четверг, 30 декабря 2010 г.

Итоги 2010 и прогнозы на предстоящий год

Конец года - это время, когда принято оглядываться на год ушедший и делать прогнозы на будущее. Что же интересного и значимого произошло в этом году:

- Январь 2010 г. Порноролик на билборде в Москве. Думаю многие видели в интернете видео, снятое очевидцами на садовом кольце, где на рекламном видеощите демонстрируется порно. Поднялся кипиш, хакера нашли, ходили даже разговоры что ФСТЭК выпустит документ, содержащий требования по обеспечению безопасности рекламных видеоэкранов, но постепенно все сошло на нет. Ссылки по теме: Новость о демонстрации ролика; Интервью с пойманным "хакером".

- Январь 2010 г. Операция Аврора. Если кто не знает, тот так назвали крупномасштабную кибер-атаку на ведущие компании США (Google, Adobe, HP и др.), целью которой судя по всему был шпионаж. Строго говоря сама атака была произведена в конце 2009 года, но публично о ней было заявлено только в январе 2010. По мнению компаний, подвергшихся нападению, за этими атаками стояли организации, поддерживаемые правительством Китая. Для компании Google это стало даже поводом для рассмотрения целесообразности дальнейшего пребывания их офиса в Китае, а также сотрудничества с китайскими властями в части фильтрации поисковых запросов. Ссылка по теме.

- Февраль 2010 г. 58-ой приказ ФСТЭК. Вышел документ, который должен был заменить довольно спорные документы "четверокнижия" и придать требованиям ФСТЭК юридическую лигитимность (путем регистрации в Минюсте). Документ вызвал определенную эйффорию в части того, что убрал требования по лицензированию, аттестации и частично прояснил вопрос с сертификацией среств защиты, однако к сожалению документ оказался лишь половинчатой мерой. После того первые радости прошли стало понятно, что новый текст практически ничего не изменил и отчасти даже еще больше запутал ситуацию. Ожидались еще другие документы ФСТЭК, но за весь 2010 г. больше ничего так и не появилось.

- Май 2010 г. 1-е чтение законопроекта Резника. До этого момента существовали и другие документы, описывающие возможные правки в закон "О персональных данных", но "победил" Резник. Сейчас (в конце 2010 г.) по итогам 1-го чтения была подготовлена новая редакция этого законопроекта с большим количеством правок. Текст законопроекта пока не опубликован. Необходимо анализировать, первоначальная версия законопроекта на мой взгляд не убирала всех вопросов и нестыковок, связанных с исполнением закона.

- Июнь 2010 г. Новая редакция стандартов СТО БР ИББС. ЦБ после длительной работы выпустил таки обновленные документы по обеспечению информационной безопасности в организациях банковской сферы. Стандарты теперь включают в себя и вопросы выполнения требований по обеспечению безопасности персональных данных. Стандарт по прежнему является рекомендуемым, но теперь у каждого банка есть четкий выбор либо руководствуетесь этим стандартов (приняв его как стандарт организации), либо руководствуетесь тем, что написал ФСТЭК. На мой взгляд игнорирование стандартов, созданных основным регулятором, это все равно что против ветра...э-э плевать. Хотя по опыту работы находятся банки, решаюшие идти по пути выполнения только требований ФСТЭК.

- Июнь 2010 г. Обнаружение червя Stuxnet. Можно сказать историческое событие, т.к. этот червь по сути открывает новую эпоху в области информационной безопасности. До этого момента еще не было столько масштабных примеров вирусного программного обеспечения, направленного против систем автоматизации (АСУТП). Одним из основных предположений является то, что он был создан для того, чтобы нарушить планы по созданию АЭС в Бушэре (Иран) и вроде как даже это частично удалось путем, того, что часть агрегатов была выведена из строя. Время покажет, но Stuxnet является "живым" примером того, что вредоносный код может стать серьезным оружием, ущербом от которого будут не просто потерянные деньги и аккаунты в оналайн-играх, а целостность критичных систем и как результат жизнь и здоровье людей.

- Октябрь 2010 г. Викиликс. В октябре на этом сайте было опубликовано так называемое "Иракское досье", вызвавшее огромное количество обсуждений по всему миру, потом была еще публикация дипломатической переписки, открывшая интересные подробности работы дипломатии США, в том числе и касающиеся рынка информационной безопасности. На эту тему написали мои коллеги, Евгений Царев и Алексей Лукацкий. Некоторые вендоры на волне публикаций викиликс поспешили заявить, что это подстегнет интерес компаний к закупке и установке DLP-решений, но на мой взгляд это не более чем маркетинговый ход.

- Октябрь 2010 г. Новая редакция PCI DSS. PCI Council объявил о выходе новой редакции стандарта PCI DSS - PCI DSS v2.0. Стандарт не содержит никаких революционных изменений не смотря на смену нумерации в версии. Скачать новую редакцию можно здесь. Помимо этого 1 октября прошел дедлайн для мерчантов 1-го уровня и сервис-провайдеров региона CEMEA (куда входит Россия), подключенных к VisaNet, для подтверждения своего соответствия требованиям стандарта.

- Весь 2010 г. Крупные аресты хакеров. Этот год ознаменовался громкими сообщениями о поимках хакеров. В частности был арестован и осужден на 20 лет Альберт Гонсалес, стоявший за взломом и крупной утечкой номеров кредитных карт из TJX. В США были арестованы русские студенты, которые по версии следствия участвовали в снятии денег, которые уводили со счетов американцев с использованием ботнет-сети Zeus. Ребята были судя по всему обычными мулами (money mules), но в США очень жесткие законы и наши студенты могут очень серьзно за это поплатиться. У нас по 1 каналу даже прошла передача "Пусть говорят", в которой показывали заплаканных родителей этим самых студентов, но тут уж ничего не поделаешь. Помимо этого в этом году была прекращена деятельность еще одной крупной ботнет-сети - Bredolab, а человек предположительно стоявший за управленией этой сетью был арестован в Армении. Кроме того, осенью в Москве была арестована банда мошенников, вымогавшая деньги с людей, блокируя доступ к компьютеру с помощью вредоносной программы Winlock и ее модификаций.

- Декабрь 2010. Очередное продление по 152-ФЗ. Законопроект о продлении маратория на полгода прошел все инстанции и теперь новой датой икс является 1 июля 2011 г. Думается мне, что не последняя она :)

- Декабрь 2010. Взлом Chronopay. Почти под занавес года произошло довольно интересное событие, которое поначалу Chronopay попытался замять, обставив исключительно как дефейс своего веб-сайта, но думается мне там все наааамного серьезнее. Более подробный анализ этого инцидента будет в ближайшем посте.

А что же готовит нам грядущий год ?

Вот несколько прогнозов от представителей сообщества информационной безопасности:


Со своей стороны рискну сделать следующие прогнозы (и через годик можно будет проверить насколько я оказался прав):

Усилятся (расширятся) регуляторные требования по информационной безопасности. PCI DSS, Закон "О персональных данных", СТО БР ИББС, Закон "О национальной платежной системе" (пока только законопроект), вот те основные нормы, выполнение которых стает головной болью специалистов по информационной безопасности в 2011 г. Понятно, что персональные данные по прежнему будут превалировать, но и другие темы так же начнут себя проявлять. Законопроект Резника примут по моим оценкам в марте-апреле 2011 г после чего либо дадут еще какую-то отсрочку (т.к. до 1 июля все равно мало кто успеет выполнить требования обновленного закона), либо просто проводимые проверки будут ограничиваться только предписаниями без серьезных санкций. Также интересным является и то, что на мой взгляд сейчас сохраняется неопределенность в том, кто же будет предъявлять требования и проверять. ФСТЭК уже пытаются оттеснить от вопросов формирования требований и проведения проверок, теперь еще и есть законопроект, по которому функцию контроля могут снять с Роскомнадзора. Думается мне, что все же негосударственным организациям будет предоставлена свобода выбора методов и способов защиты персональных данных в обмен на ответственность за инциденты утечки этой информации.

