Эта долька для ИТ, эта долька для СБ, эта долька для ИБ...

С появлением новых возможностей всегда появляются новые угрозы. Человечество открыло антибиотики – появились устойчивые штаммы микроорганизмов, вызывающие суперинфекцию. Пришла автоматизация и электронный документооборот – появились проблемы с повреждением, уничтожением и утечками информации, новым путём: без пожаров, протечек и взлома сейфа с микрофотоаппаратом.

Как известно, безопасность информации – это стык интересов двух разных служб компании. В больших компаниях есть служба ИБ, выделенная в отдельное подразделение: отдел, департамент, а где-то, о ужас, даже в целое управление. Но в компании, где нет своего сильного и влиятельного подразделения ИБ, и начинается наша история.

«ИБ – она в первую очередь ИНФОРМАЦИОННАЯ, – говорит молодой и амбициозный, во всех смыслах, отдел ИТ. – Это сложные технологии, в них нужно разбираться, это вторгается в наш круг задач и ответственности, это влияет на бизнес-процессы.»

«Нет уж, позвольте, ИБ – это в первую очередь БЕЗОПАСНОСТЬ, – возражает, умудренная опытом СБ. – Я веду свою родословную от 2-го отдела, нутром чую, где что плохо лежит и как положить это всё хорошо. Под допуск, подпись, ключ. И поэтому...»

Кто из них прав?

Действительно если рассматривается проблема безопасности электронных документов, системы защиты достаточно сложны и могут повлиять на сам электронный документооборот. Но молодому ИТ не хватает опыта и того самого чутья, опасности от утечки той или иной информации. Конечно опасность которую могут нанести вирусы, спам-боты, dos-атаки и самый большой враг всего и вся пользователь, они представляют. Но опасность того, что документ был отправлен за пределы компании и успешно дошел до места назначения – нет. И действительно ведь ИТ отработало на 5, документ доставлен быстро, без потерь и нужному адресату, причинить вреда структуре это не может, как в том анекдоте про системного администратора.

«Призванный в армию сисадмин на стрельбище. В его мишени ни одной дырки.
– От меня всё ушло, проблема на Вашей стороне.»

С другой стороны, дай власть СБ, и она запретит всё всем. Правильно: самый защищенный компьютер – выключенный. А после введения расстрельных списков и сама мысль о том, чтоб только приблизиться к конфиденциальной информации, будет не доходить до головы.

Так кто же все же прав? Если ИТ предлагает только программно-аппаратные решения, а СБ только оргмеры. Как ни странно, оба!

Только комбинированное отношение к ИБ может эффективно защитить информацию и от уничтожения, и от кражи, и от нецелевого использования.

ИБ – это молодое направление, которое обязательно займет свое место в структуре любой компании, а пока происходит мучительное зарождение, делится апельсин.

Tags: безопасность, защита информации

Дело было в далёких и нищих 1990-х на одном маленьком, но гордом оборонном объекте, куда автор прибыл по долгу службы.

В сопровождении колоритного усатого прапорщика с автоматом ваш покорный слуга спускается в подземный туннель и подходит к бронированной двери, которая снабжена весьма внушительным электронным устройством со стальными кнопками и маленьким дисплеем.

«Секретная зона. Введите код» – высвечивается на дисплее. Прапорщик как-то небрежно клацает по кнопкам. Зуммер. «Код неверен. Осталось 2 попытки» Я немного напрягся. Снова клац-клац по кнопкам. Зуммер. «Код неверен. Действия записаны. Последняя попытка». В этом месте я уже напрягся всерьёз, прапорщик же не выказывает никаких эмоций. Клац-клац, ввод. Зуммер, красная лампочка. «Оставаться на месте! Выслан вооруженный караул» С невозмутимостью древнеримского сенатора прапорщик дожидается щелчка и открывает дверь, кивая пройти.

Провожая меня по объекту, страж лениво поясняет: «Да сломалась она у нас давно. Но чужие сюда не войдут!»

