В пятницу, по заведенной традиции, не будем задаваться глобальными и серьезными вопросами, а обсудим последние новости - не все, конечно же, а те, которые связаны так или иначе со сферой информационной безопасности.
Итак, первое, что хотелось бы обсудить, - это статистика, обнародованная нашим, так сказать, родным МВД.
По данным Бюро специальных технических мероприятий МВД России, каждую секунду жертвами киберпреступников становятся 12 человек в мире. И в силу технического прогресса с каждым годом этот показатель растет.
Мне лично эти цифры кажутся несколько заниженными, хотя, конечно, если бы речь шла не обо всём мире, а только о России, то я бы сказал наоборот. Впрочем, конечно, здесь любые оценки будут спорными и неточными. Главное здесь то, что всем начхать на инфобезопасность (во всяком случае, индивидуальным пользователям), поэтому статистика действительно получается не слишком-то радостной.
Поехали дальше.
Губернаторы РФ перестали столь активно работать с сервисами, которые предлагает Google, поскольку уверены в том, что поисковый гигант отслеживает их деятельность. Об этом сообщает ИТАР-ТАСС со ссылкой на слова директора Лиги безопасного интернета Дениса Давыдова.
Подробнее: http://www.securitylab.ru/news/449252.php
Сознательность российских губернаторов радует. Но почему об этом задумались только сейчас, после всех скандалов со Сноуденом? Где эта Лига безопасного интернета была раньше? Вопросов много, но главный - а что же используют вместо Гугла-то? Есть ли уверенность, что тот сервис, который предложен в качестве замены, не контролируется АНБ, ЦРУ или, хуже того, Моссадом?..
Ну и на закуску зарубежная новость.
Если ранее считалось, что персональные мобильные устройства являются собственностью исключительно владельца, и никто не имеет право посягать на хранящиеся на них данные, то сейчас становится очевидным, что все совсем не так. К примеру, по словам независимого консультанта Майкла Ирвина из AlphaCare, Нью-Йорк, заявил, что его работодатели стерли все данные, которые находились в памяти смартфона, сообщают «Ведомости».
Подробнее: http://www.securitylab.ru/news/449270.php
Все-таки у американцев есть чему поучиться. Они там с юзерами не миндальничают, надо стереть данные - стирают. Безопасность важнее. К сожалению, в России пока с BYOD ситуация обычно обстоит так, что кто принес устройство, тот его и контролирует. Естественно, со всеми вытекающими последствиями. Хотя при увольнении стоило бы автоматически "зачищать" все девайсы увольняемого сотрудника, а также его Дропбокс, Гуглдрайв и т.д. Естественно, всё это должно быть прописано в соглашении ещё при приеме на работу, чтобы потом не было недовольных.
Что ж, хороших вам выходных, дамы и господа!
Взгляд на информационную безопасность компании «СёрчИнформ» и сторонних экспертов.
31 января 2014
30 января 2014
Как заставить пароли работать?
Для того чтобы парольная
политика хороша работала, она должна быть не только грамотно составлена, но и
качественно доведена до персонала компании – ведь если о существовании закона
никто не осведомлен, то какой от него может быть толк?
Доведение парольной политики (само собой разумеется, в рамках общей политики информационной безопасности организации)
целесообразно провести в форме инструктажа с последующей сдачей персоналом
мини-зачета по темам инструктажа. Как показывает практика, если после
инструктажа не проводится проверка доносимых до сотрудников сведений, то
эффективность такого мероприятия практически никакая. При этом даже нет особой
необходимости сулить какие-то кары тем, кто не сдаст зачет – в большинстве
компаний сам факт наличия зачета заставляет сотрудников мобилизоваться и
подойти к нему ответственно.
На инструктаже необходимо
сконцентрироваться на том, что должен сделать сам сотрудник для реализации
политики информационной безопасности, а также на том, что ждет тех сотрудников,
которые в этой реализации не пожелают принять участие. Заставлять сотрудников
учить политику «от корки до корки» не только бесполезно, но даже и небезопасно,
потому что многие из них (весьма, надо сказать, справедливо) воспримут подобное предложение как
издевательство, и отдел информационной безопасности наживет врагов в их лице.
«Парольные» инструктажи можно и
нужно периодически повторять – опять-таки, с проведением зачетов после них. Периодичность
лучше выбирать не очень частую – вполне достаточно повторения раз в полгода.
29 января 2014
Гримасы прогресса
Что ни говори, но иногда успехи на пути прогресса ставят в тупик того, кто с ними сталкивается. То, что еще вчера казалось чем-то незыблемым, сегодня оказывается безвозвратно устаревшим. И не обходится, конечно, без абсурда. В общем, что тут рассуждать, лучше почитайте.
