четверг, 28 апреля 2011 г.

Совет Федерации одобрил закон "О лицензировании отдельных видов деятельности"

Совет Федерации одобрил закон "О лицензировании отдельных видов деятельности". Документом предлагается отменить лицензирование ряда видов деятельности с одновременным введением уведомительного порядка начала предпринимательской деятельности по этим направлениям. Взято с сайта RBC. Сам законопроект можно скачать на сайте госдумы здесь.

Очень интересно об этом законопроекте уже высказался Алексей Волков в своем блоге. Вот все же не могу я понять, почему отменяется деятельность по обеспечению авиационной безопасности, а требования по лицензированию технической защиты конфиденциальной информации или разработки и производству средств защиты конфиденциальной информации упорно сохраняются в этих документах.

Мое мнение - это поражение (путь маленькое но все же) современной власти, которая твердит о модернизации.

И даже пункт 4 статьи 8 (о котором упоминает Алексей в своем блоге), гласящий:

К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции.

на самом деле при скурпулезном анализе говорит лишь о том, что в перечень требований на получение лицензии не могут быть включены требования о соблюдении законодательства. К сожалению этот пункт никак не отвечает на вопрос "надо или не надо получать лицензию на ТЗКИ".

.... ну в общем к сожалению этот вопрос остался нерешенным и в ближайшее время не стоит ожидать изменения закона :(

Обновление: 6 мая текст закона был опубликован в российской газете. Закон вступает в силу через 180 дней после опубликования.

понедельник, 25 апреля 2011 г.

Конференции по ИБ в Москве в мае-июне 2011

Честно сказать мало у нас достойных мероприятий по информационной безопасности, тому есть масса причин и размышления на эту тему достойны, наверное, отдельного поста, но сейчас не об этом. Не смотря на то, что обычно "богатыми" на конференции оказываются начало весны и середина осени в этом году май и июнь будут довольно насыщенными. Более того, ожидаемые в это время мероприятия могут стать действительно интересными. Итак, что нас ждет:

17-20 мая 2011 - Международный салон Комплексная безопасность 2011. Мероприятие посвящено в целом безопасности и ИБ уделяется лrишь небольшая часть, но зато на это мероприятие (в отличе от остальных) можно попасть абсолютно бесплатно. Хотя все же, положа руку на сердце, ИБшнику там делать нечего :)

19 мая 2011 - Positive Hack Days. Не знаю стремились к этому организаторы или нет, но у меня это мероприятие ассоциируется с BlackHat. Программа на сайте вывешена крайне интересная, конференция будет проходить впервые. Посмотрим как это будет, осталось не так много времени. Один ньюанс - мероприятие закрытое и для того, чтобы на него попасть нужен "инвайт". Была информация, что кто-то (из особо предприимчивых) пытался даже продавать липовые инвайты на это мероприятие.... Я надеюсь, что мне удастся туда попасть и я смогу рассказать о том, как это было.

24 мая 2011 - Конференция "Информационная безопасность бизнеса и госструктур". Организует CNews, к обсуждению предлагается довольно широкий круг вопросов и среди заявленных докладчиков представители ЦБ, ФСТЭК, ФСБ, коммерческих организаций. Направленность мероприятия мне до конца не ясна и я не уверен, что смогу пойти.

8-9 июня 2011 - IV межотраслевой ФОРУМ ДИРЕКТОРОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Это мероприятие традиционно проходило в октябре-нобяре, но теперь решено перенести его на лето. Насколько мне известно был изменен несколько формат участия и в этом году ожидается не менее 200 участников - директоров служб ИБ (!). На сайте уже висит программа мероприятия и в ней я отметил несколько довольно интересных (судя по названиям по крайней мере) докладов.

16 июня 2011 - Межбанковская конференция Вопросы применения и соответствия стандартам PCI DSS/PA DSS. Это какое-то новое мероприятие. Ранее межбанковская конференция проходила только в Магнитогорске и была посвящена широкому кругу вопросов ИБ в банках, а вот тут узко-профильное мероприятие, но "бренд" тот же.

воскресенье, 24 апреля 2011 г.

С праздником, коллеги !

Дорогие читатели моего блога, поздравляют вас всех с праздником Пасхи ! Христос воскресе ! Так получилось, что сегодня еще один небольшой праздник. Ровно год назад я написал первое сообщение в свой блог Security Insight. Много чего случилось за этот год, для меня опыт ведения блога стал очень интересным и познавательным, но, впрочем, я надеюсь, что и размещаемые мной материалы также были полезны вам.
Если верить статистике Google, то сейчас в месяц статьи в моем блоге просматриваются около 8 тыс. раз. Наверное это не очень много, но для меня это тоже определенное достижение. Спасибо всем за комментарии и обсуждения статей! Я постараюсь и впредь размещать в блоге интересную и полезную информацию

пятница, 22 апреля 2011 г.

