среда, 27 июня 2012 г.

Так ли плохи "облака" с точки зрения безопасности ?

Когда в среде ИТ-шников заходит разговор про облачные технологии, то многие указывают на вопросы безопасности как один из аспектов, который мешает активному переходу "в облака".  Еще бы, ведь контроль над инфраструктурой, приложениями и данными снижается или пропадает вовсе. Так что не удивительно, что опросы показывают вот такие результаты:

Но давайте попробуем взглянуть на это несколько иначе.  Когда мы говорим о крупном бизнесе, то конечно же переход к облачным технологиям действительно может потенциально увеличивать риски, связанные с передачей инфраструктуры, приложений и информации стороннему поставщику.  Но давайте оценим ситуацию с точки зрения малого и среднего бизнеса:

Риск нарушения доступности инфраструктуры, приложений, данных.

Малый и средний бизнес как правило очень ограничен в денежных ресурсах и поэтому не всегда закупает надежное оборудование, резервирует его, корректно обслуживает и не всегда обеспечивает его оперативную замену.  Если мы говорим про хорошего облачного провайдера, то эти вопросы для него жизненно важны и поэтому компания-клиент может рассчитывать на более высокий уровень доступности и регулярный бекап данных. Единственное о чем нужно беспокоится компании - наличие хорошего доступа в сеть Интернет, в крупных городах с этим нет проблем, но в целом по России все конечно по-разному.

Риск нарушения конфиденциальности со стороны работников облачного провайдера

Для малого бизнеса это редко является проблемой т.к. маловероятно, что облачный провайдер войдет в сговор с кем-то из конкурентов и передаст ему данные клиента. А малых бизнесов, которые обрабатывают действительно чувствительную/секретную информацию очень немного по сравнению с общей массой. Так что ничего страшного в том, что данные передаются сторонней организации нет. А при этом облачный провайдер с большой долей вероятности обладает более расширенными механизмами контроля доступа и надежнее способен обеспечить защиту от НСД (еще раз напоминаю что я веду речь о профессиональном провайдере, а не о какой-нибудь шаражке).

Риск хакерского взлома 

Малый и средний бизнес выделяет не очень много денег на информационную безопасность, редко обладает собственным штатом ИБ-спецов и поэтому уровень защищенности таких организаций как правило оставляет желать лучшего. Это хорошо если хотя бы антивирус установлен и обновлен, а то бывает и этого нет. Сервис-провайдер же наверняка регулярно проводит анализ защищенности своей инфраструктуры и обеспечивает оперативное обновление программного обеспечения, контроль за вносимыми изменениями, выявление попыток вторжения, антивирусную защиту и проч.

Риск форс-мажора

Сюда можно отнести и природные и техногенные явления и (актуально для России) приход товарищей в масках. Если бизнес выбрал крупного облачного провайдера мирового уровня, то он может рассчитывать и на наличие у этого провайдера резервных ЦОДов по всему миру (исключаем проблему со стихийными бедствиями) и на то, что "люди в масках", которые придут и заберут все компьютеры, во-первых ничего на них не найдут, а во-вторых не остановят бизнес, т.к. все системы продолжат функционировать и надо только получить доступ к сети Интренет.

И так можно сказать по всем прочим рискам, которые приходят на ум когда мы говорим о переходе на сторонний сервис. Поэтому для малого и среднего бизнеса переход на облачные технологии с точки зрения безопасности снимет больше рисков чем создаст.

P.S. Стоит еще конечно же упомянуть, что для малого и среднего бизнеса после перехода на облачный сервис возникает один серьезный риск - привязка к провайдеру. Именно отсутствие собственных ИТ/ИБ-специалистов создаст серьезный барьер при попытке сменить провайдера. И чем дольше бизнес будет пользоваться этим сервисом, тем сложнее будет потом "соскочить". Так что возможно в будущем появятся специализированные организации, которые будут оказывать помощь в миграции с одного провайдера на другого.

понедельник, 25 июня 2012 г.

DDOS как форма протеста

Интересная новость сегодня прошла по новостным лентам:

"....Нидерландская социально-либеральная партия "Демократы 66" намерена легализовать DDoS-атаки как форму акций протеста. Об этом сообщает globalpost.

Издание отмечает, что партия не указывала напрямую на DDoS-атаки, однако в ее заявлении говорится, что некоторые формы онлайн-протестов зачастую ошибочно принимают за хакерские атаки. Это обстоятельство и позволило сделать вывод о том, что "Демократы 66" подразумевали DDoS-атаки...."

Взято отсюда.

Вообще забавная тема, особенно если учесть, что пришла она из Голландии :)

Хотя если поразмыслить, то действительно сейчас такая форма протеста активно развивается в интернете. Взять к примеру:

Путинвзрываетдома — инструмент для проведения коллективных распределенных ddos-атак  (сайт). Эти ребята регулярно Ддосят различные сайты, то Михалкова обидят, то РПЦ, то партию Единая Россия ... в общем всех подряд, но обязательно по какой-то причине (объективной или нет, не так важно).

