет приобретать SIM-карту местного оператора, на что может не хватить времени, или тратить огромные суммы на интернет в роуминге. Ещё бывает, что мероприятия проводятся в таких местах, где сотовая сеть банально «не ловит».

Что ещё можно посоветовать? Если у вас на компьютере установлен файрвол (а если вы ходите по таким мероприятиям, лучше будет его установить), то активизируйте в его настройках режим максимальной защиты.

Впрочем, всё это, на самом деле, только полумеры, которых достаточно для домашнего пользователя, но недостаточно для того, чтобы действительно чувствовать себя защищенным и спокойно работать через «гостевой» Wi-Fi с корпоративными документами и сервисами. Здесь требуется иной уровень безопасности, который может обеспечить созданная компанией VPN – виртуальная частная сеть. Преимущества VPN заключаются, прежде всего, в простоте её использования при достаточно высокой степени защищенности, чего бывает непросто добиться без использования виртуальных частных сетей.

Конечно, в условиях медленного подключения VPN-соединение, «кушающее» и без того не слишком мощный канал, может оказаться просто-таки непозволительной роскошью. Для таких случаев, действительно, стоит брать с собой 3G или LTE-модем, или подключаться к сети через мобильный телефон. Но даже в таком случае использование VPN при мобильном подключении к интернету будет совсем не лишней предосторожностью.

Новая жизнь биометрии

Вчерашний пост о биометрии в новом iPhone натолкнул меня немного пофилософствовать на тему того, где еще в нашей жизни можно было бы использовать биометрические технологии и как это может быть связано с мобильными устройствами. Этот пост не претендует на звание пророчества Нострадамуса, поэтому прошу не судить строго:) И еще прошу поделиться своими мыслями по этому поводу, если они есть, конечно же.

Самый первый кандидат на использование биометрической аутентификации - это, конечно же, очки дополненной реальности. Самые известные - конечно же, Google Glass, но будут и другие. Эти очки так и просятся добавить в них сенсор для распознавания радужки глаз, которая, как известно, подходит для аутентификации едва ли не лучше, чем даже рисунок на подушечке пальца. Раньше я, правда, не слышал ничего о планах Google по поводу такой функциональности девайса, но, думаю, после выхода iPhone 5S очень многое может поменяться.

Далее на очереди - "умные" часы, которые, кстати, уже потихоньку завоёвывают рынок. Конечно, подносить их к глазу или водить по ним пальцами не очень удобно, поэтому здесь отличным решением может стать аутентификация по уникальному рисунку пульса, который тоже индивидуален для каждого человека. Хотя это, наверное, будет сложнее, чем сенсор для радужки, потому что есть люди с разными сердечными проблемами (аритмия и т.д.), которые не смогут полноценно пользоваться таким способом аутентификации. Да и сенсор для часов будет явно дороже сенсора для очков. 

Впрочем, поскольку часы, в отличие от очков, скорее всего, будут только дополнительным устройством, работающим с данными смартфона, поэтому отдельного способа для аутентификации им может и не понадобиться. Хотя в них, напротив, можно вынести аутентификацию для доступа к самому смартфону, оставив, правда, альтернативный способ входа - вроде того же отпечатка пальцев.

Может быть, в более далеком будущем биометрия будет использоваться и более широко, но тут уже моей фантазии не хватает:) Прошу вашей помощи в комментариях, дамы и господа!

Сделает ли выход iPhone 5S более популярной биометрическую аутентификацию?

