среда, 30 ноября 2011 г.

Вот что иногда на почту приходит

Получит тут на днях сообщение на почту:
Здравствуйте.

Интересует возможность подачи объявления (поста) на страницах вашего сайта.
Объявление вида:

=================
Взлом Одноклассников, Вконтакте,
почты на mail.ru, rambler.ru, yandex.ru, yahoo.com, gmail.com и т.д...
Любые доказательства на Ваше усмотрение.
Без предоплат, авансов и в самые короткие сроки.
Оплата после предоставления доказательств.
ICQ – НЕ занимаемся.
Сайт: http:///....
===================

Готовы предоставить баннер 468x60 (баннер, к сожалению, не профессионального качества)

Мы не занимаемся обманом, мошенничеством и т.д.

Готовы ежемесячно (или еженедельно, на ваше усмотрение) платить вам определенную сумму.

Если вас это заинтересует, просьба ответить нам на почту, указав сумму, способ оплаты и т.д..

Напишите, пожалуйста, как скоро сможете осуществить наш запрос на рекламу, метод оплаты.

Просьба сделать для примера одну страничку вашего сайта с нашей рекламой и прислать на данную почту (чтобы мы просмотрели изначально, как все будет выглядить).
Так же просьба по возможности предоставить нам статистику посещаемости по запросу «взлом почты, одноклассников» и т.д.

Ждем вашего ответа.

Странно, вроде даже в комментариях написал, что я не считаю данную деятельность законной и поэтому не приемлю рекламу таких услуг ни в каком виде в моем блоге. На всякий случай повторюсь ! Все попытки оставлять рекламу в комментах будут жестко пресекаться !

P.S. Судя по всему взлом аккаунтов в почте и соцсетях действительно серьезный, доходный бизнес. Я кстати вот тут описал приемы, которыми добывают пароли к почте, а вот соцсетей еще не касался, так что в ближайшее время отдам свой аккаунт в одной из соцсетей на растерзание и напишу что получилось.

вторник, 29 ноября 2011 г.

Скоро выборы !

<03.12.2011> в России день тишины

понедельник, 28 ноября 2011 г.

Опрос недели: а чем вы занимаетесь ?

Притча про 3 каменщиков:
Спрашивают одного из них, что ты делаешь. Он отвечает: «Я кладу кирпичи».
Спрашивают другого, он говорит, что возводит стену.
Третий каменщик сказал: «Я строю храм!».

В комментариях к моим постам (тут и тут) начался диспут на тему ИБ и ИТ-Б (это я так сократил "ИТ-безопасность"). Я даже думаю, что недавний пост Ригеля (тут) тоже появился в результате этих обсуждений. Мне даже предложили сделать опрос на тему того кто и как расшифровывает определения ИБ и ИТ-Б и какое из них более правильное. Но я думаю, что этот опрос ничего не даст, и я решил пойти другим путем. Опрос этой недели очень простой и состоит фактически из одного вопроса: "А чем на работе занимаетесь вы ?" Как вы называете то, чему вы посвящаете как минимум 8 часов своей жизни в день.

Опрос доступен здесь.

Результаты опубликую в конце недели.

суббота, 26 ноября 2011 г.

Проект "Обратная связь" в ВШЭ

Сегодня читал лекцию в Высшей школе экономики. За организацию спасибо Александре Савельевой.

Как и обещал, выкладываю файл с полезными ссылками, которые упоминаются в моей презентации. Файл лежит тут.

С удивлением узнал, что немногие студенты, присутствовавшие на лекции, знали что такое RSS. На мой взгляд, отслеживать появление актуальной информации в Интернет без использования этой технологии просто невозможно. Лично я в качестве RSS-читалки использую Google Reader. Просто и доступно о том, что такое RSS написано здесь.

четверг, 24 ноября 2011 г.

