Маркетинг информационной безопасности

JaCarta - убийца eToken?

2012-02-08T06:51:00.000+04:00

Всегда с интересом читаю пресс-релизы, касающиеся вопросов, в которых я в силу своего рода занятий немного разбираюсь. Вдумчивое изучение текстов, вышедших из-под пера PR-менеджеров, и дальнейшее активное "гугление" порой дают неожиданные результаты. Сегодня применим этот метод к новости о том, что "Встраиваемый модуль безопасности TSM от «Аладдин Р.Д.» сертифицирован ФСТЭК".

Текст содержит интересный пассаж о (внимание!) трёхфакторной аутентификации:

TSM обеспечивает защиту от несанкционированного доступа с помощью трехфакторной аутентификации, осуществляемой по наличию аппаратного идентификатора (eToken, iButton), присутствию на нем специального логического идентификатора и знанию пользователем PIN-кода доступа.

Оставим, впрочем, на совести автора тот факт, что при краже аппаратного идентификатора злоумышленник заодно получает и записанный на нём логический идентификатор, что, вообще говоря, не позволяет говорить о двух разных факторах. Меня больше заинтересовало, почему пресс-релиз не совместный с Kraftway (ведь сертифицированный модуль работает только на их компьютерах)? Быть может, они выпустили отдельный пресс-релиз?

В пресс-центре на сайте Kraftway данной новости обнаружено не было, но упоминание самого модуля есть в описании моделей с его поддержкой (например, Kraftway Credo KC38 и Kraftway Credo VV18). Как оказалось, поддержка данных модулей реализована уже достаточно давно, а сотрудничество в этом направлении компании и вовсе ведут с конца 2010 года.

Есть на сайте Kraftway и сертификат на TSM, но особый интерес вызывает, конечно же, подробное описание характеристик и функционала TSM, взятое, судя по всему, из технический условий или паспорта изделия. Буквально в самом начале видим:

TSM взаимодействует с идентифицирующими устройствами (ИУ), в качестве которых выступают ключи eToken или JaCarta в форм-факторе USB-ключа или смарт-карты.

Ключи eToken - понятное дело, но, позвольте, а что за зверь такой JaCarta? В пресс-релизе Аладдин Р.Д. такое не упоминается. Google и Яндекс по запросу "jacarta" выдают явно не относящиеся к делу ссылки, да ещё и предлагают исправить написание на "jakarta", что уж совсем не из нашей оперы.

"Помощь пришла откуда не ждали" - упоминание JaCarta нашлось на сайте Аладдин Р.Д. И пусть ссылка не открывается, нам теперь понятно, что искать дальше.

Опущу лишние подробности и тонкости поиска, перейдя сразу к фактам.

Домен jacarta.ru был зарегистрирован 04 апреля 2011 года на "Aladdin Software Security R.D. Ltd.", читай - ЗАО "Аладдин Р.Д."
На официальном сайте Аладдин Р.Д. действительно присутствует (присутствовал) раздел "/catalog/jacarta/", но его поисковая индексация запрещена.
Сайт jacarta.ru (набирать без www) наполнен смесью контента с официального сайта Аладдин Р.Д. и содержит упоминание некоей ООО "Алеро-Сервис" с контактами самого Аладдин Р.Д.
У Алеро-Сервис есть свой сайт (заполненный пока всё тем же промежуточным контентом) и даже логотип.
ООО "Алеро-Сервис" 06 октября 2011 года получило Лицензию на деятельность по разработке и (или) производству средств защиты конфиденциальной информации, что отражено в соответствующем реестре ФСТЭК.
Сама компания зарегистрирована ещё 03 августа 2007 года и её генеральным директором является Груздев Сергей Львович (его полный тёзка является генеральным директором ЗАО "Аладдин Р.Д.")
У компаний ООО "Алеро-Сервис" и ЗАО "Документальные Системы" есть дочернее предприятие ООО "СИС" (Сертифицированные информационные системы).

Что же получается? В свете непростой ситуациии в России с дистрибьюцией ключей eToken и использованием торговой марки "Aladdin" руководство Аладдин Р.Д. через ООО "Алеро-Сервис" подготовило себе запасной аэродром в виде доли в ООО "СИС" с одной стороны (напомню, что именно эту компанию SafeNet, купивший бизнес eToken, сделал российским дистрибьютором по данному направлению) и разработки аналога под названием JaCarta с другой?

Что ж, если это так, то ход вполне себе закономерный: кормясь от продаж eToken, инвестировать в конкурирующую разработку, прописывать её потихоньку в сертификаты, с тем, чтобы со временем получить возможность полностью переключиться на новый носитель JaCarta и убить рынок сертифицированных eToken за счёт контроля над всеми сертификатами eToken и своих связей с заказчиками и партнёрами.

Возможно, конечно, что у вас сложится свой взгляд на картину происходящего, но факты остаются фактами - дело только за их интерпретацией.

Интересно, глаза кому и на чьи маленькие секреты и хитрости откроет этот пост? =)

UPD 09.02.2012. Данный пост, очевидно, прочитали и сайт http://jacarta.ru более недоступен (редиректится). Предвидя такой поворот событий, сохранил пару скриншотов. Вот они:

Кстати, из результатов поиска на aladdin-rd.ru убрали всякое упоминание о "jacarta", но скриншот с тем, что выдавалось ещё буквально вчера, есть выше в самом посте.

Вас такое тщательное заметание следов не наводит на мысль о верности сделанного выше предположения?

Изображение: http://recuerdosinventados.blogspot.com/2008/03/killer-cat-periodismo-patritico.html

Как я чуть не "взломал" Альфа-Банк

2012-02-07T14:57:00.000+04:00

Сразу оговорюсь, что взлома и даже попыток такового на самом деле не было, а история больше примечательна реакцией самого банка на инцидент, произошедший по причине моей невнимательности.

У Альфа-Банка есть замечательное приложение для мобильных телефонов - Альфа-Мобайл, с помощью которого можно удобно просматривать состояние своих счетов и выполнять некоторые платежи.

Для входа в приложение (здесь и далее рассказываю на примере версии для iOS) нужно ввести свой логин и пароль. В отличие от того же Альфа-Клик (интернет-клиент для работы со своими счетами) не требуется вводить одноразовые пароли при входе и каждой операции, что значительно ускоряет работу с оплатой счетов и пр.

На днях, войдя в очередной раз в Альфа-Мобайл, увидел вот такую замечательную картину:

Вроде бы ничего необычного, да только увиденные мною счета и суммы были не моими. Естественно, я поступил так же, как поступил бы любой нормальный человек на моём месте: первым же делом ~~перевёл все деньги себе~~ позвонил в Альфа-Банк. К слову, реальных возможностей вывода денег со счёта при помощи Альфа-Мобайл не так много: можно лишь пополнить баланс постороннего мобильного телефона или оплатить услуги Интернет чужому провайдеру, а вот все остальные внешние переводы возможны только по заранее созданным (при помощи Альфа-Клик) шаблонам, так что злоумышленникам особо разгуляться негде.

Спустя несколько минут ожидания на телефоне я соединился-таки с оператором, которому и изложил суть произошедшего: вошёл в Альфа-Мобайл и вижу чужие деньги. Оператор переключил меня на специалиста техподдержки Дмитрия, но, как оказалось, переключил ошибочно, т.к. Дмитрий, внимательно всё выслушав, переключил меня... обратно на главное меню. Очередные длительные минуты ожидания я провёл изучая чужой личный кабинет. По ~~принуждению~~ совету коллег попробовал перевести 100 рублей себе на телефон - чуда не произошло. В ходе дальнейшего изучения, обнаружил большое количество переводов с указанием ФИО "Иванов И.И."

Логично предположив, что оказался в каком-то служебном (тестовом) личном кабинете, я тем не менее дождался оператора, которому в третий раз объяснил случившееся, и соединился теперь уже с другим специалистом, вернее, специалисткой техподдержки (кажется, Анастасией), с которой состоялся хоть и краткий, но побудивший меня написать этот пост, разговор.

С моей точки зрения, ситуация, когда клиент банка попадает в чужой личный кабинет - это: "Аларм! Аларм!", но Анастасия (буду называть её так), оказалось, считает по другому. Я подробно рассказал Анастасии о случившимся безобразии, не делясь, впрочем, своими догадками о тестовом личном кабинете. Представляю примерный пересказ разговора:

- <...> Вот такая вот беда!
- Ваши ФИО и кодовое слово, пожалуйста.
- ФИО - пожалуйста, а кодовое слово сейчас назвать не могу (звонил из офиса).
- Тогда перезвоните, когда сможете сказать.
- Подождите, но я ведь вижу чужие расчётные счета!
- Мне нужно знать кодовое слово, чтобы посмотреть состояние ваших счетов.
- То есть вы считаете, что ситуация нормальная и ничего предпринимать не нужно?
- Нужно ваше кодовое слово.
- Это у вас в банке такая инструкция?
- Без кодового слова я всё равно ничего не могу сделать.
- Понятно, спасибо, до свидания.