Глядя на очереди за новым "яблофоном", не устаешь восхищаться покойным Стивом Джобсом и выращенной его трудолюбивыми руками компании. Всё-таки, что ни говори, iPhone если и не изменил мир, который мы знаем, то, во всяком случае, задал моду на смартфоны на долгие годы и стал катализатором массового распространения планшетов.
Можно долго спорить о том, насколько хорош iPhone вообще и модель 5S в частности, можно до хрипоты спорить и о самой Apple. Но что не вызывает сомнения - это то, что сегодня именно Apple определяет тренды в развитии линеек мобильных устройств практически всех производителей. И поскольку новшества в iPhone 5S  в значительной мере коснулись обеспечения безопасности этого культового устройства, их перенимание другими производителями лично меня бы только порадовало.
На мой взгляд, с тем какое количество информации хранится на смартфоне пресловутого "менеджера среднего звена", и тем, как все пользователю любят пароли, хороших вменяемых альтернатив биометрической аутентификации сегодня просто-напросто нет. Так что Apple, в общем-то, реализовала то, что витало в воздухе.
В отличие от других имеющихся уже сегодня методов (распознавание лица, рисунок по экрану и т.д.), биометрия гарантирует минимальный процент ложных срабатываний. И не требует от пользователя напрягаться, что в современном консьюмерском мире ценится едва ли не больше, чем даже сама безопасность, которую биометрическая аутентификация обеспечивает. В общем, одни плюсы.
Думаю, что Samsung обязательно представит биометрическую аутентификацию в своих новых смартфонах (если она будет реализована в Android, конечно). Ну и, конечно, по своей привычке, корейцы постараются "уделать" iPhone по функционалу. Рискну предположить, что кроме аутентификации по отпечатку пальца будет предложена еще и аутентификация, скажем, по рисунку радужной оболочки глаза. Это и сегодня можно сделать камерой хорошего смартфона, просто написав соответствующий софт.
Ну, а за Самсунгом должны подтянуться и остальные. Что очень хорошо.
Вот так Apple в очередной раз двигает инновации и делает мир безопаснее. Хорошо, что в мире есть такие компании.

Где и как почерпнуть знания о практике применения DLP

Проблема, которую я неоднократно затрагивал в своих постах, все еще актуальна для большинства безопасников, даже для далеко не новичков в своем деле. Она заключается в обилии теоретической информации (в книгах, в Сети, на учебных курсах) при нехватке информации сугубо практической.

Ещё Маркс замечал, что практика -  критерий истины, то есть, на голой теории далеко не уедешь. Любой активно работающий безопасник, конечно, получает массу практических знаний из собственного опыта, но такой путь их получения неизбежно сопряжен с множеством допускаемых им ошибок. Кто не падал, когда учился ходить? Только "синяки и шишки", которые набивают безопасники во время своей учебы, могут стоить компании, в которой они работают, чересчур дорого. Но и не учиться тоже никак нельзя. Налицо проблема, которая требует разрешения.

По моему глубокому убеждению, единственным её решением может быть постоянное общение с практиками, являющимися признанными экспертами в своей отрасли, которые смогут ответить на практически любые по сложности вопросы, связанные так или иначе со сферой ИБ, показать какие-то приемы, посоветовать готовые решения. Это всё здорово экономит и деньги, и время.

Всё это очень хорошо, но где взять достаточное количество опытных безопасников, с которыми можно поговорить о наболевшем, посоветоваться? Очевидно, что проще всего это сделать на профильных мероприятиях. Там обычно и "тусуются" разные "звезды" в сфере ИБ, которые вряд ли встретятся вам где-либо еще.

Но самая большая проблема профильных мероприятий заключается в том, что они обычно проходят в центре, по регионам никто не ездит. Хотя в разных регионах, в связи с особенностями законодательства и менталитета, а также сложившихся реалий среды, актуальными будут разные ответы на один и тот же вопрос. Поэтому глубо будет не сходить на такое мероприятие, которое проходит буквально рядом с домом.

*Внимание, неприкрытая реклама*. Наша компания начинает ежегодное осеннее роад-шоу, которое в этом году посетит 24 (!) города в России, Украине и Казахстане. Подробности здесь. Приходите, будет интересно!

Защита от утечек данных с помощью презерватива

Еще вчера это казалось невозможным, но уже сегодня главным конкурентом нашей DLP-системы стала компания Durex. Шутка. Но в ней есть доля правды: для защиты, пусть и не совсем от утечек информации, теперь можно пользоваться презервативами, и это - отличная, на мой взгляд, тема для пятничного поста.

Итак, USB-кондом. Это устройство, соответствуя названию, надевается на USB-кабель и банально отсекает шины данных на входе (оставляя только контакты массы и +5V для зарядки), что соответственно делает невозможным какую-либо связь с устройством. Стоит в оригинале не много не мало — 10 убитых енотов.

http://habrahabr.ru/post/194316/

Если вам кажется, что это всё - происки досужих параноиков, уже предлагавших вам спрятать свой смартфон в непроницаемый для электромагнитного излучения мешок, то рекомендую внимательно ознакомиться со статьей по ссылке.

