воскресенье, 29 мая 2011 г.

Проект Обратная связь в Санкт-Петербурге

В субботу ездил в Санкт-Петербург читал 2 лекции в университете СПбГУ ИТМО. Ребят собралось не мало, что не могло не порадовать. Правда побеседовав с ними я к сожалению получил лишнюю порцию доказательств тому, что знаний по профильным предметам, которые им понадобятся на реальной работе в бизнесе, им просто не дают. Надеюсь что мои советы окажутся им полезными и помогу стать экспертами в той профессии, которую выбрали.

Первая лекция была "Что важно знать будущему специалисту по информационной безопасности" (кстати, обновляя презентацию к этой поездке обнаружил, что сервис cloudshare.com, который я упоминаю в ней, к сожалению перестал быть бесплатным :( ).

Вторая лекция была по тематике персональных данных вообще и построению моделей угроз (оценке рисков) в частности. Презентацию выкладываю, но она содержит только тезисы, основной материал был подан устно.

View more presentations from abondarenko.

Тут конечно было видно, что буфер памяти у ребят переполнился большим объемом информации (тематику персональных данных из них не знал никто !). Надеюсь это никого из них не отпугнет от изучения этого вопроса :)

По завершению лекций я немного прошелся по Невскому, погода в этот день была хорошая, на улицах была масса горожан и туристов, город праздновал 308 лет со дня его основания.

Ближе к 8 вечера я покинул Санкт-Петербург и отправился на Сапсане домой.

За организацию этой поездки хочу отдельное спасибо сказать Алексею Краснову.

среда, 25 мая 2011 г.

Лента инцидентов информационной безопасности

Коллеги, 3 месяца назад на платформе LinkedIn я запустил группу под названием "Лента инцидентов ИБ". В этой ленте (группе) размещается информация об инцидентах информационной безопасности, которые происходят на территории стран СНГ. За 3 месяца было зафиксировано 85 инцидентов. Это конечно же только вершина айсберга, т.к. основную массу инцидентов компании замалчивают, а законодательства об обязательном разглашении инцидентов у нас нет. Но лиха беда начало. Я тут подвел небольшую статистику и выложил информацию об инцидентах в свободный доступ (здесь).

Тем, кто имеет аккаунт в LinkedIn милости прошу сюда.

воскресенье, 22 мая 2011 г.

Книжная полка - Information Security Management Metrics: A Definitive Guide to Effective Security Monitoring and Measurement

Information Security Management Metrics: A Definitive Guide to Effective Security Monitoring and Measurement - еще одна книжка, посвященная вопросам метрик информационной безопасности.

Книжка вышла в 2009 году и доступна для покупки на Amazon. Я получил к ней доступ через библиотеку ISACA.

Не смотря на то, что на Амазоне у книги рейтинг - 5 звезд, после ее прочтения я не очень понимаю почему. Книжка слишком теоретизирована, очень много "воды". Затронута масса тем, связанных с информационной безопасностью: оценка рисков, соответствие стандартам, менеджмент ИБ. Много чего, только о самих метриках сказано крайне мало. В итоге я не готов порекомендовать ее к прочтению.

По моему рейтингу этой книжке достается только 2 звезды.


среда, 18 мая 2011 г.

А вы знаете своих соседей по интернету ?

Интернет - это конечно же "общественное место" и с приходом в нашу жизнь облачных технологий начинаешь понимать это все острее.