Tags: безопасность, пароли, пентест

Однажды к вашему покорному слуге стукнулся в аську человек за консультацией по кардерскому делу. В середине разговора я поинтересовался, с кем имею честь. Он и говорит, дескать, моё "резюме" вы можете увидеть на сайте ФСБ, в разделе "розыск", там, сразу после Басаева. Я удивляюсь: тут написано, что разыскиваемый арестован. Он говорит, что так и есть, а аськается и скайпится он из следственного изолятора. На тот момент это было единственное дело кардеров в РФ. Кстати, доказать вину так и не смогли.

В продолжение вчерашнего текста о роли вузов в формировании киберкриминальной среды сегодня мы рассмотрим другую сторону киберпреступности. Какие имеются средства для предотвращения преступных посягательств в сфере высоких технологий?

В российском законодательстве предусмотрены наказания за "высокотехнологичные" правонарушения – неправомерный доступ к компьютерной информации, создание вредоносных программ, нарушение авторских прав на ПО и т.д. Статистика МВД говорит нам, что эти правонарушения пресекаются, и дела расследуются в изрядном количестве. Но ближайшее рассмотрение показывает, что статистика лукавит. Количество действительно велико, но вот качество... Все раскрытые компьютерные преступления – это простейшие их виды, совершённые малолетними "хацкерами". По-настоящему сложных и масштабных компьютерных дел на счету правоохранительных органов нет.

Объяснение сему факту предельно простое. ( Далее... )

Tags: безопасность, кадры, кардинг

Вашему покорному слуге добрые бдительные граждане донесли об интересной новости. В Британии стартует проект по привлечению добрых бдительных граждан к онлайновому наблюдению за другими добрыми гражданами.

Вкратце дело обстоит так. Поскольку британцы сгоряча понатыкали камер видеонаблюдения много больше, чем в состоянии отследить все службы безопасности (обогнав по плотности и количеству на душу населения даже США), они задумались, кого бы привлечь к просмотру этих видео-потоков. И порешили: пусть любители телевизионных реалити-шоу заодно смотрят и секьюрити-шоу с камер. Заметят чего интересного – получат премию. А то штатные вахтёры за одни только премии смотреть телевизоры отказываются, им подавай твёрдую ставку. Интересное же происходит на экранах не слишком часто. Даже, прямо скажем, настолько редко, что отдельные правозащитники уже начинают попискивать на предмет излишне плотного видео-контроля над населением.

Идея богатая. Из неё можно вывести кучу деривативов. Например, посадить на разбор логов тысячи добровольцев-красноглазиков, которым иногда требуется отвлечься от игр и порнухи и попытаться сделать что-то для себя полезное. Не отрываясь при этом от компьютера. Оплачивать, естественно, мы будем не просмотры, а только "клики", т.е. обнаружение инцидентов безопасности. А там, глядишь, кто-нибудь из этих сдельных вахтёров от лени изобретёт искусственный интеллект или какой нейронносетевой анализ.

---

ЗЫ. Репортажи с недавней конференции "DLP-Russia 2009".

Tags: безопасность, кадры, проекты, футурология

На днях вышла статья нашего гендиректора "Нужна ли нашей стране своя операционная система?", собравшая, кстати сказать, нешуточное количество комментариев. Сейчас проверим, читает ли Наталья Ивановна корпоративный блог. ;) Будем её критиковать.

Все рассуждения как в самой статье, так и в комментариях к ней основываются на одном неявном предположении, которое, как минимум, не доказано. А возможно, и неверно вовсе. Состоит предположение в том, что имеется критерий разделения на "отечественное" и "зарубежное". Пока мы не обоснуем это утверждение, лишены смысла любые споры о том, что лучше, что безопаснее, что выгоднее, что эффективнее, что достижимо и сколько разворуют по пути.

Что такое своя ОС? Что значит своя электроника? Какая компания считается своей? Каким требованиям должен удовлетворять свой работник? Употребление этого термина каждый основывает на собственном представлении. А представления эти в большинстве случаев уходят корнями в патерналистскую модель государства образца XIX-начала XX века, которая ныне, мягко выражаясь, не актуальна.

