Архив

Публикации с меткой ‘Конфиденциальность’

Об информационной безопасности в paranoid-режиме

9 ноября 2010

В догонку статьям Об информационной безопасности в нормальных компаниях и Об информационной безопасности в говноконторах кратенько опишу увиденные или опробованные способы обеспечения ИБ в компаниях, где включен режим параноика по умолчанию.

В случаях, когда приходится работать с информацией, составляющей государственную тайну или незапатентованные ноу-хау, в ход пускаются реально экстремальные средства обеспечения информационной безопасности: мониторы со специальной частотой мерцания пикселей, изображение с которых не захватывается фотоаппаратами или видеокамерами, внутренние сотовые сети, работающие на мощностях предприятия, а не сотового оператора, корпоративные мобильные телефоны, изготовляемые под заказ, рамки металлодетекторов и рентгена (!!!) на входе и выходе из здания, тонкие клиенты или терминалы, не имеющие никаких незанятых интерфейсов и прямого выхода в Интернет, клавиатуры и мыши с экранированными кабелями для исключения перехвата через них вводимой информации, почтовые серверы с белыми (БЕЛЫМИ!!! Это когда письмо нельзя отправить никуда, кроме разрешенных ПОШТУЧНО адресов, даже внутри одного домена) списками допустимых адресатов, круглосуточное видеонаблюдение везде, даже в туалете, а также полный запрет на вынос бумажных носителей за пределы стен предприятия (помним про рентген!). Также окна в здании могут быть затонированы (или заложены изнутри кирпичом) и покрыты специальным веществом, гасящим вибрации (чтобы было невозможно восстанавливать звуковую информацию из помещения с помощью лазера, интерпретирующего эти вибрации в звук). А, ну и вряд ли в такую компанию реально устроиться без прохождения тестирования на полиграфе и собеседования с психоаналитиком.

Default , ,

Об информационной безопасности в нормальных компаниях

8 ноября 2010

В компаниях с вменяемым управлением информационной безопасностью занимается не один самодур с группой шестерок-подчиненных, а полноценный отдел, состоящий из специалистов различных компетенций и обладающих различными навыками, в сумме с топ-менеджментом образующие комитет по сокращению или полному избеганию рисков для бизнеса.

Состав службы безопасности в ситуации, приближенной к идеальной, обычно выглядит примерно следующим образом:
1. Разработчик политик. Отвечает за написание корпоративных политик. Должен иметь связи с ключевыми подразделениями компании и входить в функциональные группы, чтобы обсуждать политики с руководителями, юридическим и кадровым отделами. Должен уметь определять, какие политики требуются компании, и обеспечивать их поддержку, особенно на уровне высшего руководства.
2. Архитектор безопасности. На основании требований и нужд бизнеса, проектирует систему безопасности. Должен заниматься связями с поставщиками, отслеживать технологии, продукты и перспективы, принимать решения, когда компания должна переходить на новые технологии обеспечения безопасности, и должна ли вообще.
3. Оператор. Обеспечивает работу инфраструктуры безопасности. Имеет дело с повседневными задачами, например с потерянными или сломанными картами доступа, новыми сотрудниками или подрядчиками, увольнениями из компании. По возможности помогает архитектору в построении инфраструктуры.
4. Аудитор. Может быть членом сторонней консалтинговой группы. Аудитор строит систему проектов и служб проверки безопасности компании на предмет ее соответствия требованиям. В программу тестирования может входить социальная инженерия.
5. Менеджер рисков. Осуществляет техническое руководство со стороны бизнеса. Оценивает технические требования с целью подсчета рисков для компании, связанных с отклонением от стандартов политики.
6. Группа реагирования на происшествия. В большинстве случаев состоит из системных администраторов и сотрудников отдела информационной безопасности. Вступает в дело, когда происходит реальное вторжение или есть подозрение на него. Периодически собирается для обсуждения процедур реагирования на происшествия.

