Какой рейтинг вас больше интересует?
|
Главная /
Каталог блоговCтраница блогера Информационная безопасность/Записи в блоге |
Информационная безопасность
Голосов: 1 Адрес блога: http://adorofeev.blogspot.com/ Добавлен: 2009-05-19 15:05:09 блограйдером adorofeev |
|
ИБ и кризис
2009-08-27 19:52:00 (читать в оригинале)В прошлом октябре начался кризис. Все почувствовали приближение проблем, но в отношении ИБ многие говорили о том, что компании найдут деньги на ИБ даже во время кризиса. Некоторые специалисты по кадрам предрекали, что специалисты по информационной безопасности будут чуть ли не самыми востребованными. Сами специалисты указывали на то, что риски ИБ в ходе кризиса будут только расти.
Сейчас в последние дни холодного лета 2009-го можно попробовать начать подводить итоги.
- Компании, в которых понимание процесса обеспечения ИБ заключалось в установке и поддержании в рабочем состоянии антивирусной системы, не перешли в разряд организаций, желающих иметь полноценную систему управления информационной безопасностью, но от антивирусов тоже не стали отказываться, и многие компании, специализирующиеся на выпуске антивирусного ПО даже заявляли о росте продаж.
- В некоторых компаниях специалисты по информационной безопасности были сокращены, а их функции были переданы в ИТ или службу безопасности. Правда, большого количества безработных квалифицированных кадров тоже не наблюдается, так в списке из 57 человек, который выдается по запросу “CISSP” на сайте “Мой круг”, только 7 ищут работу.
- Большого количества вакансий менеджерского уровня в области ИБ на рынке труда не наблюдается. Некоторые компании ищут специалистов по ИБ начального уровня (как правило, это интеграторы, которым нужны рабочие руки на проектах по персональным данным).
- Темой года бесспорно стала “защита персональных данных”, но и в отношении их у компаний разные точки зрения. Многие заняли выжидательную позицию, так как увидели большие затраты на исполнение всех требований, да еще появились сомнения, а будет ли все работать, после того, как системы будут обвешены всевозможными сертифицированными продуктами. Не повезло только крупным компаниям, безусловным лидерам своих рынков, которые точно понимают, что к ним придут первыми и на них ресурсов у регулирующих органов хватит.
Делать какие-то прогнозы сейчас полнейшее безумие, так все зависит от того, куда наша экономика вырулит, а этого никто не знает. По моим наблюдениям, все лето многие только и занимались разглядыванием позитивных намеков на начало восстановления в различных статистических отчетах и при этом стали чаще обсуждать то, что кризис то, похоже, наш родной, доморощенный, а международный кризис – являлся только спусковым крючком. В общем, поживем – увидим.
P.S.
В начале лета менеджеры компаний-ретейлеров собрались для обсуждения стратегии развития компаний в ходе кризиса. Выступление Дмитрия Потапенко было самым ярким и запоминающимся: http://www.youtube.com/watch?v=ypGxclHjieE
Александр Дорофеев (c)
Блоги, как инструмент политической борьбы
2009-08-24 18:46:00 (читать в оригинале)В последнее время блоги становятся настоящими средствами массовой информации, и по всей видимости, станут одним из серьезных инструментов в грядущей политической борьбе (2011, 2012), а для защиты данного инструмента, политическим игрокам придется познакомиться с основами ИБ.
Месяц назад в Казахстане блоги приравняли к СМИ (см. http://www.lenta.ru/news/2009/07/11/smi/) Теперь владелец блога может быть привлечен к уголовной ответственности. В России уже тоже думают о регулировании Интернета (http://www.nr2.ru/technology/228935.html).
Интересно, что некоторым блоггерам удается включить свою аудиторию в борьбу за правое/левое дело (см. статью “Виртуальные митинг, демонстрация, революция” в "Новой газете") . Многие слышали и о Михаиле Афанасьеве, который использовал свой блог для привлечения внимания общественности к ситуации вокруг спасения сотрудников Саяно-Шушенской ГЭС (http://rukhakasia.livejournal.com/8476.html)
С некоторыми блоггерами борятся с помощью атак типа “отказ в обслуживании”.В начале августа атаке подвергся Twitter, LiveJournal и YouTube (http://www.securitylab.ru/news/383384.php). Причину атаки связывают с Осетино-Грузинским конфликтом. Интересно, что и год назад некоторые сайты также подвергались DDoS-атакам из-за данного конфликта (см. http://www.grani.ru/Politics/Russia/m.139854.html)
Я думаю, наши политические игроки должны заранее подумать о грядущей информационной борьбе и предпринять ряд простых мер: обзавестись сетью дружественных блогов (так как одного сайта партии будет явно не достаточно и, скорее всего, он перестанет работать благодаря конкурентам задолго до выборов) и научиться использовать цифровую подпись для того, чтобы читатели имели возможность убедиться в правильном источнике перепечатанного сообщения.