Если ваш веб-сервер или любой другой корпоративный ресур хостится у сервис-провайдера, то вам нельзя исключать следующих возможных рисков:

  • недоступность реурса в связи с DDOS-атакой; DDOS-ы происходят постоянно, они составляю основную массу инцидентов, зарегистрированных в ленте инцидентов ИБ;
  • взлом веб-сайта (корпоративного веб-ресурса);
  • конфискация оборудования сервис-провайдера сотрудниками МВД в связи с проведением расследования компьютерного преступления.
Самое интересное, что вполне может быть, что указанные неприятности случатся с вами не потому, что ваш бизнес привлек внимание кибер-преступников или потому что вы не в ладах с законом, а потому что один из ваших соседей по интернету (другой ресурс, размещенный на вашей хостинг-площадке) оказался либо замешан в криминальных делишках, либо был атакован хакерами, либо относится к какой-нибудь оппозиционной партии (в преддверии выборов такие сайты также будут являться мишенью в борьбе за избирателя). Т.е атаковать будут вашего соседа, а вы попадете "под раздачу" просто за компанию. Здесь как в жизни, если ваш сосед пьяница, то риск пожара или пьяной понажовщины на лестничной клетке возрастает.

Как быть ? Ну для начала нужно понять кто же ваши соседи по площадке. Для этого есть 2 интересных ресурса:

Find IP Address. Ресурс предоставляет различные инструменты по получению информации относительно публичных IP адресов, в том числе есть и "Ip Neighbors Lookup - Reverse IP", который выдет сведения о других доменах, размещенных на указанном IP-адресе (либо можно просто указать имя своего веб-сайта). Вот например, что я получил для одного из тестовых сайтов:

Всего 176 соседствующих веб-сайтов. Сайтов экстремистского, остро-политического и сексуального характера среди них не обнаружилось, так что человек, для которого я проводил такую проверку может спать спокойно, соседи у него нормальные :). Хотя конечно же такую проверку надо проводить регулярно.

И еще один ресурс - MyIpNeighbors. Ресурс платный, но достаточно мощный. На мой запрос по одному из тестовых сайтов выдал мне аж 300 соседствующих доменов. Ни один другой сервис такого повторить не смог.

Успехов вам, коллеги. Надеюсь, что ваши интернет-соседи не принесут вам никаких неприятностей.

вторник, 17 мая 2011 г.

Для тех, кто не делает бекапов

Недавно Женя Царев через твиттер кинул ссылку на интересный сайт backupbackup.ru. На сайте представлены реальные истории тех, кто не делал бекап и однажды.... ну в общем у каждого своя история :)

Вот лишь несколько примеров:

«Вот у знакомого архитектора на днях грабанули офис и сперли сервер, на котором лежали работы за последние 3 года... мониторы там, системничек один, и еще много чего, но не суть важно... сперли все идеи и заказы его фирмы, которые лежали на винте сервера... и бэкап не сделали... ну не успел я... а сейчас человек с ума сходит... сам виноват...»

«Как многие уже наверно знают, в датацентре hosting.ua не так давно случился пожар. Часть серверов сгорела полностью, некоторые только частично. В итоге все те, кто надеялся на хостера и не делал бэкапов, остались ни с чем - сайты им придется делать заново. Но даже те, кто делал бэкапы на удаленном сервере, оказались в похожей ситуации, так как многие держали сервер с бэкапами в том же датацентре.»

Остальное читайте на сайте backupbackup.ru. Кстати, автор сайта продолжает собирать истории...

понедельник, 16 мая 2011 г.

Безопасность в мелочах

Наткнулся тут на интересный пост в ЖЖ, посвященный тому, как в Нью-Йорке боролись с тяжелой криминагенной обстановкой путем пресечения мелких правонарушений.

Статья интересна сама по себе, но также дает почву для размышлений и для специалиста по информационной безопасности. В нашем случае точно так же общее игнорирование установленных правил (или их отсутствие) в мелочах ведет к тому, что происходят довольно серьезные инциденты информационной безопасности. Может быть это то, с чего стоит начинать, выстраивая безопасность ?

суббота, 14 мая 2011 г.

Сбой площадки Blogger

В четверг и пятницу довольно популярная блог-площадка Blogger испытывала трудности в работе. Пропадали блоги, сообщения, комментарии, не было возможности добавлять новые сообщения.