На конференции Black Hat 2013 проходящей в Вегасе специалист по безопасности Billy Lau успешно продемонстрировал взлом iPhone, когда телефон подключенный для зарядки по USB к его мини-компьютеру сам сделал звонок. В принципе он мог бы установить на телефон любую программу (не из Apple Store), которая могла бы себя глубоко интегрировать в операционную систему устройства и например позволяла бы отслеживать действия пользователя на смартфоне (набор на клавиатуре, в том числе пароля), его местоположение (GPS координаты), снимать и отсылать скриншоты экрана и т.д.

Так что если вы периодически заряжаете свой смартфон/планшет через USB (имеется в виду, не от розетки) в каком-нибудь малознакомом месте, то USB-презерватив для вас - достаточно полезная вещь, тем более, в силу простоты конструкции такое устройство вряд ли будет стоит заоблачных денег.

И всё-таки, что ни говори, досужие журналисты часто любят ставить такие заголовки, которые сбивают с толку обывателей. Этим грешит даже такой хорший и авторитетный ресурс, как "Хакер.ру". Потому что даже если компания закупит массово USB-кондомы для компьютеров сотрудников, кто помешает, во-первых, вынуть эти "предохранители" перед тем, как "сливать" данные на смартфон? Во-вторых, это решает (частично) проблему только для одного канала передачи данных. А что с остальными?

Наконец, вспомним про беспроводные "зарядки". Сегодня их становится всё больше. Уже некоторые умеют заряжать "айфоны" с 9-и метров. Думается, что в скором времени все USB-кондомы просто станут ненужными, потому что заряжаться девайсы будут без проводов.

Удачных всем выходных!

Всё для параноика

Каждый безопасник немного параноик. Именно поэтому я хочу немного прорекламировать в нашем блоге очень полезный для каждого параноика девайс, на который наткнулся в сегодняшней новостной ленте.

Думаю, что это за предмет, вполне понятно из этой картинки. Такой супер-чехол стоит 85 долларов, и, в принципе, если вы - Джулиан Ассанж, то он будет вам достаточно полезен. Мне же больше всего понравилась одна фраза из аннотации к этому чуду инженерной мысли:

Вычислить, где находится человек, элементарно. При этом говорить по телефону или отправлять сообщения объекту слежки необязательно. Даже если аппарат выключен, сотовый оператор его все равно «видит». Более того, мобильник транслирует сигнал даже с вытащенным аккумулятором. В современных аппаратах их два: одна батарея питает в рабочем режиме, другая предусмотрена для так называемого «полицейского режима». 

Создатели девайса нагнетают панику среди потенциальной аудитории своих потребителей, так что, думаю, в ближайшее время их дела пойдут в гору. Ну и слухи о "второй батарее", однозначно, станут очень популярными. Хотя лично у меня в iPhone хватает и одной, чтобы беспокоиться о том, что аппарат может посылать сигналы в космос даже будучи выключенным.

Мне, впрочем, кажется, что $85 - высокая цена даже для параноика. Если вы не прогуливали физику в школе и в институте, то должны быть в курсе того, что такое клетка Фарадея и с чем её едят. И, скорее всего, с помощью недорогих подручных материалов сможет сам сделать похожее устройство.

Тем не менее, при всей своей параноидальности идея подобного устройства очень сиптоматична. Она показывает, насколько современное общество перестало доверять устройствам, которыми пользуется. И чем дальше, тем доверия меньше. Производителям, наверное, стоит задуматься, а то все и правда перейдут на "убунтофоны".

Следуйте рекомендациям!

Существуют тысячи рекомендаций по информационной безопасности, выпущенных разными организациями. Понятно, что следовать каждой из них просто физически невозможно, но можно хотя бы постараться выбрать те из них, которые позволяют избежать максимально возможного числа ИБ-проблем и при этом сэкономить силы и деньги.

По моему глубокому убеждению, хороший безопасник всегда находится в поиске подобных рекомендаций, чтобы почерпнуть в них какие-то свежие идеи, которые могут пригодиться ему для расширения собственных требований к ИБ в компании, ну, или, во всяком случае, позволят узнать, что требуют от системы обеспечения ИБ его коллеги в других компаниях и даже странах.