То, что эксперты по вопросам приватности в интернете называют «наихудшим сценарием», произошло с 32-летним жителем штата Массачусетс (США). Его арестовали и посадили за решётку на основании приглашения присоединиться к сети Google+, отправленного в адрес девушки, для которой действует запретительный судебный приказ. Это означает, что ему запрещено звонить ей, приближаться к дому и прочее — стандартная защита против сексуального преследования.
Томас Ганьон (Thomas Gagnon) уверяет, что не писал никакого письма, а оно отправлено автоматически. Это не спасло его от ночи в камере.
Девушка распечатала приглашение Google+ и с копией запретительного приказа отправилась в полицию. Там согласились, что подобное приглашение является нарушением судебного запрета — и через 90 минут парня арестовали прямо в собственной квартире. После ночи за решёткой судья согласилась выпустить его под залог $500. Она заявила при этом, что не знает, каким образом рассылаются такие приглашения в сети Google+, и допустила, что письмо действительно было выслано автоматически.
Адвокат Ганьона говорит, что его подопечный ни в чём не виноват, письмо было отправлено без его участия. Более того, в этом деле он сам скорее является жертвой: девушка разорвала с ним отношения на следующий день после того, как Томас сделал ей предложение выйти замуж и подарил обручальное кольцо с бриллиантами стоимостью $4000.
С Хабра
Тут можно немного подискутировать по поводу страсти американцев посудиться по любому удобному и не очень поводу, но сути это не меняет. Хорошо еще, что письмо послать успел только Google+, а то если бы еще успели Facebook с LinkedIN'ом, всё было бы куда печальнее. Но ситуация, конечно, неоднозначная.
Ну и еще одно веселое:
На форуме Practical Machinist развернулось феерическое обсуждение, как можно разблокировать ЧПУ-фрезер, который отказывается функционировать после перемещения на новое место.
Производитель оснащает станок GPS-сенсором и/или гироскопом. В случае перемещения станок автоматически блокируется до получения кода разблокировки.
Топик-стартер на Practical Machinist объясняет, что их компания купила восемь ЧПУ-фрезеров Mori/Ellison NV5000A, а вскоре перевезла их на другой завод. После этого оборудование вышло из строя. Фирма-производитель объяснила, что таково новое требование американского законодательства и все будущие модели ЧПУ-фрезеров высшего класса будут блокироваться при перемещении на новое место.
Оттуда же
Тут всё понятно - борьба с терроризмом, странами-изгоями и так далее. Но парадигма, конечно, ооочень интересная. Техника становится всё умнее, и это иногда не радует. Мы тут когда-то рассуждали о DLP для 3D-принтеров. Похоже, что скоро такая защита будет не только на них, но и на всём, где есть хоть какая-то электронная начинка.
В общем, такие вот гримасы прогресса. А вы что по этому поводу думаете?
То, что эксперты по вопросам приватности в интернете называют «наихудшим сценарием», произошло с 32-летним жителем штата Массачусетс (США). Его арестовали и посадили за решётку на основании приглашения присоединиться к сети Google+, отправленного в адрес девушки, для которой действует запретительный судебный приказ. Это означает, что ему запрещено звонить ей, приближаться к дому и прочее — стандартная защита против сексуального преследования.
Томас Ганьон (Thomas Gagnon) уверяет, что не писал никакого письма, а оно отправлено автоматически. Это не спасло его от ночи в камере.
Девушка распечатала приглашение Google+ и с копией запретительного приказа отправилась в полицию. Там согласились, что подобное приглашение является нарушением судебного запрета — и через 90 минут парня арестовали прямо в собственной квартире. После ночи за решёткой судья согласилась выпустить его под залог $500. Она заявила при этом, что не знает, каким образом рассылаются такие приглашения в сети Google+, и допустила, что письмо действительно было выслано автоматически.
Адвокат Ганьона говорит, что его подопечный ни в чём не виноват, письмо было отправлено без его участия. Более того, в этом деле он сам скорее является жертвой: девушка разорвала с ним отношения на следующий день после того, как Томас сделал ей предложение выйти замуж и подарил обручальное кольцо с бриллиантами стоимостью $4000.
С Хабра
Тут можно немного подискутировать по поводу страсти американцев посудиться по любому удобному и не очень поводу, но сути это не меняет. Хорошо еще, что письмо послать успел только Google+, а то если бы еще успели Facebook с LinkedIN'ом, всё было бы куда печальнее. Но ситуация, конечно, неоднозначная.