Вопрос на собеседовании

В свое время мне пришлось провести немаленькое количество собеседований (больше сотни точно) с теми, кто желал работать в консалтинге. Опыт для меня стал бесценным, по крайней мере я понял, что для составления практически полного портрета человека и принятия решения о том брать или не брать его на работу достаточно 15 минут (максимум), остальное время уходит лишь на то, чтобы укрепить себя в принятом решении. Но речь сейчас не об этом. В ходе собеседования я иногда задавал такой ситуационный вопрос:

"Вас позвали на должность директора по информационной безопасности в небольшую организацию, которая занимается инвестиционной деятельностью (на самом деле вид деятельности может быть другой). В компании работает 50 человек, офис расположен в Москве в одном из бизнес-центров. Вас позвали потому, что руководство по своим каким-то каналам узнало, что из компании периодически сливается информация что серьезно вредит бизнесу т.к. приводит к потере потенциальных клиентов. Как это происходит и кто виноват руководство не знает. Собственно вас нанимают не для того (точнее не именно для этого) чтобы найти источник слива информации, сколько для того, чтобы обеспечить в организации нормальный уровень защиты, который позволит минимизировать или свести на нет проблемы с утечкой и потерей потенциальных клиентов. До вас безопасностью никто не занимался. Все что есть сейчас - это приходящий системный администратор, который следит за работой нескольких серверов и рабочих станций сотрудников, на каждой рабочей станции есть антивирус, выход в интернет организован через сеть провайдера бизнес-центра, сервера периодически бекапятся на резервный жесткий диск, хранящийся у системного администратора (соискатель мог также задавать дополнительные уточняющие вопросы относительно того, что собой представляет сеть организации). Объем денег, который вам готово выделить руководство ничем не ограничен, НО (искусственное условие) вы ограничены лишь в количестве возможных мер, которые вы можете предпринять. Предложите 5 (!) конкретных действий, которые как вы считаете необходимо реализовать в первую очередь. Под словом "конкретных" понимается, что это не должны быть рассуждения на тему оценить обстановку, оценить риски, выработать меры по обработке рисков, а конкретные действия: поставить то-то, ввести такую-то процедуру и проч."

Т.е. смысл именно в том, что соискатель исходя из описываемой ситуации (допускалось задавать уточняющие вопросы) должен был сам оценить основные риски и предложить наиболее очевидные меры, которые позволят решить обозначенную проблему.

Самое интересное, что у этой задачи нет конкретного решения. Безопасность может быть обеспечена разными способами. Важно что именно предлагает соискатель и как он обосновывает необходимость реализации именно этой меры (ведь всего их может быть не больше пяти). Были конечно и такие, которые даже пять не могли назвать..... По некоторым ответам становилась понятно с чем человек привык работать и в чем он сильнее разбирается (это предлагалось в первую очередь).

Вот такой вот пример. Брать или не брать его на вооружение решать вам, но мне он при проведении собеседований пригодился.

вторник, 22 ноября 2011 г.

ИТ-безопасность или Информационная безопасность

Случился у нас тут на днях диспут на тему того, чем отличается ИТ-безопасность от информационной безопасности. И вот в тему этого вопроса попалась мне сегодня на глаза статья. Не могу сказать, что во всем согласен с автором, но привожу здесь мой перевод этого материала.

Некоторые думают, что термины ИТ-безопасность и информационная безопасность -это слова синонимы, ведь в конце концов разве информационная безопасность не занимается защитой компьютеров ? Вообще говоря нет. Основной аргумент здесь следующий - у вас может быть идеальная ИТ-безопасность, но всего лишь одно злонамеренное действие, например, администратора, и вся ИТ-инфраструктура может стать не работоспособной. Этот риск не имеет никакоk5;о отношения к компьютерам, он относится к людям, процессам и контролю.

Кроме того, важная информация может быть и не в электронной, а в бумажной форме. В качестве примера можно привести важный договор, подписанный с клиентом или перечень административных паролей, хранящихся в сейфе директора по ИТ.

Именно поэтому я люблю говорить своим клиентам, что ИТ-безопасность это примерно 50% от информационной безопасности, т.к. к информационной безопасности нужно еще отнести вопросы работы с персоналом, выполнения законодательства, защиты бизнес-процессов. Задача информационной безопасности обеспечить защиту информации (как относящуюся к ИТ, так и не относящуюся) путем реализации механизмов, снижающих возможные риски.