Помимо тематики соответствия требованиям я думаю, что стоит ожидать усиления хакерской активности, приводящей к краже данных пользователей с целью получения денег (это и мошенничество в ДБО, фишинг и социальная инженерия). Думается мне, что 2011 г. может порадовать нас несколькими крупными инцидентами. Поэтому постепенно у компаний фокус будет смещаться от "простого выполнения требований" до обеспечения определенной реальной безопасности (понятно, что не на 100% как того хотелось бы, но сдвижка будет). Т.е выполнение требований станет лишь одной из опций проекта по информационной безопасности, а не единственной его целью.

Помимо этого 2011 г. продолжит тенденцию "мобилизации", т.е. все большее количество сотрудников будет использовать для своей работы различные мобильные устройства: смартфоны, планшетные компьютеры (ipad и проч.), ноутбуки, а это в свою очередь все больше будет осложнять вопрос с обеспечением безопасности информации (в т.ч. персональных данных), которая так же будет становится все более "мобильной" и здесь необходимо будет задумываться над определением четкого порядка использования мобильных устройств и обращения с информацией, а также внедрения мер по обеспечению безопасности (DLP, шифрование и др.). Кроме того, можно ожидать и появления первых вирусных эпидемий среди владельцев планшетников (хотя это скорее ближе к концу 2011).

Кадровый голод. Думаю что в 2011 году он проявится еще более остро. Хороших специалистов у нас во всех областях мало, а в ИБ и подавно. Глядя на то, чему учат наших студентов в институтах я понимаю, что фактически они абсолютно не готовы решать задачи, которые сейчас бизнес ставит перед информационной безопасностью. Компаниям потребуются люди для того, чтобы выполнить требования законов и стандартов, а их попросту не будет. Это хорошая пора для консультантов, т.к. в условиях отсутствия своих сил (и наличия денег) компании будут обращаться к их услугам, но ведь и им тоже потребутся специалисты, причем опытные и вот тут начнется драка за людей и жесткий хед-хантинг :)

Cloud Computing в России. Да, про облачные вычисления говорят уже давно, но в России пока я не встречал серьезных предложений по теме облачных вычислений, хотя уже сейчас появляются компании, готовые предоставить сервис, отвечающий требованиям 152-ФЗ. Во многом пока это чистая профанация, но я думаю, что в будущем году сервисы на базе облачных вычислений начнут набирать обороты, а это в свою очередь будет создать интересные преценденты (читай проблемы), связанные с обеспечением безопасности информации в таких "облаках" и контроля за их утечкой.

понедельник, 27 декабря 2010 г.

Интересная вакансия... Чья вот только ?

Попалась тут на глаза вакансия на HH.ru:


Заинтересовало меня в ней то, что в описании вакансии упоминается термин "ЦИБ". Боюсь ошибиться, но кажется такой аббревиатурой широко пользуются только 2 организации: Инфосистемы Джет и Softline.

Ни для одной из них вакантное место руководителя такого крупного подразделения ни говорит ни о чем хорошем. В Джете, на мой взгляд, уже давно есть кадровые проблемы со специалистами по ИБ, я во всяком случае знаю немало хороших специалистов, уволившихся оттуда за последний год. Про Softline пока ничего не слышал.

суббота, 25 декабря 2010 г.

Планы проверок по персональным данным на 2011 год


На прошлой неделе появились официальные планы проверок со стороны Роскомнадзора и ФСТЭК по вопросам персональных данных.

По поводу проверок ФСТЭК неплохо написал мой коллега - Евгений Царев в своем блоге.

План проверок Роскомандзора опубликован здесь.

Для большего удобства я переделал план в формат Excel и оставил только сведения о проверках по части обработки персональных данных с возможностью фильтрации по различным полям. Получилось всего 1415 проверок.

Скачать файл в формате Excel можно здесь.

четверг, 23 декабря 2010 г.

Какие сертификаты нужны специалисту по ИБ ?

На днях в корпоративном блоге компании ЛЕТА, в которой я работаю, опубликовали мой пост, посвященный сертификациям по информационной безопасности.

Дабы не повторять весь текст отмечу главное. На мой взгляд с учетом сложившегося рынка труда, востребованности сертификаций в России я бы, пожалуй, выделил следующие:
  • CISSP
  • CISA
  • CISM
  • Security+ (очень неплохой обучающий курс и сертификация для молодых специалистов по общим аспектам ИБ)
  • сертификации Cisco
  • сертификации по администрированию Linux (RHCE, Linux+ и т.п.)

среда, 22 декабря 2010 г.

RISSPA - Борьба с утечками в PwC - впечатления и аудиозаписи

Побывал в прошлую пятницу на заключительном в этом году семинаре RISSPA, посвященном тематике DLP. Выступающих было 4, но я к сожалению пропустил презентацию первого докладчика т.к. поехал на машине :)

Я как всегда сделал аудиозаписи докладчиков. К сожалению после второго выступления сломался микрофон и это сказалось на качестве записи (особенно для выступления Николая Починка). Аудио-записи доступны здесь:




Надо сказать что семинар в какой-то момент переходил скорее в оживленную дискуссию на тему того, насколько вообще системы класса DLP нужны на предприятиях. В какой-то момент мне даже показалось, что в зале нет вообще сторонников внедрения таких решений и шла словесная баталия между разработчиками (SECUREIT и Symantec) и ИБ-экспертами :).

Честно скажу, что меня не очень впечатлило выступление Алексея Раевского, т.е он вроде говорил правильные и всем понятные вещи, но когда начинались вопросы из серии "а как это было в ваших проектах ? а как ваши Заказчики обосновывают внедрение DLP?", ответы были из серии "им нужно было освоить бюджет" или "руководство захотело", т.е. все вещи про оценку рисков и экономически обоснованное принятие решения на деле оказались просто абстракцией т.к. никогда по факту не применялись.

Евгений Климов в своем докладе представил критичный взгляд на существующие возможности систем класса DLP. Была озвучена интересная идея по поводу DLPaaS (DLP as a Service), но скорее как концепт, т.к. реальная реализация такого сервиса сталкивается с рядом трудностей....

Ключевым же выводом похоже стал тот, что текущая стоимость систем DLP становится серьезной преградой при общении с руководством и выбивании бюджета при том, что всем понятно, что 100% гарантии того, что информация не уйдет никто дать не может, а обосновать использование такой системы для выполнения требований 152-ФЗ проблематично, т.к. о таких системах не говорится в руководящих документах ФСТЭК и ни одна из них не является сертифицированной.

В завершение хочу сказать, что PWC отлично организовал мероприятие, обеспечил нас помещением, выпивкой и закуской, за что им конечно же огромное спасибо !

P.S. В тему DLP недавно попалась интересная статейка, посвященная тому, какие вопросы имеет смысл задавать интегратору (или разработчику) у которого вы планируете покупать систему DLP.

Update 27.12.2010: Презентации докладчиков выложены на официальном сайте RISSPA здесь.

воскресенье, 12 декабря 2010 г.

Перенос сроков 152-ФЗ - второе чтение

В пятницу состоялось второе чтение законопроекта о продлении моратория на вступление в действие статьи 25 федерального закона 152-ФЗ "О персональных данных". Итоги - законопроект принят во втором чтении, но теперь его текст звучит так:

"...Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года....."

Update: спасибо Александру Токаренко за поправку, законопроект как выяснилось был сразу принят во втором и третьем чтении. Теперь впереди совет федерации и президент, но думаю что там не стоит ждать сюрпризов....

Update 27.12.2010: Президент подписал текст законопроекта. Мораторий продлен до 1 июля. Теперь надо будет следить за судьбой законопроекта Резника как основного кандидата на принятие в первой половине следующего года.

четверг, 9 декабря 2010 г.