Интересно, как будет называться позиция специалиста по ИБ в какой-нибудь партии? :)
Скайп
2009-08-04 11:31:00 (читать в оригинале)На прошлой неделе одной из самых обсуждаемых в Интернете тем было сообщение о планах РСПП подготовить поправки к закону, затрагивающие сферу IP-телефонии. У операторов связи вызывает беспокойство перетекания голосового трафика из платных сетей связи в бесплатный Интернет. Саму новость от РСПП можно прочитать здесь, также можно ознакомиться с презентациями от представителей операторов связи: http://www.rspp.ru/Attachment.aspx?Id=10470 и http://www.rspp.ru/Attachment.aspx?Id=10471
Одной из причин, по которой следует регулировать VoIP было названа невозможность устанавливать оборудование СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий) для контроля переговоров.
Довольно быстро появился довольно нецензурный видео-ответ на данную инициативу от Евгения Шестакова и Андрея Бочарова под названием “Гитлер и Скайп”:
Защищенный Skype
Похоже, что в Skype, действительно используется криптография, затрудняющая перехват переговоров пользователей (Skype опубликовал статью относительно своей защищенности:
http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf)
Немецкая полиция жаловалась о трудностях с перехватом голосового трафика, передающегося через Skype (http://www.reuters.com/article/technologyNews/idUSL21173920071122).
Где не любят Skype
Сайт Skype блокируется в Объединенных Арабских Эмиратах и Омане. Интернет наполнен слухами о том, что на ближнем востоке нелюбовь к Skype вызвана прежде всего тем, что он переходит дорогу местным государственным монополиям в области связи.
CALEA
Skype принадлежит американской компании eBay, а в США есть Communications Assistance for Law Enforcement Act, который обязывает телекоммуникационные компании, в том числе и те, которые занимаются IP-телефонией вносить изменения в ПО, устанавливать специальное аппаратное и программное обеспечение, которые позволяет спецслужбам США при необходимости перехватывать переговоры пользователей. Компании, попадающие под действие акта, должны были привести свои системы и оборудование в соответствие требованиям акта к 14 мая 2007 года.
Безопасность Интернет-переговоров
На мой взгляд, самым доступным и очевидным решением для организации защищенного канала связи является использование opensource VPN и VoIP сервисов. Так одними из самых популярных бесплатных VPN-решений являются: OpenVPN, FreeS/WAN и VoIP-решений: Asterisk и FreeSwitch.
Также можно использовать Zfone от автора PGP Филиппа Циммермана, который может работать с тем же Asterisk. В этом случае (если вы, конечно, доверяете решению от автора PGP) вам не нужно будет использовать свой VPN для шифрования трафика.
Александр Дорофеев (c)
Интересный способ продвижения услуг по тестированию на проникновение
2009-07-27 13:23:00 (читать в оригинале)Сейчас тестирование на проникновение становится довольно распространенной услугой и компании ее предоставляющие начинают биться за клиентов при этом используя довольно интересные способы продвижения своих услуг.
Так есть компании, которые занимаются тем, что отыскивают сайты, содержащие уязвимости, демонстрируют их использование и публикуют соответствующие статьи на различных Интернет-ресурсах, нанося при этом ущерб имиджу своим “потенциальным клиентам”. При этом, как правило, атакованная сторона даже не оповещается о том, что были найдены уязвимости на ее ресурсе: лишь на сайте “пентестеров” есть обращение, наподобие следующего: “если вы нашли в списке взломанных сайтов свой, то обратитесь к нам и мы ваc защитим”.
Довольно интересный подход. Я думаю, что подобная реклама скорее отпугнет клиентов, заинтересованных в собственном аудите информационной безопасности, но зато может привлечь клиентов, заинтересованных в проведении хакерских атак против своих конкурентов. Недаром, на английском языке тестировщиков на проникновение называют “ethical hackers”, подразумевая наличие этики. Также получение многих профессиональных статусов в области ИБ и аудита (например, CISSP, CISA) возможно только в том случае, если специалист согласен следовать определенным этическим нормам, запрещающим в частности наносить вред своими действиями.
Александр Дорофеев (c)
Социальные и психологические технологии хакеров
2009-07-14 23:58:00 (читать в оригинале)При фразе “социальная инженерия”, многие из нас представляют хакера, звонящего в офис и просящего сообщить пользователя свой пароль. Так ли на самом деле примитивны технологии, используемые социальными хакерами? Давайте посмотрим, какие методики доступны для осуществления “социального взлома”.