Существует ли вообще причинно-следственная связь между вероятностью наличия НДВ в софте и записью в графе "гражданство" у программистов? Или лучше ориентироваться на национальность, партийность, судимость, юридический адрес, местоположение офиса, наличие компромата на директора? Сначала извольте сформулировать критерий "свойскости", затем если не доказать, то хотя бы обосновать корреляцию между этим критерием и безопасностью. И только затем можно переходить к разбору плюсов и минусов "отечественной" ОС.

Tags: НСД, безопасность, кадры, термины, угрозы

Пишут тут некоторые журналисты: «Виновником аварии на Саяно-Шушенской ГЭС может оказаться компания-поставщик автоматизированной системы управления.»

Независимо от того, правда ли это или не совсем, случай заставляет задуматься.

Принцип «as is» лежит в основе ВСЕХ без исключения лицензионных соглашений на программные продукты – и свободных, и проприетарных, и писаных на заказ. Он означает отказ автора/правообладателя от всякой ответственности за последствия функционирования ПО, за убытки и прочие неприятности, которые могут быть вызваны ошибками в программе. Отсутствие же ошибок никто, ни один сертифицирующий орган не может гарантировать. А страховщики отказываются страховать риски, связанные с ошибками/уязвимостями в ПО, поскольку не имеют возможности достоверно установить, чем был вызван сбой на самом деле.

Разумеется, подобный отказ от ответственности не имеет силы в случаях, прямо предусмотренных законом. Например, в случае создания вредоносных программ или халатности. Но в большинстве случаев закон на стороне разработчика. Например, под ФЗ "О защите прав потребителя" программные продукты не подпадают.

Преодолеть всеобщий "заговор" производителей ПО и порвать цепочку «as is» будет сложно. Для этого понадобятся несколько серьёзных катастроф, которые, как совершенно точно установлено, были вызваны ошибками в программах.

Tags: НДВ, авторское право, безопасность, оценка рисков, сертификация, угрозы, футурология

...неэффективна!

Почему? Потому что вода дырочку найдёт.

Методы информационной войны (не путать с кибервойной и диверсиями в ИС) воздействуют при помощи информации на массовое сознание. Для ведущего информационную войну требуется донести свой "информационный вирус" до противника хотя бы по одному каналу. Массированное воздействие не требуется. Блокирование альтернативных источников информации не требуется. Преодолеть цензуру противника надо хотя бы один раз хотя бы по одному каналу.

Глушылко

Цензура была эффективна в те времена, когда методы информационной войны еще не применялись сознательно. Цензура была эффективна в те времена, когда каналы доставки информации были редкими и тонкими. Ныне уповать на цензуру бессмысленно. Она может быть эффективна только против тупой массированной пропаганды, воздействие которой пропорционально её объёму. Например, пропаганды наркотиков или политкорректности.

Против информационной войны защита может быть только информационная.

Tags: безопасность, информационная война, угрозы, цензура

Надеюсь, все уважаемые читатели уже знают о бесполезности упования на технические средства в защите от утечек. Техника на втором месте, главное – человек. Секретность данных в головах людей всегда держалась на трёх столпах. Это мораль, логика и страх.

Во-первых, носитель секретных сведений будет относиться к хранимой информации серьёзно, если руководствуется соображениями иррационального характера – этическими, идеологическими, религиозными. То есть, хранить тайну «из принципа», потому что «так надо» или «партия велела» или «западло» или что-нибудь в этом роде.

Во-вторых, к сохранению тайны людей побуждают чисто рациональные соображения. Во многих случаях понятно, для чего нужна конфиденциальность. Разглашение очевидным образом приводит к ущербу для предприятия, государства или группы людей, отражаясь в итоге и на самом носителе секрета. То есть, человек не разглашает, потому что понимает, к чему это может привести. (Естественно, при этом он должен ассоциировать себя с той группой, которая получает бонус. При более широком взгляде на мир логика начинает работать в другую сторону.)

В-третьих, действует страх наказания. За разглашение тайны обычно предусмотрены какие-нибудь неприятные последствия – от выговора до расстрела. Здесь ещё присутствуют такие множители как неотвратимость наказания, и как сам субъект оценивает свои шансы попасться.