CISCO объявила о сворачивании продукта MARS


Компания Cisco объявила о сворачивании разработки довольно известной системы мониторинга и корреляции событий - Cisco MARS. Причины отказа от дальнейшей поддержки и развития данной системы не совсем понятны. Возможно Cisco решила сконцентрировать свое внимание на других направлениях, таких как виртуализация, например. Такая же судьба постигла недавно и Web Application Firewall. Альтернатив указанным решениям компанией Cisco пока предложено не было, поэтому тем, кто использует данные системы видимо придется задуматься над решениями от других вендоров.

вторник, 7 декабря 2010 г.

Сроки 152-ФЗ похоже снова перенесут !!!

Интернет уже кипит... Сегодня состоялось слушание законопроекта Анатолия Аксакова о внесении изменений в статью 25 федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" в части переноса срока приведения ИСПДн в соответствие требованиям закона на 1 января 2012 года.
Законопроект был принят в первом чтении. Впереди второе и третье, но мое мнение, что нашим депутатам будет проще принять перенос сроков еще на год, чем сейчас перед новым годом развивать кипучую деятельность по принятию всех необходимых поправок в 152-ФЗ и другие законодательные акты.
Поживем увидим, но похоже впереди у нас еще один интересный год под знаком 152-ФЗ.....

P.S. Интересно, а рекомендации, прописанные в письме шести для банков, тоже перенесут на год ? :)

Update 09/12/2010. по последним данным на второе чтение уйдет редакция с переносом сроков только на полгода (до 1 июля 2011 г.)

воскресенье, 5 декабря 2010 г.

Для чего нужны консультанты ?

Совсем недавно Алексей Лукацкий опубликовал статьи с полезными советами о том, как подходить к проектам по персональным данным (да и к любым другим проектам по ИБ как мне думается тоже). Безусловно очень важно заранее определить и цель проекта и его результат, но не менее важным на мой взгляд является использование правильного инструмента для решения поставленных задач. Неправильно пытаться "забивать гвозди лазерным микроскопом". Поясню, что я имею ввиду.
Как правило консультант (в любой области) - это более опытный специалист, задача которого поделиться с вами опытом, помочь выполнить какую-то задачу, избежав существующих подводных камней, помочь выработать схему, наиболее оптимальную для ваших целей. Когда же мы переходим к проектам по ИБ вообще (и персональным данным в частности) в России, то здесь консультанты чаще выступают как аутсорсеры, их нанимают, чтобы они все сделали под ключ....все сделали за Заказчика, но порой многие не задумываются над тем, что толку от такого консалтинга (как это не парадоксально) будет меньше чем могло бы. Консультанты проведут работу, изучат все у вас и уйдут, оставив заказанные вами документы (отчеты с рекомендациями, проекты орг-распорядительной документации и проч.), и вот тут вы останетесь наедине со всем, что они для вас подготовили и это придется как-то вводить в жизнь, а это непростая работа, особенно если до этого момента вы совершенно не подключались к этой деятельности, отдав весь проект консультанту. Какой из этого можно сделать вывод ? Максимальную отдачу от привлечения консультанта можно получить только если в начале проекта в компании будет сформирована собственная команда заинтересованных в результате людей, людей, которые в рамках проекта будут перенимать опыт консультантов, задавать вопросы, совместно формировать решение, наиболее подходящее для компании. И чем активнее будет позиция Заказчика, тем более оптимальный результат будет получен по итогам совместной работы.
Кроме того здесь кроется и возможность экономии средств, выделенных руководством на "решение вопроса с персональными данными". Работа консультанта стоит недешево, если это консультант из зарекомендовавшей себя компании (я не беру сейчас стартаперов и разного рода "консультантов", выполняющих проекты за 10 тыс. рублей ... как правило работа, выполненная за такие деньги не отвечает критике) и в этой связи проекты "под ключ", где все за вас делает консультант, стоят значительно выше, чем проекты, в рамках которых задействованы внутренние ресурсы компании для решения ряда задач по сбору и анализу информации, а консультанту отводится роль эксперта, направляющего и обучающего команду Заказчика. Кроме того, в таких проектах дополнительным бонусом для Заказчика является собственная обученная команда, получившая опыт в рамках проведенного проекта и как следствие более подготовленная к приходу регуляторов или обращениям со стороны субъектов персональных данных.

понедельник, 29 ноября 2010 г.

Вот все у нас так...

Перемен, требую наши сердца,
Перемен, требуют наши глаза....
В. Цой


Вчера смотрел передачу «Какие наши годы» с Леонидом Парфеновым и в ней был один из сюжетов посвященный самиздату конца 60-х, начала 70-х годов. Дело это было довольно опасное (давали 7 лет лагерей), но мне запомнился другой момент. Понятно что тогда принтеров не было и печатали самиздатовскую литературу на печатных машинках. Так вот до Хрущева все машинки подлежали обязательной (!) регистрации (как автомобили или оружие). Сделано это было понятно для того, чтобы всегда можно было вычислить кто что напечатал и упрятать его далеко и надолго.

Так вот...я подумал... как хорошо, что этот маразм не дошел до наших дней, что мы не регистрируем компьютеры или еще что похлеще.... но тут же я вспомнил про наболевший для многих :) вопрос персональных данных. Вспомнилось письмо ФСТЭК в адрес поликлиники по поводу лицензирования, а также многочисленные высказывания представителей данного ведомства на различных конференциях (очень много чего есть в блоге Алексея Лукацкого) по поводу сертификации, аттестации, лицензирования. Вспомнилось недавнее "обязательство" аттестации ИСПДн и текущее обязательство использовать средства защиты "прошедшие в установленном порядке процедуру оценки соответствия". Подумал я и про вопрос с использованием шифровальных средств, на основании которого для защиты персональных данных нужно использовать сертифицированную криптографию....стало грустно конечно же... ведь пока мы берем все ИТ-технологии с запада мы будем использовать их криптографию (банально - WiFi, SSL и др. уже устоявшиеся технологии, работающие на западной криптографии), их программные и аппаратные решения, и в этом нет ничего плохого на мой взгляд, раз мы так от них отстали, значит надо брать передовой опыт с запада, а не изобретать велосипед (вспомним царя Петра I). Я понимаю когда мы говорим про государственный сектор и защиту гос. тайны, но это отдельная область...а частный бизнес ? Отрадно конечно, что многие вендоры решили сертифицировать свои продукты, но по мне так это сродни регистрации печатных машинок, это убьет инновации, а точнее все новые инновационные продукты никогда не будут с сертификатом, потому что это отдельный процесс, в отдельные сроки и за отдельные деньги....

Однако я думаю, что все можно изменить, сейчас все сложнее становится втиснуть общество в жесткие зарегулированные рамки.... все в наших руках.... капля камень точит.... аттестация уже отменена :)

пятница, 19 ноября 2010 г.

InfoSecurity 2010: впечатления и аудиозаписи


Всем привет ! Вчера побывал на выставке-конференции InfoSecurity. В связи с большой загрузкой на работе попал только на вторую половину дня и только на семинар RISSPA, но тем не менее успел пройтись по павильонам и перекинуться парой слов с коллегами. Впечатления остались очень приятные, очень хорошо была продумана и организация мероприятия (паркинг, регистрация, гардероб для верхней одежды и проч :)) и собственно содержание конференции. В программе стояло много мероприятий разного толка, но какого качества они были сказать не могу, не знаю. Тем не менее чувствовалось движение...чувствовался «конференционный дух» (если можно так выразиться).... С удивлением обнаружил, что некоторые компании проигнорировали эту конференцию (зря на мой взгляд), не было крупных антивирусных вендоров (Лаборатория Касперского, ESET), не было Positive Technologies, Информзащиты....Возможно они решили взять паузу и посмотреть какое из мероприятий привлечет больше народу, но если бы мне пришлось выбирать между Инфобез и InfoSecurity, то я бы выбор сделал в пользу последней. Единственной ложкой дегтя на мой взгляд стали размеры конференционных залов. Они не вмещали всех желающих, а слышимость в них была не самой лучшей из-за общего шума, стоявшего в павильоне, где проходила конференция. С этим в будущем году надо будет однозначно что-то делать.