Amazon AWS "лежит"

"Some of Amazon’s AWS services, which together comprise the company’s cloud computing platform, are currently experiencing technical difficulties, and it’s very visible on the social web."

Говоря простым языком Amazon AWS, на котором крутится огромное количество веб-сервисов, "лежит" и при том уже 2-ой день.

Под "раздачу" попали HootSuite, Reddit, Foursquare, TeamLab и многие другие.

Вот вам коллеги и пример реализуемых рисков применения облачных технологий. Так что даже если используете облако не забывайте про "план Б".

четверг, 21 апреля 2011 г.

Работа хакера становится цивилизованней :)

Попалось тут объявление на одном из форумов:

"Добрый день! Для работы в команде требуются хакер(ы) для взлома сайтов. Требования: - Опыт работы по теме. Условия: - Работая в команде вы получаете больше прибыли, чем за обычный заказ о взломе сайта. - Полный социальный пакет - Желание работать и зарабатывать"

Так что теперь хакеров даже соцпакетом заманивают... :) Вывод один, хакерские группы становятся все более организованными и все более целенаправленными и для борьбы с ними общие меры или бумажки, подтверждающие соответствие 152-ФЗ, СТО БР, PCI не помогут.

P.S. Я не говорю, что соответствие требованиям законов или стандартов это плохо. Нет, этого просто недостаточно.

суббота, 16 апреля 2011 г.

Новый журнал, посвященный тестам на проникновение

В этом месяце свет увидел первый выпуск нового журнала PenTest, посвященного тематике тестов на проникновение. Работает над журналом команда, выпускающая журнал Hakin9.

Журнал на английском языке, доступен для бесплатного скачивания после регистрации на сайте.

О других интересных журналах по информационной безопасности я уже ранее писал здесь.

Обновление от 18.0.2011: Только что пришла информация, что журнал Hakin9 с мая месяца вновь становится платным. Немного странный шаг, ведь буквально год назад они наборот сделали подписку бесплатной и вот теперь обратно .... видимо денег стало не хватать....

пятница, 15 апреля 2011 г.

Взаимоотношения заказчика и исполнителя (пятничное видео)

После моего последнего поста про трюки консультантов, было бы логично рассказать о том, с какими "фишками" со стороны заказчика порой приходится сталкиваться в работе консультанту. Но сегодня пятница, и поэтому думаю, что лучше всего об этом расскажет вот это видео:



Оно хоть и не совсем новое, но по прежнему актуальное :)

среда, 13 апреля 2011 г.

Хитрости консультантов

Dilbert.comНаткнулся тут на интересную статью под названием "7 dirty consultant tricks" (перевод - 7 грязных консалтинговых трюков), которая рассказывает о приемах, которые применяют некоторые консультанты с целью выудить деньги из своих заказчиков.

И вот какие это приемы:

1) Занижение первоначальной стоимости - т.е. когда изначально с целью выиграть тендер или просто сделать интересное предолжение цена несколько занижается, а в последствии под различными предлогами (изменение области работ, дополнительная проработка проблемного вопроса и проч.) выполняется дополнительная накрутка счета для заказчика.

Заметка для Заказчика: цена не должна быть определяющим фактором иначе вы рискуете либо переплатить, либо получить некачественную работу.

От себя: консалтинг - это такая работа, в которой все конечно же очень сложно точно "промерять" и цены у разных компаний могут отличаться довольно серьезно, поэтому очень важно смотреть что именно продают за те деньги, что с вас просят. Есть замечательная цитата Барона Ротшильда: "мы не такие богатые, чтобы покупать дешевые вещи", иногда она бывает очень актуальна.

2) Подмена команды - это когда до заключения договора вам показывают одну команду, супер-экспертов, именитых, опытных, всех таких сертифицированных... а после подписания всех бумаг к вам приходят люди... ну мягко говоря... несколько более низкой квалификации.... хотя заплатили-то вы совсем за других людей.

Заметка для Заказчика: до заключения договора просите предоставить именну ту команду, которая будет работать у вас, а не просто экспертов, работающих у исполнителя.

От себя: честно говоря общаясь с клиентами, понимаю что такие ситуации встречаются довольно часто. на презентацию по продаже услуги приезжают самые крутые специалисты (как правило директора департаментов, ведущие эксперты), а вот работают потом совсем другие люди.