Работает эта штука на программе под названием Low Orbit Ion Cannon (Низкоорбитальная Ионная Пушка).  Вот тут есть ее короткое описание.

Голландские товарищи правда предлагаю сделать так, чтобы при проведении подобной "акции протеста" цель атаки заранее предупреждалась. Т.е. что-то вроде уведомления, что мол "завтра мы будем вас ддос-ить за то, что вы отпускаете некачественные товары !".

А как вы относитесь к такой форме "протеста" ? Считаете ли вы это вообще протестом и имеет ли он право на существование ?

Если нет, то нужно ли этих людей зажать ? По какой статье ? Ведь каждый конкретный человек DDOS не совершает, и атаку не организует, это фактически как просто заходить на сайт. Деструктивный эффект возникает при накоплении критической массы "атакующих".

четверг, 21 июня 2012 г.

Новый номер (IN)SECURE

Вышел в свет новый номер журнала (IN)SECURE.  Темы номера:
  • Fitness as a model for security
  • Security and migrating to the cloud: Is it all doom and gloom?
  • Solid state drives: Forensic preservation issues
  • Introduction to Android malware analysis
  • Hack in The Box Conference 2012 Amsterdam
  • ISO 27001 standard: Breaking the documentation myth with Dejan Kosutic
  • Preparing a breach response plan
  • Security beyond the operating system: Into the cloud and beyond
  • Amphion Forum 2012 Munich
  • The challenges of data recovery from modern storage systems
  • Two-factor authentication for the cloud: Does it have to be hard?
Качаем по ссылке: ссылка

воскресенье, 17 июня 2012 г.

Административные регламенты ФСТЭК доступны для изучения

На сайте Департамента оценки регулирующего воздействия МЭР выложены проекты 2х административных регламентов ФСТЭК:

1) Проект приказа «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю России по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации» (разработчик проекта акта: ФСТЭК России).
Ссылка: http://www.economy.gov.ru/minec/about/structure/depregulatinginfluence/doc20120613_05


2) Проект приказа «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю России по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации» (разработчик проекта акта: ФСТЭК России).

МЭР собирает замечания до 23.06.2012.  Направлять их нужно на определенный электронный адрес и в соответствии с приложенной формой. Подробности тут.

Напоминаю, что для того, чтобы писать в МЭР никакой аккредитации не нужно, поэтому это может сделать любой желающий. Так что если у кого-то есть замечания к указанным регламентам, предлагаю занять активную позицию и написать в МЭР.

пятница, 15 июня 2012 г.

Пятничная инфографика

суббота, 9 июня 2012 г.

20-ка наиболее важных механизмов защиты от SANS

Думаю никому не надо рассказывать что такое SANS. Эти ребята довольно часто радуют сообщество специалистов по информационной безопасности полезной информацией.  И вот не сказать чтобы очень новый, но довольно интересный материал:

Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines


По сути это набор методов защиты, реализация которых позволит, по мнению экспертов SANS, обеспечить надежную защиту от кибер-атак. Помимо перечисления методов защиты документ содержит и рекомендации по аудиту каждого из указанных методов.

Некоторое время назад я своем блоге уже поднимал тему базового набора первоочередных мер по информационной безопасности (см. тут), но перечень SANS значительно более широкий.  Итак, 20-ка SANS:

понедельник, 4 июня 2012 г.

Уважаемый Николай Анатольевич ...

Уважаемый Николай Анатольевич, 

разрешите обратить Ваше внимание на непростую ситуацию, которая возникла вокруг Федерального Закона "О персональных данных".  Изначальная редакция закона, увидевшая свет 27 июля 2006 года получила немало замечаний от экспертов. Прошли даже парламентские слушания, результаты которых можно посмотреть здесь.

К сожалению далеко не все замечания экспертов были учтены при обсуждении поправок летом 2011г.  Все это привело к появлению Открытого письма к Президенту Д.А.Медведеву с просьбой отправить законопроект на доработку, которое было поддержано многими экспертами (к примеру Натальей Касперской, ссылка). Однако законопроект был принят в его изначальном виде. 

В настоящий момент в соответствии с принятыми поправками Правительству предстоит принять 2 постановления, которые должны установить уровни и требования к безопасности. Разработкой данных документов занимаются ФСТЭК и ФСБ. В мае месяце проекты этих постановлений появились на сайте ФСБ и вызвали довольно живую критику экспертов:


К сожалению итогом стало то, что большинство поправок были отклонены, о чем в своем блоге написал Алексей Лукацкий.

В итоге Федеральный закон попросту не работает, а с принятием Постановлений правительства в опубликованной редакции его применение еще больше осложнится. Очень яркая зарисовка, что называется "из жизни", описана здесь.