Теперь по семинару RISSPA, который был посвящен расследованиям компьютерных преступлений. В семинаре приняли участие представители компаний Group IB, Fortinet, eSage Lab, а также сотрудник управления «К» и его австралийский коллега, неплохо говоривший по-русски :) (его выступление было первым). Мне удалось сделать аудиозаписи, но качество из-за шума получилось не очень (первая часть особенно «шумная», другие более-менее разборчивые).

Часть 1 (32 Мб, mp3) - выступление Andre Ross, PricewaterhouseCoopers

Часть 2 (36 Мб, mp3) - выступление Максима Суханова из Group IB

Часть 3 (13 Мб, mp3) - выступление Яна Скасырского из Fortinet

Часть 4 (16 Мб, mp3) - выступление Алисы Шевченко из eSage Lab

Семинар затянулся до 19:20 и мы были последними кто выходил из конференционного павильона... фактически нас просто выгнали :) (оборвали презентацию Алисы Шевченко из eSage Lab).

Материалы (презентации и видео-ролики) думаю должны через некоторое время появится на сайте RISSPA.

Будем ждать новых семинаров RISSPA и новых мероприятий по информационной безопасности.

воскресенье, 14 ноября 2010 г.

ROGUCCI: Безопасность подводной кабельной инфраструктуры


На днях участвовал в круглом столе, организованном АНХ и институтом EastWest. EastWest занимается вопросами межгосударственного взаимодействия предоставляя аналитику и рекомендации, которые могут использоваться правительствами, государственными и частными организациями в решении существующих международных проблем. Круглый стол был посвящен вопросам кибербезопасности и защиты критичных систем, но пост мой посвящен не этому.

Одним из примеров работы института EastWest является работа, посвященная описанию текущих угроз безопасности подводной кабельной инфраструктуры. Как известно большая часть коммуникаций между континентами происходит посредством подводных оптических кабелей и зависимость современного общества от их надежности (надежной связи) становится все более и более высокой (особенно финансового сектора). Все думают помнят несколько последних инцидентов, посвященных разрыву кабелей на ближнем востоке, в результате чего несколько стран остались без доступа в сеть Интернет.
Отчет содержит подробное описание того, как устроена современная система подводной связи, какие уязвимости, присущи ее компонентам, с какими существующими техническими и политическими проблемами сталкивается ее эксплуатация.
Работа безусловно интересная и заслуживает внимания если вы хотите получить исчерпывающие понимание того, как устроены «подводные сети». Скачать отчет можно здесь (формат PDF, 53 МБ).   

пятница, 5 ноября 2010 г.

А какие подкасты слушаете вы ?


Для меня сейчас безусловно одним из основных источников получения информации являются блоги (корпоративные или частные), но в последнее время также большую популярность стали получать подкасты. Я сам лично слушаю подкасты по двум причинам: получение актуальной информации + языковая практика (подтягиваю свой английский, т.к. большинство подкастов западные). Из всего разнообразия мое внимание пока привлекли следующие подкасты:
  • 100% Virus Free Podcast — еженедельный подкаст от компании ESET. Спектр освящаемых в подкасте вопросов очень широк и не сводится только к антивирусной тематике.
  • Risky Business - австралийский подкаст по информационной безопасности от Patrick Gray.
  • Tenable Network Security Podcast – подкаст от компании Tenable (разработчиков Nessus). основными темами как правило являются новые уязвимости и хакерские атаки.
  • PaulDotCom - Security Weekly – подкаст от довольно известного эксперта в области ИБ Paul Asadoorian. В подкасте обсуждаются последние новости, уязвимости, исследования в области информационной безопасности.
  • Network Security Podcast - блог от Martin McKeay, блоггера из США, специализирующегося на PCI аудитах (хотя в подкасте освящаются самые разные темы).
А какие подкасты слушаете вы ?

воскресенье, 31 октября 2010 г.

OpenSource на службе специалиста по инфобезопасности


Помнится мне тематика использования opensource решений активно обсуждалась на самых разных уровнях примерно 1,5-2 года назад в самый разгар кризисных явлений. И главным преимуществом указывалась более низкая стоимость (за счет отсутствия лицензионных отчислений). Шумихи было много, в школах запустили проект по переходу на СПО (свободное программное обеспечение), государственные учреждения было тоже задумались над этим, известный интегратор АйТи даже создал специальную компанию со смешным (на мой взгляд) названием - PingWin Software для продвижения СПО-решений. Но как-то это к сожалению в России забуксовало, то ли лоббистские возможности компаний вроде Microsoft оказались довольно сильны, то ли сыграла свою роль невозможность получения на СПО-проектах больших откатов для чиновников... в общем и школы сейчас как мне известно вынуждены снова возвращаться к Windows-системам и гос. учреждения пыл свой поумерили. Ну да ничего, я все же думаю, что постепенно СПО займет свое достойное место. Я ни в коем случае не пытаюсь критиковать коммерческие программные продукты и никогда не участвую в дискуссиях на тему того, что лучше Винда или Линукс. Каждую конкретную ситуацию нужно рассматривать в ее контексте.
Тем не менее есть довольно достойные решения, в том числе и связанные с информационной безопасностью, на которые как мне кажется стоит обратить внимание (ну хотя бы из праздного любопытства):
  • Amanda Network Backup — программное решение для выполнения централизованного резервного копирования серверов, рабочих станций, баз данных и проч.
  • NetDirector — система централизованного управления конфигурацией серверов под управлением Linux и Solaris, позволяет устанавливать и контролировать системные параметры и параметры работы различных сетевых служб.
  • Endian UTM — очень неплохое UTM-решение (МСЭ, веб-фильтрация, АВЗ, антиспам), вполне позволяет организовать для небольших организаций или офисов систему доступа в интернет (мне лично понравилась система веб-фильтраци, которая позволяет закрыть доступ к веб-сайтам, выбрав предустановленные категории).
  • OpenCA — полнофункциональный удостоверяющий центр на базе открытого когда. Нашу криптографию к сожалению не поддерживает, ну да это и не удивительно.
  • FreeRADIUS — что такое RADIUS-сервер думаю объяснять не нужно. FreeRADIUS пример неплохой альтернативы коммерческим решениям (в первую очередь от Microsoft), позволяющий организовать контроль доступа к сетевым ресурсам.
  • OpenDLP — да-да, существует даже opensource DLP-решение. Конечно пока это только первая версия с массой ограничений, небогатым функционалом и проблемами с распознаванием русского :), но проект развивается, посмотрим что получится.
  • OSSIM — это целая система мониторинга, чего в ней только нет: сканер уязвимостей (nessus), система обнаружения вторжений (snort), система сбора и корреляции логов и еще добрый десяток различных программ, позволяющих создать полноценный центр управления информационной безопасностью. Решение очень достойное и стоит того, чтобы с ним познакомиться.
  • QRadar Log Manager FE — система сбора и корреляции логов. Более узконаправленный вариант по сравнению с OSSIM. Если вам необходимо решить вопрос с выполнением требования 10.6 стандарта PCI DSS и у вас не очень большая инфраструктура, то указанный продукт может быть очень полезен.
  • Zabbix — мощная система мониторинга, позволяющая контролировать производительность ваших систем. Огромное количество агентов под различные операционные системы позволяет обеспечить мониторинг практически любой сети.
  • WIKID — система 2х-факторной аутентификации, позволяющая организовать контроль доступа для VPN-подключений, Citrix, административного доступа (SSH и др.) и других видов сетевых соединений.
  • ESIS — данный продукт лично пока еще не крутил, но судя по описанию это некая система управления информационной безопасностью, включающая в себя модуль compliance, модуль аудита и модуль управления рисками. Предназначена для менеджеров по информационной безопасности как средство автоматизации деятельности по управлению ИБ.

Призываю всех кто знает другие программные решения оставлять ссылки в комментариях. Можно будет сделать неплохую подборку.

понедельник, 18 октября 2010 г.

Twitter для специалистов по ИБ


Недавно наткнулся на сайт, где размещен интересный список твиттер-пользователей, пишущих на тему информационной безопасности.