К чему это я? К тому, что моя личная копилка подобных документов пополнилась новыми рекомендациями, что называется, Made in France:

Газета L'Express опубликовала меморандум, поступивший якобы от Кристофа Шонпи (Christophe Chantepy), руководителя аппарата премьер-министра Франции Жана-Марка Айро (Jean-Marc Ayrault), в котором приведены рекомендации членам правительства страны о безопасности использования мобильных телефонов.
Подробнее: http://www.securitylab.ru/news/444607.php

Сами рекомендации выглядят так:

• Пользоваться личными устройствами в корпоративных целях (BYOD) запрещено
• Вместо мобильных телефонов для голосовой связи нужно использовать стационарные, которые защищены технологией Thales' TEOREM
• Перед использованием смартфонов для чего либо, их необходимо защитить с технологиями ANSSI
• В ANSSI позаботятся о том, чтобы все данные были зашифрованы
• От TXT документов необходимо отказаться
• Данные даже низших уровней секретности необходимо передавать по безопасной электронной почте
• При поездке министра заграницу, его компьютер и телефон должны всегда находиться в одной комнате с ним
• Пароли должны состоять из 12-ти символов, среди которых буквы и цифры. Каждые 6 месяцев пароль нужно менять, на личных и рабочих устройствах должны использоваться различные комбинации
• Не нужно открывать вложения, если в их безопасности есть сомнения

Что могу сказать по их поводу? На мой взгляд, рекомендации вполне себе здравые. Особенно мне нравится запрет BYOD, который почему-то боятся вводить большое количество компаний и госорганизаций во всем мире, чтобы, не дай Бог, не обидеть ненароком "инициативных" работников, главная инициатива которых как раз и заключается в принесенном на рабочее место собственном устройстве.

Впрочем, среди хороших рекомендаций есть одна, которая мне не очень нравится. Она касается паролей. Посмотрие: если у них есть защищённые телефоны (а об этом нам говорят пп. 3 и 4 списка), топочему бы не организовывать двухфакторную аутентификацию? Почему бы кроме пароля (который меняется почему-то всего лишь раз в 6 месяцев) не обязать их использовать аппаратный токен и подтверждение по СМС? Хочешь работать - вставь токен, потом сможешь ввести пароль, после которого введёшь код из СМС. Думаю, что никто здесь не станет возражать, что такая схема будет куда эффективнее и безопаснее, чем так, которую предлагают сами французы.
Напоследок предлагаю немного пофантазировать. Давайте предположим, какие пункты будет включать список для наших министров? Жду ваших мнений в комментариях.

Рука руку моет

Мошенники и сотовые операторы - это две такие силы, которые не просто друг другу помогают, а, можно сказать, друг без друга просто не могут. Именно поэтому мобильных мошенничеств в современной России, пожалуй, едва ли не в разы больше, чем любых других. Как, в принципе, и в большинстве соседних стран.

Но мошенник мошеннику рознь. Кто-то распространяет обычный троян-"блокировщик", просящий отправить СМСку за "разблокирование" доступа в социальные сети или нелицензионную Windows, кто-то действует хитрее.

Мобильные мошенники стали торговать на бирже аккаунтами абонентов МТС, "Билайна" и "Мегафона", которые им удалось подключить к платным подпискам. Подобно казино, на каждого абонента можно делать ставку: сколько времени он не будет замечать списания денег с его счета. Партнерская сеть мошеннических веб-сайтов Jinconvert запустила биржу подписок. На ней партнеры сети могут торговать друг с другом аккаунтами абонентов МТС, "Билайна" и "Мегафона", которых их удалось подписать.
Отсюда

Первой моей реакцией было "с жиру бесятся?!". Потому что, простите, одно дело - торговать, к примеру, услугами ботнетов, которые, в принципе, мало страдают от активности антивирусов, потому что отток "почистившихся" пользователей с лихвой компенсируется новыми, и совсем другое - биржа таких подписчиков, которые, действительно, могут отписаться в самый неподходящий момент. Если ребятам так охота пощекотать себе нервы, могут съездить в Монако, Лас-Вегас или хотя бы в Белоруссию, поиграть в казино. Могут сходить в букмекерскую контору, еще куда-то - в конце концов, вариантов масса, зачем для этого еще подписывать кого-то на какие-то платные услуги?