К концу разговора я уже окончательно убедился, что проблемы никакой нет и мне как клиенту беспокоится абсолютно не о чем: программное обеспечение, которое используется в Альфа-Банке, видимо, настолько безупречно, что никаких внештатных ситуаций с ним возникнуть не может в принципе. Иначе чем можно объяснить тот факт, что по моему заявлению никаких дальнейших действий со стороны банка не последовало? Осмелюсь предположить, что и заявление нигде и зафиксировано-то не было: раз не может быть ошибок, то и заявления регистрировать бессмысленно.

На самом деле, в данном конкретном случае поводов для беспокойства действительно не было: это я сам себя "взломал", нажав случайно в главном окне приложения кнопку "Демо" вместо "Вход", а потом, глядя на самом деле на демонстрацию, подумав, что вижу чужие счета.

Тем не менее, неуловимый осадок остался... А что если я найду чужой телефон с установленным приложением Альфа-Мобайл и захочу сообщить о находке в банк? Меня тоже не буду слушать без кодового слова? Надеюсь, что для такого случая инструкция в Альфа-Банке всё же предусмотрена иная.

Изображение: http://pozvonkov.ru/2010/03/28/pro-dengi-bank-mashinu-i-derevnyu/

Пас, вист, ГОСТ!

2012-02-02T16:55:00.000+04:00

Вот этот уже прошлогодний пост Евгения Шауро со сравнением различных токенов напомнил мне, что давно хотел более пристально приглядеться к современным ГОСТовым токенам. Хорошо помню, что в своё время эта тема была очень модной и неизменно вызывала интерес у самой разной аудитории.

Небольшое отступление для тех, кто не очень знаком с предметом. USB-токен (он же просто токен, он же электронный ключ, он же брелок, он же USB-ключ) - это устройство, объединяющее в себе USB-контроллер и чип смарт-карты (микроконтроллер). Вся прелесть токена на основе смарт-карты заключается в том, что он целый ряд криптографических вычислений производит, что называется, "на борту". Данный функционал используется для надёжной аутентификации пользователей в самых различных системах (подробнее можно почитать, например, здесь) и особенно важен при использовании ЭЦП (электронной цифровой подписи), так как позволяет генерировать и использовать закрытые ключи, которые никогда не покидают защищённую память устройства. Данные, которые необходимо подписать, просто передаются внутрь токена, а тот сообщает лишь конечный результат, т.е. значение ЭЦП. Таким образом, закрытый ключ, используемый, например, для того же дистанционного банковского обслуживания, гарантировано не попадёт к злоумышленникам.

До недавнего времени все предлагаемые на российском рынке токены могли работать только с западными стандартами ЭЦП, а поддержка российской ГОСТовой криптографии сводилась к хранению контейнера с закрытым ключом в памяти устройства, защищённой PIN-кодом. При этом для выполнения операций с закрытым ключом контейнер копировался в память компьютера со всеми вытекающими из этого опасностями его утечки.

Первые токены с поддержкой ГОСТ работали только с ГОСТ 28147-89, т.е. могли шифровать данные симметричным алгоритмом, но ЭЦП (ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-94) не поддерживали.

Именно такой токен в далёком 2001 году разработали ЗАО "Аладдин Р.Д." и НТЦ "Атлас". Называлось изделие eToken RIC (Russian Intellectual Card), но, насколько мне известно, продажи его как-то не заладились и после 2003 года об устройстве ничего и слышно даже не было.

У извечного конкурента ЗАО "Аладдин Р.Д." - компании ЗАО "Актив-софт" (при партнёрстве с ООО "Анкад") - устройство, представленное примерно в то же время, получилось более удачным: Rutoken продаётся и по сей день.

Первым токеном с поддержкой российского алгоритма ЭЦП стала ШИПКА-1.5 от ЗАО "ОКБ САПР". Самое раннее упоминание ШИПКИ датируется сентябрём 2005 года. Этот год, наверное, и можно считать датой рождения нового устройства.

В последующие несколько лет ШИПКА оставалась единственным предложением на этом рынке, но никакого взрывного роста продаж, насколько можно судить об этом по отсутствию публикаций историй внедрения, не произошло: то ли отсутствие сертификации в ФСБ помешало, то ли что-то иное. Домысливать не буду, а то некоторые обижаются и вместо конструктива на личности переходят =)

Ситуация изменилась в 2008 году (более ранних упоминаний не обнаружил) с выпуском ООО "БИФИТ" ключа iBank 2 Key. По сообщениям в пресс-релизах данное устройство имело сертификат ФСБ, что положительно отличало его от остальных конкурентов. На самом деле, ситуация с сертификацией тут не однозначна, т.к. текущий сертификат (подробнее о сертификатах ниже) датируется только 08 июля 2010 года.

Появление нового игрока явно подстегнуло других участников и конкуренты БИФИТа начали/усилили активную рекламную компанию своих аналогичных разработок: eToken ГОСТ у ЗАО "Аладдин Р.Д." и Rutoken ЭЦП у ЗАО "Актив-софт". Примечательно, что оба продукта получили сертификаты ФСБ хоть и несколько лет спустя, но в один и тот же день - 11 мая 2011 г.

Таким образом, сегодня на рынке доступны четыре различных сертифицированных ФСБ токена с поддержкой российских криптографических алгоритмов, используемых для ЭЦП.

eToken ГОСТ	iBank 2 Key
Rutoken ЭЦП	ШИПКА-1.6

Беглый взгляд показывает, что сертификат сертификату рознь. Так, например, изделия ШИПКА и Rutoken сертифицированы целиком как СКЗИ и имеют самые широкие (по сравнению с остальными) разрешённые области применения, а вот в случае с eToken сертификат выдан на некий "Криптотокен", входящий в состав изделия. Если я правильно помню архитектуру, то этот "Криптотокен" - суть java-апплет, выполняемый на встроенной в eToken виртуальной Java-машине. При этом, в отличие от ШИПКи и Rutoken, для eToken в сертификате не прописан следующий функционал: управление ключевой информацией, шифрование данных, вычисление имитовставки для данных, содержащихся в областях оперативной памяти СКЗИ.

Ситуация с iBank 2 Key самая запутанная, т.к. сертифицировано программное средство криптографической защиты "Криптомодуль С23", предназначенное для встраивания в операционные системы интеллектуальных карт, построенных на базе микроконтроллеров семейств ST23. Область же применения вообще прописана так: может использоваться в качестве криптографического ядра для реализации функций формирования и проверки электронной цифровой подписи, шифрования информации, не содержащей сведений, составляющих государственную тайну, при создании функционально законченных СКЗИ класса КС2. Кстати, у всех остальных тоже класс КС2, кроме ШИПКи - у неё КС3.

В общем, не всё так просто и очевидно, как это пишут в маркетинговых материалах. Для более детального анализа, понятно, нужно изучать технические условия, формуляры и прочую сопроводительную документацию, да вот только редко производители это всё просто так выдают, хотя я бы, например, с удовольствием потратил немного личного времени на их изучение.

Сводную таблицу с данными о токенах (пока только в части, касающейся сертификатов) выложил в Google Docs. Если тема окажется интересной, таблицу можно будет дополнить.

Изображение: http://sladsloboda.ru/production/sweet/classical

Чахнущие кащеи российского рынка ИБ

2012-01-26T13:47:00.000+04:00

Очень меня умиляет отношение отдельных отечественных вендоров к открытому обсуждению разрабатываемых ими продуктов.

В прошлом году, например, написал пост про межсетевые экраны АльтЭль, так директор московского представительства Александр Буров первым же делом предложил (http://zlonov.blogspot.com/2011/05/who-is-mr-altell.html#disqus_thread) лично встретиться для обсуждения всех моих вопросов.