Список размещен здесь

суббота, 9 октября 2010 г.

Подкаст в ESET


Вчера принял участие в записи подкаста ESET по приглашению Александра Матросова. Первый такой опыт для меня, оказалось очень интересно. Александр - очень интересный собеседник и профессионал в своем деле. Оказалось, что он также ведет авторский курс в МИФИ по реверсинжинирингу, что не могло меня не обрадовать в контексте моих недавних размышлений по поводу обучения молодежи. Думаю, что мне тоже пора перейти от слов к делу и также начать делится опытом со студентами (призываю всех экспертов по информационной безопасности присоединяться).
О самом подкасте я узнал совсем недавно и был приятно удивлен, т.к. хороших блогов/подкастов по информационной безопасности у нас крайне мало, поэтому рекомендую всем обратить внимание на 100% Virus Free Podcast, ну а Александру желаю успехов в его безусловно правильном начинании.

Update (19.10.2010):
Подкаст можно скачать здесь

четверг, 7 октября 2010 г.

Инфобезопасность - день второй (банковский)


Вчера побывал на конференции Инфобезопасность. В общем мероприятие из года в год становится все меньше, хотя в этот раз это видимо обусловлено разделением конференции на две (Инфобезопасность и InfoSecurity). Судя по всему часть компаний сделала выбор в пользу InfoSecurity, которая пройдет в ноябре. Из докладов я присутствовал на круглом столе "Обеспечение соответствия закону 152-ФЗ в банковской сфере" и даже сделал запись:

запись в формате .amr (8 MB)
запись в формате .mp3 (37 MB)

Участники: Сычев А.М., Зам.директора Департамента безопасности, Россельхозбанк, Лысенко Ю.Н., начальник Управления информационной безопасности Департамента защиты бизнеса Home Credit & Finance Bank; А. Гольштейн (Заместитель директора департамента аудита компании «Информзащита»); С.В. Вихорев (Заместитель Генерального директора по развитию «ЭЛВИС-ПЛЮС»)

Для тех, кто не смог попасть думаю будет интересно послушать.

Т.к. на конференцию забежал ненадолго больше ничего не запомнилось.... все же далеко нам до западных мероприятий такого рода по инфорационной безопасности. С нетерпением жду Форума директоров по информационной безопасности, т.к. мероприятие похоже будет более стоящим.

пятница, 1 октября 2010 г.

3-я конференция АРБ о реализации требований 152-ФЗ


В среду посетил мероприятие АРБ, посвященное вопросам персональных данных. Делегатов было порядка 200 человек (представители банков, разработчиков АБС, консультантов и др.). Выступали представители ЦБ (А.П. Курило), Роскомнадзор (Кантемиров Ю.Е.), ФСБ (Баранов А.П.), ФСТЭК (Лютиков В.С.), а также представители консультантов и различных банков.

В целом мероприятие оставило неоднозначное впечатление. С одной стороны понятно, что такого рода конференции нужны, т.к. позволяют обмениваться реальным опытом, делиться проблемами и возможно даже совместными усилиями их решать, но с другой стороны лично меня обескуражило, что по ряду вопросов мнения экспертов очень серьезно различались и судя по переговорам в зале, конференция у некоторых оставила больше вопросов, чем ответов. Ну поживем - увидим как оно все будет развиваться.

Теперь немного о самой конференции. Открыл конференцию Андрей Петрович Курило с общим обзором текущей ситуации в области защиты персональных данных в банковских организациях. По его словам сейчас уже достигнуто взаимопонимание с регуляторами, т.е. стандарты серии СТО БР ИББС не вызывают никаких вопросов и полностью ими принимаются. Кроме того сейчас уже активно пошел процесс присоединения к стандарту и в адрес ЦБ приходит около 2х писем в день от банков, решивших принять СТО БР ИББС в качестве стандарта, обязательного для выполнения. Кроме того этой осенью в федеральный закон и возможно подзаконные акты будут вноситься изменения, которые видимо внесут коррективы в порядок обеспечения безопасности персональных данных.

А.П. Баранов и В.С. Лютиков в своих докладах коснулись более подробно возможных осенних изменений и в частности изменений 19-ой статьи Федерального закона. Какие именно будут изменения к сожалению никто из них не сказал, но видимо что будет изменен подход к формированию требований по обеспечению безопасности персональных данных, а также порядок контроля за соблюдением этих требований. Честно сказать я очень сильно пытался понять как же это будет, но у меня это так и не получилось :).... так что будем ждать вестей из Думы.

Далее выступал Валерий Павлович Харламов с докладом о международных стандартах в области ИБ вообще и защиты персональных данных в частности (ISO 29100). Доклад в целом был интересным, но только вот зачем это банкам, ведь уже понятно что на ближайшие годы основным стандартом будет СТО БР ИББС-1.0? Хотя возможно эти стандарты будут использованы при подготовке новой редакции стандартов СТО БР ИББС.

Ю.Е. Кантемиров рассказал о работе Роскомнадзора за последние два года. Так было сказано, что за 2009 год было проведено 37 проверок банков и в 67% случаев были выявлены нарушения, а за 9 месяцев 2010 года - 70 проверок из которых нарушения нашлись в менее чем 50% случаев. Интересная статистика, хотя уж какая-то очень хорошая (не верится мне, что сейчас можно выполнить 152-ФЗ без нарушений :))
Из основных замечаний было указано, что:
а) банки должны (!) уведомлять Роскомнадзор об обработке персональных данных
б) необходимо включать в договора с коллекторами требования по обеспечению конфиденциальности передаваемых персональных данных
в) грубым по мнению РКН нарушением законодательства является публикация информации о неблагонадежных заемщиках в публичных ресурсах (веб-сайт, пресса и т.п.). По ряду таких фактов материалы были переданы в прокуратуру.

Далее была секция вопросов-ответов и презентаций отдельных банков,но тут ничего нового сказано не было, кроме одного - по поводу лицензирования ФСТЭК И ФСБ.
Текущий закон о лицензировании предполагает обязательное (!) лицензирование по линии ФСТЭК, а также лицензирование по линии ФСБ (при использовании криптографии). Сейчас ведется обсуждение возможных поправок в этот закон, но чем все закончится пока не понятно. Будем ждать. Артем Сычев из Россельхозбанка предложил как один из вариантов текущего решения проблемы с лицензированием ФСТЭК - заключение договора с организацией-лицензиатом на проведение работ по защите персональных данных.
Но в целом неформальное мнение свелось к тому, что лицензироваться в ФСБ необходимо, а во ФСТЭК необязательно.

пятница, 24 сентября 2010 г.

Эх... чему у нас учат молодежь

Где та молодая шпана, что сотрет нас с лица земли....
Б.Б. Гребенщиков


Недавно мой коллега Евгений Царев в твиттере разместил ссылку на статью о том, что информационная безопасность сейчас одна из самых востребованных специальностей среди студентов. Это конечно здорово, но ....
По долгу службы, что называется, мне приходится собеседовать студентов, желающих устроиться по специальности. К сожалению степень их готовности не просто шокирует...а уже даже просто удручает. Возникает впечатление, что все что преподают этим ребятам это то, что такое ПЭМИН и как бороться с утечкой по техническим каналам. Они примерно даже знают как искать «жучков» и какой толщины должны быть стены в помещениях, где ведутся конфиденциальные переговоры, но только начинаешь с ними говорить о современных технологиях, о системах IDS/IPS, о сканерах уязвимостей или о чем-то более продвинутом, вроде систем корреляции логов (SIEM) и т.п..... в ответ тишина... И как мы с такими знаниями собираемся развивать инновации и создавать конкурентноспособную экономику? Да бог с ней с экономикой... кто банально будет отвечать за информационную безопасность в гос. структурах и коммерческих организациях через несколько лет ?... не знаю...
Понятно, что любого человека можно выучить в компании, особенно если человек тянется к знаниям. Но все же человек с высшим образованием должен уже (!) обладать серьезным багажом начальных знаний. И вот как-то обидно становится за нашу молодежь, ведь среди них есть немало талантливых, энергичных и творческих людей, а раскрыться у них возможности нет.... изучают архаизм и выходят из институтов совершенно «нулевыми»... Я понимаю, что на зарплату учителя высококлассный специалист по информационной безопасности не пойдет работать в институт, да и уровень его компетенции без практики очень быстро начнет падать. В этом смысле радуют инициативы Лаборатории Касперского по чтению специализированных курсов для студентов…. но это пока капля в море. Было бы здорово наверное, если бы таких волонтерских начинаний было побольше. Ведь у нас немало серьезных, компетентных экспертов в области информационной безопасности, которым безусловно есть чем поделиться с подрастающим поколением.

