пятница, 26 сентября 2014 г.

Дайджест от R-Vision. Будьте в курсе происходящего !

Коллеги, некоторое время назад мы открыли свободную подписку на дайджесты, которые рассылаем по нашим клиентам.  В условиях тотальной нехватки времени и возможности уследить за происходящим такого рода формат кажется нам наиболее оптимальным. Сейчас дайджест выходит раз в 2 недели и содержит в себе подборку актуальной информации по изменениям в законодательстве, интересным событиям в области ИБ, публикациям и громким инцидентам. Все это и многое другое вы можете получать на свой электронный ящик совершенно бесплтано. Достаточно подписаться тут:  http://eepurl.com/BpV9X

P.S. Сейчас дайджест также транслируется на площадку ISM:Маркет - https://ismmarket.ru/digest, но в ближайшее время эта трансляция прекратится.

вторник, 23 сентября 2014 г.

Типичные уловки злоумышленников в Facebook. Покажите это своим коллегам !

Соцсети в последнее время стали абсолютно неотъемлемой частью жизни очень большого количества людей, так что не удивительно что злоумышленники стали активно использовать их для получения наживы. 

Что говорить, если даже рассылка ставших уже многим известных "нигерийских писем" продолжается (а значит все еще работает). Однако, появились и более изощренные приемы, о которых хотелось бы поговорить. 

Прием № 1. Друг,  я попал в беду. Выручай ! 
В данной схеме взломанный аккаунт в социальной сети используется злоумышленниками для рассылки сообщений, примерно следующего содержания: 

"Дружище, я надеюсь, что ты получишь это сообщение вовремя. Я сейчас нахожусь в поездке в г. Манила(Филиппины) и у меня украли сумку со всеми документами и личными вещами. Посольство только что выписало мне временный паспорт, но я должен заплатить за билет и урегулировать вопрос с оплатой счета за гостиницу.”

“Мне удалось связаться с моим банком, но на получение денежных средств уйдет 3-5 рабочих дней, это плохая новость т.к. у меня в ближайшее время должен быть обратный рейс, но у меня возникли проблемы с оплатой гостиничного номера и меня не выпускают из отеля пока я не заплачу. Мне нужна твоя помощь с оплатой, обещаю все вернуть как только доберусь домой. Ты - моя последняя надежда, пожалуйста, дай мне знать, если я могу рассчитывать на твою помощь. Я буду продолжать проверять свою электронную почту пока не получу какой-нибудь ответ, потому что сейчас для меня это единственный способ связи”.

Это всего лишь образец, схема. В конкретных случаях текст и сюжет истории может серьезно отличаться, но смысл один. Преступник, перехватив аккаунт вашего друга/знакомого, будет пытаться выманить у вас деньги. Для того чтобы не стать жертвой такого мошенничества, рекомендуется до перевода денег убедиться каким-либо другим способом, что это действительно тот, о ком вы думаете. 

Прием № 2. Посмотрите на тех, кто просматривал ваш профиль !

Facebook, в отличие от некоторых других социальных сетей, не дает возможность посмотреть тех, кто заходил на вашу страницу. Этой опции просто НЕТ ! 

Поэтому все сообщения, в которых предлагается "прокачать" свой аккаунт / ленту, что позволит видеть тех, кто просматривал ваш профиль - это типичное мошенничество. 

Вычислить это довольно легко, ссылки в подобных сообщения всегда ведут за пределы Facebook (посмотрите что в адресной строке браузера).  Все настройки Facebook возможны только внутри Facebook.  Любая внешняя ссылка - это первый признак мошенничества.