Заметьте: такого фактора как деньги в списке нет. Деньги могут развязать язык. Деньгами можно компенсировать некоторые неудобства, связанные с секретностью. Но платить за молчание невозможно. В отсутствие 1, 2, а особенно третьего фактора деньги никак не повлияют на решение человека хранить тайну или выдать её.

Tags: безопасность, кадры, коммерческая тайна, угрозы

Уважаемые коллеги сталкивались с ситуациями, когда какие-либо методы или процедуры защиты информации выродились, совершенно утратив первоначальный смысл? Имеются в виду случаи, когда они не потеряли актуальность (например, из-за изменения технологий), не перестали выполняться (из-за отсутствия контроля), а именно выродились, переродились и деградировали в нечто, не имеющее отношение к ИБ. Сталкивались? И ваш покорный слуга тоже сталкивался.

Расскажу один случай. Дело было в ИТ-компании, которая кроме прочего занималась построением информационных систем для "заказчиков" в рамках холдинга. Существовала процедура обязательного согласования всех проектов начальником отдела ИБ. Вроде бы, процедура логичная, обоснованная, стандартом 17799 предписанная. При построении ИС необходимо имплементировать в неё средства безопасности на самых ранних этапах, для чего привлекать специалистов ИБ начиная с разработки концепции... Впрочем, что я вам объясняю? Эти элементарные вещи все знают. Обеспечивается такое участие, в частности, тем, что ни один проект не может быть утверждён без визы отдела ИБ.

Возможно, когда-то подпись такую роль выполняла. Но в текущий момент на согласование принято было носить уже полностью готовый проект. Начальник отдела ИБ видел его впервые перед тем, как поставить визу. А работники его отдела не видели вообще. За свою подпись "генерал" выторговывал у ответственного за проект департамента разные ценимые среди бюрократов блага, услуги и бонусы. Так происходило, пока не провели реоганизацию. "Генерал" ушёл, отдел ИБ ликвидировали, вместо него создали департамент ЗИ, начальником коего поставили человека более молодого и менее заслуженного.

Когда же новый начальник ЗИ заикнулся о необходимости визировать проекты, ему указали, что подобные претензии с его стороны - необоснованные. Не заслужил пока такой привилегии. Что? Какая такая защита информации? Работай давай, защищай свою информацию! Будешь хорошо трудиться, получишь персональный автомобиль с шофёром. А при дальнейших заслугах, может быть, и право визирования проектов.

Tags: безопасность, защита информации

На взгляд вашего покорного слуги, сертификация по стандарту 27001 нужна не столько самой сертифицированной компании, сколько ее менеджменту. Как мы знаем, трудно оценить эффективность вложений в ИБ. Скажем, потратила компания кучу денег на организацию защиты, на соответствующее оборудование и специалистов. Никаких значимых инцидентов не случилось. Защита эффективна? Или просто повезло?

У руководства компании всегда таится мысль: не зря ли мы тратим деньги на нашу защиту? Может быть, она не работает? Может быть, мои безопасники просто вешают мне лапшу на уши, выпрашивая деньги на свои высокотехнологичные игрушки, на свои мужские игры? Когда что-то неприятное случится, и обнаружится, что наша защита не сработала, будет уже поздно. А как проверить? Устроить учебную тревогу?

Проведение сертификации по стандарту ГОСТ-27001:2005 – это хороший способ выяснить, работает ли твоя "безопасность", не напрасно ли потрачены деньги. Мне кажется, что приобретение сертификата в качестве конкурентного преимущества – это вторичная задача. Первичная же в том, чтоб убедиться, что имеющаяся система защиты построена "по науке" и сработает против распространенных угроз. Не зря в списке прошедших такую сертификацию мы видим только крупные предприятия, с многоуровневой бюрократической системой управления. Они больше других должны опасаться нерационального расходования средств.

Tags: безопасность, сертификация

Последние новости гласят: «Министр обороны США Роберт Гейтс издал приказ о создании кибернетического командования – структуры, которая возьмет на себя функции электронного щита и меча американских военных... план развертывания должен быть готов к 1 сентября 2009 года. А полная боеспособность должна быть достигнута к октябрю следующего года... В функции нового подразделения вменена обязанность разрабатывать и проводить операции с применением наступательного информационного оружия.»

