?

Log in

No account? Create an account

Entries by category: общество



На днях стало известно о крупнейшей утечке данных избирателей в США. Пострадали 200 млн человек или 61% населения всей страны, а это, на секундочку, ни много ни мало - 80% избирателей.
База данных объемом 25 ТБ содержит имена, даты рождения, электронную почту, физические адреса, религиозные и политические пристрастия, а также расовую принадлежность. Есть там и смоделированные данные о вероятных позициях избирателя по самым «горячим» вопросам: от «насколько вероятно, что он проголосовал за Обаму в 2012 году», согласны ли они с внешней политикой Трампа «America First» до отношения к ношению оружия и запрету абортов. Мы проанализировали историю вопроса, ущерб и главное - последствия в ближайшем будущем.


Read more...Collapse )



Мы неоднократно подчеркивали, что картина утечек данных из российских организаций стремительно приближается к общемировой. Это связано со схожестью объектов защиты (типов используемых данных), ростом ценности информации и увеличением числа каналов передачи данных.

Основные факты:


  • В 2016 году в СМИ обнародовано 213 случаев утечки информации из российских компаний и государственных органов, что составляет 14% от числа утечек данных по всему миру.

  • Чаще всего в России утекают персональные данные и платежная информация. На эти типы данных приходится 80% утечек, случившихся в 2016 году.

  • В 68% случаев виновными в утечке информации оказались сотрудники компаний. В 8% случаев — руководство организаций.

  • В 2016 году в России наибольшие доли утечек пришлись на сетевой канал и бумажную документацию — 64% и 26% соответственно.

    Скачивайте полную версию отчета



С первого взгляда, Европейский Суд по Правам Человека своим решением по делу румынского инженера Богдана Барбулеску создал прецедент. Достаточно любопытный для всех и крайне полезный как минимум для тех работодателей, которые заботятся о состоянии безопасности компании в разных ее проявлениях.

Главный вопрос, на который нам хотелось бы дать ответ – а где же находится та черта, которая разделяет личные данные, защищаемые статьей 23 Конституции РФ:


  1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

  2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

и данные, обрабатываемые с помощью ресурсов (компьютеров, мобильных устройств, различного рода сервисов), принадлежащих работодателю, в рабочих целях?

Read more...Collapse )

Пятничное. Мы предлагем отвлечься ненадолго от валютных курсов и политики с пользой для себя.

Игра "Веселый садовник" поможет вам лучше понять, как работает судебная система, и почувствовать, что скрывается за словами "внутренние угрозы".

Посадки - дело тонкое. Испанская поговорка гласит: "В саду растет много такого, чего не сажал садовник". Выступите в роли судьи и решите, кого посадят, а кто отделается легким испугом!




Проверьте, насколько хорошо вы разбираетесь в ИБ и праве?
http://project.bis-expert.ru/games/sadovnik

Запрет и обход

Просят откомментировать новую инициативу Бешеного Принтера о запрете средств анонимизации и обхода блокировок в Интернете.

Собственно, в известинской статье об этом деле уже есть исчерпывающий комментарий:
«Это вполне логичное решение после того как мы приняли поправки о возможности блокирования сайтов, содержащих запрещенную законом информацию.»
Действительно, любой запрет должен поддерживаться запретом его обходить. А также запретом создавать средства для преодоления запрета на обход. И так далее. Среди аргументации запретителей есть и такое утверждение: "в основном анонимайзеры используются для совершения преступлений в Сети". Сразу же вспомнилась одна юридическая петрушка.

В каком-то из штатов США есть закон, предписывающий любому, кто намерен совершить преступление, за трое суток уведомлять власти об этом (с указанием места, времени, жертвы и поимённым списком участников). Причём, принимали его не в XIX веке, в те суровые времена, когда я сначала стрелял в дверь и лишь потом спрашивал "Кто там?". Его придумали в 1980-х годах вполне цивилизованные сенаторы с высшим образованием. Они отдают себе отчёт, что никто уведомлять не станет. И действительно, ни единого случая не зафиксировано. Однако каждому злодею, кто пойман за совершение преступления (что местного, что федерального), полагается к основному наказанию ещё довесочек от штата – за неуведомление.

Если преступник совершает умышленное преступление и ожидает, что его будут искать, запрет на анонимизацию его не остановит, как не останавливает предписание уведомить власти. А кто преступления не совершает, а при помощи анонимизации осуществляет самозащиту гражданских прав (предусмотренную законом, кстати) – тот окажется в интересном положении. Защищаться запрещено! Приказано доверять!