Этот подход хорошо описан в стандарте ISO 27001. В Приложении А этого стандарта описано 133 контроля (или иначе защитные меры), среди которых:
  • контроли, относящиеся к ИТ: 46%
  • контроли, относящиеся к организации и документированию: 30%
  • контроли, связанные с физической безопасностью: 9%
  • контроли, связанные с соблюдением законодательства: 6%
  • контроли, связанные с взаимодействием с поставщиками и клиентами: 5%
  • контроли, связанные с управлением персоналом: 4%

Собственно подход, описанный в данной статье совпадает со многими комментариями, которые высказывались коллегами. Поясню почему я с ним не согласен. На мой взгляд это довольно классический (я бы даже сказал несколько устаревший) взгляд на информационную безопасность. Я предлагаю обратиться к такому стандарту как Cobit (кстати не особо популярному в России). Так вот в данном стандарте, относящемся к ИТ приводятся следующие процессы:




Как можно увидеть здесь есть и процессы работы с персоналом (APO07) и работа с поставщиками (APO10) и вопросы контроля процессов (DSS8). Так что говорить, что вопрос работы с персоналом - это прерогатива именно информационной безопасности на мой взгляд не совсем корректно. Это все смежные области, которые могут интегрироваться и с информационной и с ИТ-безопасностью. Так что хоть я и согласен, что в настоящее время информационная безопасность и включает в себя ИТ-безопасность, но в очень скором будущем это должно измениться. Так что будет new school и old school :) Но это мое мнение, а так поживем - увидим.

воскресенье, 20 ноября 2011 г.

Технический аудит - часть 3 (Маппинг сети)

Продолжаем тему проведения технического аудита своими силами. Предыдущий пост был посвящен вопросу сбора информации, доступной публично, а сегодня речь пойдет уже об анализе внутренних ресурсов. Прежде чем переходить к детальным техническим проверкам нужно составить достаточно подробную карту сети (провести т.н. маппинг) и здесь могут пригодится следующие инструменты:

Инструменты активного сканирования - это разного рода сканеры портов, среди которых я бы особо выделил:

Nmap - известнейший сканер портов (http://nmap.org/), для которого уже давно появилась еще и графическая оболочка Zenmap (http://nmap.org/zenmap/). Для поиска большей части узлов по наиболее часто встречаемым портам в сети можно использовать следующую команду:
# nmap -sP -PS21,22,23,25,53,80,110,139,389,443,445,1433,3389 < ip-адрес подсети > -oG <имя файл для вывода результатов>

Unicornscan - также довольно мощный сканер, меня он привлек удобным функционалом по сканированию UDP-портов (http://www.unicornscan.org/). Для сканирования по основным UDP-портам используется команда:
# unicornscan -mU -I -E < ip-адрес подсети >

Инструменты пассивного сканирования - это инструменты, которые используют данные, полученные путем перехвата сетевого трафика. Такие инструменты удобны в том случае, когда есть возможность перехватывать трафик (например, через SPAN-порт коммутатора) и когда есть подозрение, что в сети есть узлы, не отвечающие на активное сканирование, обнаружить которые можно только через анализ трафика.

Ntop - анализатор трафика (http://www.ntop.org/products/ntop/), позволяющий собрать массу различной информации о том, какого рода трафик циркулирует в сети. Одним из таких видов информации является IP-адрес и операционная система сетевого узла (как раз то, что нужно при проведении маппинга).

Результаты сканирования конечно же удобнее всего получать в виде карты, но вот здесь к сожалению мне не известно ни одной программы (даже платной), которая могла бы строить красивые карты на основании результатов сканирования. Полуавтоматическим способом является использование Microsoft Visio. Для версии 2010 это выглядит следующим образом:

1. Подготавливаем Excel-файл, содержащий результаты сканирования.
2. Открываем Visio и выбираем шаблон "Подробная схема сети"
3. Переходим на вкладку "Данные" и выбираем "Связать данные с фигурами"
4. Далее следуйте указаниям мастера загрузки данных.

среда, 16 ноября 2011 г.