Про защитные киберподразделения мы уже слышали не раз. Про разведывательные тоже. А вот наступательные – это ново. (Впрочем, не совсем. В Германии было чуть раньше. )

В России (как и во многих других странах) таких сил нет и не будет. По одной простой причине. Интеллектуалы не умеют ходить строем. Чтобы служить в армии или в спецслужбе необходимо: (а) иметь железное здоровье; (б) уметь повиноваться без раздумий дубам-начальникам; (в) жить на зарплату госслужащего. Кто из айтишников (я уж не говорю про истинных хакеров) способен выполнить хоть два из этих трёх условий?

Создание же кибервойск на основе коммерческой или общественной организации натыкается на другую трудность. Для ведения боевых действий в киберпространстве совершенно необходимо взаимодействие с другими родами войск, технической разведкой, нелегальной агентурой и диверсионными группами. Причём, взаимодействие оперативное, которое можно обеспечить лишь в рамках единого командования.

Tags: безопасность, интернет-разведка, информационная война, кадры, угрозы, футурология

Вот этим сообщением навеяло: «Государственное печатное бюро США по ошибке опубликовало на своем сайте 266-страничный конфиденциальный отчет с информацией о сотнях гражданских ядерных объектов и программ страны. В том числе карты с точным обозначением местонахождения складов с ядерным топливом и оружием массового уничтожения.»

Тема случайных утечек конфиденциальной информации стала настолько популярна, что грех бы не воспользоваться этим каналом в разведывательных и контрразведывательных целях.

Конечно, ни одной серьёзной спецслужбе не придёт в готову просто сидеть и ждать, когда все интересующие секреты проплывут мимо по Всемирной сети (хотя рано или поздно они таки проплывут).

Использовать "сетевые" утечки следует исключительно для дезинформации противника. Уж если простой народ (благодаря прессе) всерьёз стал верить, что кто-то может случайно разместить секретный файл в Интернете, то, возможно, в такое поверит и противник. Особенно непрофессиональный противник, вроде пресловутых террористов.

Сначала готовится документ, в котором среди многообразных описаний ядерных объектов ловко запрятаны сведения об уязвимом месте одного из них. Потом этот документ-ловушка помещается в файлообменные сети, и поднимается шум вокруг "утечки". Затем остаётся спокойно ждать террористов (а также "террористов") в засаде в указанном "уязвимом" месте вместо того, чтобы ловить их по сотням объектов.

А в действительно случайные утечки секретных документов никто из серьёзных людей уже давно не верит.

Tags: безопасность, гостайна, утечки

Мы частенько говорим о злоупотреблениях пользователей. При этом подразумеваем сущую ерунду: трату рабочего времени на развлекательные ресурсы, отправку личных сообщений, загрузку фильмов и музыки по рабочим каналам связи.

Реже мы упоминаем злоупотребления айтишников. Например, построение информационной системы для неслужебных целей (именно создание ИС, а не её использование). Или закупка ненужной техники. Или навязывание пользователям неэффективных программ, процедур и ритуалов, которые, однако, греют душу айтишника.

И совсем редко приходилось обсуждать злоупотребления безопасников. Такие как введение требований, направленных отнюдь не на защиту информации, а на удовлетворение самолюбия. А ещё выбор средств безопасности не тех, которые адекватны ситуации, а тех, с которыми безопасники умеют обращаться.

Полагаю, любой из читателей легко припомнит кучу подобных злоупотреблений из собственной практики.

На взгляд вашего покорного слуги, вторая и третья группа нарушений обходятся предприятию дороже, чем первая.

Tags: безопасность, защита информации, кадры, саботаж, угрозы

Вашего покорного слугу слегка беспокоит то обстоятельство, что на фоне роста Интернета почти не растёт рынок ПО и услуг по анонимизации сетевой активности.

Да, этот рынок средств и услуг анонимизации имеет заметный размер. Хотя он и близко не стоял с рынком антивирусной защиты. Большая часть этого рынка – чёрная. Соответствующие программы и услуги предлагаются неофициально, на тех же площадках, где сбываются услуги спамеров, кардеров и других работников компьютерного андерграунда. Кстати, довольно часто реализуются эти услуги анонимизации на базе зомби-сетей (ботнетов) – достаточно универсального инструмента последних лет (рассылка спама, DoS-атаки, распространение вирусов, распределённые вычисления и др.).