Потом, правда, поостыл и куда-то ~~слился~~ запропал, мои вопросы оставил без ответа, на связь в Skype не вышел. С Александром позже мне всё же удалось пообщаться на одной из выставок и его желание отвечать на вопросы устно и приватно стало понятным: ответы были уклончивыми, формулировки расплывчатыми, а фразы недосказанными, как будто Александр немножко стеснялся продаваемого им продукта. Примечательным моментом в разговоре был его ответ на вопрос о том, почему не стал отвечать на вопросы Тараса Злонова. "Да чего комментировать какие-то домыслы о нашей связи с Восьмым управлением?" - отмахнулся Александр. Ни на что не намекаю, но в посте никаких управлений я не упоминал, а только рассуждал о возможной причастности "высокопоставленных чиновников" =)

- Это ты барашка моего украл?
- Серого с одним рогом? Нет, не я.

На прошлой же неделе имел удовольствие вступить в переписку с другим Александром - Дорофеевым, директором по развитию ЗАО "НПО "Эшелон".

Заинтересовал меня один из программных продуктов Эшелона, который захотелось протестировать (нет, Александр, названия писать не буду - сами его "пиарьте" =) ). Знаете, что сразу предложил мне Александр? Правильно: приезжайте в офис, пообщаемся. Александр проявил недюжинные детективные способности, походя упомянув моё место работы и место расположения офиса, но продукт на тестирование так и не дал, сославшись на отсутствие демо версии и боязнь "чёрного пиара" с моей стороны.

Что тут ещё комментировать? Делаем продукты "ради бумажки", всеми правдами и неправдами лоббируем их покупку госзаказчиками, а открыто обсуждать и давать на тесты стесняемся? Что ж, каждый делает свой выбор самостоятельно.

В заключение хочу выразить уважение моему хорошему знакомому Антону Разумову из Check Point. Наше с ним открытое обсуждение особенностей встраивания ГОСТ алгоритмов в продукты Check Point (http://zlonov.blogspot.com/2012/01/blog-post.html#disqus_thread) - вот отличный показатель того уровня зрелости компании и её сотрудников, до которого некоторым ещё расти и расти.

UPD 27.01.2012. Как выяснилось, отказ Александра Дорофеева в предоставлении демо-версии был вызван вот чем:

"... продукт совместим и протестирован только с определенными версиями BIOS, поэтому как таковой демо-версии нет. Для демонстрации заказчикам собирается стенд с требуемым аппаратным обеспечением"

Благодарю за хоть и запоздалое, но пояснение. Приношу хоть и запоздалые, но извинения Александру и компании Эшелон. Прошу ЗАО "НПО "Эшелон" с чахнущим кащеем более не ассоциировать.

Изображение: http://s010.radikal.ru/i313/1011/a9/34db363ad561.jpg

Фотографии коллег взяты из результатов поиска картинок Яндексом по их имени, фамилии и названию компании

Сертификация или профанация?

2012-01-17T14:50:00.000+04:00

В свете повальной необходимости в использовании сертифицированных решений для защиты информации в нашей стране вендоры теми или иными способами пытаются эти самые заветные сертификаты получить.

Самые востребованные сертификаты, пожалуй, от ФСТЭК. При этом процесс их получения более-менее отлажен, испытательных лабораторий хватает, да и самих сертификатов получено уже под 3500 штук (см. Список сертифицированных ФСТЭК средств защиты информации).

Правда, не всё так хорошо с этой сертификацией: зафиксированные контрольные суммы программного обеспечения не позволяют, например, проводить обновления прошивок устройств, а скачивание обновлений сигнатур частенько осуществляется по недоверенным каналам, что, вообще-то, не очень хорошо. Но, ёмкость рынка сертификации и получаемый из воздуха доход с лёгкостью позволяют закрывать глаза на такие мелкие нестыковочки.

Другое дело - сертификация ФСБ. Даже сам Перечень средств защиты информации, сертифицированных ФСБ России значительно короче (менее 300 сертификатов), что косвенно подтверждает известный факт о сложности и длительности процессов получения этих сертификатов. Таким образом, наличие документа от ФСБ является важным конкурентным преимуществом. Ведь заказчик порой просто вынужден выбирать решение, которое его, быть может, и не очень устраивает, но зато обладает нужной "бумажкой". Понимая это, кто-то из разработчиков сертификаты получает, а кто-то использует несколько иные методы...

На прошлой неделе в ходе анализа продуктового портфеля один из наших инженеров высказал уверенность, что продукты Check Point сертифицированы в ФСБ (в части использования VPN).

Как оказалось, мнение такое действительно на рынке существует:

Если же производитель соглашается использовать российское шифрование, то и такая сертификация вполне может быть получена. Примером этому является сертификация по требованиям ФСБ нескольких продуктов Check Point и модулей для маршрутизаторов Cisco.

Информация на сайте вендора о сертификации и поддержке ГОСТ оказалась крайне скудна:

Теперь это решение предлагается с поддержкой шифрования по российскому алгоритму ГОСТ в дополнение к стандартным алгоритмам шифрования SSL. Российские компании получили возможность использовать лидирующее решение для организации защищенного доступа по SSL VPN, интегрируемого в инфраструктуру централизованного управления Check Point в комбинации с шифрованием трафика, использующим российские алгоритмы шифрования.

Пришлось искать альтернативные источники информации. Максимум полезного по указанной теме обнаружилось в презентации Антона Разумова, выложенной им в свободный доступ. Она, правда, датируется мартом 2010 года, но иллюстрирует общий подход вендора к вопросу сертификации в ФСБ:

Как встроено СКЗИ от КриптоПро в продукты Check Point

Собственно, из этих нескольких слайдов следует вот что:

сертификата ФСБ у Check Point нет
поддержка ГОСТ реализована встроенным КриптоПро
заключения о корректности встраивания на КриптоПро нет

Таким образом, сфера применения ГОСТового решения от Check Point весьма и весьма узка.

Использованное изображение: http://www.anti-malware.ru/images/approved_by_anti-malware_b.gif

Подстава от iPhone

2012-01-11T07:01:00.000+04:00

В iOS 5 появилась замечательная функция iMessage, позволяющая обмениваться сообщениями по сетям WiFi и 3G. Но, как оказалось, пользоваться ей надо с осторожностью.

Вообще, встроенный чат - это, конечно, удобно. Вот только в iPhone его встроили прямо в сервис обмена SMS/MMS: только по цвету сообщения и можно догадаться как оно ушло - через сотового оператора (зелёные) или сеть Интернет (синие). Кстати, при проблемах с сетью синие сообщения зеленеют - т.е. доставка происходит всё равно.

Находясь на новый год в роуминге, купил местную СИМ-карту, чтобы не переплачивать за звонки, СМС и доступ в Интернет (кстати, по сути, я ведь использовал абсолютно те же мощности обоих операторов и почему цена так разительно отличалась, мне не особо понятно; ну да ладно).

Так вот, в очередной раз меняя местную СИМку на российскую, чтобы почитать новогодние поздравления, обнаружил, что моя переписка с другим пользователем iPhone происходит вне зависимости от оператора. Вообще говоря, всё вполне логично - в iMessage привязка идёт к Apple ID и/или самому устройству, но никак не к СИМ-карте. Но вот на практике данная особенность оказалась несколько неожиданной. Т.е. другой человек отвечает на ваше прошлое сообщение, а оно приходит, несмотря на переставленную СИМку, на то же устройство.

Всегда казалось естественным: вынул СИМ-карту - прекратил всю переписку. Но, друзья мои, теперь совсем иные времена: переставляя СИМ-карту и отдавая телефон другому человеку уже нельзя быть уверенным, что он не получит сообщения от вашего собеседника. Включите бдительность и не забывайте её подзаряжать!

Изображение: http://gad.ru/data/upload/ck/images/funny_iphone.jpg

Порочная система и двойные стандарты

2011-12-23T07:19:00.000+04:00

В продолжение прошлого поста о коррупции решил написать ещё несколько строк. Вот мы частенько поругиваем полицейских, особенно сотрудников ГИБДД, за взяточничество и иногда просто вымогательство. Давайте, однако, посмотрим на два аспекта.

Про первый расскажу на своём примере. Начав работать в области информационной безопасности, я первое время активно перенимал опыт коллег и, конечно же, учился у своих руководителей. Ведь я оказался в незнакомой мне среде и, пытаясь понять правила игры, во всю смотрел по сторонам и анализировал, чтобы не оказаться в чужом монастыре со своим уставом. Адаптивность - наше всё.

Да, меня научили многому, но, к сожалению, в том числе и тому, что печёночный бизнес приносит успех и маржу. Нет, сами механизмы коммерчески прибыльного распития алкоголя, золочения ручки высокопоставленным чинушам и прочие мерзости мной неизведаны до сих пор, но то, что откат рулит, мне внушили достаточно чётко.