Силами такого СБ устанавливается необходимый предприятию режим информационной безопасности, не препятствующий ведению бизнеса, а способствующий ему. В компаниях такого уровня договоры не лежат на согласовании месяцами, финансовые потоки идут короткими путями с нужной скоростью, а сотрудники не затюканы постоянными допросами и подозрениями в порочных связях, и необходимостью за каждый чих писать служебные записки и объяснительные.

Default , ,

Об информационной безопасности в говноконторах

7 ноября 2010

Итак, в один прекрасный день в вашу компанию ООО «Финанс Консалтинг Евро Энтерпрайз Корпорейтед» входит походкой ХОЗЯИНА зрелый мужчина лет 40-50, которого представляют Начальником Службы Безопасности (именно так, с Больших Букв). Секретарша с ресепшн бежит делать ему кофе, а кадровик пропадает в его кабинете на пару часов. Выходит оттуда постаревшим и помятым, а секретарша начинает вызывать к НСБ поочередно разных лиц, волею-неволей имеющих доступ к разного рода конфиденциальной информации и финансовым потокам. К несчастью, среди них будете и вы, ИТ-персонал.

НСБ даже при росте в метр-сорок смотрит на всех, кроме генерального, свысока. ЕГО глаза сверлят черепную коробку, пытаясь проникнуть прямо в мозг, чтобы извлечь оттуда наружу все ваши греховные мысли и коварные планы. ОН знает все, что касается жидо-массонских заговоров, и умеет их пресекать. ОН знает все, что касается корпоративной безопасности, особенно информационной. ОН пришел сюда затем, чтобы ликвидировать ВСЕ пробелы и проблемы. ОН знает, что самое главное — это установить тарификатор на офисную АТС (чтобы быть в курсе, кто куда звонил и сколько денег таким образом выговорил), счетчик трафика на шлюз (чтобы быть в курсе, кто куда в Интернете ходил, какую порнуху смотрел и какими коммерческими тайнами делился с ВРАГОМ), закрыть доступ в Одноклассники, запретить пользоваться аськой и скайпом и заблокировать USB-порты, чтобы никто вдруг не посмел вынести на флешке ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ, которая кормит генерального, топ-менеджмент, ЕГО, всю-бесполезную-кодлу-других-сотрудников, да и Родину в целом. Он наверняка найдет в Интернете примеры положений об ИБ, слегка их модифицирует и адаптирует (возможно, забыв исправить титульный лист, на котором черным по белому будет указано название другой компании) и заставит всех подписать. ОН обязательно возьмется за трудовую дисциплину и внедрит систему контроля доступа за пару десятков тысяч долларов, чтобы наказывать опозданцев и пресечь попытки выносить ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ из офиса в нерабочее (неподконтрольное ЕМУ) время. ОН непременно потребует от вас расставить шпионилки (в лучшем случае — RAdmin для режима просмотра, в худшем — кей-логгеры или вообще Camtasia) на компьютеры сотрудников, а заодно попросит доступ к почтовым ящикам их же. ОН точно внедрит (за пару десятков тысяч долларов, помните?) в ваши 40 квадратных метров оупен-спейса видеонаблюдение с 25 ракурсов. ОН однозначно будет проверять историю звонков с корпоративных мобильных телефонов, «пробивать» номера и проводить разъяснительные беседы с теми, кто переговорил лимит на 100 рублей, в том числе требовать объяснительные в письменном виде. ОН стопроцентно будет скрупулезно просматривать вообще любые счета: на ластики и скрепки, на средства производства, на технику, на любого рода услуги от подрядчиков, на корпоративный кофе в общую кухню с целью найти несоответствие цен среднерыночному уровню (который определяется по двум верхним позициям на прайс.ру) и предложить своего «нормального» поставщика («Вася с моего взвода!»). ОН, кстати, совершенно точно при отказе внедрять видеонаблюдение или СКД собственными силами, сочтет и назовет вас некомпетентным (на степени CCNP и MCSE — похуй). И обязательно должит «куда надо».

