В нашей блогосфере убыло

Как-то за последнее время стало заметно тише в нашей блогосфере. Давно ничего не появлялось в блоге Дмитрия Орлова (все еще, думаю, помнят его знаменитые дайджесты), заметно сбавили интенсивность публикаций Алексей Волков, Евгений Царев и Игорь Хайров.  Блог Евгения Родыгина тоже молчит довольно давно.

Коллеги, надеюсь что это связано исключительно с нехваткой свободного времени и вы еще обязательно вернетесь :)

В связи с этим, кстати, у меня возникает еще один вопрос: 

Где та молодая шпана, что сотрет нас с лица земли ?  

Хочется услышать новые голоса, почитать новые мнения, поспорить наконец :)

Закон Парето и информационная безопасность

"Закон Парето" как известно гласит что «20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата». Если не придираться конкретно к цифрам, то думаю можно смело утверждать, что  эффективность механизмов безопасности различна и в большинстве случаев определенный, ограниченный набор действий позволяет ликвидировать большую часть угроз и обеспечить требуемый уровень безопасности (в т.ч. с учетом требований законодательства). Но что это за набор действий ? Точного ответа никто не дает, но я со своей стороны рискну сделать некоторое предположение, основанное на различных материалах, которые мне за последние годы довелось изучить. Итак, 

5 основных мероприятий, позволяющих обеспечить базовый  уровень защиты:

1. Антивирусная защита 

(включая защиту серверов, рабочих станций, интернет-шлюза, почты)

2. Выявление и устранение уязвимостей и своевременное обновление программного обеспечения 

(vulnerability & patch management)

3. Управление доступом 

(включая вопросы идентификации, распределения ролей, разграничения полномочий и доступа)

4. Сегментирование сети и защита каналов связи 

(включая шифрование каналов связи, VPN, SSL и проч.)

5. Шифрование хранимой информации 

(на носителях, устройствах, в базах данных)

Проблематика защиты мобильных устройств (часть 1)

Сегодняшним постом я хочу открыть серию публикаций на (пока еще) относительно новую тему в информационной безопасности, посвященную защите мобильных устройств.  Тем что для многих уже успело стать (или совсем скоро станет) серьезной головной болью :). Лично мне кажется, что переход пользователей и бизнеса на мобильные устройства практически неизбежен. Более того, усиливающийся интерес к облачным технологиям будет этому только способствовать, т.к. "таблетка" или современный смартфон - это идеальный клиент облачного сервиса. К сожалению использование мобильных устройств создает ряд проблем с точки зрения безопасности, о которых и хочется поговорить. Сегодня я затрону так называемую проблему владения устройством.

Некоторые применяют термин "консьюмеризация", но я не очень люблю англицизмы. Суть этой проблемы заключается в том, что владельцем устройства все чаще оказывается пользователь, а не организация. Тому есть несколько объяснений, во-первых, то, что пользователи сами платят за устройства, снижает ИТ-бюджет (а экономия для бизнеса всегда важна), во-вторых многие пользователи уже имеют свои мобильные устройства и таскать с собой еще одно корпоративное далеко не всегда удобно (с телефонами это еще как-то прокатывает, а вот с "таблетками" вряд ли). Все это приводит к тому, что во-первых пользователь активно использует устройство в своей личной жизни (что вполне резонно), во-вторых он в меньшей степени готов мириться с какими бы то ни было ограничениями, которые захочет наложить на него служба информационной безопасности.

Также стоит упомянуть еще и то, что пользователь, владея устройством, вполне резонно ожидает, что может обращаться с ним как угодно. Он может передать (пусть даже на время) его другим лицам (родственникам, близким друзьям), к устройству в любой момент могут получить доступ дети (они быстро понимают какой у папы/мамы пароль доступа), он может продать мобильное устройство, если оно уже стало не нужно или захотелось более навороченную модель.

Каков же выход?  Самым очевидным кажется приобретение корпоративных устройств с жесткими ограничениями и механизмами защиты. Но это далеко не всегда возможно (хотя иногда и самое правильное решение) по двум описанным причинам - расходы + необходимость для пользователей носить с собой несколько устройств. А значит придется находить инструменты защиты именно частных устройств и тут организационные меры скорее всего не помогут (просто потому что механизмов легального воздействия на пользователя, использующего свое личное имущество, очень мало). Понадобятся технические средства, которые позволят обеспечить необходимый уровень безопасности информации, находящейся на устройстве, но при этом будут минимально (а лучше вообще не будут) взаимодействовать с пользователем.  О таких решениях пока говорить не буду, это тема последующих публикаций.