Ну и еще одно веселое:
На форуме Practical Machinist развернулось феерическое обсуждение, как можно разблокировать ЧПУ-фрезер, который отказывается функционировать после перемещения на новое место.
Производитель оснащает станок GPS-сенсором и/или гироскопом. В случае перемещения станок автоматически блокируется до получения кода разблокировки.
Топик-стартер на Practical Machinist объясняет, что их компания купила восемь ЧПУ-фрезеров Mori/Ellison NV5000A, а вскоре перевезла их на другой завод. После этого оборудование вышло из строя. Фирма-производитель объяснила, что таково новое требование американского законодательства и все будущие модели ЧПУ-фрезеров высшего класса будут блокироваться при перемещении на новое место.
Оттуда же
Тут всё понятно - борьба с терроризмом, странами-изгоями и так далее. Но парадигма, конечно, ооочень интересная. Техника становится всё умнее, и это иногда не радует. Мы тут когда-то рассуждали о DLP для 3D-принтеров. Похоже, что скоро такая защита будет не только на них, но и на всём, где есть хоть какая-то электронная начинка.
В общем, такие вот гримасы прогресса. А вы что по этому поводу думаете?
28 января 2014
Почему от внешних угроз защищаются больше, чем от внутренних?
Спектр инфрмационных угроз
сегодня как никогда широк, и каждый день их список только расширяется. Мы уже не раз об этом говорили в нашем блоге, но тема, похоже, неисчерпаема.
Как показывают исследования
компании SearchInform, сегодня
более 43% компаний и государственных организаций в России и странах СНГ уделяют
недостаточное внимание внутренним и близким к ним угрозам. В то же время,
защита от внешних угроз в 15% компаний даже избыточна. Поэтому в данной статье
мы поговорим о первой группе угроз.
Для начала стоит рассмотреть, что
именно входит в группу внутренних и смежных угроз. Список наиболее актуальных
из них на сегодня таков:
- · утрата данных по внутренним причинам;
- · утечки конфиденциальной информации;
- · подделка сотрудниками документов;
- · подлог документов;
- · внедрение вредоносного или шпионского модуля кем-либо из сотрудников;
- · распространение сотрудниками порочащих компанию сведений в Сети.
Помимо этого, в силу популярности
сегодня «облачных» сервисов, появился отдельный класс угроз, связанных именно с
их использованием на предприятиях. Данные угрозы включают в себе как
перечисленные выше, так и еще несколько отдельных типов:
- · непредоставление критически важных для бизнеса услуг сервис-провайдером;
- · перехват информации в процессе её трансфера между заказчиком и провайдером;
- · доступ к данным в облачном хранилище неавторизованного пользователя.
На мой взгляд, проблема исключительно в менталитете. И даже не безопасников, а руководителей организаций, которые полагают, что ничего плохого с их конторами произойти по вине сотрудников, прошедших какой-никакой отбор, не может просто по определению. Увы, когда глаза открываются, иногда оказывается, что уже поздно...
А как вы считаете, почему внутренние угрозы заслуживают меньше внимания служб ИБ, чем внешние?
27 января 2014
Не убежать, не спрятаться...
Если еще недавно эталоном дырявого и небезопасного браузера был Internet Explorer, то сегодня, похоже, "пальма первенства" уходит "Хрому". Хотя, конечно, все они хороши - в Firefox тоже немало "дыр". Но продукт "корпорации добра" заслуживает особого внимания, как, впрочем, и другое её детище - это, конечно же, ОС Android. Похоже, компания просто наступает на те же самые грабли, по которым долго и небезуспешно топталась Microsoft.
Вот две недавние новости о гугловских продуктах, после которых я тихо порадовался тому, что я - фанат Apple, и, соответственно, не использую ни Chrome, ни Android.
Chrome для компьютеров позволяет сайтам тайно подслушивать и записывать разговоры пользователей без их ведома. Это обнаружил израильский разработчик Тал Атер, который опубликовал информацию на своем сайте.
«Гугловский» браузер изначально предусматривает возможность записи голоса. Когда пользователь открывает его, Chrome запрашивает разрешение на доступ к микрофону. При утвердительном ответе на вкладке сайта появляется индикатор, который обозначает, что идет запись. Если закрыть сайт, «значек» тут же исчезнет.
Загвоздка в том, что даже когда страница сайта уже закрыта, он все равно может записывать все разговоры, которые ведутся возле компьютера. Но только если сайт создал всплывающее окно, где индикатор записи отсутствует, уточняет Атер.