Размышления о перспективах

Задумался я тут о предстоящих возможных трансформациях отрасли инфобезопасности и решил поделится этими соображениями с вами, дорогие читатели. И вот что мне думается:

1) Информационная безопасность vs. ИТ-безопасность

На мой взгляд в ближайшем будущем термин ИТ-безопасность будет более применим к тому, чем придется заниматься специалистам по ИБ. БОльшая часть информации уже давно циркулирует именно в электронной форме и ее обработка невозможна без информационных технологий. А что это значит ? А то, что безопасность будет обеспечиваться именно в контексте ИТ-технологий. Мне думается, что это приведет к тому, что для обеспечения максимальной эффективности традиционные "технари" от безопасности должны будут перейти под крыло ИТ-подразделения, а директор по информационной безопасности должен будет сконцентрироваться на вопросах уровня GRC, т.е. общем руководстве, управлении рисками и соответствием законодательству.

2) Сращивание ИТ и ИБ

Как продолжение предыдущей мысли, уже сейчас видно как крупные ИТ-игроки скупают компании, занимающиеся информационной безопасностью (Intel купил McAfee, HP купил ArcSight и т.д. и т.п.). Все это на мой взгляд говорит о том, что в будущем элементы безопасности будут встроены в ИТ-сервисы, предоставляемые пользователям. И это будет правильно по двум причинам: во-первых интегрированный сервис удобен пользователям, т.к. им не надо заботится о защите (хотя они и так не заботятся :)), во-вторых такой сервис надежнее, т.к. как известно безопасность встроенная лучше безопасности наложенной.

3) Отказ от жесткого регулирования вопросов применения средств защиты

Я убежден, что "завинчивание гаек" в виде сертификации средств защиты хоть и имеет краткосрочный эффект (многие вендоры задумались о необходимости сертификации), но в долгосрочной перспективе абсолютно нежизнеспособно. Может быть это чересчур эмоционально, но думаю что такие меры это позор для нашей страны, которая так нуждается в модернизации. Так что мне думается, что если уж не в краткосрочной, то в долгосрочной перспективе отказ от обязательной сертификации непременно произойдет.

4) Усиление регуляторного прессинга

И как это не парадоксально в контексте предыдущего размышления, но количество стандартов и разного рода законов и регуляторных требований будет возрастать, т.к. все же безопасностью бизнес старается заниматься в последнюю очередь (в первую конечно же основные процессы) и ничего с этим не сделаешь (люди вообще склонны к риску и игнорированию опасности, особенно когда она не очевидна), а единственный способ заставить все же думать о безопасности - это введение регулирования (отраслевого, законодательного, международного).

воскресенье, 13 ноября 2011 г.

Столкновение взглядов: Обновлять или не обновлять

Итак, коллеги, продолжая тему споров на профессиональные тематики хочу сегодня предложить обсудить вопрос обновления/установки патчей. Тема эта опять же не однозначная, с одной стороны все понимают, что обновлять системы необходимо, т.к. хакеры как правило ориентируются именно на непропатченные уязвимости. С другой стороны, само по себе обновление систем может создать проблемы посерьезнее, чем вредоносный код, т.к. частенько случается, что новый патч может стать причиной сбоя системы, потери работоспособности прикладного ПО, скрытых глюков, которые даже не сразу проявляются.
Итог, некоторые специалисты предпочитают либо вообще не обновлять некоторые критичные системы (по принципу "не стоит менять то, что работает"), либо делать это крайне редко.

Мое мнение - обновлять все (!) системы необходимо, но:

во-первых это необходимо делать по согласованному графику (не часто, не редко, в среднем критические уязвимости должны закрываться в течение 1-2 месяцев)

во-вторых все обновления должны быть предварительно протестированы либо на тестовых системах, либо на схожих "живых" системах, но не выполняющих критические функции (например, прежде чем обновить весь парк рабочих станций можно протестировать обновления на десятке активных пользователей, готовых мирится с возможными сбоями)

в-третьих, исключения для ряда систем возможны (например, установленное ПО вообще никак не работает с новым патчем, а разработчик обновлять ПО не собирается, т.к. эта версия уже не поддерживается), но они должны быть согласованы с руководством (включая обсуждение возможных рисков), документально закреплены и должны быть продуманы и реализованы компенсирующие меры

Я убежден, что найдутся и противоположные мнения, давайте поспорим, коллеги.