Update (02.2011) В развитие своих мыслей я решил запустить проект "Обратная связь". Буду по мере сил стараться исправить обозначенные проблемы.

воскресенье, 5 сентября 2010 г.

Безопасность платежных технологий и PCI DSS: интересные ссылки


Несколько полезных ссылок по тематике:

1) PCI Council объявил о подготовке новой редакции стандарта PCI DSS 2.0. Не смотря на то, что идет замена с 1.2 на 2.0 радикальных изменений стандарта не предвидится.Выход новой версии стандарта планируется в октябре 2010 г. Описание изменений здесь.

2) До 30 сентября (дедлайн объявленный VISA для мерчантов 1-го уровня и сервис-провайдеров) осталось меньше месяца. Понятно, что после этой даты никаких драконовских мер не ожидается, но то что VISA начнет действовать в России более активно — думаю факт. Описание требований можно найти на сайте VISA: для мерчантов здесь, для сервис-провайдеров здесь;

3) Для тех, кто использовал Qualys для ASV-сканирования внешних систем, есть важные новости в части изменений в требованиях по сканированию со стороны PCI Council

4) Интересная презентация о правильных и ошибочных подходах к реализации требований PCI DSS от Антона Чувакина

Ну и на сладкое небольшой прикол от PCI Council. Забавное видео о стандарте PCI DSS.

понедельник, 30 августа 2010 г.

Опасная уязвимость Windows набирает обороты


Уязвимость вызвана небезопасной загрузкой DLL-библиотек. Вкратце эта уязвимость связана с тем, что приложение при открытии файла выполняет загрузку необходимых библиотек из рабочей директории, которой является директория файла. Это создает возможность «подложить» приложению поддельную библиотеку и как результат выполнить произвольный код. Данной уязвимости оказалось подвержено огромное количество приложений. На securitylab за последние несколько дней была опубликована масса уведомлений об уязвимых приложениях (вот, например). Соответствующие эксплоиты уже появились и в хакерских базах и в том же самом Metasploit (вот пример использования этого инструментария http://www.attackvector.org/new-dll-hijacking-exploits-many/).

Детальное описание уязвимости есть на сайте H.D. Moore (http://blog.metasploit.com/2010/08/exploiting-dll-hijacking-flaws.html)

Компания Microsoft отреагировала на данную уязвимость выпустив security advisory.

К сожалению пока стопроцентного способа защититься от такого рода атак не существует. Для тех, кто желает проверить свои приложения на уязвимость есть специальный скрипт.

суббота, 21 августа 2010 г.

Осенние конференции по информационной безопасности


Скоро осень, не самая приятная новость для любителей тепла (хотя этим летом таких стало явно меньше :)), однако для нас, специалистов по информационной безопасности это означает оживление сообщества и проведение серии конференций по информационной безопасности. Итак, что же нас ожидает:

1) 7 - 11 сентября 2010 г. IX Ежегодная Всероссийская конференция "Обеспечение информационной безопасности. Региональные аспекты". На конференции обсуждаются вопросы государственного регулирования, регионального развития, отраслевые проблемы, развитие систем управления и технологий в области защиты информации, передовой опыт реализованных проектов, решений и внедрений.

2) 13 — 15 сентября 2010 г. IT SECURITY ONLINE SHOW 2.0. Отраслевая онлайн-выставка и видеоконференция по информационной безопасности, пройдёт на платформе НаВыставке.ru, в ходе которой ведущие российские и зарубежные компании представят свои новейшие решения и услуги в области защиты информации.

3) 5 -7 октября 2010 г. INFOBEZ-EXPO Инфобезопасность. Одна из 2х конференций, ставшая результатом разделения Infosecurity Moscow. Организует РЭСТЭК.

4) 14 — 15 октября 2010 г. DLP-RUSSIA. Ежегодное международное b2b мероприятие, посвященное различным аспектам защиты конфиденциальной информации в компаниях, начиная с государственной поддержки DLP отрасли и заканчивая техническим и практическим опытом применения всего многообразия систем контроля конфиденциальных данных.

5) 25 — 26 октября 2010 г. Межотраслевой форум директоров по ИБ. Крупнейшее бизнес-ориентированное мероприятие отрасли. В этом году будет проходить в 3-ий раз.

6) 27-29 октября 2010 г.  Конференция Cisco Expo. За время своего существования Cisco Expo стала одним из самых ярких ИТ событий в России, собирая тысячи участников из разных регионов и стран.

7) 17 – 19 ноября 2010 г. InfoSecurity Russia. "Оригинальная" версия конференции Infosecurity уже 7 лет проходящая в Москве.

вторник, 17 августа 2010 г.

NIST выпустил драфт руководства по безопасности виртуальных инфраструктур


Документ небольшой и не содержит чего-то революционного, однако неплохо систематизирует основные примеры использования виртуализации, а также возможных механизмов защиты виртуальных систем.

Драфт доступен для скачивания здесь

понедельник, 2 августа 2010 г.

VPN-сервисы для защиты WiFi-подключений


Всем привет! Немного затянул с новым постом в связи с тем, что уезжал в отпуск на море (без интернета и других отвлекающих элементов :) ), но зато сегодняшняя тема напрямую связана с тем, с чем сталкиваются многие отдыхающие и не только.
В гостиницах, как в прочем и в различных кафе, домах отдыха и других местах все чаще организуют платные/бесплатные точки WiFi-доступа. Очень удобно, НО и довольно опасно, ведь все данные (пароли, письма, сообщения и пр.) передаются по открытому каналу, а значит любой, кто находится в относительной близости сможет эти данные перехватить (человек с компьютером за соседним столиком, злоумышленник из другого номера в гостинице и т.д.). Как быть ? Лично я использую для этих целей собственный VPN, организованный на выделенном сервере, но для этих целей можно использовать и бесплатные (!) интернет-сервисы шифрования.

А вот собственно небольшая подборка таких сервисов:

CyberGhost - VPN-сервис от немецкой компании, для использования которого потребуется скачать и установить специальную программу-клиент. Бесплатный тариф предполагает ограничение в 1 Гб в месяц на трафик, чего в принципе вполне достаточно для рядового пользователя. Увеличение трафика возможно за счет перехода на платные тарифы.


ItsHidden – бесплатный VPN-сервис, для использования которого не потребуется установка каких-либо программ, все что нужно для того, чтобы им воспользоваться – зарегистрироваться на сайте и получить данные для настройки VPN-соединения. Инструкция по настройке также есть на сайте, хотя к сожалению только на английском языке.

Hotspot Shield - еще один VPN-сервис, для использования которого также потребуется установить программку, которая при запуске будет создавать зашифрованное соденинение от вашего компьютера до сервера в интернете. Есть даже описание на русском. Очень неплохой сервис, получивший признание со стороны CNN и PC Magazine.

воскресенье, 11 июля 2010 г.

Расширения Firefox для безопасного серфинга в интернет




Привет всем ! Сегодняшний пост посвящен расширениям для Firefox, которые могут повысить уровень вашей защиты при посещении сомнительных сайтов.