В официальном блоге площадки приводится следующее объяснение произошедшего:

Here’s what happened: during scheduled maintenance work Wednesday night, we experienced some data corruption that impacted Blogger’s behavior. Since then, bloggers and readers may have experienced a variety of anomalies including intermittent outages, disappearing posts, and arriving at unintended blogs or error pages. A small subset of Blogger users (we estimate 0.16%) may have encountered additional problems specific to their accounts. Yesterday we returned Blogger to a pre-maintenance state and placed the service in read-only mode while we worked on restoring all content: that’s why you haven’t been able to publish. We rolled back to a version of Blogger as of Wednesday May 11th, so your posts since then were temporarily removed. Those are the posts that we’re in the progress of restoring.

В общем-то проблемы по разным причинам у тех, кто держит свой блог на blogspot-е, случаются (как впрочем и у пользователей любого другого сервиса, достаточно вспомнить недавний DDOS на ЖЖ). Поэтому я крайне рекомендую всем делать регулярный бекап своего блога и для этих целей есть очень простая и полезная утилитка Blogger Backup.

Скачать ее можно здесь.

Утилита позволяет проводить бекап и при необходимости восстановление как всего блога, так и отдельных постов.

четверг, 12 мая 2011 г.

Московское отделение ISACA в LinkedIn

Коллеги, примерно 2 месяца назад произошла встреча московского отделения ISACA и в качестве нового президента был избран Алексей Шиндин. Но к сожалению пока по моим сведениям ничего нового в жизни отделения не произошло. Сайт isaca-russia.ru попрежнему "лежит" и будет ли реанимирован непонятно. Наверное Алексей сейчас занят решением организационных вопросов. Я к сожалению не знаю как связаться с Алексеем (если кто-то знает - скиньте контакт), поэтому пока проявил инициативу и организовал группу в LinkedIn - ISACA Moscow Chapter.

Присоединяйтесь, коллеги !

среда, 11 мая 2011 г.

Кульбиты наших законодателей

В коммерсанте сегодня вышла статья под названием "Сам себе ФСБ". Статья не относится к информационной безопасности, но вот я приведу некоторые купюры:

"...Обязательные требования к "антитеррористической защищенности объектов будут устанавливаться правительством по представлению и предложению профильных министерств, а также ФСБ и МВД", подчеркнул депутат Розуван...."

"...Кто будет главным координатором действий или все будут обеспечивать профилактические меры кто во что горазд?" — выясняла Валерия Лекарева ("Справедливая Россия"). Во избежание "вакханалии мы законом и определяем, чтобы правительство с учетом предложений министерств и ведомств четко определило комплекс мероприятий", сообщил господин Розуван...."

"....Концепция законопроекта, по его мнению, сводится к тому, что "спасение утопающих является в России делом рук самих утопающих". По мнению депутата, в законопроекте должны быть указаны хотя бы "критерии защищенности зданий". Или теперь каждая "фабрика, завод, склад должны стать осажденной крепостью", недоумевал справоросс, по сведениям которого антитеррористические комиссии на местах уже рассылают в бизнес-структуры предписания с перечнем обязательных к исполнению антитеррористических мер....."

"..."Перечень тянет на сотни тысяч, а иногда и на десятки миллионов рублей",— уточнил он. К тому же теракты в России "случаются в самых крупных городах, на Северном Кавказе и в близлежащих к нему регионах". Но теперь профилактикой терроризма за свой счет должны будут заняться даже "муниципалитеты Крайнего Севера, где в последние 2 тыс. лет не происходило ни одного теракта"...."

"...Вся эта "профилактика обернется ростом цен", за счет которого бизнесмены станут компенсировать свои траты на антитеррористическую защищенность...."

"...Впрочем, выступления справороссов не повлияли на мнение думского большинства, которое одобрило законопроект в первом чтении...."

Коллеги, вам это ничего не напоминает ? Никакая аналогия не напрашивается ?

Кстати где там наш законопроект Резника ? Помнится на конференциях в феврале представители думы заявляли о возможных общественных слушаниях обновленного законопроекта... глухо как в танке.... а чем дольше тянется время, тем больше риск поспешных и непродуманных решений. До 1-го июля осталось то всего 1,5 месяца. А тут еще и принятый закон о лицензировании несколько подпортил общий настрой.