Кстати, раз уж зашла речь об этом. Второе издание "Форензики" отправилось на вёрстку, тираж будет в начале октября. Ищется соавтор для следующей книги – "Анонимность в Интернете". Планируется нагрузка 1-2 часа в день в течение полугода или больше.

Стерильные форумы

Давно встречаю в Сети объявления о найме форумных подпевал – пользователей, которые должны срать публиковать многочисленные комментарии в поддержку нанимателя. А вчера вашему покорному слуге показали новую технологию из этого ряда.

По заказу лохотрона фирмы создаётся с нуля и поддерживается в стерильном состоянии форум или блог или страничка в соцсети, где все отзывы и обсуждения – авторские, т.е. писаны наёмными авторами по соответствующему заданию.

Современная популярная тенденция: профессиональные порномодели работают под любителей (amateur).

Как известно, в Сети на 1 пишущего приходится 10 комментирующих и 100 читающих молча. Поэтому фундаментальное огораживание, запрет комментариев или строгая цензура не будет замечена 90% пользователей. Они просмотрят 2-3 подобных форума, убедятся там, что всё хорошо и закопают свои денежки на Поле чудес.

Понятно, что армия наёмных авторов (да ещё при поддержке технических средств – ботов и бредогенераторов) задавит объёмом бесплатных энтузиастов-противников. Тут – как с DoS-атакой: любые ресурсы конечны, любые ресурсы можно исчерпать, следовательно, зафлуживается всё; неуязвимых нет. Для политической пропаганды нужно перефлудить активную часть электората противника, их может быть много, тысячи. А в случае какой-нибудь финансовой пирамиды или интернет-магазина активных противников ожидается очень немного.

При этом стерильные ресурсы учитываются Крибрумом с тем же весом, что и нормальные. А как их отличить? Как автоматически распознать единодушие?

Некопируемый ключ

Сию драму на днях рассказал мне европейский житель Антон. Яркая иллюстрация к тезису "всё равно взломают". Излагается от первого лица.

Когда я, переехав в Евросоюз, снимал квартиру, хозяин выдал мне два ключа от неё, а третий, последний мы положили в конверт и опечатали с некими формальностями в присутствии агента по недвижимости. Типа, удостоверяется, что больше ни у кого доступа в квартиру нет. Я тогда отнёсся к этой процедуре с хорошо скрываемым непониманием. Что за странная традиция? С ключа-то всегда дубликат сделать можно. Оказалось, этот ключ относится к так называемым "некопируемым".

Будучи заядлым технарём, я сознавал, что "защита от копирования" (что программ, что железок) – это фикция. Немного затруднить её, конечно, можно; исключить копирование – нельзя.

Через некоторое время мне пришло в голову сделать дубликат ключа. Обратился я в попутную мастерскую. Показываю ключ: "Сможете сделать?" — "Да, конечно" — "Сделайте" — "Мастер-карточку, пожалуйста" — "Какую ещё карточку?" — "Карточку к ключу. Без неё изготовление копии невозможно". С недоумением ушёл я из этой мастерской. Но в другой мне ответили то же самое. И в третьей то же. Через некоторое время в одном универмаге я наткнулся на ларёк ключника. За верстаком сидел мой соотечественник. "Уж этот-то не будет выпендриваться", – подумал я. И попросил его сделать ключ. Но и русский мастер отказался, хотя не выглядел коллаборантом ассимилянтом.

Пытался я скопировать хитрый ключ во время своего краткого визита в Россию. Но и тут меня ждала неудача. Правда, диагностика мастера-ключеделателя звучала несколько иначе: "У нас таких заготовок нету... И... резца такого, кажется, тоже."

В воображении я представлял себе сложный ЧПУ-станок, в который вставляется пресловутая мастер-карта. В ней, видимо, установлен чип, который содержит программу вырезания бородки ключа. Очевидно, чтобы программу нельзя было скопировать, команды станку отдаёт именно процессор карты...