Тут еще подробнее
Ну и вдогонку:
Аналитики компании Cisco опубликовали отчет «Annual Security Report for 2014», в котором говорится, что порядка 99% активных сегодня мобильных вредоносных приложений ориентированы на устройства с ОС Android. Более того, по их данным, не менее 71% всех вредоносных web-сайтов были впринципе созданы, чтобы заманивать пользователей платформы от Google.
Оттуда же
Ну скажите, не прелесть ли? Если вы пользуетесь продуктами Google, то вероятность того, что за вами будут следить, что вы потеряете свои секретные данные или произойдет еще какая-нибудь связанная с ИБ неприятность, в разы выше, чем если вы пользуетесь продуктами Apple или даже теперь уже Microsoft. А так как популярность "Андроида" и "Хрома" в России зашкаливает, можно не удивляться тому, что по зараженности мы едва ли не впереди планеты всей.
Но мне интересно другое: ну почему так, почему Apple может, а Google - нет? Ответ, на мой взгляд, в той самой знаменитой "неадекватной" цене "яблочных" устройств. Расходы на разработку хорошей, правильной, безопасной архитектуры выше, хотя бы просто из-за затрачиваемого на это времени. А Android - продукт дешевый и даже бесплатный. Как, впрочем, и Chrome. Их безопасность не влияет на лояльность пользователей, которые выбирают их не столько за качество, сколько за дешевизну (Android) и скорость (Chrome). У Apple же удовлетворенность пользователя более комплексная, поэтому и в безопасность имеет смысл вложиться.
То же самое с DLP: дешевое, конечно, не всегда плохо, но стоит иногда задуматься - это вам дают скидку или продают, пардон, что-то с гнильцой?
Вот две недавние новости о гугловских продуктах, после которых я тихо порадовался тому, что я - фанат Apple, и, соответственно, не использую ни Chrome, ни Android.
Chrome для компьютеров позволяет сайтам тайно подслушивать и записывать разговоры пользователей без их ведома. Это обнаружил израильский разработчик Тал Атер, который опубликовал информацию на своем сайте.
«Гугловский» браузер изначально предусматривает возможность записи голоса. Когда пользователь открывает его, Chrome запрашивает разрешение на доступ к микрофону. При утвердительном ответе на вкладке сайта появляется индикатор, который обозначает, что идет запись. Если закрыть сайт, «значек» тут же исчезнет.
Загвоздка в том, что даже когда страница сайта уже закрыта, он все равно может записывать все разговоры, которые ведутся возле компьютера. Но только если сайт создал всплывающее окно, где индикатор записи отсутствует, уточняет Атер.
Тут еще подробнее
Ну и вдогонку:
Аналитики компании Cisco опубликовали отчет «Annual Security Report for 2014», в котором говорится, что порядка 99% активных сегодня мобильных вредоносных приложений ориентированы на устройства с ОС Android. Более того, по их данным, не менее 71% всех вредоносных web-сайтов были впринципе созданы, чтобы заманивать пользователей платформы от Google.
Оттуда же
Ну скажите, не прелесть ли? Если вы пользуетесь продуктами Google, то вероятность того, что за вами будут следить, что вы потеряете свои секретные данные или произойдет еще какая-нибудь связанная с ИБ неприятность, в разы выше, чем если вы пользуетесь продуктами Apple или даже теперь уже Microsoft. А так как популярность "Андроида" и "Хрома" в России зашкаливает, можно не удивляться тому, что по зараженности мы едва ли не впереди планеты всей.
Но мне интересно другое: ну почему так, почему Apple может, а Google - нет? Ответ, на мой взгляд, в той самой знаменитой "неадекватной" цене "яблочных" устройств. Расходы на разработку хорошей, правильной, безопасной архитектуры выше, хотя бы просто из-за затрачиваемого на это времени. А Android - продукт дешевый и даже бесплатный. Как, впрочем, и Chrome. Их безопасность не влияет на лояльность пользователей, которые выбирают их не столько за качество, сколько за дешевизну (Android) и скорость (Chrome). У Apple же удовлетворенность пользователя более комплексная, поэтому и в безопасность имеет смысл вложиться.
То же самое с DLP: дешевое, конечно, не всегда плохо, но стоит иногда задуматься - это вам дают скидку или продают, пардон, что-то с гнильцой?
22 января 2014
Бей больнее, чтобы боялись
Наверное, эта тема достаточно избита для того, чтобы быть не слишком интересной, но я всё же рискну её поднять. А поговорить я хочу об адекватности наказания тяжести содеянного. Все знают, что в нашей стране (да и вообще во всем бывшем СССР) с этим плохо. Но иногда "правосудие" вызывает слишком уж много вопросов по поводу адекватности наказания преступлению.