Почему такая значительная доля услуг – чёрная или серая?

Казалось бы, эти услуги, хоть и могут использоваться правонарушителями для затруднения их поиска, но имеют и вполне легальное применение обычными гражданами – для самозащиты своих прав на тайну связи и тайну частной жизни, а также общественными деятелями для защиты от неправомерных (в том числе политических) преследований.

Анонимность должна быть сбалансирована
Кроме систем анонимизации можно то же стазать о системах стеганографии, шифрования трафика, уничтожения информации. Хотя в некоторых странах ещё делаются (или уже делаются) отдельные шаги, чтобы законодательно ограничить «защиту от защитников» [1, 2]. Но в общем ситуация в отрасли весьма благоприятная для развития соответствующих продуктов и услуг. Вопрос: чего не хватает? По моему скромному мнению, не хватает хорошей рекламы.

Tags: анонимность, безопасность, стеганография, тайна связи, шифрование

Нынче ночью ваш покорный слуга завершил изучение книги Brad Graham, Kathy McGowan «101 Spy Gadgets for the Evil Genius» (2006; ISBN 0-07-146894-3). По ссылке можно скачать полный скан книги, если зарегистрироваться уже есть аккаунт на pdfchm.com/net. Хотя книга рассчитана на "чайников", нашему брату-специалисту она тоже интересна. Например, в плане того, какие шпионские штучки доступны самому широкому кругу злоумышленников.

Пошаговое руководство для самостоятельного изготовления в кустарных условиях названного количества устройств, которые в России именуются "специальные технические средства для негласного получения информации" и грозят ч.3 ст.138 УК.
В книге описано:
* скрытное прослушивание и запись звука в различных ситуациях;
* скрытное фотографирование и видеосъёмка (в т.ч. инфракрасная);
* скрытное получение информации о пользователе из его компьютера;
* сканирование эфира и перехват радиосообщений;
* детектирование и блокирование скрытого наблюдения/прослушивания;
* и до кучи – изготовление и применение электрошокеров.

И всё это – из подручных средств, из недорогих устройств, продающихся в магазине, с использованием бесплатных программ. (Кстати, недавно мне в каментах кинули ссылку про то, как рисуют 138-ю статью доверчивым эникейщикам.)

Ныне в большинстве стран запрещённой считается информация о способах изготовления взрывчатки, оружия и наркотиков. "Повареная книга анархиста", "Справочник партизана" – за распространение этих книг можно схлопотать уголовную статью даже в России. А информация о способах обхода технических средств защиты авторского права (они же DRM) – уже вне закона с 2004 года (см. ст.1299 ГК).

Вот я и думаю: когда же дело дойдёт до сокрытия, закрытия и запрета информации об изготовлении "шпионских штучек" и вредоносных программ? Экстраполируя нынешние тенденции, всё к этому и движется. Не исключено, что упомянутая книга – последняя легально изданная.

Tags: безопасность, защита информации, обучение, статья 138

Недавно, 12 мая Президент утвердил Стратегию национальной безопасности Российской Федерации до 2020 года. Давайте, уважаемые коллеги, посмотрим, что там про нас написано. Ну, или про нашу сферу деятельности.

Стратегия предсказывает (п.10) «совершенствование форм противоправной деятельности в кибернетической и биологической областях, в сфере высоких технологий». Это в переводе означает, что воровать будут по-прежнему, но новыми способами. Но по поводу угроз реальному миру из виртуального (типа атаки хакеров или восстания машин) ничего не сказано. Среди источников угроз государственной и общественной безопасности (п.37) ничего информационного и ничего похожего на информационное не перечислено. Все угрозы какие-то традиционные и сугубо офлайновые: иностранные разведки, террористы, экологические проблемы.

Чем ответим на эти угрозы?

Долго ваш покорный слуга искал в документе какой-нибудь раздел (хотя бы пункт) про сетевое противодействие или информационную войну. Наконец, ближе к финалу таковой нашёлся. «109. Угрозы информационной безопасности в ходе реализации настоящей Стратегии предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности» Переводчик с бюрократического перевёл эту фразу как « ». То есть, информации в ней оказалось ноль.