Кстати в конце года у нас выборы в госдуму, так что надежда на нормальное и плодотворное законотворчество тает с каждым днем, так как голова у наших думцев будет занята другими проблемами.

вторник, 10 мая 2011 г.

Вышла 5-я версия дистрибутива BackTrack

BackTrack - это довольно известный дистрибутив, содержащий обширный набор инструментов по анализу уязвимостей и проведению тестов на проникновение.
Дистрибутив разрабатывается компанией Offensive Security, которая также организует онлайн-курсы по различным тематикам в области тестов на проникновение, включая сертификацию OSCP.
Сам я с этим дистрибутивом познакомился примерно лет 5 назад и с тех пор он не покидает мой личный хит-лист.
И вот наконец-то новая версия - BackTrack 5. Много всего интересного и обновленного, рекомендую познакомиться, если вы интересуетесь вопросами практической безопасности.

Скачать BackTrack можно здесь.

понедельник, 9 мая 2011 г.

Осторожно, утечка метаданных !

За первую половину этого года произошло уже несколько довольно крупных хакерских атак (Night Dragon, атака на RSA, MySQL и др). При это в некоторых случаях, например, в инциденте с RSA, в ходе атаки использовалась социальная инженерия. А что нужно для того, чтобы провести успешную атаку с применением социальной инженерии ? Нужно иметь максимум информации о цели атаки. Одним из способов получения информации (причем довольно простым и практически незаметным) является анализ метаданных, содержащихся в документах, публикуемых компанией в сети Интернет (в частности на официальном сайте).

Метаданные - это информация об используемых данных, таких как, например имя автора, размер файла, в какой программе сделан.

Так вот, недавно мне на глаза попалась интересная программка - FOCA. Эта программа проводит анализ содержимого выбранного веб-сайта, используя для этого запросы в нескольких поисковиках. В ходе поиска отыскиваются файлы, имеющие расширения doc,pdf,ppt,xls,pps и др. Далее все найденные файлы загружаются на компьютер и проводится анализ содержащихся в них метаданных. В случае успеха среди метаданных можно обнаружить имена пользователей, email-ы, названия папок, принтеров, программного обеспечения и операционных систем.

Вот, например, результаты короткого анализа с помощью данной программы сайта одного из известных банков (из этических соображений имя не называется):

Было найдено более 600 файлов (doc, pdf, xls)












В ходе анализа этих файлов была получена информация о 108 пользователях (создавших эти документы), 2 внутренних сетевых принтерах, 11 адресах электронной почты и 45 записях об используемом программном обеспечении.













Информация о том, какое программное обеспечение использовалось для создания загруженных файлов, кстати, может быть использовано для подбора вредоносного кода, эксплуатирующего уязвимости именно в данных версиях ПО, что несколько увеличивает шансы на успех хакерской атаки.























В качестве возможных контрмер можно предложить во-первых самому провести подобный анализ своего веб-сайта (cкачать бесплатную версию FOCA можно здесь), а также использовать инструменты для очистки метаданных из файлов до их публикации в сети Интернет.

пятница, 6 мая 2011 г.

Пятничное пиво

Сейчас для проекта "Обратная связь" собираю информацию о московских ВУЗах, в которых преподают защиту информации. И вот на сайте МЭСИ наткнулся на описание кафедр Института компьютерных технологий:




оригинал здесь










С юмором ребята, хорошо наверное у них учиться :) Сразу вспомнилось свое студенчество, тусовки в общаге.... эх отличное было время...

Всем хороших предстоящих выходных и с Днем Победы вас, коллеги !

четверг, 5 мая 2011 г.

PCI DSS 2.0: трудности перевода

Как известно за последнее время основные изменения, которые происходили в стандарте PCI DSS касались уточнения формулировок, т.к. некоторые фразы в стандарте допускали слишком широкое толкование (эх... наши бы документы по защите ПДн кто бы так выверял...но сейчас не об этом...).
Текущая версия стандарта, PCI DSS 2.0, была принята в октябре 2010 г. и вот буквально недавно с небольшим интервалом вышли 2 перевода данного стандарта на русский язык.