четверг, 10 ноября 2011 г.

Пятничный offtopic

В тему пятницы и опроса недели небольшой анекдот:

Попал мужчина (М) в рай, райская жизнь, нега.... стало ему скучно, ходит по раю, вдруг видит - турагентство, занимающееся отправкой экскурсий в АД.
Мужик записался, прибывает в АД, там встречает гид-черт (Ч), начинаются экскурсии по смертным грехам 1-я экскурсия - чревоугодие - пьянка, обжираловка - жизнь кипит - туристы: "Ах, ОХ" 2-я экскурсия - прелюбодеяние - все ясно, без комментариев. Ну, думает мужик, вот где жизнь, решил остаться.
Подходит к Сатане, тот его спрашивает "уверен, что хочешь остаться ?" - М отвечает - "Да", только подписали бумаги, Мужика сразу на расскаленное масло, тот кричит - "эй, вы что, а где прелюбодеяние, чревоугодие ??!!" - а черти отвечают: "А ТЫ НЕ ПУТАЙ ТУРИЗМ С ЭМИГРАЦИЕЙ"

Что касается результатов опроса касательно профессиональной эмиграции, то тут результаты получились следующие:



























Из основного можно отметить следующее:

Людей, желающих работать за рубежом у нас не так уж и мало, больше половины опрошенных.

Основным сдерживающим фактором называется незнание английского языка, так что, коллеги, советую многим (вне зависимости от желания или нежелания покидать страну) задуматься над освоением языка, тем более что сейчас это стало значительно проще, чем раньше (в интернете доступна масса обучающих материалов, сайтов, вебинаров и проч.)

И, что интересно, большинство из опрошенных не работает в настоящий момент в иностранной организации, хотя на мой взгляд для тех, кто желает перебраться за рубеж это должен быть шаг № 1.

среда, 9 ноября 2011 г.

А вы уже готовы к появлению Duqu ?

Еще в середине октября компания Symantec сообщила о появлении нового вируса, который получил название Duqu. Название связано с тем, что вирус создавал файлы с префиксом ~DQ. Подробнее можно почитать здесь. Некоторые эксперты склонны считать, что разработчики этого вируса либо знакомы с исходными кодами нашумевшего вируса Stuxnet, либо и есть разработчики Stuxnet.

Для заражения этот вирус использует уязвимость CVE-2011-3402. Для распространения используются doc-файлы. Чем опасны такие вирусы думаю объяснять не надо. Сейчас фактически весь бизнес-обмен документами ведется в 2х форматах - PDF и DOC, а значит риск заражения возрастает очень серьезно.

В настоящий момент в качестве механизмов защиты можно предложить либо

а) убедиться, что вы используете антивирусное программное обеспечение, использующее обновленные базы, содержащие сигнатуру Duqu. К таковым точно относятся антивирусы Symantec, NOD32, Kaspersky. По поводу других точно не скажу.

либо

б) установить fix от компании Microsoft, отключающий использование TrueType шрифтов. решение не самое лучшее, т.к. множество приложений используют эти шрифты, а значит и их внешний вид претерпит изменение. но тут уж каждый выбирает сам что важнее, безопасность или удобство и внешний вид.

Сроки выхода патча от Microsoft пока не известны.

понедельник, 7 ноября 2011 г.

Профессиональная эмиграция

"....Но я, я остаюсь,
Там где мне хочется быть,
И пусть, я немного боюсь, Hо я, я остаюсь,
Я остаюсь, чтобы жить!.."

Анатолий Крупнов, группа Черный Обелиск

Разговоры о том, что "надо валить" я честно говоря слышу с некоторой регулярностью еще с момента поступления в ВУЗ. В основном конечно же от своих сверстников и людей помладше. Каждый в конечном итоге для себя решает сам, а стоит ли оно того или нет. Есть как те, кто доволен, так и те, кто не особо.... А что думаете вы, коллеги ?