Васильева, пользуясь услугами оператора сотовой связи «Билайн», получила на свой номер телефона сообщение о пополнении лицевого банковского счета бывшего владельца SIM-карты на сумму 27 тыс. руб. и решила их похитить.
...
Суд приговорил девушку к 2 годам 4 месяцам лишения свободы с отбыванием наказания в колонии общего режима.
Источник
Тут уже не столь даже важно, как именно она выводила эти деньги и что собиралась с ними делать. Тут интереснее всего то, что сразу нашелся устроивший всех "виноватый", которого тут же и посадили по-быстрому.
Мне кажется, что в подобных ситуациях система правосудия даёт сбой. Конечно, девушка виновата, но почему не виноват предыдущий хозяин sim-карты, телефонный оператор или банк? Не в этом ли сейчас основная проблема российского правосудия, когда речь заходит о делах, связанных со сферой ИБ?
Помню, шли разговоры о том, чтобы возложить полностью на банки ответственность в случае фрода. Мол, если мошенники через тот же скиммер получили дамп с карточки жертвы, то банк должен возместить средства. Эта ситуация достаточно похожа на случаи кардинга, но почему здесь всё иначе?
Конечно, я не отрицаю, что девушка тоже должна понести наказание, но здесь всё-таки имеет место некоторая несправедливость. А вы как думаете?
Васильева, пользуясь услугами оператора сотовой связи «Билайн», получила на свой номер телефона сообщение о пополнении лицевого банковского счета бывшего владельца SIM-карты на сумму 27 тыс. руб. и решила их похитить.
...
Суд приговорил девушку к 2 годам 4 месяцам лишения свободы с отбыванием наказания в колонии общего режима.
Источник
Тут уже не столь даже важно, как именно она выводила эти деньги и что собиралась с ними делать. Тут интереснее всего то, что сразу нашелся устроивший всех "виноватый", которого тут же и посадили по-быстрому.
Мне кажется, что в подобных ситуациях система правосудия даёт сбой. Конечно, девушка виновата, но почему не виноват предыдущий хозяин sim-карты, телефонный оператор или банк? Не в этом ли сейчас основная проблема российского правосудия, когда речь заходит о делах, связанных со сферой ИБ?
Помню, шли разговоры о том, чтобы возложить полностью на банки ответственность в случае фрода. Мол, если мошенники через тот же скиммер получили дамп с карточки жертвы, то банк должен возместить средства. Эта ситуация достаточно похожа на случаи кардинга, но почему здесь всё иначе?
Конечно, я не отрицаю, что девушка тоже должна понести наказание, но здесь всё-таки имеет место некоторая несправедливость. А вы как думаете?
20 января 2014
Тактика составления политики безопасности
Безусловно, политика ИБ –
документ, составление которого требует максимально тщательного подхода, а
потому не стоит ждать, что его удастся составить за пару дней. При этом
заниматься разработкой политики должен только профессионал в сфере
информационной безопасности, в противном случае политика ИБ вашей организации
не будет соответствовать реалиям, в которых она существует и работает.
Обязательна предварительная
работа по изучению информационных угроз и определению рисков, которые существуют
для данной конкретной компании в зависимости от отрасли экономики, региона,
структуры, персонала и т.п. Существуют различные методики оценки рисков, однако
самое важное, чтобы для оценки всех рисков использовалась одна и та же
методика.
Также важным моментом является
классификация ресурсов и документов, необходимая для разработки политики
доступа к ним. Очевидно, что в этой работе специалистам отдела информационной
безопасности невозможно обойтись без помощи со стороны других подразделений
организации, которые помогут оценить важности и значимость того или иного
документа или информационного ресурса.
При этом необходимо понимать, что
политика безопасности должна описывать не только свойства конфиденциальности
информации, но также и такие свойства, как целостность, подлинность и
доступность, которые в ряде случаев являются даже более важными, чем соблюдение
секретности. К примеру, в финансовой сфере потеря документа или его подделка
могут обойтись даже дороже, чем его утечка.
Спорным является вопрос о
количестве уровней доступа к информации. Очевидно, что здесь необходимо
исходить из естественной структуры организации и из того, насколько принятие
решения о доступе может оказаться критичным в плане остановки каких-либо
организационных бизнес-процессов. В процессе классификации информационных
ресурсов необходимо также определиться с тем, к какому виду тайны относится их
конфиденциальность (банковская, коммерческая, врачебная, государственная…). В
зависимости от этого будут изменяться требования законодательства к обеспечению
конфиденциальности.
17 января 2014
Пятничная история
Может быть, новостной повод, который я хочу обсудить в сегодняшнем посте, уже не совсем новый, он, тем не менее, очень интересен.