Прием № 3.  Если я наберу 100 тыс. лайков, я поеду в Диснейленд

Наверняка вам приходилось такое видеть. Сюжет может быть самый разнообразный, от душещипательной картинки больного ребенка, который сможет получить дорогостоящее лечение, если его сообщение соберет > 100 тыс. лайков, до каких-то увеселительных приколов или игр.   Казалось бы, что может быть опасного в лайках ?  Почти ничего, если не считать, что Like - это валюта Facebook. А значит, что за них конкретные люди получают вполне себе реальные деньги. Страница, получившая 100 тыс. лайков, может быть продана примерно за 200$. Больше лайков - больше денег. После продажи содержимое страницы меняется на то, которое нужно владельцу. И вот тут-то самое интересное - ваш лайк при этом остается на этой странице навсегда (точнее до тех пор, пока вы его не уберете).  И вполне может быть, что кто-то из ваших друзей может удивиться, увидев ваш лайк под страницей, рекламирующей средства от импотенции (например). Хотя "голосовали" вы за милого ребенка, которому родители якобы пообещали билет в Диснейленд за 100 тыс. лайков. 

Прием № 4. Сообщение от Facebook

“Внимание: Ваш аккаунт признан нарушающим политику Facebook и будет отключен в течение 24 часов если не будет проведена процедура подтверждения". Типичный трюк, жертвами которого очень часто становятся и пользователи других онлайн сервисов (надо сказать, что такой прием - один из ведущих способов кражи паролей доступа к электронной почте). Ссылки в такого рода сообщения также как правило ведут за пределы Facebook, где вас попросят подтвердить свои учетные данные. Здесь важно помнить, что Facebook, равно как и другие онлайн-сервисы, никогда не просят вас сообщать свой логин/пароль для подтверждения или снятия блокировки. И конечно же обращайте внимание на адресную строку браузера. Если сайт выглядит как социальная сеть, но в адресной строке указан совершенно незнакомый адрес - закрывайте страницу, это мошенники.

Прием № 5. Смерть знаменитости 

Конечно же по Facebook быстро расходятся настоящие новости о кончине тех или иных известных личностей, а также о серьезных инцидентах и катастрофах. Однако, злоумышленники также научились использвать громкие заголовки в новостях с целью получить трафик из социальных сетей на нужные им сайты.  Трафик в Интернет - еще одна валюта, на которой зарабатываются огромные деньги. В такой ситуации за сообщением, в котором якобы дается ссылка на запись, например, последнего телефонного разговора актера Робина Вильямса перед суицидом скрывается серия редиректов, по которым пользователю открывается масса рекламных материалов, а возможно и производится попытка заражения его компьютера, с целью включения в очередной ботнет.

И то, что вы получили эту ссылку от ваших друзей к сожалению никак не говорит о ее достоверности.  Такого рода "новости" разлетаются по Facebook с огромной скоростью. 

Прием № 6.  Слишком хорошее предложение

Прием чем-то похож на предыдущий. В мире постоянно происходят какие-то значительные события, билеты на которые многие хотели бы получить (ЧМ по футболу, концерт знаменитой рок-группы и проч.).  Пользуясь ажиотажем вокруг события, злоумышленники запускают рассылку сообщения, в котором предлагается купить билеты на предстоящее мероприятие по более чем выгодной цене. Пользователь, кликнувший по ссылке, переводится на сайт, где его компьютер атакуется вредоносным кодом, а также огромным количеством рекламных материалов. Помимо этого сообщение с вредоносными ссылками и "заманчивым предложением" размещается от его имени в социальной сети и становится доступным всем его друзьям. 

Будьте осторожны ! Желаю вам не стать жертвой мошенников из социальных сетей !

вторник, 16 сентября 2014 г.

Agile в жизни безопасника

В последнее время в силу несколько изменившегося круга должностных обязанностей помимо литературы по информационной безопасности в моей библиотеке прочно обосновались книги по разработке и гибким (agile) методологиям. 

Для тех, кто не очень в курсе, Agile - это вообще говоря целая философия, в рамках которой разработаны различные инструменты и подходы, которые позволяют обеспечить ту самую "гибкость" в плане разработки программного обеспечения, направленную на получение оптимального результата за короткие сроки.  Но хотя Agile и ассоциируется у многих исключительно с разработкой, эти самые инструменты легко можно применить и для управления проектами, и даже для организации собственной работы.  