Positive Technologies ищет пентестеров

Positive Technologies разместила у себя на сайте вакансию на должность специалиста по проведению тестов на проникновение:

Требования к кандидату	Опыт работы в сфере информационной безопасности от 0 до 5 лет. Широкий кругозор в профессиональной отрасли. Способность решать нетривиальные задачи. Навыки программирования. Желание учиться, изучать и самосовершенствоваться. Кандидат должен иметь навыки практической компрометации или защиты систем, как минимум в одной из следующих областей:  - сетевая инфраструктура и беспроводные сети (проектирование сетей, сетевое оборудование, протоколы маршрутизации, межсетевое экранирование, IDS/IPS);  - информационная инфраструктура на бае Windows, Unix и Linux (ОС, служба каталога Active Directory, понимание принципов обработки и хранения чувствительной информации в ОС);  - прикладные системы (СУБД, веб-приложения).
Обязанности	Анализ защищенности сетевых инфраструктур ведущих российских и зарубежных компаний. Проведение тестов на проникновение, аудитов информационной безопасности, участие в исследовательской деятельности отдела, посещение и участие в российских и международных конференциях.
Условия	Тип занятости: полная занятость, полный рабочий день. Работа в офисе на востоке Москвы, около м. «Щелковская» или м. "Черкизовская". Оформление по ТК РФ. «Белая» заработная плата. Добровольное медицинское страхование Работа в молодом позитивном коллективе. Возможности обучения и развития.

Подробнее тут - http://www.ptsecurity.ru/job.asp

Проводя лекции в ВУЗах я встречал студентов, которые очень интересовались таким направлением в информационной безопасности, как проведение тестов на проникновение.  Приятно, что у таких ребят есть пусть небольшая (пока такие вакансии я вижу только в PT) альтернатива преступному хакерству.

Краткие итоги IV Межбанковской конференции по информационной безопасности

Сегодня последний день IV межбанковской конференции «Уральский форум: Информационная безопасность банков». Для тех, кто здесь не присутствовал Алексей Лукацкий вел довольно подробную трансляцию в твиттер.  Лично я для себя по итогам этого мероприятия вынес 2 ключевых момента, которые надо будет иметь ввиду всем, кто имеет отношение к обеспечению информационной безопасности в кредитных организациях:

1) "Узаконивание" обязательности внедрения СТО БР ИББС продолжится, но теперь от писем регуляторов с непонятным правовым статусом все переместится в плоскость нормативных документов, выпускаемых ЦБ. Необходимость (и право) выпуска таких актов на ЦБ накладывает ФЗ "О национальной платежной системе". Так вот в эти акты либо будут скопированы требования из стандарта СТО БР, либо будет дана ссылка на стандарт.  Так что, скоро у всех скептиков не останется поводов сомневаться в необходимости соответствия стандарту.

2) ЦБ планирует обязать банки официально отчитываться о состоянии информационной безопасности. Для этих целей в настоящий момент разрабатывается соответствующий регламент и форма отчетности. По предварительным данным соответствующие нормативные акты (обязывающие банки регулярно подавать отчетность в виде результатов  самооценки/аудита) появятся в середине года. Делается это также в контексте ФЗ "О национальной платежной системе". 

Вот такие вот интересные новости, коллеги. Посмотрим как будут развиваться события. 

Бесплатные сервисы от Qualys

Наткнулся на интересные (и самое главное, бесплатные :) ) сервисы от довольно известной на мировом рынке информационной безопасности компании - Qualys.  Если кто-то еще не слышал об этой компании, то если коротко, она предоставляет профессиональный сервис по управлению уязвимостями (Vulnerability Management).

Так вот, к сервисам:

Qualys Free Scan (ссылка).  Сервис позволяет бесплатно просканировать любой веб-сайт на наличие уязвимостей как на уровне сети, так и на уровне приложения (хотя тут конечно же глубокий анализ не проводится, только базовые проверки). 

Qualys SSL Labs SSL Server Test (ссылка).  Сервис позволяет проверить SSL-сертификат, который используется на вашем (или чужом) веб-сайте, и получить его полную диагностику. Я первым делом проверил интернет-банкинг своего банка :) и результаты вроде неплохие (банк рекламировать не буду):

Экспертиза проекта ПП "Об утверждении Положения о защите информации в национальной платежной системе"

Коллеги, кто еще не знает, указанный проект Постановления Правительства на прошлой неделе был размещен на сайте ФСТЭК, а позже и на сайте Департамента оценки регулирующего воздействия (тут).

Как я и говорил, поучаствовать в экспертизе этого документа может любой. Самое главное, это подготовить свои комментарии в определенной форме.

По моему мнению, документ получился без особых острых углов. Попросту говоря ни о чем, точнее в нем содержатся довольно общие описания того, что нужно делать для обеспечения защиты информации. 