Спасибо, что не привлекали меня непосредственно к схемам распила, но закрывать глаза на, например, явно бредовые приобретения государственными организациями бесполезных для них продуктов всё же научили.

Я это всё к чему? Да к тому, что любой человек, оказавшись в полицейской системе, вынужден под неё подстраиваться, иначе она его просто отторгнет как чужеродное тело. Идея с реформой милиции, кстати, по сути своей прекрасна (вычистим всех), да вот воплощение подкачало =(

Второй момент - двойные стандарты. Выпили вечером. Хорошо так (ибо обстановка располагала). А утром за руль. Ну, очень надо. Поехали. Пост ГИБДД. Остановили, понюхали. АГА!

Да, вы нормально едете. Вы опытный водитель, сто лет за рулём, не лихачите и не борзеете на дороге. Привычная доза накануне не представляет ни для кого опасности - вы даже специально аккуратнее едете. НО есть закон про содержание алкоголя в крови. Всё, лишение прав.

Дальнейший сценарий понятен. И сотруднику ГИБДД, взявшему круглую сумму, вы, по большому счёту, признательны, хотя и презираете его в душе.

Ровно так же желание получить бонус и желание побороть коррупцию в масштабах государства борятся внутри каждого ИБшника, сохранившего в себе хоть сколько-нибудь порядочности.

Кому и зачем всё вышеизложенное было написано - пока с уверенностью сказать не могу. Так, витает что-то в воздухе в виде мыслей...

Изображение http://demotivation.me/l14eym6wkq29pic.html

Распилить изволите?

2011-12-22T07:16:00.000+04:00

Люди, между нами говоря, любят иногда посчитать чужие деньги, поэтому, в частности, так популярны всевозможные рейтинги и статистические отчёты о долях рынка, занимаемом месте по оборотам и пр.

Не открою секрет, если скажу, что в отрасли информационной безопасности (ИБ) в нашей стране немаловажную роль в формировании этого самого оборота играют государственные закупки. Небольшие и средние компании пока в большинстве своём только зреют до чего-то большего, чем антивирус и бесплатный межсетевой экран на *nix-платформе, крупные коммерческие структуры придирчиво выбирают решение по соотношению цена/эффективность, рассчитывают возврат на инвестиции (ROI) и иные трёх- и больше буквенные показатели, а государственные организации исправно закупают.

Закупают по приказу сверху, закупают, потому что деньги в бюджете на этот год остались и их надо освоить, а то на следующий год не дадут, закупают, потому что очередной чинуша попарился с кем-то в бане, закупают, потому что надо достроить загородный дом и сыну дать приличное образование... Закупают. Точнее, пилят.

Мне мало довелось работать в областях, отличных от ИБ, поэтому о ситуации в них могу судить лишь косвенно. Ну, а про ситуацию на знакомой территории могу рассуждать свободнее.

Итак, все взрослые адекватные люди, проработавшие хотя бы несколько лет в области ИБ прекрасно понимают, что и как тут устроено. Возьмите топ-10, 50, да хоть 100 блогеров в нашей сфере и спросите их - понимают ли они, на чём делают значительную (порой очень значительную) часть капитала их компании? Если отношения ваши доверительные и обстановка располагает - ответ будет однозначным.

Вот вам и оборот для рейтингов. Компании, получившие лобистскую поддержку, в одночасье выстреливают в топ, а потерявшие влиятельных друзей - скатываются ближе ко дну... Таких историй знающие люди могут рассказать более, чем одну.

Мне повезло, я работаю в дистрибьюторской компании. Мы не общаемся напрямую с заказчиками. Вернее, общаемся, но крайне редко. Наше всё - это наша партнёрская сеть. Мы любим их и всячески стараемся помогать. Но вот наши любимые партнёры регулярно сталкиваются с простой до безобразия ситуацией: я бы купил у вас на 100 миллионов с удовольствием, но вот вы бы мне 10% / 20% / 30% / ... не могли бы в вот этом конвертике/портфельчике/чемоданчике/... принести налом?

Когда я вижу бессмысленные с точки зрения здравой логики спецификации, главная цель которых - завысить бюджет, когда решения закупаются без учёта реальной инфраструктуры, когда покупают сертифицированные по самое не балуй, но устаревшие на 5 и более лет продукты, мне стыдно за мою страну.

Мелкая (по сравнению с общей численностью граждан) кучка продажных ~~людей~~ существ распределяет финансовые потоки по своему усмотрению без какого-либо контроля со стороны остальной части населения и считает это (внимание!) нормальным.

Друзья, не буду ни к чему революционному призывать. Просто задумайтесь на секунду - вы сами тоже считаете это нормальным? Точно? А, может, попробуем что-то поменять?

Изображение: http://piratemedia.ru/media/k2/items/cache/91f509849f6467bb518faf710f229661_XL.jpg

Бей своих, чтоб чужие боялись

2011-11-24T22:29:00.001+04:00

Хороший пример правильного подхода к безопасности демонстрирует компания Google, регулярно помещая в спам уведомления о моих комментариях к мои собственным же постам на Blogspot.

Ну а что? Формально ведь письмо действительно отправлено не с моего аккаунта. И сколько я ни пытался объяснять Gmail, что это не спам - бесполезно: эти уведомления регулярно забраковываются. Кстати, справка у компании Google просто великолепная. Про спуфинг (в котором Google, по сути, сам себя и подозревает) написано просто и доходчиво, даже с жизненными примерами. Вот все бы так.

Умирающие шифровальщики

2011-11-23T07:12:00.000+04:00

Всего несколько лет назад программы для шифрования данных на жёстких дисках были невероятно популярны, при чём не только в корпоративной среде, но и среди обычных пользователей. Предложений было так много, что порой даже складывалось ощущение, что только ленивый их не пишет. Что же происходит на этом рынке сейчас?

Для начала немного истории. В силу своих профессиональных обязанностей в 2006-08 годах внимательно следил за российским рынком систем шифрования данных, писал статьи на эту тему и знал, что называется, "в лицо" всех основных игроков. Даже сам был активным пользователем Secret Disk и не мог представить свой компьютер/ноутбук без него. Сейчас же мне даже в голову не приходить что-то шифровать на диске!

Основная угроза для моих личных данных сейчас - это, пожалуй, троян, от которого шифрование всё равно не поможет, а фотографий много он не утащит - спасибо Yota: коннект, оставленный на день всё равно к вечеру обычно рвётся. При мне же, очевидно, любая ненормальная сетевая активность будет сразу замечена и пресечена на корню. Что касается доступа гостей/членов семьи/сантехников-садовников к стационарному компьютеру, то кого попало не надо приглашать в гости, жить надо так, чтобы нечего было скрывать от домочадцев, а сантехников дальше ванной/кухни пускать в принципе не стоит - это они пусть в фильмах по спальням ходят =) Проверено на себе - такие простые правила работают. К тому же, пароль на вход и разграничение прав доступа никто не отменял.

На ноутбуке же для командировок личных данных я не храню, а доступ к корпоративным данным получаю или через OWA (Outlook Web Acces) или по RDP. Ну, останется после моих сессий какой-то кэш на жёстком диске, но в нашем мире столь незначительный объём данных устареет быстрее, чем кто-то реально сможет им воспользоваться.

Стоит ли при учёте всего вышесказанного жертвовать производительностью ради мифической защиты от кражи непонятно чего и не очень понятно кем? Я бы не стал.

Кстати, об основных игроках того времени. Годы прошли, что с ними стало?

StrongDisk компании Физтехсофт. Последняя версия вышла в декабре 2010 года, почти год назад. Вы верите в успешность этого продукта на рынке? Я - нет.

Secret Disk компании Аладдин Р.Д. Последняя версия - июль 2011. Получше, но, во-первых, насколько я могу судить, руководство этой компании частенько допускает просчёты в объектах (продукты/технологии) и субъектах (собственные сотрудники) инвестирования (на эту тему готовлю отдельный пост). Во-вторых, в мае была устроена акция по снижению цен, а это, поверьте моему опыту, говорит о неудовлетворительных продажах. Вы акций на iPhone от компании Apple много видели? Я - ни одной. В-третьих, 15 ноября была рассылка по подписчикам (на сайте этой информации не нашёл) вот о чём:

Компания «Аладдин Р.Д.» сообщает об обновлении в комплектации коробочных версий Secret Disk Server NG. Теперь она будет дополнена комплектом подачи сигнала «тревога» с USB-подключением, стоимость коробки Secret Disk Server NG при этом останется прежней.

Тоже тревожный звоночек, согласитесь.