ОН даже в офисе на 30 рыл умудрится разрастить свой отдел человек до 5-ти (ну а хуле, САМ что-ли делать все будет?… Тут, в первую очередь, компетенций не хватит, во вторую — времени). ОН точно заебет всех и вся своей навязчивостью и дотошностью даже в самых малых вопросах, согласно собственным симпатиям, добьется увольнения нескольких полезных сотрудников.

У НЕГО короткая стрижка и неплохая осанка. ОН однозначно служил в армии или ментовке, причем, лет 10-20.

ОН, кстати, долбоеб.

Навеяно парой проектов, многочисленными повествованиями коллег и собственным давним опытом.

Default , , , , ,

Как придумать надежный и простой пароль

19 апреля 2009

Пароль, отвечающий стандартным требованиям безопасности, — основа защиты Ваших личных данных и душевного спокойствия. Примерно такой текст встречает каждого пользователя почти в любой регистрационной форме в Интернете. И это не рекомендация параноика для параноиков, это отвечающий реалиям нашего времени закон сохранения privacy и благополучия.

Удивительно, но большинство пользователей интернета считает ниже своего достоинства соблюдать любого рода рекомендации. Мол, сами с усами. И за такую беспечность частенько приходиться дорого платить.

Поведаю показательный пример моей давней знакомой, особы солидной и во многих смыслах толковой, но мало чего смыслящей в сетевой безопасности. Итак, около года назад она благополучно лишилась красивого 7-значного номера ICQ. В одно прекрасное утро милый ее девичьему сердцу QIP плюнул системку о том, что пароль от UIN неверен, и погас красным цветочком в трее. Знакомая забила тревогу, призвав меня на помощь, но сделать что-либо мы не смогли: в качестве Primary e-mail она указала свой ящик на mail.ru, а пароль от него, естественно, совпадал с паролем на UIN. Стало быть, почту тоже… «увели».

Год спустя (читай, на прошлой неделе) история повторилась, до мельчайших деталей воспроизведя первый опыт столкновения знакомой со взломщиками. И виной тому являются ее беспечность и неадекватно настойчивое использование в качестве пароля (везде! Начиная от электронной почты и заканчивая аккаунтами от платежных систем) комбинации из 8 цифр.

Объяснить даме, что ее дата рождения, число быть может и сакральное, и в высшей степени замечательное, но не отвечает элементарным требованиям безопасности, оказалось делом непростым. Недоумение «Да кому я сдалась?», удивление «Да как можно запомнить то, что, по-твоему, является надежным паролем?», да и вообще банальное нежелание осваивать простую инструкцию по соблюдению норм безопасности в сети — отличительные черты практически всех пользователей интернета. Но с неграмотностью надо бороться. Боремся.

Для начала тезисно обозначим общие правила по соблюдению норм безопасности:

1. Для каждого онлайн-сервиса, почтового или IM-аккаунта пароль должен быть уникален!

То есть если у вас есть почтовый ящик на mail.ru, аккаунт на Одноклассниках, ICQ, Skype и WebMoney, для КАЖДОГО из вышеперечисленных сервисов у вас ДОЛЖЕН быть УНИКАЛЬНЫЙ пароль. То есть 5 уникальных (не повторяющихся) паролей.

2. Пароль должен соответствовать нормам безопасности!

Это значит, что пароль ДОЛЖЕН быть длиной не менее 8 символов, и включать в себя буквы разных регистров, цифры и спецсимволы.

3. Дополнительные средства защиты от взлома, предлагающиеся поставщиком сервиса, должны быть использованы!

Если аккаунт можно защитить вторым flash-паролем, то ни в коем случае нельзя пренебрегать этой возможностью.

4. Пароли должны храниться в зашифрованном виде!