И надо сказать книжек про это написано огромное количество. Вот, например, на Amazon:


Они конечно все англицком, на русском мало что можно найти, но все же можно:

http://agilerussia.ru/methodologies/borisvolfson_ebook/ - обзор инструментов Agile (для общего понимания)

http://agilerussia.ru/books/scrum_xp-from-the-trenches/ - практика применения Scrum

http://scrum.org.ua/wp-content/uploads/ScrumAndKanbanRuFinal.pdf - практика применения Scrum и Kanban.

Да, они конечно ориентированы именно на разработку программного обеспечения, но тем не менее при должной фантазии можно многое из этого применить и к организации личных дел и к своей профессиональной сфере. 

Я, например, использую Scrum в управлении своими задачами, где в качестве спринта выступает календарный месяц. Удобно, наглядно.

В этой заметке я затрону только 2 инструмента agile: Scrum и Kanban. 

Scrum - это на самом деле управленческий фреймворк, который помогает организовать работу команды в рамках определенного проекта.  На мой взгляд он отлично подходит для организации работы по внутренним проектам по информационной безопасности (любым проектам: внедрение технических средств, аудит ИБ, пен-тест, да что угодно).  

Основные инструменты в рамках этого фреймворка:

1) Разбиение всей работы на небольшие фрагменты (длительность 2-4 недели), которые называются спринтами. Спринт жестко фиксирован по времени и это позволяет очень быстро увидеть укладывается ли команда в тот темп, который она запланировала. Если вы, например, 2-3 спринта подряд делаете только половину работы из той, что была запланирована на спринт, то можно смело утверждать, что весь проект вы скорее всего уже не уложите в изначальные сроки.  На мой взгляд это очень полезная практика, ведь, как известно,  любой проект длительностью больше 6-9 месяцев быстро становится неуправляемым, а разбиение его на небольшие фрагменты с постоянным контролем результатов позволяет не потерять управление ситуацией. 

2) Ежедневные scrum-митинги.  Это когда команда проекта собирается каждый день, на небольшую летучку (в идеале минут 15) и обсуждает что было сделано за день, какие планы на следующий день и нет ли каких-то сложностей, которые тормозят работу.  Применительно к проектам ИБ может быть и не обязательно собираться прям каждый день, но минимум раз в неделю точно нужно что называется "сверять часы". 

3) Демонстрация итоговых результатов спринта.  Любой спринт должен заканчиваться демонстрацией результатов (пусть даже и промежуточных).  Это является дополнительным организующим фактором для команды, т.к. всем понятно, что надо не просто отработать этап и идти дальше, а надо показать чего конкретно удалось добиться. Вообще говоря на демонстрацию приглашаются все желающие, но применительно к ИБ-проектам пожалуй круг нужно сужать до определенных людей, в том числе и от бизнеса, если реализуемый проект каким-то образом затрагивает их работу.

4) Ретроспектива. Это мероприятие проводится по завершению очередного спринта.  Суть его в том, чтобы оглянуться на проделанную работу, понять что было сделано хорошо (и закрепить эту практику), ну и понять что было сделано плохо, какие сложности возникли и что нужно сделать, чтобы в будущем их избежать и повысить эффективность работы команды.  На ретроспективу собирается вся команда и проводится она как правило в виде коллективного брейн-сторма. 

Kanban - это отличный инструмент организации конвеерной скажем так работы. Основной отличительной фишкой канбана является так называемый лимит выполняемой работы (WIP limit). Предположим у вас есть некий процесс, предполагающий прохождение по определенным стадиям.  Это может быть обработка инцидентов, обработка запросов на создание учетных записей, обработка заявок на доступ к информационным ресурсам и проч.  Т.е задача (или заявка или что-то еще, далее для простоты я буду говорить "задача") проходит последовательно через несколько этапов, за которые могут отвечать в том числе разные исполнители.  Основной целью в канбане является то, чтобы прохождение задачи по всем стадиям было как можно более быстрым и чтобы не встречало никаких препятствий, т.е чтобы создавался непрерывный поток, основным показателем эффективности которого является среднее время, которое уходит на то, чтобы пройти процесс от начала до конца.  