ZDisk компании SecureIT. Самое свежее обновление, которое смог найти в их Пресс-центре - июль 2010 года. В ноябре 2010 провели акцию со скидкой 50% на один из компонентов системы шифрования. Был, правда, вебинар летом 2011 по серверной версии, но сколько там было посетителей - история умалчивает. Зато про их ~~недо~~DLP новостная лента так и пестрит сообщениями. Что ж, хороший урок предыдущему игроку в своевременности смена курса развития компании.

Был ещё импортный PGPDisk, бесплатный TrueCrypt и ещё целая куча самого разного софта. Даже в эпоху расцвета они популярностью пользовались довольно специфической - сейчас же, скорее всего, вообще остались очень нишевыми решениями.

Да, ведь было ещё детище InfoWatch - CryptoStorage. Последнюю версию, датированную октябрём 2010 года зачем-то вытащили из пыльного чулана этим летом и показали германцам. Ребята пришли на падающий рынок, вложили, полагаю, не менее $1M и даже затрат наверняка не отбили. Но они InfoWatch, им можно =)

Подведём итоги. Основные законадатели мод рынка систем шифрования жёстких дисков прошлых лет в большинстве своём давно забросили разработки, устраивают акции, анонсируют скидки, в новостных лентах минимум пресс-релизов о внедрении, новых игроков не видно и не слышно...

Как вы считаете - этот сегмент рынка умирает или уже умер?

Изображение: http://feldgrau.info/2010-09-06-10-50-59/1304--enigma-

Непреднамеренный самоинсайд

2011-11-08T15:00:00.000+04:00

Воообще говоря, масштабы и степень опасности случайных утечек в организациях мне всегда казались немного преувеличенными, но вот в повседневной жизни сталкиваться с ними приходится сплошь и рядом.

В одной из своих статей я приводил пример с содержимым флешек, с которыми подходят слушатели после докладов и на которые просят записать им презентацию. Чего только там не хранится! Музыка и свежие фильмы с торрентов (подсудное, кстати, дело-то) - ещё ладно, но резюме, пляжные фотографии и архив частной переписки - лучше где попало не хранить. В конце концов, программы вроде usbgrab никто не отменял =) К слову отмечу, что папки типа "Контракты" или "Клиенты" тоже периодически встречались.

Как ещё можно стать самоинсайдером? Проще простого. Например, просто стереть файл "не для публичного распространения" штатными средствами операционной системы и одолжить флэшку любопытному знакомому. Любопытному и вооружённому программой для восстановления удалённых данных.

Или вот недавно мне рассказали историю про то, как родитель одарил своё чадо своим чуть попользованным современным телефоном и заодно "слил" свою SMS-переписку с некой прекрасной особой. А ведь всего-то надо было выбрать: Настройки -> Основные -> Сброс:

Будьте бдительны, друзья, и да минует вас facepalm =)

Изображение: http://cheezburger.com/willis888/lolz/View/3424201472

Вавилонская башня. Наши дни.

2011-10-28T13:56:00.001+04:00

Маркетологам постоянно что-то приходится заказывать: то баннер, то стенд, то листовку, то сувенир. При этом самое сложное - это даже не придумать идею, а объяснить подрядчику, что же ты хочешь.

Ощущение, что ты говоришь с людьми на разных языках при этом не покидает ни на минуту:

- Нам нужно сделать промо-страницу на нашем сайте.
- Давайте возьмём простейшую CMS и готовый шаблон сайта.
- Но у нас же уже есть сайт, зачем нам CMS?
- Мы такой вывод из вашего техзадания сделали...
...
- Оцените, пожалуйста, стоимость работ по разработке дизайна.
- Дайте доступ к админке вашего сайта и ftp.
- Зачем? Нам нужна только стоимость ваших услуг по разработке дизайна.
- Без доступа смогу только приблизительно оценить.

Переписка по почте, в скайпе, телефонные конференции, недели согласований и уточнений, к сожалению, порой заканчиваются тем, что получаешь совсем не то, что ты ожидал. Замечено, что итоговый результат тем дальше от желаемого, чем меньше ты разбираешься в предметной области.

Скажем, чтобы объяснить дизайнеру, как на блокнот нанести QR-код, пришлось прочитать целую кучу материалов в сети, узнать какой минимальный размер этого кода допустим, можно ли менять его цвет, допустимо ли скругление квадратов и много другое. Только после изучения всех нюансов задачу удалось поставить максимально корректно. А вот, например, от инфографики в другом проекте пришлось отказаться, так как мы не понимали, что нас спрашивает подрядчик, а он не мог понять, что хотим мы, при этом времени на изучение всех деталей не было.

Когда я читаю рассуждения коллег о сложности взаимодействия безопасников с руководством в плане выделения бюджетов и обоснования затрат, то аналогия приходит в голову сама собой: эти люди тоже ведь говорят на разных языках. К сожалению, безопасников, способных мыслить теми же категориями, что и топ-менеджмент, не так много, как хотелось бы, но надеятся, что руководитель вникнет во все детали и будет легко оперировать понятиям "угроза", "актуальность" и т.п., вообще практически не приходится.

Остаётся хорошим безопасникам самосовершенствоваться, а остальным - стелить везде, где можно, соломку и "не отсвечивать"...

Изображение: http://ru.wikipedia.org/wiki/Файл:Brueghel-tower-of-babel.jpg

Ваш сайт незаконно размещен на моем доменном имени

2011-10-19T17:57:00.000+04:00

В одном из недавних постов я писал про плагин Social Connector для Outlook, наглядно показывающий данные о вашем собеседнике, размещённые им в социальных сетях. Сегодня пришёл спам, для отправителя которого плагин показал мне фотографию!

Самой странички, кстати, уже нет и найти "Дмитрия" в сети Facebook ни по имени и фамилии, ни по адресу электронной почты не удаётся, а фотография до сих пор где-то закеширована в недрах американских серверов и служит прекрасным доказательством правила цифровой Миранды.

Текст письма тоже, кстати, заслуживает внимания: "Ваш сайт незаконно размещен на моем доменном имени". Что имеет в виду "Дмитрий"? Как убрать наш сайт с его доменного имени? Не понятно...

Upd 28.10.11 А человек оказался реальным...

Счетоводы

2011-10-14T14:31:00.000+04:00

РЕСТЭК и Гротек подвели итоги своих выставок и успешно отрапортовали о числе посетителей и участников. Вот только результаты вызывают некое недоумение.

Выставка, распавшись на две части, явно сдала. Не так людно, не так интересно, не так масштабно, но статистика говорит об обратном:

Год	Выставка (организатор)	Участники	Посетители
2005	InfoSecurity (РЕСТЭК)	80	4688
2006	InfoSecurity (РЕСТЭК)	95	4800
2007	InfoSecurity (РЕСТЭК)	77	4301
2008	InfoSecurity (РЕСТЭК)	80	4500
2009	InfoSecurity (РЕСТЭК)	70	5000
2010	InfoSecurity (Гротек)	104	4019
2010	INFOBEZ-EXPO (РЕСТЭК)	53	3730
2011	InfoSecurity (Гротек)	129	4512
2011	INFOBEZ-EXPO (РЕСТЭК)	75	3897

Оба организатора демонстрируют рост и показатели, вполне сопоставимые с эпохой расцвета. Ни в коем случае не хочу никого обидеть, но как такие цифры получаются - не очень понимаю...

Тем временем, борьба за экспонента-2012 понемногу уже начинается. Публикуются отзывы довольных участников, организуются торжественные приёмы для потенциальных стендистов следующего года, анонсируются планы на этот самый следующий год. В общем, всё как и год назад: очередной виток, очередная острая борьба. На мой же взгляд, противостояние ИБ-выставок в России - отличная иллюстрация того, что конкуренция "производителей" далеко не всегда выгодна "потребителю".

Изображение: http://easypurl.info/wp-content/uploads/2010/04/cataccountant1.jpg?w=300

Всё смешалось в блоге Облонских

2011-10-13T07:03:00.000+04:00

Сколько ни говори об опасности разглашения личной информации в сети, людей так или иначе тянет в социальные сети, живые журналы и прочие блоги. При этом, как известно, для регистрации во всех них обязательно иметь какой-никакой, но почтовый ящик. Парадоксально, но очень часто люди используют и для личного общения с друзьями и для решения рабочих вопросов один и тот же адрес.

Мы не будем рассматривать "евангелистов", работа которых заключается в популяризации определённых вендоров за счёт своих авторитета и харизмы, а поговорим о тех, кто днём "ведущий менеджер", а по вечерам "vorobey88".