То есть категорически не рекомендуется создавать на рабочем столе своего компьютера текстовый файл с названием «Мои Пароли», где в самом что ни на есть открытом виде эти самые пароли хранить. Даже если физический доступ к компьютеру имеете только Вы, это не гарантирует сохранность данных. Во-первых, некоторые вирусы используют алгоритм поиска данных по словарю. То есть если Ваш компьютер заразился вирусом, тот первым делом запустит механизм поиска файлов с типичными названиями (и содержимым!) «Пароли», «Passwords», «Пасы» и пр., и, в случае их нахождения, отправит через Интернет злоумышленникам. Во-вторых, существуют уязвимости ОС, которые позволяют взломщикам проникать в компьютер и видеть все данные, хранящиеся на нем. Проиндексированный таким образом ПК злоумышленники первым делом проверят на наличие тех самых парольных контейнеров, которые Вы любовно делали для собственного удобства, и с удовольствием ими же воспользуются. В качестве зашифрованного хранилища паролей можно использовать специализированные программные средства, например, программу KeePass.

5. При выборе контрольного вопроса нельзя использовать данные, получить которые злоумышленнику не составит никакого труда!

При регистрации практически на всех сайтах в интернете пользователю предлагается выбрать контрольный вопрос и вписать ответ для него. В дальнейшем эта связка может быть использована для восстановления забытого пароля. Но дело в том, что она может быть использована и для получения вашего пароля злоумышленниками. Скажем, вас зовут Леночка, вы работаете бухгалтером и имеете заклятую коллегу-подругу Танечку, которая спит и видит, как подводит вас под монастырь, ловко организовав подставу на работе. Танечка знает ваш e-mail (коллеги все-таки), а также знает, что вашу домашнюю кошечку зовут Пуся (на перекуре рассказывали). Танечка заходит на сайт вашей электронной почты, вписывает ваш адрес и говорит, что забыла пароль. Почтовая система предлагает Танечке ответить на контрольный вопрос (само собой, вы выбрали кличку домашнего питомца), на что Танечка с радостью соглашается. Соблюдя все формальности, почтовая система и Танечка приходят к взаимопониманию: Танечке сообщается ваш пароль от почты, и она получает доступ к святая святых – вашей переписке. Дальнейший ход событий спрогнозировать не сложно.

Тоже самое касается и других контрольных вопросов, ответы на которые либо очевидны, либо легко выяснить. Поэтому совет: никогда не используйте связки вопрос-ответ, которые могут быть легко выяснены окружающими!

Придумываем пароль

По статистике, в качестве пароля чаще всего используются даты рождения (10071974), расположенные рядом сочетания символов (qwerty) и простые для запоминания слова (password). Причина понятна: каждый раз мучительно вспоминать длинный сложный пароль нет никакого желания, а чаще и возможности («девичья память»). Нам же предстоит отойти от этого типичного решения и придумать действительно сложный пароль, который потом можно будет легко вспомнить и использовать. Это несложно. И вот пример.

Вас зовут Вася, и вам 25 лет. Живете в поселке Жуполово. Отличные анкетные данные, которые позволительно использовать в качестве пароля! Используем: Dfcz25:egjkjdj. Что мы имеем? Пароль из 14 символов, в котором использованы буквы латинского алфавита разных регистров, цифры и спецсимволы. Если смотреть на кириллические символы на клавиатуре, то пароль преобразуется в простое и понятное Вам сочетание «Вася25Жуполово«. Запомнить такой пароль для Васи почти бальзаковского возраста из Жуполово – проще простого, а взломать его хакеру будет очень сложно.

Усложняем задачу, вернувшись к пункту 1 из вышеобозначенных норм безопасности: у Васи есть почта, аккаунт на Одноклассниках, ICQ и Skype, и для всех сервисов пароли должны быть разные. Что ж, и эта задача не сложна. Скажем, комплект паролей может быть таким:

Почта – Dfcz25:egjkjdjGjxnf (на русской раскладке клавиатуры – Вася25ЖуполовоПочта);

Одноклассники – Dfcz225:egjkjdjJlyjrkfccybrb (Вася25ЖуполовоОдноклассники);

ICQ – Dfcz25:egjkjdjFcmrf (Вася25ЖуполовоАська);

Skype – Dfcz25:egjkjdjCrfqg (Вася25ЖуполовоСкайп).