Если вы используете браузер Firefox в своем ежедневном блуждании по просторам интернета, то вы можете воспользоваться следующими дополнительными расширениям (add-on), которые повысят уровень вашей защиты :

NoScript — это расширение, блокирующее по умолчанию Java-скрипты, Flash и другие потенциально опасные компоненты веб-страниц. При применении этого плагина вид загружаемых вами страниц сильно изменится, но зато пропадут всякие баннеры, всплывающие окна и проч. Выборочно можно разрешать отображение тех или иных компонентов. Крайне полезное расширение, сам им активно пользуюсь.

KeyScrambler Personal — это расширение позволяет защитить от перехвата любые данные, которые вы вводите в браузере (логины/пароли, номера счетов и пр.). Очень эффективное решение в борьбе в вирусами, специализирующимися на перехвате вводимых данных (т.н. Кейлоггеры).

Dr. Web Antivirus Link checker - с помощью этого расширения вы можете проверить любую ссылку в интернете на наличие вирусов, троянских программ и другого вредоносного кода!

McAfee Site Advisor - после установки этого расширения внешний вид вашего веб-браузера несколько изменится. В его интерфейсе появятся дополнительные кнопка и поисковое поле, а также значки рейтинга напротив результатов поиска. Эти элементы будут оповещать вас о потенциально вредных сайтах и помогут найти безопасные сайты.

BetterPrivacy — это расширение чистит различные куки, используемые веб-сайтами для отслеживания ваших действий, позволяя обеспечить относительную анонимность в сети.

BlockSite - это расширение позволяет вам создавать «черные» списки сайтов, доступ к которым и ссылки на которые будут автоматически блокироваться.

WOT — еще одно расширение, которое позволит вам избежать посещения опасных сайтов. В сообществе WOT состоят миллионы пользователей. Объединив полученные от них данные с информацией из надежных источников, составлен рейтинг более 22 миллионов веб-сайтов. Значки рейтинга, похожие на светофор, понятны на интуитивном уровне: зеленый свет – «идите», желтый – «будьте осторожны», красный – «стойте». Они отображаются в результатах поиска Google, Yahoo!, Wikipedia, Digg и прочих популярных поисковых систем.

LastPass — парольный менеджер для вашего браузера с множеством функций, в частности он позволяет создавать надежные пароли, хранит базу сохраненных паролей от различных веб-сайтов, автоматически подставляет сохраненные данные в формы на посещаемых веб-сайтах.

Если вы не знаете как устанавливать расширения в FireFox, то более-менее понятная инструкция есть здесь

среда, 30 июня 2010 г.

Бесплатные антивирусы на любой вкус — часть II — онлайн-антивирусы


Это не совсем полноценные антивирусы. По сути это онлайн-сервисы, которые позволяют вам оперативно проверить подозрительные файлы. Это бывает крайне полезно, особенно, если ваш текущий антивирус ничего не находит, а подозрение у вас остается.

http://www.drweb-online.com/en/online_check.asp - онлайн-сервис от компании Dr. Web. Позволяет загружать файлы и проверять их на вирусы.

http://www.kaspersky.com/scanforvirus – аналогичный сервис от Лаборатории Касперского, позволяет загружать и проверять файлы. Более продвинутый онлайн-сканер пока находится в разработке.

http://housecall.trendmicro.com/ru/ - более расширенный сервис от компании Trend Micro, позволяет в том числе проверять локальные папки на компьютере, но для его использования все же придется установить небольшой программный модуль.

http://www.pandasecurity.com/activescan/index/ - онлайн-сервис от компании Panda Security. Позволяет проверить компьютер используя только браузер и доступ в интернет.

http://www.virustotal.com/ru/ - один из наиболее популярных онлайн-сервисов, который позволяет загружать и проверять файлы сразу несколькими антивирусами за счет чего достигается более высокая точность проверки.

http://www.virscan.org/ - еще один сервис, аналогичный предыдущему, позволяет проверять файлы сразу несколькими антивирусными движками (около 20).

понедельник, 28 июня 2010 г.

Бесплатные антивирусы на любой вкус


Бесплатный антивирус - вроде звучит странно, но в реальности сейчас уже существует немало неплохих решений.

Вот неплохая подборка:

Avast Free Antivirus — антивирус от чешского разработчика. Обеспечивает базовый уровень защиты вирусов и шпионов. Не защищает от заражения при серфинге по интернет-страницам (не проверяет веб-сайты на вирусы). Расширенные функции доступны за отдельную плату.

AVG Anti-Virus Free Edition — антивирус от голландской компании AVG. Обеспечивает защиту от вирусов, шпионов, а также проверку веб-сайтов при посещении. Расширенные функции доступны за отдельную плату.

Avira AntiVir Personal - это детище немецкой компании Avira. Антивирус обеспечивает защиту от вирусов, шпионов, диалеров. Расширенные функции доступны за отдельную плату.

Comodo Internet Security Free – более расширенный антивирус по сравнению с предыдущими. Бесплатная версия включает в себя не только антивирус, но еще и файрвол - незаменимая штука для защиты от атак на ваш компьютер из сети (а это происходит постоянно, особенно если дома у вас не СТРИМ, а какая-нибудь локальная сетка).

Microsoft Security Essentials — антивирус от компании Microsoft, обеспечивает неплохую защиту от вирусов, но есть недостаток :) - он работает только на легальной винде (!)

Panda Cloud Antivirus — антиврус от компании Panda, испоьзующий так популярные сегодня «облачные» вычисления, защищает от широкого спектра различных зловредных программ.

Rising Antivirus Free Edition 2010 - еще один неплохой антивирус от компании Lion-Strong Security, проверяет файлы на компьютере, посещаемые веб-страницы, входящие/исходящие почтовые сообщения, подключаемые носители (CD, USB и др.).

Dr.Web CureIt — этот антивирус от Dr. Web предназначен скорее для обнаружения вирусов на компьютере, на котором уже установлено антивирусное ПО, но оно по тем или иным причинам не обнаруживает вирус. Есть как обычная версия, так и вариант с LiveCD (http://www.freedrweb.com/livecd/) - это образ диска, который вы можете записать на CD-болванку, загрузить с нее ваш компьютер и выполнить его проверку на вирусы.

Вот и все. В следующем посте будет подборка онлайн-антивирусов, не требующих установку на компьютер.

среда, 23 июня 2010 г.

О чем не стоит рассказывать в социальных сетях


Несколько небрежно брошенных реплик в социальной сети могут создать столько проблем, сколько не приснится даже в самом страшном кошмаре

Никто не спорит, что социальные сети - это величайшее достижение человечества. Они помогают найти потерявшихся друзей, поделиться свежими новостями, попросить помощи, решить деловые вопросы и просто тихо скоротать вечер. По статистике, более 35 процентов всех пользователей интернета зарегистрированы хотя бы на одном социальном сервисе.

Однако глубокое проникновение соцсетей в повседневную жизнь таит большую опасность. К сожалению, большинство пользователей крайне пренебрежительно относятся к той информации, которую они выставляют на всеобщее обозрение. Последствия этого могут быть самыми разными, но в худшем случае можно лишиться работы или даже быть ограбленным, причем не в виртуальном мире, а во вполне реальном.

Есть определенный набор информации, которую крайне не рекомендуется публиковать в социальных сервисах во избежание неприятностей.

1. Пароли и логины

Это может показаться глупым, но социальные сети часто используются для хранения и обмена логинами и паролями. О чем думают люди, отправляющие такие данные своим родственникам или друзьям, сказать трудно. Мало того, часто пользователи добровольно отдают пароль от самой социальной сети. Кто даст гарантию, что его получатель не решит через пару месяцев вспомнить давнюю обиду и не превратит ваш профиль в сборник компромата? Никто. Поэтому будьте аккуратны. Если обстоятельства вынуждают отдать пароль, обязательно смените его, как только это станет возможным.

2. Кодовые слова и фразы

Ответы на кодовые вопросы, которые используются вами для восстановления забытых паролей, также не следует хранить в социальных сетях. Это удивительно, но большинство пользователей даже не задумываются над этим, когда вносят в профиль девичью фамилию матери или школу, где они учились. А ведь ответы на эти вопросы и есть те самые популярные ключевые фразы, используемые для восстановления учетных записей или при обращении, например, в банк.