В один прекрасный день, копаясь на кухне в поисках чего-то, я выдвинул плоский ящик в плите под духовкой. В нём лежала куча мелкого барахла типа старых шурупов, крышечек и пробок. Среди хлама валялась "мастер-карта" к ключу. Безо всяких чипов и процессоров. Просто кусок картона с пятизначным номером. Когда я принёс её в мастерскую, ключедел без затей сверил её номер с таким же номером, выбитым на ключе. После этого включил станочек и за минуту выточил мне копию. "Вы же говорили, что без мартер-карты ключ изготовить нельзя", – удивился я. "Конечно, нельзя, – подтвердил мастер. – За это у нас предусмотрена тюрьма и запрет на профессию"

А вы говорите – взламывают всё...

Плата и расплата

Производитель массовой программы всегда стоит перед щекотливой проблемой: насколько сделать лёгким удаление своей программы. Юзер, как известно, существо ветреное и нелогичное. Сегодня инсталлировал, а завтра ему какая-то мелочь не понравилась или трава на другом берегу зеленее показалась – и всё, развод.

Поэтому, с одной стороны, сжигать мосты не хочется. Есть надежда, что неверный пользователь пощупает альтернативный софт, одумается и вернётся. Можно было бы сделать программу вообще без возможности деинсталляции. Дескать, Бог вас сочетал, не тебе, смертный, разрушать этот союз. Маркетологи говорят, что от 92 до 98% пользователей не будут удалять программу, если такой возможности разработчиком не предусмотрено. (Кстати, некоторые программы, считающиеся компонентом ОС, на самом деле вполне безболезненно удаляются, освобождая ресурсы. Но общественность об этом не знает.)

С другой стороны, невозможность штатной деинсталляции ПО возмутит народные массы. И приведёт к ущербу деловой репутации производителя. Ведь народ уже знает (и какой вредитель ему рассказал об этом!), что программу можно удалить. Поэтому разработчик должен приходить со своей верёвкой, то есть, иметь в комплекте деинсталлятор. И не слишком напряжный, иначе юзер тоже возмутится.

Храм из комплекса Ангкор на территории Камбоджи. Вырубать деревья нельзя, а то постройки развалятся.

Эдакий дуализм приводит к тому, что деинсталляторы получаются, мягко говоря не очень качественные и не самые оптимальные. Кое-кто даже выпускает специальный софт, подтирающий за другими программами. Конечно, оставлять на диске хвосты – это плохо с точки зрения утечек. Но главное в другом.

В вопросе деинсталляции мы имеем диалектическое противоречие между требованиями удобства, конфиденциальности, целостности, совместимости и интересами производителя, живущего по коммерческо-копирайтной модели. В случае применения иных финансовых (в т.ч. "бесплатных") схем производитель сам заинтересован в поставке качественного деинсталлятора и в обеспечении ему условий для работы. А то иной раз программа так установится, что выкорчевать её можно только с риском повредить другие.

Кстати, есть ещё один класс программ, которые можно рассматривать как не предназначенные для деинсталляции. Это хостовый компонент DLP-систем (у нас он называется "Device monitor"), обеспечивающий невмешательство пользователя в процесс контроля его рабочей станции.

Тут мода пошла: блогеры просят задавать им вопросы на сервисе formspring. Но, как правило, охотников взять интервью набегает немного. Готовых отвечать сильно больше, чем вопросов. Тем более, вопросов интересных.

Ваш покорный слуга тоже непрочь дать интервью мировой прессе. Только интересных вопросов от вас хрен дождёшься, мои маленькие айтишные читатели. Но у меня есть Гугл с младшими братьями. Каждый день они приводят на мой сайт какое-то количество посетителей, порой с весьма оригинальными вопросами. (Кто не в теме: текст запроса, по которому поисковик нашёл мой сайт, виден в логах; поле "реферер" называется.) Если уж поисковик решил, что вопрос имеет отношение ко мне, я таки отвечу.

Итак, сегодня даём пресс-конференцию. Из сотен поступивших вопросов наш пресс-секретарь выбрал самые интересные. Но даже их оказалось слишком много. Поэтому ряд вопросов останется на вашу долю, мои маленькие сетевые друзья.