Использование подобных связок для паролей – весьма эффективный способ сохранить свои данные, время и деньги в безопасности. Ну если только злоумышленник не придет к вам домой с паяльником и намерением применять его к вам ректальным способом.

Default ,

Типичная ошибка в методах защиты конфиденциальных данных с помощью шифрования раздела в корпоративной среде

19 апреля 2009

Немногочисленная, но постоянно растущая когорта продвинутых офисных работников разных возрастов начинает потихоньку знакомиться с некоторыми аспектами информационной безопасности, и уделять им должное внимание. В среде моих коллег самые любознательные и осторожные поочередно приходили с просьбами научить их премудростям шифрования, резервного копирования и антивирусной защиты портативных накопителей. В качестве шифратора я рекомендовал и продолжаю рекомендовать TrueCrypt. В частности, когда речь идет о флеш-накопителях, обычно применяется полное шифрование раздела и его монтирование при необходимости. Однако есть некоторые тонкости, не учтя которые, приватные данные можно легко сделать достоянием общественности.

Тонкость №1: скрытый административный доступ к разделу.

В оснастке управления общими ресурсами (правый клик на Компьютер -> Управление -> Общие папки -> Общие ресурсы) можно обнаружить ресурсы со знаком $ на конце. Например, C$, D$, ADMIN$ и пр. Это общие административные ресурсы, через которые администраторы, приложения и сервисы могут выполнять операции с файловой системой удаленного компьютера.
Административные общие ресурсы

Итак, есть компьютер desktop, за которым сидит вышеупомянутый пользователь, старающийся исключить проникновение на свой зашифрованный портативный носитель любого постороннего лица. Его портативный накопитель значится в системе как R:, и подмонтирован средствами TrueCrypt как S:. В роли постороннего лица, желающего выкрасть его данные, выступаю я, зная пароль пользователя (что неудивительно: пользователь шифрует данные, но пароль на вход в Windows с упорством маньяка клеит на монитор). Мое желание может быть исполнено: через выполнение с моего компьютера конструкции вида \\desktop\S$, я получаю полный доступ к содержимому его зашифрованной флэшки.

Эта уязвимость лечится выполнением команды:

net share S$ /delete

Тонкость №2: временные файлы.

Итак, мы подмонтировали портативный накопитель, открыли с него некий очень-важный-файл-содержащий-конфиденциальные-данные file.xls и начали с ним работать, предварительно удалив скрытый общий ресурс S$. Система (в рассматриваемом случае Windows Vista) сохраняет его копию в папке для временных файлов: C:UsersUserName.DomainNameAppDataLocalTempDFA52B.tmp. В большинстве случаев просто удалить шару C$ нельзя: она используется для удаленного управления компьютером пользователя, обновления баз корпоративного антивируса и пр., и защищена от удаления политиками безопасности корпоративной сети. Так что доступ к ней можно получить простым выполнением команды \desktopC$. Вилы.

Однако и тут выход найдется: в качестве каталога для хранения временных файлов можно использовать тот же портативный накопитель, либо несистемный раздел жесткого диска. Для этого необходимо открыть оснастку «Свойства системы» (WINDOWS\System32\SystemPropertiesAdvanced.exe), во вкладке «Дополнительно» нажать «Переменные среды» и установить в качестве переменных TEMP и TMP новое значение, скажем, D:\Temp. Тоже самое можно сделать и для «Системных переменных» TEMP и TMP.
Установка переменных сред

Так как раздел D: не является системным, административный доступ к нему чаще всего тоже можно удалить выполнением команды:

net share D$ /delete

Для верности после окончания работы с конфиденциальными документами можно очистить временные папки вручную, либо с помощью специализированного ПО (например, CCleaner), а также написать .cmd-файл следующего содержания:

net share D$ /delete
net share S$ /delete

и положить его в автозагрузку.

Default , , , ,