"А зачем же нужен лимит выполняемой работы ?", спросите вы. Лимит выполняемой работы определяет какое количество задач может одновременно находится на определенной стадии. И если этот лимит достигнут, то никакие новые задачи на эту стадию перейти уже не могут.  Это позволяет очень быстро выявить узкие звенья в процессе, на которых случается "затык".

Т.е если какой-то исполнитель на своей стадии не справляется, то его лимит быстро забивается и весь конвеер встает, потому что ему уже не могут передать задачу исполнители, которые стоят до него в цепочке процесса, а те, кто стоят после него остаются без работы (или загружаются меньше чем надо бы).  Все это позволяет очень быстро заметить проблемы и принять меры для совершенствования процесса.

Вот так, пробежался по верхам. Для заинтересовавшихся темой рекомендую почитать что-то из предложенной мной выше литературы.


понедельник, 8 сентября 2014 г.

Приказ ФСБ по ПДн видишь ? А он есть :)

В пятницу по наводке Александра Виноградова заглянул в Консультант и обнаружил там "Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных...".

Сам приказ как можно видеть датирован июлем, зарегистрирован в Минюсте 18 августа.Тем не менее приказ еще не опубликован, а значит еще не вступил в действие.  Другое дело, что как мне кажется, публикация не заставит себя долго ждать.

Что же мы имеем с точки зрения требований:



Критики по приказу уже было высказано немало, лично меня конечно огорчило, что ФСБ предлагает защищать, причем ого-го как защищать системы 4-го уровня, к которым между прочим относятся в том числе ИСПдн, обрабатывающие общедоступную информацию. Зачем спрашивается ?  

Оригинал представленной таблицы можно скачать тут - https://drive.google.com/file/d/0B-diDhbmRj8gQ1BlSHBtTF8xMFE/edit?usp=sharing

понедельник, 1 сентября 2014 г.

Англоязычные подкасты по информационной безопасности

Подкасты - форма хоть и не новая, но не такая уж распространенная если говорить об информационной безопасности.

Андрей Прозоров уже публиковал подборку российских ИБ-подкастов, я же хочу дополнить его пост подборкой англоязычных подкастов. Я сам периодически слушаю подкасты на английском, т.к. это позволят убить сразу двух зайцев: и поддержать уровень знания языка, и получить актуальную информацию.    

PaulDotCom's Security Weekly - один из самых известных в сети Интернет подкастов, а можно даже сказать и видео-кастов, т.к. автора подкаста Пола Асадориана (Paul Asadorian), а также его команду можно не только слушать но и видеть. Эксперты обсуждают широкий круг вопросов и событий, происходящих в области информационной безопасности и регулярно приглашают себе в студию известных в индустрии людей. 

Risky Business - подкаст от австралийского эксперта по информационной безопасности по имени Патрик Грей (Patrick Gray). Подкаст выходит примерно один раз в неделю и посвящен обсуждению актуальных новостей в индустрии ИБ.

Network Security Podcast - один из старейших подкастов по информационной безопасности от эксперта компании Akamai Мартина МакКея (Martin McKeay). Тематика выпусков самая разнообразная: от обзора происходящих конференций, до разбора громких инцидентов информационной безопасности.

Sophos Security Chet Chat - подкаст от экспертов компании Sophos. В рамках коротких 15-минутных подкастов ведущие обсуждают все актуальные новости, произошедшие за последнюю неделю.  Так что если времени на прослушивание у вас не так много, то это подкаст для вас.

Tenable Network Security Podcast - подкаст от компании - разработчика всемирно известного сканера уязвимостей Nessus. Авторы подкаста обсуждают новости, связанные с развитием продукта компании, а также разбирают выявленные экспертами компании технические уязвимости.