Но "без лоха и жизнь плоха". Больше всего умиляет то, как с этими подписками "борются" сотовые операторы. Ведь давно уже известно, как они на самом деле "работают" в этом направлении. Кто не в курсе - обязательно почитайте на блоге Эльдара Муртазина. Текст достаточно большой, но он заслуживает внимания, так как описанная в нем схема может считаться классикой для отечественной (и не только) сотовой индустрии.

В общем-то, конечно, не буду утверждать, что все сотовые операторы плохие, и что каждый только и думает, как бы побольше заработать благодаря мошенникам. Просто это очень большие компании, где хватает бардака и сотрудников, которые пользуются служебным положением иногда во вред компании. (Вывод о DLP-системе напрашивается сам собой, поэтому не буду его тут озвучивать). Поэтому нужно быть начеку, чтобы и вами не торговали на Jinconvert'е.

День программиста, или программисты vs. безопасники

Сегодня в России и близлежащих странах отмечается достаточно молодой, но при этом и достаточно важный праздник - День программиста. Мы, специалисты по информационной безопасности, программистов часто недолюбливаем - и напрасно, ведь если бы не было их, то не было бы и нас. И всё-таки, такой праздник - повод  взглянуть ещё раз на отношения программистов и безопасников, может быть, просто под немного необычным углом.

Суть отношений можно выразить ёмкой фразой "сытый голодного не уразумеет". Здесь, правда, не сытый и голодный, а программист и безопасник. Программисту кажется, что безопасник видит проблему там, где её в принципе быть не может, ограничивает его полет фантазии, занимается бумагомарательством и крючкотворством. Безопаснику программист кажется гиком, которому "крутизна" той или иной "фичи" важнее, чем её практическая значимость для конечного пользователя продукта и, само собой, безопасность разрабатываемого приложения.

Что и говорить, вся современная индустрия софта говорит весьма красноречиво о том, что программисты с большим отрывом лидируют в этом заочном соревновании. Огромное количество продуктов создается безо всякой оглядки на соображения информационной безопасности, из-за чего потом возникает необходимость выпуска огромного количества патчей, которые пользователи потом ленятся скачивать и устанавливать. Впрочем, вина в этом лежит, скорее не на программистах, а на менеджерах, которые экономят на консультациях безопасников уже на этапе подготовки архитектуры продукта.

Тем не менее, большинство программистов, с которыми приходилось иметь дело по работе, были убеждены, что они гораздо лучше, чем безопасники, знают, как, где и когда применять те или иные средства и технологии, связанные с обеспечением ИБ. Что довольно печально, потому что, в конечном итоге, эффективность предлагаемых ими решений была достаточно невысока.

Но не будем омрачать праздник коллег по ИТ-цеху недовольным брюзжанием:) Будем надеяться, что безопасники и программисты всё-таки и дальше будут идти по пути нахождения общего языка, и благодаря этому софт будет становиться всё более безопасным. С праздником, дорогие друзья!

Инсайдер обиженный

Коль скоро мы занимаемся защитой компаний от утечек информации, приходится знать, кто и когда такие утечки организует. Поэтому давайте немного поговорим об инсайдерах - тех, кто распространяет корпоративные секреты ради каких-то собственных целей.

Инсайдеры бывают разные. Нет, не черные, белые, красные. У них бывают разные мотивы, и поэтому достаточно трудно предсказать, кто именно из сотрудников будет "сливать" ваши данные. Впрочем, кое-какую классификацию попробовать сделать вполне можно. Начнем же мы с самого распространенного, как показывает практика, вида - инсайдера обиженного.

Обида на работодателя - вещь распространенная и не всегда легко выясняемая. Часто мнимая, иногда вполне обоснованная – но при этом всегда достаточно сильная. Обижаются чаще всего не ранимые сотрудники женского пола, которые, видимо, достаточно быстро забывают обиду, рассказав о ней родственникам или подругам, а мужчины, которые носят её в себе и которые гораздо серьезнее относятся, например, к обвинениям в профессиональной некомпетентности. Чем выше статус человека как профессионала, чем больше внимания он уделяет ему, чем более ответственен и скрупулезен в работе, тем больше шансов на то, что замечание руководителя, особенно сделанное в грубой форме, вызовет сильную обиду и станет причиной появления желания отомстить начальству.