Знаете ли вы, что для Outlook есть замечательный, хотя и не очень популярный плагин Social Connector, позволяющий удобно видеть данные из соцсетей о вашем текущем собеседнике по переписке? Наглядно видно его (её) фотографию и последние сообщения со стены, есть возможность перейти на страницу или сразу пригласить в друзья. Для Gmail.com схожий функционал предлагает сервис Rapportive, встраивающий себя в почту Google и показывающий аналогичную информацию о вашем корреспонденте в процессе чтения письма от него.

Таким образом, если человек пишет вам с адреса, используемого им, например, для доступа к Facebook, вы получаете возможность получить о нём значительно больше информации, чем та, что содержится в самом письме. Признаюсь честно - порой это крайне удобно, а то и вовсе необходимо.

Говорить о нежелательности смешивания своей собственной персоны с штатной единицей конкретной организации не буду. В конце концов, для одних это только на пользу, для других не принципиально и только для некоторых такое смешение работает против них или их работодателей.

Тем не менее, отправляя письмо по работе с личного адреса из-за неработающего удалённого доступа или вообще корпоративной почты, держите в голове, что оба упомянутых мной плагина легко доступны и ставятся без проблем. Так, just in case, как говорят французы =)

Изображение: http://humorial.ru/matherials/show/26992

Как мы на Инфобезе выставлялись

2011-10-08T11:46:00.000+04:00

Про выставку InfoSecurity своими впечатлениями уже делился, так что логично и про их конкурента рассказать, тем более, что у нас там был стенд.

Начнём с места проведения самой выставки: как ни крути, а пять минут от метро Выставочная - это лучше, чем двадцать по неотреставрированным дорожкам от метро Сокольники. Да и сама атмосфера центра Москвы располагала, несмотря на туман.

Кстати, представители ГРОТЕК в следующем году обещают перенести выставку в Крокус Экспо, возле которого теперь есть метро Мякинино. Правда, даже от Арбатской туда 36 минут ехать, ну, да ладно, всё не идти.

На входе в сам павильон всех встречали охранники, которые по словам коллег порой просто откровенно хамили посетителям. Отдельно "порадовал" турникет со сканером штрих-кодов на входе. Дело в том, что получить заветный бейджик с этим самым штрих-кодом можно было только на втором этаже, а чтобы туда попасть, надо было... пройти через турникет. Приходилось периодически бегать к стойке регистрации, брать бейджи коллег и спускаться вниз, чтобы вызволить их из турникетного плена. Продумано всё, ага.

Сама выставка по площади была ещё меньше, чем InfoSecurity, зато стенды каждый строил по своему усмотрению. Полноразмерных (на 36 кв.м) было только три стенда: Microsoft, Кода Безопасности и наш.

"Закуточки" присутствовали, как и на InfoSecurity, и тоже частенько были безлюдными.

Знакомые рассказывали, что под конец организаторы раздавали стенды чуть ли не бесплатно - мол, только приходите. В принципе, на правду похоже, ведь даже по информации на сайтах было видно, что Инфобез по числу стендистов проигрывает.

С нашего второго этажа можно было видеть всю выставку почти целиком. Вот фото той части выставки, что была слева от нашего стенда.

Правую часть выставки мешал снимать фальшивый второй этаж компании Аладдин Р.Д.

У нас же второй этаж был самым что ни на есть настоящим. Вообще говоря, это первый за всю историю (поправьте, если ошибаюсь) двухэтажный стенд на ИБ-выставках в России и один из немногих, оформленных тематически. Стенд наш был выполнен в виде бастиона, символизируя высокий уровень безопасности, который обеспечивают решения наших вендоров для заказчиков наших партнёров.

Второй этаж, представляющий собой, по сути, две уютные переговорные, полностью оправдал себя: пока владельцы близлежащих стендов судорожно пытались пообщаться со своими VIP-заказчиками на фоне активностей соседей, наши VIP-гости спокойно вели переговоры на втором этаже вдали от шума, гама и конкурентов.

Особенно любопытно было наблюдать с нашей высоты за "Инфобез-Октоберфест". Прошёл он только почему-то в первый день, хотя вроде как заявлен был на все три дня, и представлял собой халявную раздачу пива и кренделей.

Сомнительное, конечно, мероприятие: хотели удержать всех посетителей вплоть до закрытия в 18:00 что ли? Допустим, но почему тогда оставшиеся два дня ничего не было?

Расскажу ещё немного про наши активности на стенде. Профессиональный ведущий, который нам понравился ещё по Девятой Партнёрской Конференции весной этого года, развлекал посетителей самыми разными способами.

Баскетбол, дартс, строительство бастиона, викторина - чего только не было. Главное, что почти все конкурсы были так или иначе связаны с информационной безопасностью. Не буду в деталях описывать всё, что мы придумали - надо было приходить и лично участвовать =) Вот Алексей Волков, например, у нас даже приз выиграл. Ну, конкурс там не совсем ИБшный, конечно, был, но ведь это уже финал третьего дня, так что простительно =)

Отдельная история с чеканкой монет. Каждый посетитель нашего стенда мог своими руками сделать себе памятную монету с нашим логотипом и желающих было ну очень много. К сожалению, звук удара кувалды по наковальне оказался неожиданно громким (на самом деле, просто выставка была тихой и поэтому было хорошо слышно), а так как рядом с нами был один из главных залов, то пришлось чеканить только в перерывах между круглыми столами, чтобы не мешать коллегам.

Вообще, соседи на нас жаловались регулярно: то мы слишком громкие, то слишком яркие, то слишком интересные =)

Кроме неформальной части были, конечно, и презентации, неизменно собирающие слушателей.

Помимо активностей на собственном стенде, на общих площадках мы организовали два круглых стола и с помощью вендора устроили живую демонстрацию. С круглыми столами очень сильно помог Михаил Юрьевич Емельянников. К слову, Михаил Юрьевич ну очень много сделал для того, чтобы конференционная часть ИнфоБезопасности была интересной (с InfoSecurity итоговый результат вообще ни в какое сравнение не идёт, кстати): три-четыре выступления подряд для него, по-моему, уже стали нормой. Великого ума, таланта и драйва человек. Респект.

Пост затянулся, пора закруглятся. Не могу не похвастаться тем, что представитель нашего вендора Fortinet Валерий Гулиян в этом году получил меч гладиатора в соревновании "Львы и гладиаторы". Шесть голосов "За" из семи возможных - Валера просто молодец! Фотографию с мечом взял у Алексея Волкова: своей почему-то не нашлось. Между прочим, девушка на фото - это Наташа, наш мега-продакт-менеджер как раз по Fortinet.

Алексей Лукацкий в твитере прокомментировал событие неожиданно: На Инфобезе меч отдали фортинету #СПАСИБОПУТИНУЗАЭТО. Кстати, как ни непатриотично это прозвучит, лично мне больше всех понравился Александр Шахлевич из Netwell, но львы его выступление не оценили. Зато у нас теперь уже второй вендор (в позапрошлом году приз достался Михаилу Романову из Stonesoft) берёт эту высокую планку. Видимо, вендоров мы подбирать умеем =)

Остальные фото смотрите у меня на странице в Facebook.

Застройщик стенда: компания ЭкспоМастер

Фотоотчёт о посещении InfoSecurity-2011

2011-09-29T13:43:00.001+04:00

Побывал вчера на выставке InfoSecurity. Общее впечатление - выставка сдулась... ~~Вражда между Монтекки и Капулетти~~ Конкуренция между РЕСТЭКом и Гротеком, о которая я уже писал, продолжается и по сей день и на пользу явно никому не идёт.

Ещё на подходе к Сокольникам бродит человек-бутерброд с символикой Инфобеза. Какое отношение к выставке имеет красный Карл Маркс - мне не очень понятно.

От метро, кстати, идти до выставочного павильона довольно далеко. Маршрут, который организаторы нарисовали на схеме, вообще ведёт в обход. Он и понятно: прямой путь (которым я пошёл в надежде сэкономить время) проходит через активные строительные работы.

Знакомые по прошлому году ступеньки, курящий народ... Интересно, что же внутри?

Выставочный павильон производит удручающее впечатление. На этой фотографии видна практически вся выставка: не вместилось буквально по несколько стендов справа и слева. Была бы возможность отойти шагов на десять - попали бы все.

Стендисты откровенно скучают, на меня, как на посетителя, внимания вообще не обращали - никто даже не подошёл и ничего не спросил.

Посетители традиционно развлекают себя сами: макулатуркой, набившими оскомину презервативами от Касперского и прочей раздаткой.