Один перевод был сделан Информзащитой и доступен по этой ссылке.

Второй перевод был подготовлен сообществом PCIDSS.ru и доступен здесь.

Я ознакомился с этими документами и вот некоторые вещи, которые бросились мне в глаза:

1) п. 1.1.1 в оригинале звучит так:

A formal process for approving and testing all network connections and changes to the firewall and router configurations

Перевод от Информзащиты:

Формализованный процесс утверждения и тестирования всех сетевых подключений, а также изменений, вносимых в конфигурацию МЭ и маршрутизаторов.

тут вроде все ок.

Перевод PCIDSS.ru:

Формальный процесс утверждения и тестирования всех внешних соединений и изменений в конфигурациях межсетевых экранов и маршрутизаторов.

а вот тут уже почему-то появилось "внешних соединений"

2) п.2.2.1 в оригинале звучит так:

Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server. (For example, web servers, database servers, and DNS should be implemented on separate servers.)

Перевод от Информзащиты:

На каждом сервере должна быть реализована только одна основная функция, чтобы предотвратить одновременную работу функций, требующих разных уровней безопасности, на одном и том же сервере. (В частности, веб-серверы, серверы базы данных, DNS-серверы должны работать на разных физических серверах.).


Здесь почему-то появилось "на разных физических серверах", хотя в оригинале слова "физических" нет.

Перевод от PCIDSS.ru:

Для каждого сервера должна быть внедрена одна основная функция для недопущения нахождения на одном и том же сервере функций, требующих различные уровни защиты (например, веб-серверы, серверы СУБД и DNS-серверы следует размещать на разных компьютерах).

А здесь используется слово "компьютерах", также неточно отражающее оригинальное требование.

3) п.3.5.2 в оригинале звучит так:

Store cryptographic keys securely in the fewest possible locations and forms.

Перевод от Информзащиты:

Ключи должны находиться в минимальном наборе защищенных хранилищ.

Ничего не сказано про формы ключей как в оригинале.

Перевод от PCIDSS.ru:

Ключи должны храниться только в строго определенных защищенных хранилищах и строго определенном виде.

А здесь говорится про строго определенное количество хранилищ, а не минимально возможное (как в оригинале).

4) п. 6.1 в оригинале звучит так:

Ensure that all system components and software are protected from known vulnerabilities by having the latest vendor-supplied security patches installed. Install critical security patches within one month of release.

Перевод от Информзащиты:

Для всех системных компонентов и программного обеспечения должны быть установлены последние обновления системы безопасности, предоставленные производителями. Критичные обновления системы безопасности должны быть установлены в течение 1 месяца с момента их выпуска.

Применяется термин "обновления системы безопасности". Что это за система безопасности ? в оригинале смысл иной

Перевод от PCIDSS.ru:

На все системные компоненты и программное обеспечение должны быть установлены самые свежие обновления безопасности, выпущенные производителем. Критичные обновления безопасности должны быть установлены в течение месяца с момента их выпуска производителем.

Вот это уже похоже на оригинал.

5) п. 6.4.1 в оригинале звучит так:

Separate development/test and production environments

Перевод от Информзащиты:

Должны быть разделены среды разработки и тестирования и среда эксплуатации

Похоже на оригинал

Перевод от PCIDSS.ru:

Среды разработки, тестирования и производственного функционирования программного обеспечения должны быть отделены друг от друга.

А вот из этого перевода можно решить, что все три среды должны быть отделены друг от друга, что в оригинале не подразумевалось.

6) п. 6.6 в оригинале звучит так:

...<текст пропущен>.. Installing a web-application firewall in front of public-facing web applications

Перевод от Информзащиты:

Установка межсетевого экрана для защиты общедоступных веб-приложений

Наверное можно долго дискутировать, но все же Web Application Firewall и межсетевой экран это разные вещи и такая трактовка может вести к ошибкам.