Из всего выше сказанного разрешите предложить возможный вариант решения данной проблемы. На мой взгляд необходимо создать условия для диалога регулирующих органов и экспертного/отраслевого сообщества. Для этих целей нужно сформировать рабочую группу на уровне Минкомсвязи, которая 
  • проанализирует сложившуюся в России ситуацию и имеющийся международный опыт в этой сфере;
  • сформирует необходимые рекомендации по корректировке имеющегося закона "О персональных данных";
  • сформирует предложения по содержанию подзаконных актов, которые позволят закону заработать и стать реально действующим и  применимым.
В участии в работе данной рабочей группы как я считаю следует привлечь экспертов из ИТ и ИБ отрасли. Таковые действительно есть, в т.ч. и с активной жизненной позицией (их блоги я упоминал выше, в т.ч. в эту работу готов включиться и я). Если Ваше ведомство создаст условия для диалога, поверьте, многие откликнуться.

Благодарю, что изучили мои предложения !

С уважением, 
Александр Бондаренко

пятница, 1 июня 2012 г.

PHDays 2012 ...послевкусие

Скажу сразу, это было круто ! В этом году я впервые оказался на PHDays и пробыл оба дня как на одном дыхании. Команда Positive Technologies сделала отличную работу и провела мероприятие на высоком уровне. Мне к сожалению пока не довелось побывать на зарубежных мероприятиях подобного уровня, но если ориентироваться на то, что пишут о них в Интернете, то PHDays ничем им не уступает (ну разве что определенной молодостью, т.к. это все же всего лишь вторая конференция). 

Теперь по конкретике. Почти все доклады на которых я побывал были очень интересными и, что самое главное, разноплановыми. Т.е. не было упора только в сторону низкоуровневого программирования или хакинга (как может показаться из названия). Каждый мог найти себе что-то по душе.   Помимо этого в течение этих двух дней проходила масса конкурсов, одним из которых, например, был поиск спрятанных точек WiFi-доступа.  Из-за этого среди массы участников периодически протискивались ребята с антеннами разной формы, те самые охотники на "лис". Меня даже один раз приняли за носителя "лисы" :)

Что мне довелось послушать:

1) Доклад по парольным менеджерам от Дмитрия Склярова и Андрея Беленко. Очень дельный доклад, ребята разобрали "по косточкам" с десяток парольных менеджеров для iOS и рассказали что в них не так.  Больше всего меня в таких обзорах конечно же радует описание программ, которые разработчиками подаются как средства надежной защиты паролей, а на деле их даже не шифруют.

2) Доклад Брюса Шнайера безусловно вызвал огромный интерес, хотя доклад был из серии нетехнической безопасности.  Брюс рассуждал на тему доверия как основы безопасности человеческого сообщества. Таких людей всегда интересно послушать, потому что их доклады заставляют в голове крутиться какие-то другие шестеренки и немного по-другому смотреть на свою работу.  Брюс конечно же немного попиарил свою последнюю книгу, которая как раз посвящена всему тому, о чем он рассказывал на докладе, но кто ж ему запретит. :). Речь, кстати, вот об этой книге если что.

3) Александр Гостев рассказывал про Flame, хотя в программе было обозначено, что разговор пойдет о Duqu, однако доклад от этого не стал менее интересным. Александр рассказал об их опыте в обнаружении и исследовании вирусов Stuxnet, Duqu и Flame, которые по его мнению являются примерами эволюции профессионального кибер-оружия.

4) Алексей Лукацкий в первый день рассказывал про непростые навороты нашего законодательства. Очень сгустил краски на мой взгляд, но народу в зале видимо было все равно, я даже не уверен, что половина из них вообще знает что такое ФСТЭК :).   Реально, там было колоссальное количество молодежи, людей, которые как я вскользь услышал, называют таких как я "пиджаками" :). Вот та молодая шпана, что сотрет нас с лица земли, как пел БГ.

Во второй день PHDays помимо прочего я посетил доклад Алексея Андреева, который рассказывал про кибер-панк, футурологию и в каком направлении это все развивается. Опять же доклад, который не имеет практически ничего общего с информационной безопасностью, но рассуждения на такие темы позволяют как-то расширить сознание что-ли (так, все кто сейчас подумал о Пелевине, грибах и прочем, расслабьтесь, на PHDays грибов не давали, хотя вот кормили вполне себе вкусно)

Еще один интересный доклад, который я посетил во второй день, был доклад Джерри Гэмблина про Lulzsec. Джерри рассказал об участниках группировок Lulzsec и Anonymous, об их операциях и методах, которыми они пользовались. Кстати, во время доклада 5 человек из сидевших в зале одели маски Anonymous и вышли :)  такой вот флешмоб получился.   Еще порадовал вопрос одного из журналистов, заданный Джерри, "простите, а вы не Anonymous ?".

Да, параллельно со всем этим действом проходили хакерские соревнования CTF. Я не остался на награждение в конце второго дня, но как я понял, в итоге победила команда Leetmore. Молодцы ребята ! 

Подводя итог могу сказать, что я очень рад, что у нас в России появилось такое мероприятие. И я желаю всем организаторам долгих лет жизни :) т.к. сделать такое - это очень непростая и я уверен довольно затратная по деньгам задача. Надеюсь, ребята, что вы не сбавите оборотов.

Зовите меня на PHDays 2013, я обязательно приду !   И под конец немного фоток: