Яндекс и все, все, все

Яндекс рассматривает возможность предупреждать владельцев о возможной утечке. У меня возникает вопрос, а должен ли он это делать? С одной стороны, конечно хорошо. С другой стороны как Яндекс будет определять конфиденциальность информации? Хорошо, если на документе есть гриф. Но ведь в большинстве компаний никаких грифов нет. А если есть, то не проставлен на документах. В целом процедура выявления и оповещения не очень понятна. Мне кажется, что все таки это не дело Яндекса. Отвечать за сохранность должен владелец. И наказывать нужно его (владельца), а не Яндекс обвинять. Он всего лишь выполнил свою работу. И многие ему за эту работу благодарны.  Если Вы оставили на улице свои документы, а кто то их нашел. А потом написал объявление  о том., что  найдены документы. Кто виноват? Нужно приучать граждан к безопасности. Повышать так сказать осведомленность. Ролики по ТВ крутить, плакаты по городу вешать и т.д. И заниматься этим должно государство. Одним принятием закона о персональных данных ничего не решить. Как написали газеты 30% россиян, не волнует утечка данных о СМС и они все равно будут пользоваться сервисом отправки сообщений через сайт. И это печально.

С Днем системного администратора

Поздравляю Всех системных администраторов и коллег с праздником!!!

Желаю послушных юзеров, непадающих серверов, связи без разрывов!!!

Персональные данные по новому

Президент подписал закон с поправками Резника. И теперь вместо послабления мы получили ужесточение. Чтобы было проще понять что же поменялось в новой редакции Орлов в своем блоге дал ссылку на сравнительную таблицу, которую сделал после анализа старой и новой редакций. Взять таблицу можно здесь. Очень познавательно. Спасибо автору.

Шпионы Яндекса, Google и др.

В последнее время поток идут новости о том, что в поисковиках обнаружили секретные документы, информацию, интернет-магазинов, страховых компаний и др. Создается впечатление, что люди вдруг неожиданно обнаружили, что у поисковых серверов существует расширенный поиск. И что запросы можно писать с использованием поискового языка. А админы вдруг осознали, что поисковики индексируют все, до чего дотянутся. И что WEB серверы тоже надо настраивать. Странно и забавно все это.

Да поисковики видят лишь небольшую часть Интернета. Но и в этой части много интересного. Те кому надо уже давно пользовались поисковым языком и находили множество интересного. Взять хотя бы того же Масаловича и его конкурентную разведку. Теперь возможно будет немного сложнее работать конкурентным разведчикам и аналитикам. Хотя.....все равно останутся серверы с дырами и люди не перестанут делать покупки в интернет-магазинах. Так что может и не сильно все изменится. Зато у нас всегда будет работа. :-)

Человеческий фактор

Был как то случай. Зафиксировал несанкционированный вход на WEB сервер. Стали разбираться. По всему получается. что зашли через ошибки phpMyAdmin. Подобрали пароль к учеткам. Потом залили backdoor на php. После этого стали творить всякие безобразия. В ходе проверки выяснилось, что администратор сервера не выполнял требования парольной политики. Пароль от учетной записи администратора был простым, из списка часто используемых паролей. Написал администратору сменить пароли всех учетных записей. Через некоторое время проверил. Пароль сменил только на root. На остальных пароль не менял. Да и на root опять поставил пароль из списка часто используемых. Пришлось ругаться и объяснять, что он не прав. И что все может плохо кончиться. Вот только не уверен. что он все понял. И вот здесь я начал задумываться о системах типа Balabit Shell Control Box. Чтобы как то контролировать процесс.  Или двухфакторную аутентификацию. 

В целом в жизни все как всегда "Сапожник без сапог". Надеюсь. что таких администраторов все таки меньшинство.

Желание напряженно работать

Я вернулся. Дочь растет, можно заняться своими делами. 

Пока я был в отпуске в сети LinkedIn  появилось сообщение от Андрея Бажина из БрокерКредитСервиса о том, что они подобрали себе наконец кандидатов на должность начальника методологии и начальника по техническим средствам (или как то так, точно не помню, но это и не важно). В сообщении он сокрушался, что пришлось провести около 40 собеседований пока нашли того кого хотели. Резюме его таково, специалистов по ИБ много. Но только кто то не подходит по знаниям и опыту, кто то не готов напряженно работать. И вот здесь у меня возникли сомнения и мысли. Мысли следующие, в российском понимании фраза "напряженно работать" означает в большинстве своем, что придется заниматься безопасностью в коллективе, которому она не очень нужна и без поддержки руководства или акционеров. На моей памяти очень немного компаний, где руководство полностью поддерживает безопасников и является гарантом внедрения необходимых мероприятий и средств защиты. Это означает, что если какой то руководитель не желает сотрудничать с безопасником (и такое бывает) и противодействует процессу, то у последнего есть "палка" в лице руководства/акционера, которая позволяет решать проблемы такого рода. И согласно международным стандартам такая ситуация (с поддержкой руководства/акционера) должна быть всегда и везде. Безопасность должна идти от руководства и им поддерживаться. У нас же зачастую безопасники вынуждены сами решать вопросы в силу своей обаятельности или других способностей. И именно в этом очень часто смысл выражения "напряженная работа". Гораздо приятнее работать когда ты понимаешь, что у тебя за спиной есть некая высшая сила, которая в самом крайнем случае определит, кто прав - кто виноват.

Возможно я ошибаюсь и мне просто не везло с компаниями. Готов выслушать мнения коллег. 

Радостное событие

Немного выпал из процесса в связи с рождением дочери. Надеюсь в ближайшее время продолжить писать.

Перлюстрация (просмотр) переписки

Довольно популярная темя. Вот еще одна публикация у коллеги в блоге. Приведу ее текст:

Право собственности VS Право на тайну переписки

В который раз затронутая тема противоречия мониторинга содержимого электронной почты нормам законодательства, а именно, праву на тайну переписки, привела меня к выводу о корне этой непрекращающейся неразберихи.

Дело в том, что право Сотрудника на тайну переписки в этом случае противоборствует праву Работодателя на владение, собственно, перепиской.

Есть юридические системы, в которых в этом случае неизбежно побеждает работодатель. Это происходит в странах развитого капитализма, где право собственности является незыблемым столпом экономики и любые попытки его попрать жестоко пресекаются. Работая на оборудовании работодателя, сотрудник производит материальные и нематериальные блага, в т.ч. информацию, автоматически принадлежащую работодателю. Точка. Ни о какой приватности и тайне переписки заикаться нечего - используйте для этого ваши личные устройства и арендуемые вами лично каналы связи.

В странах с социалистическим уклоном, а такие преимущественно расположены в Европе, а также в "одной шестой части суши", полярность иная: здесь приватность важнее и "бьет" право собственности.

Я не берусь решать кто прав, а кто не очень. Может быть потом, позже, тут есть о чем подумать. И естественно, все это актуально в демократических государствах.

Очень интересны комментарии к сообщению. Как я уже говорил ранее однозначного мнения нет.

Перлюстрация (просмотр) переписки

В продолжении темы, интересный вариант предложил Дмитрий Евтеев в своем блоге. На мой взгляд тоже интересный вариант. При соблюдении условий описанных в моем предыдущем посте и сообщения Топаренко. 

Безопасная работа с ДБО

Во время работы в банке, возникла у меня идея обезопасить работу с ДБО. Идея была следующая. Сделать маленький Linux дистрибутив из всего ПО только браузер с Java. Сделать возможность грузить дистрибутив с флэшки. При этом дать возможность грузить ее как отдельную ОС, так и внутри Windows, с помощью какой нибудь VirtualBox. Стал искать маленькие дистрибутивы. Из самых известных смотрел DSL (DamnSmallLinux). Размер дистрибутива 50 Мб. Внутри множество всякого ПО. Красота. Однако нет Java. А ее установка по умолчанию прибавляла около 60 Мб. Получалось не очень красиво. Далее смотрел SLAX. Там очень неплохой онлайн сборщик дистрибутива. В результате получалось около 120 Мб. Кроме этих, еще смотрел несколько маленьких сборок. В целом они все примерно похожи. С помощью Linux Live USB можно дистрибутив положить на флэшку и рядом положить VirtualBox. Правда это сразу добавляет еще порядка 60 Мб. Зато позволяет загружаться с флэшки или работать внутри Windows. 

В результате получилось следующее. Загружаемся в Linux (отдельно или через VirtualBox). Там ограничены права по максимуму. Плюс сама система не очень подвержена заразе. Запускаем браузер(например FireFox). Через него заходим в ДБО. Обычно ДБО работает через SSL. Соответственно, если мы работаем из VirtualBox и заражен основной компьютер, то зловред ничего не видит, т.к. на выходе SSL. Правда возможна атака MITM. Но тогда должна сработать защита браузера, т.к. скорее всего сертификат не будет совпадать с сайтом, и будет не доверенный. Хотя после взлома Comodo возможно будут доверенными. :-)

Внутри Linux все закрыто. Да, еще забыл, в Linux настраиваем межсетевой экран на доступ только к серверам ДБО. Это еще один рубеж защиты. Т.к. большинство зловредов собирает данные и отправляет их себе в базу. А тут выход только в ДБО. Ну и еще надо предварительно заразить Linux.