Среди направлений государственной социально-экономической политики (п.61) «развитие индустрии информационных и телекоммуникационных технологий, средств вычислительной техники, радиоэлектроники, телекоммуникационного оборудования и программного обеспечения» упомянуто на последнем, 8-м месте.

«Для противодействия угрозам в сфере науки, технологий и образования» обсуждаемая Стратегия (п.69) предлагает... догадайтесь, что? Сделать отечественную ОС или даже начать выпускать отечественную элементную базу? Нет. Прекратить утечку мозгов экономическими методами? Нет, ни экономическими (хорошо платить), ни административными (запретить выезд) бороться с утечкой мозгов не предлагается. Может быть, планируется дать приоритет российской интеллектуальной собственности или хотя бы уравнять её с иностранной? Тоже нет. Для науки предусмотрены две меры: «гражданское воспитание новых поколений в традициях престижа труда ученого и педагога» и «государственно-правовое регулирование». Вам перевести эти выражения с бюрократического канцелярита на общечеловеческий или сами догадаетесь?

Впрочем, при необходимости Стратегия позволяет надёргать цитат для обоснования любой позиции, включая подготовку к нашествию терминаторов из будущего. Слово "информационный" встречается там целых 8 раз. Например, ваш покорный слуга берёт на вооружение 109-й пункт.

Tags: безопасность, законодательство, угрозы

Пишут, что, по непроверенным данным, китайцы якобы сделали и внедрили секретную ОС, которая устойчива к атакам в силу уже того факта, что её кода нет у противников.

Интересный подход. О принципе «security through obscurity"»мы все знаем. Но чтобы в таком масштабе... Давайте попробуем поставить некоторые вопросы.

1. Сколько может продержаться секретность ОС при её активном использовании хотя бы в соответствующих подразделениях? (Следует учесть, что если противнику удастся раздобыть секретную ОС, он этот факт постарается скрыть. Не исключено, что уже раздобыл.)

2. После изучения противником кода секретной ОС не упадёт ли её практическая защищённость ниже обычного Линукса?

3. Насколько секретность ОС затруднит подбор и подготовку специалистов, работающих на ней?

4. После компрометации секретной ОС (рано или поздно это неизбежно) во сколько встанет создание новой? И перевод под неё всех необходимых программ. Или её рассекречивание не повлечёт замены?

Не знаю, что там думают китайские кибер-генералы, а ваш покорный слуга не стал бы тратить ресурсы на создание принципиально новой ОС для традиционного процессора. Вот пустить об этом слух – другое дело.


UPD: Подробности и комментарии

Tags: безопасность, интернет-разведка

Тут вчерась анонимный гражданин запросил у нас комментарий.

Прокомментируйте:
Возможно, исходные коды Антивируса Касперского похищены

«Недавно на одном популярном хакерском форуме был замечен интересный топик о продаже исходных кодов одного из продуктов Лаборатории Касперского, со слов продавца — это Kaspersky Antivirus 2009. Позже автором темы было добавлено сообщение о продаже исходных кодов продукта(ов) линейки InfoWatch (дочерняя компания Лаборатории Касперского). Предположительно, исходные коды могли быть похищены у одного из европейских партнёров ЛК. Попытка задать вопрос сотрудникам ЛК относительно данного инцидента на официальном форуме была естественно проигнорирована, а соответствующий топик оперативно удалён.»

Комментарий? ПолучИте! Блог у нас неофициальный, так что и комментарий будет... сами понимаете.

За исходники антивируса я вам не скажу. А насчёт исходников нашего "Трафик-монитора":

1. С вероятностью процентов 75 это блеф, и у продавца наших исходных кодов нету.

2. Если есть, то не вижу в этом ничего страшного. Мы в своё время оценивали такой риск и пришли к выводу, что он не стОит даже установки в нашем офисе нашей же DLP-системы. Чтоб извлечь деньги из наших исходных кодов, конкурентам потребовалось бы дополнительно инвестировать невдолбенные бабки - немногим меньше нашего.