Очень конечно порадовала область применения документа:  "Настоящее Положение устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности...."  Хотя тут просто соблюли формальность, ибо такая же дурацкая конструкция используется в ФЗ "О национальной платежной системе". 

В общем, если у кого-то есть что прокомментировать в этом документе - пишите в Минэкономразвития.

Еще немного про лицензирование

Продолжаю тему, поднятую в предыдущем посте.  Думаю, что мы услышим еще немало самых разных мнений. Но вот объяснение моего коллеги, Александра Малявкина, которое мне кажется довольно логичным.

1) Под технической защитой конфиденциальной информации понимается выполнение работ и (или) услуг по ее защите....

2) В соответствие с Налоговым и Гражданским кодексами «Работой для целей налогообложения признается деятельность, результаты которой имеют материальное выражение и могут быть реализованы для удовлетворения потребностей организации и (или) физических лиц».

«Услугой для целей налогообложения признается деятельность, результаты которой не имеют материального выражения, реализуются и потребляются в процессе осуществления этой деятельности».

3) А вот еще из Гражданского кодекса:

Статья 128. Объекты гражданских прав

К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; охраняемые результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальная собственность); нематериальные блага.

И в комментариях к этой статье сказано:

1. В комментируемой статье под объектами гражданских прав понимается не что иное как материальные и духовные блага, по поводу которых субъекты гражданского права вступают между собой в правовые отношения.
….
5. Работы и услуги объединены в единую группу в связи с тем, что являются объектами обязательственных прав. При этом под работой следует понимать не трудовую деятельность как таковую, которая регулируется трудовым правом, а результат работы.


Так что все же юридически можно обосновать, что работы и услуги никак не относятся к выполнению работниками организации для нужд этой же самой организации мероприятий по установке, настройке и эксплуатации СЗИ.

P.S. Чувствую надо получать второе юридическое :)  В нашей стране это крайне полезно....

Новое постановление правительства по лицензированию ТЗКИ

Буквально на днях было подписано Постановление Правительства РФ №79 «О лицензировании деятельности по технической защите конфиденциальной информации» (доступно для просмотра тут).  Долго все мы ждали этого документа. Я уже ранее писал свои комментарии относительно проекта этого документа. Посмотрим что же мы имеем в новом документе. Сразу оговорюсь, что многое прояснилось, но (как это обычно бывает) остается поле для трактований и злоупотреблений. 

Что же теперь должно подвергаться лицензированию:

а) контроль защищенности конфиденциальной информации от утечки по  техническим каналам

б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; 

в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации); 

г) аттестационные испытания и аттестация на соответствие требованиям по защите информации 

д) проектирование в защищенном исполнении средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; 

е) установка, монтаж, испытания, ремонт средств защиты информации (технических  средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Лично меня в этих пунктах смущают следующие вещи:

б) контроль защищенности конфиденциальной информации...

е) установка .... средств защиты...

Под пункт е) вполне можно подвести установку антивирусных средств собственной службой ИБ. А что такое контроль защищенности ? Это использование сканеров уязвимости или аудит ИБ ?

Посмотрим на применительную практику и будем надеяться, что все же злоупотреблений со стороны регуляторов мы не увидим. 

Экспертиза нормативно-правовых актов (продолжаем разговор)...

Итак, коллеги, продолжаю тему, начатую ранее, и связанную с обсуждением того, как мы можем повлиять на законопроекты, влияющие на наше профессиональное поле.

Как я сказал, для давления на регуляторов у нас есть 2 абсолютно законных способа. Один из них - антикоррупционная экспертиза проектов документов. Для того, чтобы простой человек вроде меня (или вас) мог в ней участвовать нужно представить в Минюст России по почте или лично следующие документы:

1) заявление об аккредитации, составленное в произвольной форме, с обязательным указанием фамилии, имени, отчества (последнее - при наличии), почтового адреса, по которому должен быть направлен ответ, и адреса электронной почты, в случае если экспертные заключения будут направляться в виде электронного сообщения (документа), а также с обязательным проставлением подписи и даты;

2) копию документа государственного образца о высшем профессиональным образовании;

3) копию трудовой книжки;

4) копию документа, удостоверяющего личность.

Как видите, не так уж и много.  Самое главное, ничего платить не надо. Образец заявления об аккредитации мне найти не удалось, но сказано, что его нужно сделать в произвольной форме, поэтому думается мне, что оно должно выглядеть как-то так:

-----

                                                                                                                  От   <ФИО>

                                                                                                                  <паспортные данные>

                               Проживающего по адресу: <адрес>

ЗАЯВЛЕНИЕ

В соответствии с приказом Минюста России от 31.03.2009 № 92 "Об аккредитации юридических и физических лиц в качестве независимых экспертов, уполномоченных на проведение экспертизы проектов нормативных правовых актов и иных документов на коррупциогенность" прошу рассмотреть возможность аккредитовать меня в качестве независимого эксперта, уполномоченного на проведение экспертизы проектов нормативных правовых актов и иных документов на коррупциогенность.