3) Затягивание проекта - т.к. работа консультанта оплачивается почасово, то чем дольше идет проект, тем больше получит консультант, а значит в его интересах по возможности затянуть проект (ну или как минимум не способствовать его ускорению).

Заметка для Заказчика: команда и в идеале руководитель проекта на вашей стороне должны четко контролировать исполнение и соблюдение всех сроков проекта.

От себя: для России данная ситуация не актуальна, т.к. пока у нас еще редко заключаются контракты без конечной стоимости, т.е. когда ИБ-консалтинг оплачивается почасово.

4) Запугивание - в основном такие приемы относятся к компаниям, которые занимаются какой-то заказной разработкой или обслуживанием ИТ/ИБ (в меньшей степени консалтингом), и связаны с тем, что при попытке сменить компанию-подрядчика Заказчик как правило оказывается в ситуации, когда текущий подрядчик делает все, для того чтобы такая смена была как можно менее выгодна Заказчику, пытается запугать возможными проблемами настолько, чтобы в конечном итоге удержать от решения о смене.

Заметка для Заказчика: тщательно проверяйте (насколько это возможно) компанию, которую планируете нанять для серьезной работы или для предоставления критичного сервиса.

От себя: переход от одной компании к другой всегда является непростой процедурой, поэтому лучше заранее позаботиться о выборе хорошего подрядчика, чтобы потом, что называется, не рвать на голове волосы.

5) Перепродажа чужих продуктов/услуг с дополнительной накруткой - выполняя свою работу консультант может рекомендовать приобретение дополнительного программного или аппаратного обеспечения, а также сервисов третьей стороны, но при закупке этих сервисов компания-консультант выполняя перепродажу накручивает дополнительную стоимость (и порой довольно сильно).

Заметка для Заказчика: перед приобретением дополнительных продуктов/услуг рекомендуется ознакомиться с другими существующими предложениями.

От себя: в общем-то иметь одного поставщика не всегда так уж и плохо, главное чтобы этот поставщик не "задирал" цены. как правило консалтинговые компании, предлагая программное или аппаратное обеспечение имеют дополнительные скидки от разработчика, получить которые напрямую обратившись к разработчику не получится, поэтому далеко не всегда можно купить дешевле.

6) Продажа наиболее мощных решений - не смотря на то, что решение проблемы порой закрывается довольно простыми мерами, консультанты предлагают внедрение мощного, продвинутого и многофункционального решения, которое естесственно стоит не дешево.

Заметка для Заказчика: сопоставляйте функционал предлагаемого вам решения с вашими потребоностями или просите предоставить несколько возможных вариантов решения вашей проблемы (например: дешево и сердито, средненько, дорого и круто)

От себя: такое часто случается, если компания консультант является в том числе разработчиком каких-либо программных или аппаратных решений. Консалтинг работает на то, чтобы продавать решения именно этой компании, даже если их функционал несколько шире того, что нужно заказчику.

7) Имитация компетенции - консультант всегда знает как решить вашу проблему ? нет, не всегда, но некоторые все равно стараются сделать вид, что разбираются в вашем вопросе. Итог может быть непредсказуемо печален.

Заметка для Заказчика: предварительно соберите информацию о квалификации компании, которую вы хотите привлечь на проект, а также установите в проекте короткие цели с конкретными результатами. Недостижение указанного результата в заданные сроки может быть первым признаком возможной некомпетентности консультанта.

От себя: на волне кризиса, когда из компаний увольнялось большое количество специалистов, а также с учетом взрывного роста интереса к информационной безопасности, подстегнутого законом о персональных данных, появилось огромное количество консалтинговых компаний (стартапов). И далеко не все из них обладают необходимым опытом/квалификацией, что не мешает им заявлять об обратном.

Еще могу от себя добавить, что порой приходится сталкиваться с тем, что некоторые консультанты пользуясь тем, что заказчик не сильно разбирается в тематике (например, вопросах выполнения 152-ФЗ) "впаривает" дополнительные продукты/услуги, совершенно не нужные заказчику (аттестация, дорогое оборудование для защиты от ПЭМИН и проч.) и тем самым создает больше проблем чем решает.

А с чем приходилось сталкиваться вам ?

P.S. зачем я все это написал ? ведь я же тоже консультант ? да все очень просто, использование таких приемов не красит нашу профессию и создает условия недоверия к той работе, которую выполняют консультанты. На мой взгляд это неприемлимо. Изначально более честные взаимоотношения между заказчиком и консультантом дают гораздо больше пользы и результативности. Поэтому, выбирайте консультантов с умом ... и не попадайтесь на грязные трюки... :)

пятница, 8 апреля 2011 г.