Как всегда предлагаю небольшой опрос, результаты которого будут опубликованы в конце недели.

P.S. Честно говоря абсолютно, на мой взгляд, неадекватное регулирование рынка информационной безопасности, которое проявилось главным образом в рамках тематики персональных данных, не прибавляет как я смотрю оптимизма коллегам по цеху и толкает людей уходить в "здравые" области, т.е либо в иностранные организации в России, либо уезжать зарубеж. Вот кстати еще один интересный побочный эффект, о котором вряд ли задумывались наши законодатели.

четверг, 3 ноября 2011 г.

Справочный материал по внедрению стандарта СТО БР ИББС

Коллеги, хотел бы презентовать вам материал, который сегодня был официально анонсирован Компанией ЛЕТА.

Это брошюра, посвященная подходу к внедрению системы обеспечения информационной безопасности по требованиям стандарта Банка России.

Идея подготовки подобного материала родилась у нас после аналогичной работы, которую мы провели почти 2 года назад, выпустив брошюру по персональным данным. Подготавливая этот материал мы старались взглянуть на стандарт не с точки зрения того, какие требования надо выполнить, а с точки зрения того, какие действия (мероприятия) надо провести в банке для того, чтобы в итоге построить ту самую систему обеспечения информационной безопасности, отвечающую требованиям стандарта.

Сам материал можно сказать здесь.

Соответствующий анонс на сайте ЛЕТА можно прочитать здесь.

Понятно, что это не является единственно верным/возможным подходом к реализации требований СТО БР ИББС. Но мы надеемся, что этот материал станет полезным для специалистов по информационной безопасности, работающих в кредитно-финансовых учреждениях России.

Конструктивная критика и комментарии приветствуются.

вторник, 1 ноября 2011 г.

Солдаты кибер-войны

Сегодня по новостным лентам прошла парочка интересных новостей:

1) Как передает информационное агентство Bloomberg со ссылкой на одно из правительственных ведомств США, за последние несколько лет неизвестными злоумышленниками были взломаны системы управления четырьмя американскими спутниками. Непрямые улики указывают на то, что в каждой из этих атак участвовали китайские хакеры. Источник - http://www.securitylab.ru/news/409126.php

2) Баронесса Невилл-Джонс (Neville-Jones) заявила, что Россия и Китай имеют отношение к масштабной хакерской атаке на компьютерные системы Министерства иностранных дел Великобритании и ряда других ведомств, которые были проведены летом текущего года. Источник - http://www.securitylab.ru/news/409473.php

Конечно же представители Китая оперативно выступили с опровержением, но интересно тут другое.

Разговоры о серьезной кибер-угрозе, которая исходит от Китая, идут уже давно. Считается, что Китай готовит целую армию хакеров, которые должны будут включиться в борьбу в кибер-войне, которая может случиться в ближайшей перспективе. Вспомним опять же операцию "Аврора" и последующий скандал и выход Google из Китая.

Вопрос к читателям блога: вы верите, что Китай целенаправленно готовит специалистов для проведения кибер-атак в целях шпионажа (в т.ч. коммерческого) ? Или это ни что иное как транснациональные группировки кибер-преступников, которые всего лишь скрываются за личиной китайских или русских "хакеров".

Что лично смущает меня. Сообщения о нападении китайских хакеров на западные ресурсы и компании появляются с завидной регулярностью, но в отношении российских - полная тишина. В чем причина ? Мы так хорошо защищены ? Сомнительно, лично мне думается, что мы менее других стран подготовлены к кибер-атакам, потому что

а) у нас этой проблемой никто не занимается, в то время как в других странах это вопрос поднят на уровень президента и правительства

б) в государственных структурах у нас работают (к сожалению) не самые выдающиеся эксперты, а нормативные требования наших регуляторов не способствуют организации защиты, отвечающей требованиям современности

То, что в будущем экономические/политические войны могут усилится - думаю это факт и то, что в этих войнах хакеры, целью которых будет хищение секретов или вывод систем конкурентов из строя, станут неотъемлемой частью, думаю что тоже факт.

Пора начинать готовится к "светлому будущему", коллеги :)