Полицейские обнаружили кражу денег из банкомата, совершённую бывшим работником компании, которая по контракту производила техническое обслуживание оборудования и загрузку наличных денег. Вместе с тремя подельниками он имитировал взлом банкомата.
Вкратце дело было так: человек обслуживал банкоматы, в одном из них слвинул камеру, чтобы его потом не "запалили", уволился, приехал с друзьями, открыл с помощью кода банкомат, взял деньги (всего $24k, но для Индии, видимо, неплохо), и разбил банкомат, чтобы инсценировать взлом. Но через 48 часов его всё равно задержали.
У меня сразу же возникло несколько простых вопросов. Во-первых, зачем этот талантливый молодой человек полез открывать банкомат с помощью секретного кода? Чтобы не привлекать внимания прохожих? Вряд ли, ведь они потом сымитировал взлом, а когда бьешь банкомат, думаю, трудно не привлечь к себе внимания.
Если прочитать весь текст по ссылке (он не очень длинный), то можно узнать, что, фиксировался сам факт открытия банкомата с помощью кода. Это интересный момент. Лично я с банкоматами не работал, но на мой взгляд, в дополнение эти коды должны быть привязаны к человеку. То есть, чтобы была не только фиксация факта использования кода, но и связь конкретного кода с конкретным сотрудником. Возможно, оно уже так и сделано, но если нет, то стоит над этим подумать.
Во-вторых, помечу он не выждал чуть дольше? Написано, что 22 ноября уволился. Это пятница. А уже в воскресенье поехал грабить. Нельзя было подождать неделю? Или были какие-то ограничивающие факторы (например, все, что заработал легально, пропил-прогулял)?
В любом случае, история закончилась хорошо для "положительных персонажей" (полиции) из-за случайности. И это, на самом деле, несмотря на хороший конец, как-то печально. А вот чтобы не полагаться на такие случайности, аномалии хорошо бы выявлять и фиксировать автоматически, будь то DLP, SIEM или ещё какая-нибудь система. Так что без контроля в этой жизни, увы, никак - иначе все смогут безнаказанно грабитькорованы банкоматы.
Полицейские обнаружили кражу денег из банкомата, совершённую бывшим работником компании, которая по контракту производила техническое обслуживание оборудования и загрузку наличных денег. Вместе с тремя подельниками он имитировал взлом банкомата.
Вкратце дело было так: человек обслуживал банкоматы, в одном из них слвинул камеру, чтобы его потом не "запалили", уволился, приехал с друзьями, открыл с помощью кода банкомат, взял деньги (всего $24k, но для Индии, видимо, неплохо), и разбил банкомат, чтобы инсценировать взлом. Но через 48 часов его всё равно задержали.
У меня сразу же возникло несколько простых вопросов. Во-первых, зачем этот талантливый молодой человек полез открывать банкомат с помощью секретного кода? Чтобы не привлекать внимания прохожих? Вряд ли, ведь они потом сымитировал взлом, а когда бьешь банкомат, думаю, трудно не привлечь к себе внимания.
Если прочитать весь текст по ссылке (он не очень длинный), то можно узнать, что, фиксировался сам факт открытия банкомата с помощью кода. Это интересный момент. Лично я с банкоматами не работал, но на мой взгляд, в дополнение эти коды должны быть привязаны к человеку. То есть, чтобы была не только фиксация факта использования кода, но и связь конкретного кода с конкретным сотрудником. Возможно, оно уже так и сделано, но если нет, то стоит над этим подумать.
Во-вторых, помечу он не выждал чуть дольше? Написано, что 22 ноября уволился. Это пятница. А уже в воскресенье поехал грабить. Нельзя было подождать неделю? Или были какие-то ограничивающие факторы (например, все, что заработал легально, пропил-прогулял)?
В любом случае, история закончилась хорошо для "положительных персонажей" (полиции) из-за случайности. И это, на самом деле, несмотря на хороший конец, как-то печально. А вот чтобы не полагаться на такие случайности, аномалии хорошо бы выявлять и фиксировать автоматически, будь то DLP, SIEM или ещё какая-нибудь система. Так что без контроля в этой жизни, увы, никак - иначе все смогут безнаказанно грабить
16 января 2014
Интересные цифры
Достаточно интересные цифры, касающиеся будоражащей общественность темы слежки за мобильными устройствами, опубликовал "Хакер.ру". Там рассказывается о том, сколько эта слежка стоит. Оказывается, не так уж и дорого - всего-то 4 цента в час. Рекомендую прочитать всю новость, она достаточно короткая и с картинками, что облегчает восприятие.