3. Контрафактные экземпляры нашего ПО на чёрном рынке отсутствуют, поскольку использовать их без нашей (или наших партнёров-интеграторов) помощи практически невозможно. Наличие у пиратов исходного кода ничего в ситуации не изменит.

4. В деле поиска уязвимостей исходники, конечно, помогут. Немного. Но что с найденной (если ещё найдёте!) уязвимостью делать? Кто её купит? Злоумышленный инсайдер из организации, использующей наш продукт? Попробуйте сперва найти такого инсайдера. Нам не удалось.

ЗЫ: Топик на форуме не удалён, вот он.

Tags: DLP-система, безопасность, защита информации, утечки

Когда ваш покорный слуга учился на военной кафедре, мы сперва изучали технику вероятного противника. Были альбомы с фотографиями, ТТХ и сведениями о комплектовании. Затем мы перешли к отечественной технике. Тоже альбомы с фотками и ТТХ, только они почему-то были изданы в США (репринтное воспроизведение в типографии Минобороны). На недоуменные вопросы курсантов преподаватель пояснил, что все ТТХ нашей военной техники суть военный секрет и государственная тайна. Соответствующий допуск получают лишь на 4 курсе, а пока – вот. Учите по западным изданиям. Они не секретные. Но в них всё точно.

Я даже не упоминаю, что это всё происходило в советские времена. Отчего-то уверен, что оно до сих пор так. Или очень похоже.

К чему это я? Когда секретится всё подряд без разбора, широкими взмахами государственной длани, то в результате происходят не только забавные казусы, про которые можно потом травить байки. И не только растрата средств (секретность, она, сцуко, затратная). Происходит ещё и обесцениванье. Посмотрит работник на секретную фигню, на совершенно секретную ерунду, конфиденциальную чушь, да на бред особой важности. Разок посмотрит, другой, десятый. И решит, что всё это вообще несерьёзно.

Впрочем, кто я такой, чтобы учить жить Министерство обороны? Им виднее. Но у нас, у штатских всё очень похоже организовано, только секреты пожиже, да сроки пониже. А тараканы те же. Ну, вы меня поняли...

Tags: безопасность, защита информации, парадокс

И снова поднимают тему про "отечественную ОС". И снова слышны заклинания о её предполагаемой "безопасности".

Вот, сообщают в новостях, уже и Куба создала "собственную операционную систему", хотя это всего лишь очередной дистрибутив GNU/Linux (точнее, даже модификация дистрибутива Gentoo). Но у кубинцев-то своя причина. Им на пиратском софте жить не удобно, а легального у них нет и не будет, пока эмбарго. Китайцы вот тоже заточили под себя Линукс и успешно практикуют мирное сосуществование разных ОС.

Но наши патриоты, похоже, не желают ограничиться простым Линуксом. Похоже, хотят собственное ядро. А из рациональных обоснований чаще всего выдвигают безопасность.

Разработчик действительно может сделать в программе чёрный ход. А теперь поставьте себя на место спецслужбы вероятного противника и прикиньте, как его к этому склонить. Генерально видится два пути. Первый - официальный: через начальство, через законы, через лицензионные требования, через утверждение ТЗ в органах и т.п. Второй путь - по-тихому: рядовому программисту надо дать денег и кусок кода. Теперь давайте подумаем: в каком из этих двух вариантов чёрный ход имеет шансы дольше остаться неизвестным? Правильно. Так каким же из двух путей пойдёт вероятный противник? Тоже правильно.

А теперь сделаем следующий логический шаг и поставим вопрос: как зависит возможность договориться с разработчиком от его гражданства? Или, может быть, всем без исключения российским программистам сделана прививка патриотизма? И на предложение посотрудничать любой гордо ответит: "Вы этого от меня никогда не добьётесь, гражданин Гадюкин!"

Вот вам и суверенная отечественная ОС!

Впрочем, справедливости ради надо признать, что будет крупным шагом вперёд, если заменить схемы воровства на поставках зарубежного ПО схемами воровства на разработке "отечественного".

Tags: НДВ, безопасность, защита информации, оценка рисков, проекты, угрозы