3. Адрес и телефон

Никогда не оставляете в открытом доступе ваш домашний адрес и телефон. Злоумышленники будут знать, где вас искать, особенно, если заподозрят, что вас не будет дома в определенные часы. Узнать об этом можно из ваших же сообщений - этому посвящен следующий пункт.

4. Планы на ближайшее будущее

Не стоит делиться со всем миром вашими планами на вечер или выходные. Вполне возможно, что этой информацией заинтересуется тот, кто сможет воспользоваться вашим отсутствием в одном месте или, напротив, присутствием в другом. Даже гостей на вечеринку лучше собирать, используя личные сообщения или закрытую группу, а не «стену».

5. Персональная финансовая информация

Ваше благосостояние не должно касаться никого, кроме вас. Поэтому лучше избегать даже намеков на то, сколько вы зарабатываете, когда получаете зарплату, где храните сбережения или как часто посещаете банкомат. На первый взгляд в этом нет ничего опасного, но только до тех пор, пока вы не столкнетесь с тем, кто знает, как случайно оставленные сообщения превратить в бесценные.

6. Фотографии детей

Фотографии ваших детей в открытом доступе также не сулят ничего хорошего. И речь здесь идет не только о педофилах, которые могут использовать их в своих целях. Этот пункт тесно переплетается с пунктом 4: если, вы оставляете сообщение о том, что будете отсутствовать на выходных, а дома остается только ребенок (фотография которого доступна в галерее), то его безопасность может оказаться под большой угрозой.

7. Не публикуйте ничего, что не хотите

Помните, что даже если настройки приватности вашего профиля «выкручены» на максимум, нет никакой гарантии, что публикуемая вами информация не выйдет за его пределы. Достаточно сказать, что согласно исследованиям Университета штата Виржиния, 90 процентов приложений для Facebook, входящих в топ-150 по популярности, имеют доступ к вашей конфиденциальной информации. Зачем она им - загадка. Но это прекрасная иллюстрация того, что абсолютно любые данные, которые находятся в интернете, могут быть получены сторонними лицами при надлежащем старании.

Источник

суббота, 19 июня 2010 г.

Безопасность "В Контакте"


Попался на глаза неплохой материал о безопасности при использовании социальной сети "В контакте", а также немного других полезных замечаний и советов в статье на сайте "Частный корреспондент".

Рекомендую почитать: ссылка

Вот лишь небольшие выдержки из этой статьи:

Одна из интернет-пользовательниц анонимно пожаловалась «Часкору»: «У меня как-то взломали «аську» из-за красивого семизначного номера. Это была какая-то хитрая программа, она же заодно позволяла хакать мейлы и ЖЖ. К счастью, ЖЖ я отстояла — мне вовремя сообщили, и я успела сменить пароль. Потом выяснилось, что аськи-мейлы ломал какой-то подросток и собирался требовать за возврат деньги (в районе 500 рублей). Я послала его подальше, а «аську» и мейл завела новые. А вот если бы он добрался и до ЖЖ, я бы задумалась. Все-таки столько лет его вела, уже жалко».

Максим, 29 лет, напомнил «Часкору» своим случаем, насколько легко доступна вашим знакомым ваша же почта: «Моя девушка в почте mail.ru сменила пароль к моему ящику, с изящной легкостью ответив на секретный вопрос «Девичья фамилия вашей матери?». При этом она понимала, что сам факт взлома тут же станет известен, но она просто не смогла удержаться из-за ревности. У этой истории счастливый конец — компромата не было, зато были клятвы «Больше никогда!» и очень приятные извинения». Однако, если вам есть что скрывать, не стесняйтесь быть параноиком — в том числе и в выборе секретного вопроса.

среда, 9 июня 2010 г.

Игры для Windows Mobile содержат вредоносный код


Специалисты компании Lookout обнаружили вирусы в популярных видеоиграх для мобильной операционной системы Windows Mobile. Как сообщается, сейчас в интернете присутствуют игры 3D AntiTerrorist и PDA Poker Art с вредоносными кодами.

По данным Lookout, в большинстве случаев, указанные игры присутствовали на сайтах сотовых операторов или легитимных продавцов онлайн-контента для мобильных телефонов на базе Windows. Исполнительный директор компании Джон Эринг сообщил, что в играх присутствует связка злонамеренного софта, который при активации автоматически начинает дозвон до платных телефонных номеров операторов в разных странах, например в Сомали, Италии и других странах. Заражение телефона таким вредоносным кодом может обойтись его владельцу в несколько сотен долларов ежемесячно. По словам Эринга, сервисы, через которые ведется дозвон или отсылка SMS-сообщений, управляются теми же людьми, которые создавали вредоносный софт.

понедельник, 7 июня 2010 г.

вторник, 27 апреля 2010 г.

Онлайн сервисы временных почтовых ящиков

Как спамеры узнают наш электронный адрес ? Есть много разных способов, но очень часто списки адресов сливаются с различных сайтов, на которых мы при регистрации оставляем свои контакты.
Часто бывает так, что зарегистрироваться на сайте нужно, но при этом вы не планируете пользоваться этим ресурсом в последствии. Как быть ?

Самый надежный способ — использовать временные почтовые ящики. Это электронные адреса, которые действуют лишь ограниченное время, после чего уничтожаются.

Плюс — вы получаете возможность произвести регистрацию, но при этом не «засвечиваете» свой реальный адрес электронной почты. Результат — меньше спама и прочей ерунды в почте.

Как получить временный почтовый ящик ? Сервисов в интернете масса. Далее подборка самых популярных:

MailForSpam является службой электронной почты. Каждый пользователь сервиса может использовать почтовый ящик вида name@mailforspam.com для любых целей. Вы можете использовать этот адрес как для переписки, так и для рассылок или хранилища спама. Но, в отличии от обычного понимания адреса электронной почты, сервис MailForSpam имеет ряд преимуществ: для получения ящик вида vasya@mailforspam.com вам не нужно нигде регистрироваться, искать свободно ли имя для ящика и т.д. Вы просто используете этот адрес везде, где вам нужно. Адрес электронной почты создается в тот момент, когда вы его придумываете; чтобы прочитать письма, которые пришли на придуманный вами адрес электронной почты достаточно зайти на сервис MailForSpam.com и ввести имя; никаких паролей и авторизаций, просто заходите и читаете.

10 Minute Mail - аналогичный сервис с русскоязычным интерфейсом. При открытии сайта вам предлагается случайно созданное имя почтового ящика формата <имя>@owlpic.com. Посмотреть сообщения, пришедшие на этот ящик, можно тут же на сайте. Срок действия почтового ящика по-умолчанию составляет 10 минут, однако если этого времени не хватило, то есть возможность его пролонгировать.

Spambox — сервис англоязычный, но его отличие от предыдущих заключается в том, что у вас есть возможность создать ящик на определенное вами же время, при этом вся почта с этого ящика пока он будет существовать будет перенаправляться на ваш реальный почтовый ящик, который нужно указать при создании временного. Плюс в том, что не нужно будет заходить на сайт, чтобы посмотреть сообщения, все будет приходить на вашу обычную почту, а после истечения срока ящик уничтожится исключив возможность дальнейшего получения спама.

Mailinator — еще один популярный англоязычный ресурс, очень похожий на описанный ранее MailForSpam. Функции полностью совпадают, поэтому особо расписывать не буду.

Успехов вам и поменьше спама !

суббота, 24 апреля 2010 г.

Старт блога

Привет всем ! Это моя первая запись в блоге, надеюсь что смогу писать с определенной регулярностью... Есть правда замечательная фраза у Жванецкого: " ПисАть, также как и пИсать нужно тогда, когда уже не можется" и пока я планирую ей придерживаться при добавлении записей в этот блог.

Надеюсь, что мои мысли и та информация, которая будет появляться в этом блоге, будут интересны и востребованы и помогут вам обеспечить собственную безопасность и безопасность вашего бизнеса в современном информационном пространстве. Ведь собственно ради этого все и затевается !