Конечно, далеко не всегда у руководителей получается держать себя в руках: иногда действия работников оказываются настолько раздражающими и неподходящими, что руководство просто не может не повысить голос, говоря «пару ласковых» слов. Но нужно понимать, что после такого срыва руководитель должен принести свои извинения и устроить детальный разбор оплошности, допущенной сотрудником. И что только понимание непредвзятости руководства может вернуть работнику желание дальше с ним сотрудничать.

Очень распространённая ошибка руководителей – публичная критика своих подчинённых. Такая критика всегда бьет особенно больно, поскольку понижает статус работника в глазах его коллег. Поэтому необходимо воздерживаться, насколько это возможно, от подобного рода критики, и дело здесь не только в защите от инсайдеров, но и в лояльности сотрудников, в целом, поскольку обсуждение недоработок и промахов на публике очень сильно подрывает её.

Поэтому безопасники должны держать на особом контроле тех работников, которые недавно имели какие-то взыскания со стороны руководителей или вступали с ними в конфликты. Очень может быть, что такие сотрудники захотят отыграться путем распространения закрытой корпоративной информации за пределами компании.

Небольшой дайджест

Поскольку в мире происходит много всего интересного, хочу предложить читателям нашего блога очередной небольшой дайджест, посвященный, конечно же, всеми нами любимой теме - информационной безопасности.

Самая знаковая новость последних дней, на мой взгляд, эта: Экспертам удалось найти метод взлома графического пароля в Windows 8. Пока трудно сказать, как это отразится на будущем такой интересной штуки, как графические пароли, но уже сейчас понятно, что даже такая парольная защита многократно хуже многофакторной. В принципе, это можно было сказать заранее - я уже не раз писал в своем блоге и в статьях о том, что от паролей нужно, по возможности, отказываться. И не важно, графические они или текстовые.

Вот и Apple, похоже, со мной согласна. Я всегда был поклонником продукции "яблочной" компании еще со времени покупки своего первого "айфона" с одной из первых зарплат:) И теперь, думаю, поклонников у продукции Apple среди ИБ-специалистов станет больше, потому что В новый iPhone будет встроен биометрический сканер.

В общем-то, такой шаг со стороны "яблочной" компании выглядит достаточно закономерным, потому что забота о пользователях - это её стратегия (и наша, кстати говоря, тоже, но об этом в другой раз). Я уже писал буквально в прошлом посте об автоматическом добавлении фотографий на iCloud и о влиянии этого сервиса на информационную безопасность. Теперь можно будет не только найти украденный телефон по этим фотографиям, но и не опасаться за сохранность данных на нем - подделать отпечаток пальца труднее, чем подобрать пароль. Думаю, что Apple такими функциями еще сильнее укрепит позиции iPhone как телефона для руководителей высоких рангов. Не зря же она уже почти полностью вытеснила с этого рынка Blackberry!

Ну, и на "закуску" - новость про "облака".Облачные сервисы используются для распространения вирусов. Суть: в отличие от всяких "файлопомоек", SkyDrive и прочие DropBox'ы пользуются авторитетом и доверием пользователей, которые не ожидают скачать оттуда вредоносную программу. Чем, естественно, уже активно пользуются вирусописатели и вирусораспространители. Проблемы лично я в этом не вижу, думаю, что рано или поздно все популярные облачные сервисы введут обязательное антивирусное сканирование загружаемого контента, и малвари там станет на порядки меньше. Ну, а пока они этого не сделали, нужно пользоваться антивирусом самому и держать включенной голову. Впрочем, как показывает практика, последнее для значительной части населения планеты оказывается совершенно непосильной задачей...

Традиционный пятничный пост

Даже в такой по-челябински суровой сфере как ИБ случаются свои приколы. Их мы и обсуждаем в наших традиционных пятничных постах.

В Великобритании СМИ потешаются над двумя горе-ворами, укравшими на пляже iPhone с включенной функцией отправки фотографий в iCloud его хозяйки. Теперь не только вся страна, но и весь мир может любоваться их фотографиями в трусах.
С Newsru

В общем, что ни говори, а современные "навороты", которые делаются, вроде бы, исключительно для подростков и домохозяек, иногда бывают полезны с точки зрения информационной безопасности. Например, найти украденный телефон, несомненно, гораздо легче, когда знаешь, кто именно его украл. Это, кстати, далеко не единичный случай.