Начну с описания подобного взлома, взятого из книги Виктора Суворова “Аквариум”:
Постановка задачи перед курсантом (социальным хакером):
“Объект: Мытищинский ракетный завод. Задача: найти подходящего человека и завербовать его. Цель первая: получить практику настоящей вербовки. Цель вторая: выявить возможные пути, которые вражеская разведка может использовать для вербовки наших людей на объектах особой важности.
Ограничения. Первое - во времени: можно использовать для вербовки только свое личное время, выходные дни и отпуска, никакого особого времени на проведение вербовки не отпускается; второе - финансовое: можно расходовать только свои личные деньги, сколько угодно, хоть все, ни копейки государственных денег не выделяется.”
Теория:
“Теория вербовки говорит, что вначале нужно найти заданный объект. Это нетрудно. Мытищи-городок небольшой, а в нем огромный завод. Проволока колючая на роликах. Ночью завод залит морем слепящего света. Псы караульные тявкают за забором. Тут сомнений быть не может. А еще у завода соответствующее имя должно быть. Если на воротах написано, что это завод тракторной электроаппаратуры, то это может означать, что кроме военной продукции завод выпускает что-то и для тракторов, но если название ничего не выражает: "Уралмаш", "Ленинская кузница", "Серп и молот" - тут сомнения отбрасывайте в сторону: военный завод без всяких посторонних примесей. Второе правило вербовки говорит, что через забор лезть не надо. Люди из завода сами выходят. Они идут в библиотеки, в спортзалы, в рестораны, в пивные. Вокруг крупного завода должен быть район, где живут многие рабочие, где есть школы для их детей и детские сады. Где-то есть поликлиника, туристическая база, зона отдыха и т. п. Все это надо найти.
Третий закон вербовки гласит, что не нужно вербовать директора или главного инженера - их секретарши вербуются легче, а знают совсем не меньше, чем их начальники. Но вот беда, условия учебно-боевой вербовки запрещают нам вербовать женщин. За рубежом - пожалуйста, во время тренировок - нет. Нужно найти чертежника, оператора электронной машины, хранителя секретных документов, копировальщика и пр.”
“Фильмы про шпионов показывают офицера разведки в блеске остроумия и красноречия. Доводы шпиона неотразимы, и жертва соглашается на его предложение. Это и есть брехня. В жизни все наоборот. Четвертый закон вербовки говорит, что у каждого человека в голове есть блестящие идеи, и каждый человек страдает в жизни больше всего оттого, что его никто не слушает. Самая большая проблема в жизни для каждого человека - найти себе слушателя. Но это невозможно сделать, так как все остальные люди заняты тем же самым - поиском слушателей для себя, и потому у них просто нет времени слушать чужие бредовые идеи…”
“Пятый закон вербовки - это закон клубники. Я люблю клубнику. Я люблю ловить рыбу. Но если рыбу я буду кормить клубникой, то не поймаю ни одной. Рыбу надо кормить тем, что она любит, - червями. Если ты хочешь стать другом кому-то, - не говори о клубнике, которую ты любишь. Говори о червяках, которых любит он.”
Установление контакта:
“Они шли в библиотеку. Нет, это не секретная библиотека. Секретная внутри завода. Это обычная библиотека. И вход туда всем разрешен. Вот и я с группой затесался. Молоденькой библиотекарше за прилавком подмигнул, она мне улыбнулась, и я уже у книжных полок.
Теперь я роюсь в книгах и внимательно смотрю за тем, кто чем интересуется. Мне нужен контакт. Вот рыжий очкастый перебирает научную фантастику. Хорошо. Подождем его. Вот он отошел к другой полке, к третьей...
- Извините, - шепчу я на ухо, - а где тут научная фантастика?
- Да вон там.
- Да где же?
- Идите сюда, покажу.
Хороший контакт у меня получился только на третий вечер.
- Что-нибудь про космонавтов? Про Циолковского?
- Да это вот тут.
- Где?
- Идите сюда, покажу.”
Развитие:
“В библиотеке нельзя говорить громко, да и вообще разговаривать не принято. Поэтому я слушал его на заснеженной поляне в лесу, где мы катались на лыжах. В кинотеатре, в который мы ходили смотреть "Укрощение огня", в маленьком кафе, где мы пили пиво.”
"Взлом":
“Мы сидим в грязной пивной, и я говорю своему другу о том, что бороводородное топливо никогда применяться не будет. Не знаю почему, но он думает, что я работаю в 4-м цехе завода.
Я ему этого никогда не говорил, да и не мог говорить, ибо не знаю, что такое 4-й цех.
Он долго испытующе смотрит на меня:
- Это у вас там, в четвертом, так думают. Знаю я вас, перестраховщиков. Токсичность и взрывоопасность... Это так. Но какие энергетические возможности! Вы там об этом подумали? Токсичность можно снизить, у нас этим 2-й цех занимается. Поверь мне, будет успех, и тогда перед нами необъятные горизонты...”