Необходимые документы прилагаю

<Подпись> <Дата>

Приложения:

Приложение 1. Копия документа государственного образца о высшем профессиональным образовании;

Приложение 2. Копия трудовой книжки;

Приложение 3. Копия документа, удостоверяющего личность.

-------


Документы нужно отнести в свой территориальный орган Минюста (перечень по всем регионам тут).

В течение 20 дней Минюст должен рассмотреть ваше обращение и либо зарегистрировать вас в качестве независимого эксперта, либо обоснованно отказать. Я сам планирую подать документы на этой неделе.

Кстати, к вопросу об экспертизе документов. Алексей Волков недавно в своем блоге сетовал на новый законопроект, который может быть неверно применен нашими регуляторами в пользу обязательного лицензирования по ТЗКИ всех и вся.  По ссылке можно перейти на страницу Департамента оценки регулирующего воздействия Министерства Экономического Развития. Сегодня и завтра по данному законопроекту еще принимаются замечания, оформленные соответствующим образом (форма описана в файле "Уведомление о проведении публичных консультаций...") и для того, чтобы участвовать в этой экспертизе не нужно аккредитации ! Всех  кто не согласен с указанными поправками и имеет такие же опасения, как и Алексей, призываю отправить свои соображения в МЭР.

Отчет DSecRG о безопасности банк-клиентов

Прочитал отчет, подготовленный исследовательской группой компании Digital Security, по теме безопасности систем ДБО.  На мой взгляд конечно фабула для этого отчета (цитирую) "Эффект дежавю: безопасность банк-клиентов находится на уровне 90-х годов", слишком уж сильная. В 90-х дистанционного банкинга вообще не было :)  (поправьте меня если я ошибаюсь).

К основным проблемам исследователи DSecRG отнесли:

• Межсайтовые запросы (CSRF)
• Межсайтовый скриптинг (XSS)
• SQL-Injection
• Переполнение буфера
• Ошибки авторизации
• Архитектурные проблемы

В общем-то этот список перекликается со списком OWASP Top 10 (можно посмотреть тут), поэтому я все же склонен считать что ситуация с нашими системами ДБО соответствует общемировым тенденциям в безопасности веб-приложений. Но это не значит, что я считаю, что это нормально. Банковские системы безусловно должны показывать более высокие уровни защиты, т.к. для любого банка (на мой взгляд) безопасность и надежность должны быть основными приоритетами при работе с клиентами.

Немного критики авторам отчета. Я не очень понял на какую аудиторию он рассчитан. Если на бизнес-аудиторию, т.е. на представителей руководства банков, то он изобилует большим количеством технических терминов и будет для них полностью непонятен. В такой ситуации надо было бы писать проще, приводить живые примеры возможных атак и пр.  Если этот отчет рассчитан на аудиторию специалистов по информационной безопасности или разработчиков, то тогда в нем слишком мало информации. Хотелось бы, чтобы результаты исследований были расписаны более подробно. С примерами уязвимых кодов приложений, эксплоитов и т.п. Предлагаю авторам подготовить детальную статью и опубликовать ее в каком-нибудь отечественном журнале по информационной безопасности, или в том же (IN)SECURE.

Вышел новый номер журнала (IN)SECURE

33-ий выпуск одного из самых качественных журналов в нашей отрасли уже доступен для скачивания тут.

В этом номере:
Securing Android: Think outside the box

Interview with Joe Sullivan, CSO at Facebook
White hat shellcode: Not for exploits
Using mobile device management for risk mitigation in a heterogeneous environment
Metasploit: The future of penetration testing with HD Moore
Using and extending the Vega open source web security platform
Next-generation policies: Managing the human factor in security

Тестирование на уязвимости веб-приложений

На мой взгляд тестирование веб-приложений - одна из наиболее перспективных тем в области проведения тестов на проникновение. Веб становится универсальным прикладным интерфейсом (взять те же облака и SaaS решения, везде веб-технологии). Практически все системы ДБО - это веб-приложения. При этом в нашей, российской блогосфере как-то не часто поднимаются вопросы безопасности веб-приложений. Странно... 

Мне тут попалась на глаза интересная подборка методологий, инструментов и тестовых фреймворков, относящихся к проверке на уязвимость веб-приложений. 

Смотреть тут. 

Вообще тем, кто интересуется тематикой взлома веб-приложений рекомендую прочитать вот эту книжку.