В этом августе в сервисе микроблогов Tumblr быстро набрал популярность оригинальный блог под названием "Жизнь незнакомца, укравшего мой телефон". Его автор - немецкий турист, побывавший на Ибице и расставшийся там со своим смартфоном. По прибытии на остров он с друзьями побежал купаться в море, а вещи бросил на пляже. Там воры и украли у него из кармана iPhone, а также другие ценные вещи и деньги. Но так как на смартфоне была включена функция загрузки фотографий в iCloud, то все фотки, которые делали воры, автоматом попадали к хозяину. Выяснилось, что смартфон попал в руки молодому жителю Дубая, жизнь которого теперь доступна всем желающим.
В общем-то, конечно, возможен и другой вариант: сфотографируете вы, скажем, друга на мальчишнике со стриптизершей, и телефон это автоматически "зальет" на iCloud. А потом кто-то получит доступ к вашему iCloud, и пикантное фото пойдет "гулять" по Сети. И его обнаружит жена друга. Вот вам и утечка информации, и это далеко не самый страшный её вариант...

Кстати, что-то подобное случилось не так давно в Индии. Только там утекла не фотография из iCloud, а видео, снятое камерами наблюдения в метро.

В индийской столице разразился реальный скандал. В утечке данных уже обвинили организацию-пользователя — государственную охранную структуру CISF. Выяснилось, что помещения постов охраны на станциях делийского метро не защищены от доступа посторонних лиц, и доступ к видеорхивам, полученным при помощи станционных камер видеонаблюдения, может осуществлять практически кто угодно. В результате индийское метро за последние несколько лет стало исправным поставщиком порнокурьёзов. Один из клипов-ремиксов, попавших в интернет, длится восемь минут. Полицейское управление столицы внимательно проанализировало материал и завело уголовное дело на виновников утечки видеоинформации. К расследованию подключилось подразделение, специализирующееся на киберпреступности.
Источник: http://www.secnews.ru/digest/18806.htm

Несмотря на всю курьезность новости, проблема действительно серьезная. Исчезновение записей с камер наблюдения нередко серьезно мешает расследованию уголовных преступлений, и если доступ к данным имеет, условно говоря, кто захочет, то, естественно, и подобных случаев никак не миновать. Поэтому индусам стоит всерьез задуматься о защите помещений, где хранятся данные, собранные такими камерами. Это, кстати, стоит сделать и всем организациям, у кого такие камеры есть, потому что проблема эта имеется повсеместно.

Что ж, на этом всё. Удачных вам выходных.

Ещё разок о "Скайпе"

Когда мне было 7 лет, я мечтал о том, 

чтобы на всей земле победил коммунизм. 

В 17 лет я грезил о неземной любви и прекрасной принцессе.. 

Теперь мне 30, и я ТУПО ХОЧУ ДЕНЕГ. 

 Vox populi

Skype часто упоминают, говоря об информационной безопасности. Когда-то эта программа действительно была идеальной с точки зрения безопасности передачи данных, и спецслужбы многих стран мира боролись за расшифровку скайп-трафика для его анализа. К сожалению или к счастью, но эти времена безвозвратно миновали.

На этот пост меня натолкнула найденная на "Компьютерре" статья, в которой рассказывается об истории "Скайпа". И я подумал: "а ведь верно, Skype уже давно, что называется, "не торт", и сегодня тот же самый PRISM так же прекрасно читает всю переписку, как из Фейсбука". А помните, как когда-то МТС, Мегафон и прочие Билайны пытались добиться запрета Скайпа под предлогом обеспечения национальной безопасности? И как глупо выглядели бы их притязания теперь...

Понятно, что это было неизбежным развитием событий, но это всё еще раз наталкивает нас на мысли о тотальном контроле личности, который будет обеспечен не только интересами государств - самых демократических в мире, заметьте - но и деньгами транснациональных корпораций. "Выскочки" вроде Skype или BitCoin, в конечном итоге, окажутся либо куплены, либо, как та же KaZaa (от авторов "Скайпа", кстати) раздавлены бюрократическо-законодательным способом. И тогда наступит конец всеобщее благоденствие.