Отличная работа разведчика, но это лишь описание из художественной книги, пусть даже основанной на реальных событиях. Какие же сейчас доступны "формализованные" методики, которыми могут воспользоваться современные социальные хакеры? На мой взгляд, их стоит разделить на две группы – ориентированные на использование логики и хитрости и психологические техники.
Первая группа технологий существует давно, но наибольшее развитие, на мой взгляд, получает в настоящее время. Родоначальниками направления являются Сунь Цзы и Николо Макиавелли. Первый описал применение социальных технологий в военном искусстве, второй - в политике. Хорошими современными книгами по данной теме являются:
- “Искусство управленческой борьбы”, Владимир Тарасов;
- “Игры, в которые играют менеджеры”, Игорь Зорин;
- “Стратагемы - стратегии войны, манипуляции, обмана”, А.И. Воеводин.
Основой технологии является разработка некоего управляемого сценария (стратагемы), позволяющего достигнуть своей цели.
Приведу цитату, иллюстрирующий применение стратагемы, из книги Владимира Тарасова “ Искусство управленческой борьбы”
“Специалист по подавлению забастовок
В начале XX века на фабрике, расположенной в маленьком поселке, произошла забастовка. Дело было зимой. Предприниматель оказался в затруднении: все три возможных решения его по той или иной причине не устраивали.
Пойти навстречу требованиям бастующих. Они выйдут на работу, но выполнение их требований обойдется недешево. И где гарантия, что их аппетиты не возрастут и они снова не забастуют?
Не идти на встречу их требованиям.3ахотя т есть - рано или поздно выйдут на работу. Однако убытки от простоя фабрики, штрафы за срыв поставок и потеря в имидже окажутся слишком велики.
Вызвать полицию, чтобы повязали и увезли зачинщиков забастовки. Остальные испугаются и выйдут на работу. Но кто сеет ветер, пожнет бурю. Кто поручится, что его собственный дом вскоре не запылает?!
Вариант со штрейкбрехерами даже не рассматривался: их неоткуда было взять! Предприниматель решил обрати ться за помощью и пригласил специалиста по
подавлению забастовок. Специалист приехал, погулял по поселку, подышал морозным воздухом и посоветовал: "Если рабочие не хотят работа ть, пусть хотя бы фабрика работает! Пошлите с утра пару человек, пусть зажгут свет, затопят котлы, чтобы окна сияли и дым из трубы валил! А то уж больно унылая картина!" Так и сделали. Рабочие не поняли, что же там на фабрике происходит. Кто- то пошел посмотре ть. И исчез. Второй пошел узнать, куда девался первый, и тоже исчез. А что увидел рабочий, когда пришел на фабрику? Ничего особенного. Просто это было, как праздник. Нечто неожиданное и приятное. Прошелся по двору, прошелся по фабрике. И уж, конечно, - к своему рабочему месту. Осмотрел, все ли на месте, все ли в порядке. Погладил рукоятки станка, попробовал включить. Тело сразу все само вспомнило. Почувствовал, как приятно работа ть... Один за другим рабочие потянулись в ворота фабрики и молча приступили к работе. Забастовка окончилась.”
Что же касается психологических техник, подходящих для использования социальными хакерами, то в их главе стоит нейро-лингвистическое программирование (NLP). Включает в себя массу приемов, мастерское владение которыми, позволит получить любую информацию от практически любого человека. В основе лежит эриксоновский гипноз. Хорошее описание NLP можно найти в различных книгах Сергея Горина. Также интересные психологические приемы можно найти в книгах по социальной психологии и транзактному анализу.
Враждебное применение социальных технологий и психологических приемов в отношении людей, имеющих доступ к важной информации и рычагам управления в компании, может привести к серьезным последствиям для бизнеса. От таких приемов нельзя защититься с помощью программного или аппаратного обеспечения - необходимо повышать осведомленность наших сотрудников в данном вопросе. На мой взгляд, более менее серьезная программа повышения осведомленности в области информационной безопасности должна предусматривать и проведение соответствующего обучения, по крайней мере, для руководства компании.
Категория «Журналисты»
Взлеты Топ 5
+406 |
407 |
DDB's LiveJournal |
+350 |
441 |
Жизнь в сети |
+345 |
429 |
Сергей Новиков |
+310 |
443 |
Рояль в кустах |
+54 |
409 |
Сибдепо / Блоги |
Популярные за сутки
Загрузка...
BlogRider.ru не имеет отношения к публикуемым в записях блогов материалам. Все записи
взяты из открытых общедоступных источников и являются собственностью их авторов.
взяты из открытых общедоступных источников и являются собственностью их авторов.