Заранее извиняюсь за насилие над русским языком. Все вопросы (точнее, поля referer) приведены в дословной и добуквенной формулировке.


http://www.google.ru/url?sa=t&source=web&ct=res&cd=3&ved=0CAoQFjAC&url=http%3A%2F%2Fwww.forensics.ru%2Finvestigation_blogs.html&rct=j&q=%D1%81%D0%BE%D1%82%D1%80%D1%83%D0%B4%D0%BD%D0%B8%D0%BA+%D1%81%D0%BB%D0%B8%D0%BB+%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8E+%D0%B2+%D0%A1%D0%9C%D0%98%2C+%D0%BA%D0%B0%D0%BA+%D0%B5%D0%B3%D0%BE+%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B8%D1%82%D1%8C%3F&ei=tH3MS76xDcOmOJvA6JMG&usg=AFQjCNExCBO5OnlOFXXpt9e2KV4lquNAaw" (q=сотрудник+слил+информацию+в+СМИ,+как+его+защитить?)
Сильно зависит от того, какую именно информацию он передал в СМИ. Если такие действия находились в рамках закона, то защищаться стоит от незаконных преследований – надо обратиться в правоохранительные органы. Если же разглашение информации было незаконным, то следует нанимать адвоката. Кроме того, следует заметить, что у журналистов есть право (и даже обязанность) сохранять конфиденциальность своих источников. Заставить раскрыть источник информации может только суд. Да и то, если журналист не успел к моменту получения судебного постановления забыть, стереть, выбросить визитку, потерять блокнот.
Остальные 9 вопросов...Collapse )
Когда ваш покорный слуга работал в маленьком интернет-провайдере, случилась пренеприятная, но поучительная история. В провайдер начали накачивать активы. Весьма активно. Он очень быстро распух в десятки раз, на всех парах проскочив все мыслимые "стадии зрелости", поминаемые в стандартах. И хотя бумажки по ИСО-9000 ему вовремя нарисовали, настоящие проблемы управления (в т.ч. управления ИБ) только начинались.

Представьте себе мелкую лавочку, где персонала 20 человек, все между собой "вась-вась", с генеральным директором на "ты", любой задействованный IP помнишь наизусть, а вся бюрократия сводится к росписи в зарплатной ведомости.

Теперь представьте себе огромную полугосударственную контору-монополиста, где между рядовым инженером и генеральным лежат 6-7 слоёв начальственной бюрократии, из которых лишь нижний знаком в лицо, а дальше идут папины сынки, забронзовевшие совпартработники и зазолотившиеся генералы в штатском.

А теперь попробуйте вообразить себе, что эволюция от первого до второго пройдена за год. Страшно?

Как сохранить управляемость? Как заставить старые кадры, привыкшие к партизанской вольнице, ходить по струнке и на каждый чих писать служебную записку с четырьмя визами? При том, что лишь эти "старые кадры" понимают, как всё хозяйство работает и куда нажать в случае чего. А всё то, что наросло сверху, фрейма от датаграммы не отличает. С информационной безопасностью – тоже дела на уровне домовой сетки, а не провайдера всея Руси. Технический сотрудник искренне удивляется, почему нежелательно говорить соседу рутовые пароли от всех серверов и отчего недопустимо перенастраивать QoS на канале Стокгольм-Петербург для получения преимущества своей команды в "Контр-страйк".

Как ни странно, но блатные менеджеры распухшего провайдера с задачей справились. Ставка была сделана на совершенно новое техническое подразделение, куда набрали заведомо туповатых инженеров, тщательно следя, чтоб ни один из новых работников не был знаком ни с кем из "старой гвардии". Их разместили в географически удалённом офисе, чтобы исключить всякое влияние. Коммуникации были сведены к переписке через стандартизованные формы системы управления услугами. Туповатость новых работников требовалась именно потому, что они должны были чётко следовать процедурам и инструкциям и ни в коем случае не задумываться над вопросами "как лучше?", "как удобнее?" и "какие будут последствия?". Так сказать, управляемость в обмен на качество при удовлетворительном уровне квалификации.

Когда команда "ИТ-надсмотрщиков" заработала, старые кадры в течение полугода разбежались по стартапам и разным интересным местам. Что характерно, ни один из них не нашёл в себе сил притерпеться к новым условиям работы (зарплаты и премии, кстати, никому не снижали). Случился почти библейский Исход. Но компания от такого массового увольнения специалистов почти не пострадала. Когда все айтишники сведены к винтикам, их становится легко терять и заменять. Потеря 100% технических кадров фатальна для ИТ-предприятия традиционной структуры и незаметна для бюрократической.


P.S. Гусары, молчать! Никаких имён, названий и товарных знаков!

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Syndicate

RSS Atom
Powered by LiveJournal.com
Designed by Tiffany Chow