ФСБ беспокоит западная криптография

Сегодня проскочила заметка: "Skype и Gmail угрожают безопасности России, считают в ФСБ". Краткая выдержка:

Федеральная служба безопасности (ФСБ) выразила беспокойство об участившемся использовании в российских сетях связи общего пользования шифровальных средств иностранного производства, сообщает РБК. Об этом заявил в ходе заседания правительственной комиссии по федеральной связи и технологическим вопросам информатизации начальник Центра защиты информации и специальной связи ФСБ Александр Андреечкин.


И правда как же так ? SSL, TrueCrypt у каждого в кармане.... так и не далеко до свободомыслия.. негоже....

И ничего что у нас государственные сайты nalog.ru и gosuslugi.ru используют в качестве шифрования SSL-сертификаты с западными криптоалгоритмами (на gosuslugi.ru применяется сертификат, заверенный иностранной фирмой Thawte. Inc.), это конечно же не должно заботить уважаемые органы, а вот то, что теперь каждый получил возможность реализовать тайну личной переписки, связи и пр. - вот это конечно же проблема.

среда, 6 апреля 2011 г.

Очередная лекция в рамках проекта "Обратная связь"

В минувшую субботу прошла очередная лекция в рамках проекта "Обратная связь". В этот раз она была посвящена вопросам выполнения требований стандарта PCI DSS.

Провел лекцию Андрей Рогожин, QSA-аудитор и ведущий консультант компании Trustwave. Ниже презентация Андрея:
Trustwave: Введение в практику PCI DSS
View more presentations from arogozhin


Подробнее о проекте "Обратная связь" можно прочитать здесь.

воскресенье, 3 апреля 2011 г.

Как я заказал взлом электронной почты


Не секрет что на большинстве хакерских (и не только) форумах разного рода "специалисты" предлагают взломать практически любой почтовый ящик за считанные минуты. Я решил опробовать этот сервис "на себе" и рассказать о том, как это происходит. Если вы не хотите стать жертвой взлома почты, прочитайте эту статью.

Большинство убеждено, что их почтовый ящик никому не нужен и взламывать его никто не будет. Да, скажу сразу, для 95% это действительно так, но кто может гарантировать, что вы не попадете в список оставшихся 5% ?

Кому нужен ваш почтовый ящик ? Ревнивой жене/мужу/другу/подруге (в данном случае речь будет конечно идти просто о просмотре, а не блокировании), недоброжелателям (коллеги по работе, конкуренты, даже соседи :) ), преступникам, которые либо используют его для рассылки спама (и тогда ваш ящик может быть вообще удален за нарушение правил), либо заблокируют доступ и будут вымогать у вас деньги (примеры тому есть).

Представьте себе на секунду, что ваш почтовый ящик стал для вас недоступным! Все, его больше нет ! Представили ? Сколько важных контактов, фотографий, писем останется в нем ?

Способ номер 1 получить доступ к ящику - угадать пароль. Чаще всего в качестве пароля используются имя на латинском языке и день рождения в виде «ддммгггг», другой вариант просто какой-то набор цифр (телефон, код домофона, почтовый индекс и проч.), и третий вариант — простое латинское слово или русское слово латинскими буквами (например, macho :) )

Другой очевидный способ быстро получить доступ к почтовому ящику — воспользоваться функцией восстановления пароля. Помните, когда вы создавали себе ящик вас просили выбрать секретный вопрос и ввести ответ на него ? Это как раз и используется для восстановления пароля, если вы знаете ответ на секретный вопрос — у вас есть доступ к почтовому ящику. А теперь, внимание :) Какой «секретный вопрос» и главное ответ вы выбрали ? Девичью фамилию матери ? Кличку собаки ?
Если что-то подобное, то знайте что получить такую информацию в современном мире проще простого. Для этого либо посмотрят ваш профиль в социальной сети, либо воспользуются поиском по различным базам в интернете, либо банально спросят вас же (разумеется не влоб, а завуалированно). Ну, например, чтобы узнать кличку собаки достаточно вступить с вами в переписку (в социальной сети, например), поболать о животных, рассказать о выдуманном своем питомце и мимоходом расспросить какая порода и как зовут вашего любимца.

Ну это все было лишь вступление. Итак я решил заказать взлом своего почтового ящика, чтобы понять как действуют хакеры. Указанные выше способы против меня бы не сработали, а эти ребята обещали 100% гарантию :).

Итак, я отобрал 3х наиболее "опытных" специалистов на одном из хакерских форумов. Обещали взломать быстро и так что "жертва" ничего не заподозрит. Заказ принимают по почте или ICQ, работают без предоплаты.