В общем на мой взгляд довольно безопасно. Правда полноценного тестирования не проводил. И сейчас руки не доходят. Может и вылезет какая дыра. Но на первый взгляд не должно. Нужно только довести до ума сделать какой нибудь интерфейс для начальной настройки (всякие прокси, адреса серверов ДБО и т.д.). Правда с этим у меня беда. Давно уже не программировал. Но что нибудь придумаем.

Перлюстрация переписки

Сколько я себя помню, меня интересовал вопрос: Можно или нельзя просматривать почту сотрудников на предмет выявления утечек? С одной стороны (работник) - конечно же нельзя. Ведь это же моя переписка. Ведь есть же Конституционные права. С другой стороны (работодатель) - конечно же можно и нужно. Ведь работнику все средства на работе даны для работы и соответственно я имею право контролировать использование средств. На работе надо заниматься работой, а не личной  перепиской. И не было у меня понимания, кто же все таки прав. Среди коллег при обсуждении данных вопросов достаточно быстро происходило разделение на тех кто за (работодатель) и тех кто против (работник). И у каждого были свои аргументы.

В результате я для себя пришел к выводу, что все зависит от того, как построены взаимоотношения между работником и работодателем. И если работодатель грамотно составил договор и нормативную документацию, то он может осуществлять контроль электронных каналов. В противном случае, прав будет работник. И вот как то наткнулся на интересную статью Топаренко на форуме razved.info. В данном посте он на мой взгляд очень хорошо разложил все возможные обоснования для работодателя. В частности, по закону запрещена тайная перлюстрация. Соответственно, если в договоре прописано, что компания имеет право контролировать и сотрудник об этом уведомлен, то проблем нет. Это уже не тайная перлюстрация. И в посте таких замечаний много и каждое имеет ссылку на законодательство. В общем для себя я определился. Рекомендую и Вам почитать. Возможно у Вас сформируется свое мнение. Можно подискутировать.

Удаленный доступ

Возник вопрос: как организовать удаленный доступ если не дают денег? Большинство скажут как это - не дают денег? О чем тогда с ними разговаривать. Однако на своем опыте могу сказать, что компаний выдающих денег на вопросы безопасности не очень много. Большинство желают получить все и бесплатно. И никакие презентации, оценки рисков и т.д. не помогут. До тех пор пока не произойдет ЧП. Вот тогда деньги дадут, если конечно не будет слишком поздно. Хотя зачастую и тогда попытаются экономить. Так вот как же быть в таком случае? В идеале нужно организовать VPN доступ, с корпоративных ноутбуков с шифрованным жестким диском. При этом подключаться в отдельный сегмент и т.д. Но не дают. Но при этом доступ требуют. Доступ к почте организовать не очень сложно. На MS Exchange есть WebAccess. А вот при желании подключиться к сети или своей машине, чтобы видеть файлы, серверы и т.д. Вот тут вопрос. Я обратил внимание на сервис LogMeIn (www.logmein.com). Сервис дает возможность доступа к компьютеру через обычный веб браузер. С точки зрения ИБ множество вопросов. Сервис сторонней организации, нами никак не контролируется, кто смотрит трафик в середине не известно и далее, далее, далее... Однако исходя из бизнеса компании, было принято решение, что данные угрозы для нас не критичны. Сам сервис весьма интересен. Регистрация по e-mail адресу. Можно включить запрос разовых кодов на входе. В целом получается три проверки пользователя. При входе на сервис запрашивается почта и пароль, потом разовый код. Далее при подключении к машине нужен логин-пароль в сеть и потом уже непосредственно на экране удаленного компьютера для снятия блокировки экрана. При отключении автоматически блокируется экран удаленного компьютера. В общем много интересного. При этом бесплатный вариант не имеет возможности передавать файлы. Это в общем не плохо. Сервис ведет лог событий и отправку их на указанный почтовый ящик. На удаленном компьютере может вестись запись скриншотов. Есть вопрос как отключить выданный удаленный доступ. Одно из решений отключать сервис. Пользователи без админских прав включить обратно его не смогут. В общем будем думать. Возможно это и будет решение. Хотя мне оно все равно не нравится.

Сайт по персональным данным

Наткнулся на интересный сайт посвященный вопросам защиты персональных данных.

Семь уровней защиты персональных данных

Сайт подготовлен компанией Айдеко. На сайте имеется информация о том, что такое ФЗ №152, последствиях его невыполнения, требования закона. Есть еще раздел практика. В нем дано описание действий в отношении вымышленной компании и предоставляются шаблоны документов необходимых для выполнения требований закона. Правда документы даны для самого простого случая, когда обрабатываем только данные сотрудников. Но все равно интересно. В целом ресурс мне показался полезным. Занес в закладки.