Перевод от PCIDSS.ru:

Установить межсетевой экран прикладного уровня перед веб-ориентированными приложениями.

Вот это уже больше похоже на правду

7) п. 9.4 в оригинале звучит так:

Use a visitor log to maintain a physical audit trail of visitor activity. Document the visitor’s name, the firm represented, and the onsite personnel authorizing physical access on the log. Retain this log for a minimum of three months, unless otherwise restricted by law.

Перевод от Информзащиты:

Должен вестись журнал регистрации посетителей с целью хранения записей о них. В него необходимо записывать имя посетителя, название компании, которую он представляет, и имя сотрудника, разрешившего физический доступ. Данные видеонаблюдения должны храниться по крайней мере в течение 3 месяцев, если это не противоречит законодательству.

А при чем тут "видеонаблюдение" ? Видимо это просто ошибочный копи-паст

Перевод от PCIDSS.ru:

Следует вести журнал учета посетителей и использовать его для анализа посещений. В журнале следует регистрировать имя посетителя, организацию, которую он представляет, а также сотрудника организации, разрешившего доступ посетителю. Этот журнал следует хранить не менее трех месяцев, если иной срок не предписан законодательством.

Тут вроде все нормально

8) п. 10.4 в оригинале звучит так:

Using time-synchronization technology, synchronize all critical system clocks and times and ensure that the following is implemented for acquiring, distributing, and storing time.

Перевод от Информзащиты:

Должна выполняться синхронизация часов и таймеров на всех критичных системах. Убедитесь, что следующие ниже меры внедрены для приобретения, распределения и хранения данных о времени.

Перевод от PCIDSS.ru:

Необходимо использовать технологию синхронизации времени. Все системные часы и системное время на критичных системах должны быть синхронизированы, Необходимо убедиться в исполнении данного требования для получения, распространения и хранения данных о времени.

Позабавил перевод Информзащиты в части приобретения данных о времени, не знал что время можно приобрести :).

Данная заметка конечно не претендует на полноту анализа, указанные вещи - это первое что бросилось в глаза, думаю в тексте еще очень много подобных вещей. В целом подводя итоги могу сказать, что если вы владете английским языком, то я настоятельно советую сверяться с оригиналом, т.к неточности в переводах присутствуют, а дьявол как известно в деталях !

Также не смотря на мою критику, считаю что Информзащита и сообщество PCIDSS.ru сделали большую и важную работу выпустив переводы стандарта на русский язык, за что их безусловно стоит поблагодарить!

понедельник, 2 мая 2011 г.

Книжная полка - IT Security Metrics: A Practical Framework for Measuring Security & Protecting Data

Недавно прочел это книжку (автор Lance Hayden), посвященную метрикам информационной безопасности или иначе говоря тематике "измерения" эффективности безопасности.

Мой интерес к ней был вызван тем, что о книжке довольно лестно отзывались известные западные ИБ-эксперты (можно посмотреть на сайте Amazon), такие как Anton Chuvakin, Richard Bejtlich, да и вопрос "измерения" безопасности для меня сейчас крайне интересен.

Не смотря на то, что в целом я считаю эту книжку неплохой и стоящей внимания, некоторые главы этой книги я просто пролистывал. Все дело в том, что автор довольно широко трактует понятие "метрик" (никто не запрещает, его право) и из-за этого книжка получилась вообще о том, какие есть механизмы улучшения безопасности за счет введения механизмов анализа и оценки определенной аналитической информации.

Кроме того есть и общие разделы посвященные тому как вообще организовать в компании проект по сбору метрик, как заручится поддержкой менеджмента и проч. Для меня в этом ничего нового нет, но для кого-то возможно окажется полезно, поэтому я не считаю это большим недостатком книги.

По пятибальной системе я готов дать этой книге твердую четверку.

P.S. Вообще всем кто интересуется метриками рекомендую почитать вот эту книжку и заглянуть вот на этот сайт.