Кстати, все стенды стандартной застройки: колонна с логотипом в центре и два крыла, высотой по грудь, расходящиеся в стороны. Угол между крыльями определяет площадь стенда и его стоимость для участника. С одной стороны - выставка получается открытой, с другой - кажется очень куцей и скучной. Единственный нестандартный стенд:

Как всегда порадовали "закуточки" на границе выставки. Комнатушка со столом, стулом, парой плакатиков и пачкой макулатуры - и кому это надо?

Комнатки для презентаций рассчитаны человек на 25 максимум - организаторы, видимо, предвидели отсутствие реального интереса. На фото представителя Лаборатории Касперского слушаю аж человек 15.

Самое крупное "помещение" - центральная сцена, во время любого события на которой на близлежащих (а таковых много - размеры выставки более, чем скромны) стендах нельзя было даже поговорить.

Девушек красивых было мало, но они были. Вот красавицы из Кода Безопасности:

А это модели Инфосистем Джет. В павильоне было холодно и нарядные платья скрылись под куртками и кофтами.

Кстати, все коллеги, работавшие на стендах, в один голос говорят, что выставка ни о чём. Утром ещё какой-то ажиотаж можно было наблюдать, но после обеда (как раз когда я и приехал) делать на стендах было практически нечего - только друг к другу в гости ходить.

В общем, если вам совсем нечем заняться, есть непреодолимое желание послушать пару из заявленных докладов (мне в программе только пара и понравилась, кстати) или давно не виделись с коллегами - добро пожаловать на InfoSecurity.

Остаётся надеяться, что на Инфобезе, где, кстати, мы со своим стендом участвуем, будет полезнее и веселее. Ну, мы во всяком случае со своей стороны очень постараемся.

Остальные фото с комментариями выложил у себя на страничке в Facebook.

Изображение: http://img-fotki.yandex.ru/get/3613/jane00072008.34/0_28caf_7039ffca_L

UPD. Про Инфобез тоже есть отчёт.

Встречаем: Вова Одновзвод

2011-09-19T08:12:00.000+04:00

На досуге пришла в голову пара идей публикаций, для наглядных иллюстраций которых нужно иметь аккаунты на популярных сервисах. На себе показывать, как известно, плохая примета, поэтому решил использовать отдельного персонажа для этих целей.

Встречайте: Владимир Одновзвод, информацию о котором я собирал в одном из моих прошлых постов, и тот самый, кто стал однажды Сервис-Гадом. Так как нам с вами его судьба далеко не безразлична, то и он будет отвечать нам взаимной симпатией, а посему, давайте без официоза звать его просто Вовой.

Итак, Вова Одновзвод первым делом, прийдя в Сеть, естественно должен завести себе почтовый ящик. Ведь без собственной почты даже ни в одной социальной сети не зарегистрируешься. Вова в вопросах информационной безопасности достаточно продвинут (по крайней мере, он сам так считает), но немножко ретроград и думает, что "лучший" и "популярный" - это одно и тоже. Поэтому он выбрал себе почтовый сервис mail.ru. Пойдёмте же скорее регистрироваться.

Вова идёт на заветную страницу и заполняет нужные поля.

Опасаясь появления в Сети лишней информации о себе, Вова рад был бы вообще ничего не указывать, но, к сожалению, mail.ru требует достаточно много (как влияет на доступ к почте пол или дата рождения - ума не приложу). Тем не менее, секретный вопрос Вова выбирает не тривиальный, ведь он читал мой пост про неправильность выбора клички собаки в качестве секретного вопроса. Для подтверждения того, что Вова не робот, он вводит код с картинки

и становится счастливым обладателем почтового ящика odnovzvod@mail.ru, на который ему даже уже два письма пришло =)

Для начинающего сетянина Вова сегодня сделал очень даже много, поэтому давайте дадим ему немного отдохнуть, ведь дальнейшая судьба его будет столь непростой...

Кстати, не могу не отметить обновлённый интерфейс (да и сам принцип работы) страницы регистрации mail.ru. Чуть больше года назад я писал об этом и высказал ряд претензий, часть из которых, что приятно, устранены. К сожалению, дыра с подбором паролей банальным перебором пока так и не закрыта, но про это лучше написать отдельно.

Излишняя зарегулированность

2011-09-16T07:38:00.000+04:00

Помню, жил я в доме, отделённом от остановки транспорта широким проспектом. Перейти этот проспект можно было в трёх местах. При этом два перехода были со светофором, а один, располагающийся между ними на хорошо просматриваемом в обе стороны участке дороги, был без него.

Дорогу приходилось переходить часто и экспериментальным путём было выявлено, что нерегулируемый переход гораздо удобнее, т.к. не нужно стоять и ждать зелёного света, что экономило драгоценные десятки секунд, особенно актуальные, если ты опаздываешь на автобус/маршрутку или, например, замёрз и спешишь домой. Скорость перехода снижалась ещё и из-за того, что за время ожидания порой скапливалось большое количество людей, которые начинали пересекать дорогу одновременно, а идти в толпе - сами знаете: быстро не получается.

Второй вывод из экспериментов оказался более неожиданным: пересекать дорогу на нерегулируемом переходе было безопаснее! Во-первых, конечно, из-за хорошего обзора: пешеход и водитель видели друг друга издалека. Во-вторых, на переходе без светофора не было водителей, которые увидев на подъезде мигающий зелёный (или вообще жёлтый), стремительно ускорялись, чтобы успеть проскочить. Понятно, что некоторые проскакивали уже на столь "глубокий жёлтый", что фраза "не такой уж он и красный" к ним не походила вообще ни разу. Несколько раз я даже видел ситуацию, когда такой разогнавшийся автолюбитель вынужден был выехать на встречную полосу, чтобы объехать рванувших на свой законный зелёный пешеходов. А рвани они с обеих сторон? Куда он свернёт и кого в итоге задавит?

В данном конкретном случае получилось так, что жёсткая регуляция движения не только вносила неудобства (обеим, кстати, сторонам), но и повышала аварийность (из-за неадекватности людей, конечно, но тем не менее). В противовес этому - саморегуляция (водитель с пассажиром без посторонних определяли порядок пересечения дороги) не только не напрягала обе стороны (на машине я там тоже не раз ездил и запомнил только эти неудобные долгие светофоры), но и способствовала повышению безопасности.

Понятно, что многое в своих рассуждениях я не учёл, но тем не менее, мой эмпирический опыт отлично иллюстрирует нехитрую, вобщем-то, мысль, что прозрачность и свобода действий при правильном подходе могут принести больше пользы, чем принятие очередных ФЗ-152, ФЗ-153 и ФЗ-154, гребущих всех под одну гребёнку и устанавливающих одинаково неудобные и неэффективные правила для всех участников процесса.

Изображение: http://prikolnianekdot.ru/demotivator/NEUDOBNO_i_zachem_oni_eto_nadevayut_-20110614141147.html

Поймать анонима за хвост

2011-09-12T10:49:00.001+04:00

Повадился тут некий любитель поанонимировать звонить мне с неопределяемого номера. В принципе, особо не доставал, просто звонил и молчал в трубку. В последнее время же как-то активизировался, мог и в два ночи позвонить, так что захотелось вывести его на чистую воду. Оказалось, что узнать номер абонента, определяющегося как Анонимный, проще простого.

Всё что нужно, для того, чтобы узнать телефон желающего его скрыть человека - это принять вызов, а потом заказать детализацию звонков. Подсказал мне эту идею пост Артемия Лебедева. Кстати, его отношение к таким скрывающимся во многом разделяю.

Важно вызов именно принять, потому что для неотвеченных звонков телефон не показывается, равно как для звонков, пропущенных из-за того, что аппарат был вне сети.

Вот он, красавец:

Будет звонить опять - ещё цифры добавлю =)

Изображение: http://www.amigos.lv/ru/qna?id=58303

Сервис-Гад Мегафона

2011-09-04T20:37:00.000+04:00

Вы любите управлять своим телефоном и тарифом при помощи системы самообслуживания? Подключать и отключать услуги и сервисы, контролировать баланс через Интернет? Тогда читайте дальше. Никогда этой возможностью не пользовались и вообще терпеть не можете все эти новомодные штучки? Читайте тем более: сочинённая мной сегодня история вам пригодится.

Меня всегда поражал талант отдельных личностей любой, созданный изначально во имя добра, инструмент пытаться (и, к сожалению, иногда успешно) превращать в нечто деструктивное.