Наверное, следить за социальными сетями выходит еще дешевле, ведь там не нужно даже "жучков", которые обязательны в случае сотовой связи. Впрочем, тут интереснее не абсолютные цифры (как, впрочем, и всегда в этой жизни), а относительные. Что имеется в виду? Попробую объяснить на своем любимом примере - то есть, конечно же, на DLP-системах.
Они стоят достаточно дорого (если сравнивать со средней по стране зарплатой дворника). На самом деле, если посчитать, то мониторить кого-нибудь с помощью DLP-системы оказывается даже дешевле, чем обеспечивать его же в течение года кофе и печеньками на рабочем месте. Зато суммы, которые можно сэкономить, предупредив утечки информации, просто огромны! Это, кстати, к вопросу о вое со стороны офисного планктона по поводу слежки со стороны работодателя. Это он не следит за вами, а от вас защищается! И если бы каждая компания вместо печенек в офис купила DLP-систему, у нас было бы меньше жирных клерков с одышкой и меньше утечек информации.
Так вот, данных по поводу эффективности подобной слежки нет. И, думается, еще долго не будет, потому что ее дешевизна в глазах развед-боссов является достаточным аргументом "за", не требующим ещё какоё-то загадочной "эффективности".
А вы как думаете?
10 января 2014
Что посеешь...
Продолжение фразы, вынесенной в заголовок, известно, пожалуй, всем. Ну, или, во всяком случае, подавляющему большинству. Не исключение и американцы из столь любимого в последнее время всеми АНБ, которые стараются готовить смену себе уже, что называется, с младых ногтей.
http://www.xakep.ru/post/61818/default.asp
В общем-то, это правильно, и было замечательно, если бы подобные инициативы проявляли и, скажем, рядовые отделы информационной безопасности обычных компаний, - глядишь, и ситуация со специалистами была бы получше. Тут же интереснее другое: 15-летних подростков допускают к секретной информации. Причем, сами понимаете, АНБ США - это организация, где работают даже не с коммерческой тайной. Вы бы подпустили 15-летних к закрытым данным своей компании? Вот то-то и оно. Так что где-то в чем-то я всё-таки не совсем понимаю американцев.
Конечно, логика подсказывает, что стажеры подписывают какое-то достаточно жесткое по своим условиям соглашение о неразглашении информации. Но неужели АНБ действительно полагает, что подобные соглашения важны для 15-летних подростков? Или они надеются на то, что смогут задавить их своим авторитетом и влиятельностью? Или там настолько тщательный отбор по пресловутой security clearance?.. Как вы считаете?
09 января 2014
Первый пост в новом году
Итак, отгремели новогодние праздники, и мы с утроенным рвением беремся за повседневную рутину:) И тут же начнем обсуждать свежие новости из мира информационной безопасности, потому что о серьезных темах пока писать и говорить еще нет моральных и физических сил.
Начать хотелось бы с обсуждения не теряющей с течение времени своей остроты темы Эдварда нашего Сноудена, которая, как показывает мониторинг СМИ, продолжает будоражить умы и сердца журналистов и читателей. На сей раз за Сноудена вступились как раз те самые журналисты.
Журналисты британской газеты The Guardian и американской The New York Times официально обратились к президенту США Бараку Обаме с просьбой помиловать Эдварда Сноудена. Письмо к президенту было опубликовано в этих изданиях 2 января.
Отсюда
Думаю, что вполне понятно, что ни к каким положительным сдвигам для Сноудена это не приведет. И даже если бы Обама вдруг решил его простить, то я на его месте не торопился бы на родину - потому что там и кроме чернокожего президента есть люди, во власти которых, как минимум, арестовать Сноудена. А если арестовать не получится, то, знаете ли, и машина сбить может случайно... В общем, думаю, что ему в Штаты теперь дорога навсегда заказана.
Едем дальше.
Арбитражный суд Москвы признал законным наложение штрафа в размере 500 тысяч рублей на компанию Rambler за отказ в предоставлении личных данных пользователей Федеральной службе по финансовым рынкам (ФСФР).
Подробнее: http://www.securitylab.ru/news/448815.php
По-моему, это становится модным. Сначала Mail.ru, теперь "Рамблер"... Вспомним еще "Контактик", который не хочет удалять пиратскую музыку, чтобы не терять миллионы пользователей-халявщиков... По-моему, цифровые компании вообразили, что они живут в какой-то альтернативной реальности, и российские законы их не касаются. Думаю, что такая жесткая реакция и большие штафы должны заставить их задуматься. И я думаю, что подобных конфликтов будет становиться всё больше, потому что всем нужна репутация "защитника пользователей". За 500 тысяч получаем больше пиара, чем за 500 миллионов у какого-нибудь пиар-агентства. Так что штрафы надо бы увеличить.