Сделав заказ я был уверен, что сейчас в ящик начнут сыпаться зараженные письма, в одноклассниках появятся сисястые незнакомки, интересующиеся особенностями моей жизни, но все оказалось намного прозаичнее. Ребята применили три способа:

1) Способ № 1. Утерянное сообщение

На почтовый ящик пришло письмо следующего содержания:










Письмo, oтпрaвлeннoe Вaм 25.03.2011 не былo дoстaвлeнo в Вaш пoчтoвый ящик пo причинe пeрeгрузки почтового сeрвeрa.
Для тoгo, чтoбы прочитать письмo,пройдите по ссылке, рaспoложeнной ниже

Переход по ссылке приводит на подложный сервер, представлящий собой точную копию окна авторизации сервиса Mail.Ru, только вот адрес у него:

http://win.mail.ru.id562315880session84jfm3idmailjossessionid74349fkm4rgf3fvf335g.id083461session84jfm3idmailjossessionid74349fkm4rgf3fvf335g.id083461session84jfm3idmailjossessionid74349fkm4rgf3fvf335g.auth.pro/?login=bond_a_v&domain=@inbox.ru&?http://mail.ru/

(внимательный пользователь поймет, что это сервер в доменной зоне .pro)











или еще один вариант был: http://win.mail.ru.servicelogins.org/cgi-bin_/login.html?AuthLog=mail&passive=true&rm=false&continue/

(здесь совсем все просто, видно что это не mail.ru, а сервер в зоне .org)

Вводите логин-пароль и все... хакер выполнил свою задачу.

2) Способ № 2. Ваш ящик будет заблокирован !

На ваш ящик приходит письмо следующего содержания:

Здравствуйте.

В связи с поступившими жалобами на рассылку рекламных писем (спам) с вашего почтового адреса, администрация вынуждена заблокировать Вашу учетную запись.

Ваш профиль будет заблокиро­ван, в связи с жалобой поступившей к администрации 28.03.2011.

Согласно пункту 11.3 пользовательского соглашения, Mail.ru оставляет за собой право временно приостановить либо прекратить предоставление услуг, своевременно уведомив об этом пользователя.

Для пр­одолжения пользо­вания учетной записью, и подтверждения, что Ваша учётная запись не используется спам-ботом, Вам необходимо авторизоваться на сервере.


Чтоб­ы авторизов­аться на се­рвере нажмите авторизоваться.
После удачной авторизации, в течении суток Вам будет выслано письмо с инструкциями как защитить свой электронный адрес от нежелательной корреспонденции.

Если заявка не будет отклонена в течении 3 дней, ваш почтовый аккуант будет заблокирован.

Ей присвоен номер 2011854185215025.

Чтобы подробней узнать об у­слуге — посетите Службы Mail.ru.

Эти меры принимаются в связи с возросшим количеством нежелательных писем, получаемых пользователями Mail.ru.

Администрация вынужденна ужесточить политику борьбы со спамом. Принос­им свои извинения.

С уважением, Администрация Mail.ru.

Указанная ссылка в письме как и в предыдущем случае вела на подложный сервер, ввод логина и пароля на котором приводит к хищению пароля.

3) Способ № 3. Письмо с вложением

На ваш ящик приходит письмо, якобы содержащее либо выписку из банковского счета, либо чьи-то реквизиты, либо что-то еще привлекающее внимание. Попытка открыть файл опять же переводит на страницу авторизации (как в первом и втором случае), расположенную на подложном сервере.

Вот собственно и все, я ждал что мне начнут засылать вирусы, действовать через какие-нибудь хитрые приемы (XSS, воровство кукисов и проч.), но этого не было. Видимо эти ребята привыкли что указанные выше приемы срабатывают и на что-то более серьезное за указанные деньги браться не готовы.

Наверное это и хорошо, т.к. означает что все что нужно это толика осторожности при чтении подозрительных писем от неожиданных адресатов и тогда ваш электронный ящик будет только вашим. Удачи !

пятница, 1 апреля 2011 г.

Госдума приняла поправки в 152-ФЗ !!!

А сколько было разговоров, что собираются что-то править. НЕТ, законопроект Резника принят сразу во втором и третьем чтении причем практически без изменений. Одно НО, срок приведения ИСПДн в соответствие сдвинут на 3 года !! до 1 июля 2014 г. Вот такие вот дела, коллеги... картина маслом "не ждали"....

Сам текст нового законопроекта можно скачать здесь.

Электронная карта на сайте госдумы здесь.