И из этого правила, к сожалению, нет исключений. Талантливые "хакеры" взрослеют, и юношеские мечты о разрушении несправедливой системы сменяются на прагматичное желание заработать. Skype не стал исключением. А заработать проще всего с тем, кто уже заработал очень много. Если ему нужно то, что вы сделали, то он отдаст часть своих накоплений, чтобы использовать это в своих интересах. А его интересы в 95% случаев будут совпадать с интересами системы.

В общем, думаю, всем всё понятно. И Tor, и Skype, и BitCoin - это только новые средства для контроля тех, кто хочет анонимности, и поэтому может быть опасен. Стоит помнить об этом, пользуясь ими.

Образование в сфере информационной безопасности: всё грустно

Сегодня об информационной безопасности модно много говорить и писать, поскольку важность её обеспечения для бизнеса и государства в последние годы возросла многократно. Однако, вместе с тем, количества специалистов по информационной безопасности (далее для простоты - безопасников), которых сегодня готовят ВУЗы, явно недостаточно для сегодняшних условий на рынке труда.

Заработная плата безопасников заметно отличается в большую сторону от среднестатистической по России: в Москве профессиональные безопасники могут претендовать на суммы до 120 тысяч рублей в месяц. За эти деньги, конечно, нужно не только пить кофе и читать новости, но и работать

Естественно, от безопасника требуются определенные навыки, которые находятся на пересечении таких областей знаний, как информационные технологии, юриспруденция, психология и даже в некоторой степени криминалистика. Часто на первый план выступают аналитические способности специалиста, которые необходимы как для оценки качества работы созданной им системы обеспечения ИБ, так и для расследования инцидентов, связанных с несанкционированным доступом и утечками конфиденциальных данных.

Сегодня в России большинство специалистов по информационной безопасности, особенно на достаточно высоких должностях (ИБ-директор, заместитель генерального директора по ИБ и т.д.), можно разделить на две группы. Первая, более многочисленная, ‑ это выходцы из «органов», которые в силу своей подкованности в компьютерах смогли переквалифицироваться в специалистов по ИБ. Вторая – это ИТ-специалисты, которые вынуждены были переквалифицироваться в силу каких-то жизненных обстоятельств или «производственной необходимости» для той компании, в которой они работали. Фактически, специалистов по информационной безопасности, которые получили бы профильное образование в этой области, сегодня на рынке труда практически нет, поскольку само образование в сфере ИБ сегодня является скорее экзотикой, чем распространенной для российских ВУЗов практикой.

Сегодня, впрочем, достаточно легко найти связанные с ИБ специальности в отечественных ВУЗах – достаточно воспользоваться поиском с помощью тех же «Гугла» или «Яндекса». В одной только Москве более двадцати ВУЗов предлагают абитуриентам специальности, связанные с обеспечением информационной безопасности. Среди них ‑ Московский государственный технический университет имени Н.Э. Баумана, Московский финансово-юридический университет МФЮА. Международная академия бизнеса и управления, Московский государственный университет приборостроения и информатики, Московский авиационный институт (государственный технический университет).

Но вряд ли все, кто закончит соответствующие отделения, сможет полноценно работать по специальности, так как зачастую под модными названиями скрываются устаревшие специальности, на которых вместо профильных курсов преподают то, студенту никак не пригодится в его будущей профессиональной практике.

Но с ВУЗами, которые готовят безопасников, всё сложно. Как показывает опыт, дисциплины часто читают старые преподаватели матанализа, в то время как должны были бы читать практики, понимающие, что именно необходимо предпринимать для обеспечения ИБ в компании. Но их в отечественных ВУЗах, увы, днем с огнем не сыщешь. Не зря сегодня информационной безопасностью в России занимаются, в основном, по большому счету, самоучки, которые почерпнули необходимые знания в ходе изучения практических пособий и общения с другими, более опытными специалистами

Тем не менее, сегодня всё большее количество работодателей указывает в требованиях для нанимаемого ими ИБ-специалиста профильное образование. Вот такой парадокс, который лично мне достаточно трудно объяснить. Как и трудно сказать, когда ВУЗовское ИБ-образование перестанет быть образованием ради "корочки", и станет полноценным средством подготовки специалистов.

А у вас какое мнение по данному вопросу?