Ну, и на закуску - о неистребимой тяге к борьбе с порнографией, которую иногда трудно понять. Думаю, что все знают, к чему это может привести.
Фильтры интернет-контента, включенные крупными провайдерами Великобритании, заблокировали доступ ко многим легитимным ресурсам, несмотря на то, что были задуманы исключительно для борьбы с порнографией. Так в число заблокированных сайтов попало множество ресурсов, посвященных темам ИТ, свободному ПО и борьбе за права человека, включая arstechnica.com, slashdot.org, eff.org, linux.com, freebsd.org, openbsd.org, usenix.org и др.
http://www.kv.by/content/328805-v-velikobritanii-blokiruyut-saity-o-linux-i-bsd
По-моему, любая инициатива с блокировкой сайтов обречена на то, чтобы стать посмешищем. Вспомните отечественные истории с блокировками. Трудно сказать, почему так получается, но вполне очевидно, что проблема существует независимо от того, насколько автоматизирован механизм выбора блокируемых сайтов. Впрочем, тут вопрос больше в том, насколько эффективна блокировка в случае борьбы с экстримизмом и терроризмом, и насколько вообще стоит бороться с порно (не считая детского)?..
На сим всё, жду ваших мыслей в комментариях.
Начать хотелось бы с обсуждения не теряющей с течение времени своей остроты темы Эдварда нашего Сноудена, которая, как показывает мониторинг СМИ, продолжает будоражить умы и сердца журналистов и читателей. На сей раз за Сноудена вступились как раз те самые журналисты.
Журналисты британской газеты The Guardian и американской The New York Times официально обратились к президенту США Бараку Обаме с просьбой помиловать Эдварда Сноудена. Письмо к президенту было опубликовано в этих изданиях 2 января.
Отсюда
Думаю, что вполне понятно, что ни к каким положительным сдвигам для Сноудена это не приведет. И даже если бы Обама вдруг решил его простить, то я на его месте не торопился бы на родину - потому что там и кроме чернокожего президента есть люди, во власти которых, как минимум, арестовать Сноудена. А если арестовать не получится, то, знаете ли, и машина сбить может случайно... В общем, думаю, что ему в Штаты теперь дорога навсегда заказана.
Едем дальше.
Арбитражный суд Москвы признал законным наложение штрафа в размере 500 тысяч рублей на компанию Rambler за отказ в предоставлении личных данных пользователей Федеральной службе по финансовым рынкам (ФСФР).
Подробнее: http://www.securitylab.ru/news/448815.php
По-моему, это становится модным. Сначала Mail.ru, теперь "Рамблер"... Вспомним еще "Контактик", который не хочет удалять пиратскую музыку, чтобы не терять миллионы пользователей-халявщиков... По-моему, цифровые компании вообразили, что они живут в какой-то альтернативной реальности, и российские законы их не касаются. Думаю, что такая жесткая реакция и большие штафы должны заставить их задуматься. И я думаю, что подобных конфликтов будет становиться всё больше, потому что всем нужна репутация "защитника пользователей". За 500 тысяч получаем больше пиара, чем за 500 миллионов у какого-нибудь пиар-агентства. Так что штрафы надо бы увеличить.
Ну, и на закуску - о неистребимой тяге к борьбе с порнографией, которую иногда трудно понять. Думаю, что все знают, к чему это может привести.
Фильтры интернет-контента, включенные крупными провайдерами Великобритании, заблокировали доступ ко многим легитимным ресурсам, несмотря на то, что были задуманы исключительно для борьбы с порнографией. Так в число заблокированных сайтов попало множество ресурсов, посвященных темам ИТ, свободному ПО и борьбе за права человека, включая arstechnica.com, slashdot.org, eff.org, linux.com, freebsd.org, openbsd.org, usenix.org и др.
http://www.kv.by/content/328805-v-velikobritanii-blokiruyut-saity-o-linux-i-bsd
По-моему, любая инициатива с блокировкой сайтов обречена на то, чтобы стать посмешищем. Вспомните отечественные истории с блокировками. Трудно сказать, почему так получается, но вполне очевидно, что проблема существует независимо от того, насколько автоматизирован механизм выбора блокируемых сайтов. Впрочем, тут вопрос больше в том, насколько эффективна блокировка в случае борьбы с экстримизмом и терроризмом, и насколько вообще стоит бороться с порно (не считая детского)?..
На сим всё, жду ваших мыслей в комментариях.
Подписаться на:
Сообщения (Atom)