Сестра моего хорошего знакомого полетела к друзьям зарубеж, чтобы совершить с ними недельное автопутешествие. После прилёта отзвонилась, сказала, что всё хорошо и... пропала. Дороговизну роуминга мы с Ригелем здесь в комментариях уже обсуждали, так вот и мой знакомый после этого звонка из аэропорта просто писал СМСки а-ля "кагдила" (отвечать на них тоже дорого, но хоть не надо у терминала оплаты стоять и как в старые времена раз в пять минут "монетку кидать"). После очередного неотвеченного послания знакомый как-то заволновался и начал звонить. Короткие гудки были ему ответом. Понятно, баланс ушёл в минус, надо денег положить. Тысяча отправлялась за тысячей, но связь не появлялалсь. Что делать? Звонить друзьям? А где ж номер их взять? В полицию обращаться? Так там, вроде, 72 часа должно пройти. Знакомый позвонил в поддержку Мегафона (номер принадлежал этому оператору), сотрудники которой, кстати, очень вежливы и профессиональны (это я сейчас уже не сочиняю, а правду говорю). Девушка из саппорта сообщила, что на номере установлена добровольная блокировка, т.е. полный запрет любых видов связи. Вот те на! Кто ж такие вещи добровольно делает? К счастью, SIM-ка была оформлена на знакомого и он, продиктовав свои паспортные данные, снял блокировку и связался с уже тоже начинавшей нервничать родственницей.

Оказалось, что один из "друзей" сопровождавших родственницу в поездке воспользовался доступом к её телефону и узнал пароль от Сервис-Гида Мегафона. После чего просто зашёл в настройки и заблокировал номер. Как он сам объяснил, чтобы "у ней стала бида и она обротилась ка мне".

Знаете, кто это был? Тот самый, десять постов назад придуманный мною персонаж: Владимир Викторович Одновзвод. Ну а что? Он всё равно придуманный - пусть и в этой истории поучаствует =) Кстати, чувствую, что не раз он ещё в этом блоге засветится.

Зачем я всё это просил вас читать, спросите вы? В вашем окружении нет таких неадекватов и с вами такое не может случится в принципе? Уверены? Придурковатых подростков, хулиганистых школьников, ревнивых мужей, просто по жизни странных товарищей - никого нет? Допустим. Но всё же, на всякий случай, сделайте вот что.

Вариант 1. Вам не нужен Сервис-Гид.
Узнайте пароль от него (если не знаете), набрав на телефоне *105*00#. Зайдите в личный кабинет, введя номер в формате 9261110505 и полученный по СМС пароль. Выберите в меню: Настройки Сервис-Гид -> Управление уровнем доступа. Установите новый уровень доступа: Нет доступа к "Сервис-Гид". Спите спокойно: без визита в офис с вашими паспортом и внешностью никто ни к чему доступ больше не получит.

Вариант 2. Вам нравится Сервис-Гид и из-за каких-то ~~чудаков~~ людей вы не готовы от него отказаться.
Смените пароль, набрав *105*01# следуя указаниям системы. Не стесняйтесь в сложности пароля, можно использовать до 26(!) символов. Не записывайте пароль и никому не говорите. Не давайте телефон подозрительным личностям. Не выпускайте его из рук. Спите почти спокойно.

Изображения: http://yoursmileys.ru/t-watermelon.php

PacketMotion продался VMware

2011-09-02T20:08:00.000+04:00

Украду немного хлеба у Алексея Лукацкого, регулярно пишущего о всякого рода поглощениях и слияниях.

Такие посты комментариев почти не набирают, отчасти потому, что очередная покупка известным гигантом малоизвестной конторы комментировать крайне затруднительно. Ну, купили, а дальше что? В данном случае могу рассказать чуть больше, чем официальный пресс-релиз.

Всё дело в том, что не так давно PacketMotion создал очень неплохой продукт vProbe, позволяющий контролировать происходящее в том числе и в виртуальных инфраструктурах. Вообще, PacketMotion позволяет проводить высокоуровневый анализ творящегося в сети компании: неадекватность в действиях пользователя, нарушения политик ИБ, наглядность отображения нарушений - это всё их "конёк".

В мире такое мало кто умеет, вот VMware и приняла правильное решение. Продукт PacketSentry не из числа дешёвых и ориентирован на компании с крупными сетями и большим количеством пользователей. При этом крайне желательно наличие "зрелого" подхода к вопросам информационной безопасности: не "ну, вы там посмотрите, кто что не так делает", а конкретные и внятные политики ИБ. Круг таких заказчиков, понятно, сильно ограничен, но и работать с такими клиентами обычно крайне небезубыточно. Говорят также, что Российский рынок у них второй по объёмам. В принципе, глядя на это, верится.

Изображение: http://i.techrepublic.com.com/blogs/packet_vmotion.png

Кого я не люблю

2011-09-02T07:57:00.003+04:00

Работая в области ИБ далеко не первый год, могу со всей ответственностью заявить, что никогда не врал ни заказчикам, ни партнёрам.

Даже такой малодушный способ вранья, как умалчивание правды, не использовал.

Даю бесплатный совет. Если тебе звонит потенциальный покупатель и просит того, что твой продукт не может - не надо сочинять сказок, подключать НЛП и любыми иными способами стараться привлечь его на свою сторону. Я столько раз говорил людям "мы это не умеем" и получал в итоге контракт, что порой подмывает говорить это даже без оснований (шутка).

Вернёмся к теме. Предположим, что тебе, мой дорогой друг, платит конкретная компания и ты морально "должен" отстаивать её интересы. В какой-то момент тебя "ставят к стенке" неубиваемым аргументом или неоспоримым фактом. Так вот, что я не люблю, так это отстаивание позиций своей компании любой ценой. Признай "косяк" и живи дальше без лейбла "фанатик". Но нет, чаще всего люди упираются и любыми способами стараются доказать свою "правоту".

Боязнь публично признать свою неидеальность (кстати, кто-то верит, что идеальные компании реально существуют?) приводит, в частности, к включению предмодерации комментариев в своих блогах.

Это я тоже не люблю. Сотрудники компании Эшелон, например, не опубликовали ни одного моего комментария к записям в их блоге. Не уверен, что там были приятные для них отзывы, но вот уважаемый Код Безопастности побоялся одобрить у себя в блоге даже вполне популязирующие их мои комменты.

Друзья, будте честны, это принесёт вам и вашим работодателям гораздо больше пользы (в конечном итоге).

Изображение: http://timros.diary.ru/p134250290.htm

UPD. Код Безопасности разместил все комментарии. Молодцы!

Как меня вербовали

2011-09-01T06:49:00.000+04:00

Меня зовут *******, я представляю pr-агентство, работающее с рядом ИТ-компаний. В данный момент мы рассматриваем кандидатов для сотрудничества по ведению тематического ИБ-блога.
Мы ищем специалиста в области информационной безопасности, который кроме глубокого понимания темы еще и хорошо и интересно пишет. По предварительной концепции, блог будет выглядеть как записки параноика, помешанного на информационной безопасности.
Если вам интересно сотрудничество такого рода – пришлите, пожалуйста, резюме и контактный телефон, по которому можно будет обсудить детали. Будем рады вашему ответу!

Затрудняюсь сказать, сколько ещё людей получило такое письмо, но я оказался одним из них. Я не ищу дополнительных источников дохода, но любопытство во мне проснулось. Завязалась (недолгая, впрочем) переписка, которую коротко можно описать как "игра в прятки" =)

Моё настоящее имя (а также текущее место работы, должность и т.д.) несколько десятков человек знают точно, а для остальных большого труда выяснить это не составляет. Я, конечно, не проверял на практике, но почему-то в этом уверен, ведь мой псевдоним возник вовсе не из желания полной анонимности, а скорее вынуждено. Итак, краткое изложение переписки (начиная с моего ответа):

- Что конкретно предлагаете?
- Пришлите резюме, тогда расскажем.
- Вот обезличенное резюме.
- Спасибо, думаем... ... ... думаем ... .... ещё думаем ... ... А где вы конкретно работаете?
- Какое это имеет значение? Занимаюсь (в общих словах) те-то и тем-то.
- Нет, ну всё же, скажите хотя бы с какими вендорами сотрудничает ваша компания?

Мой ответ, завершивший переписку, был таким:

*******, если целью проекта будет продвижение какого-то конкретного вендора, явно конкурирующего с теми, чьим продвижением я занимаюсь на своей текущей позиции, и никаких вариантов достижения компромисса (заключение технологического партнёрства, расширение текущего портфеля или что-то подобное) не будет, то я сам откажусь от участия из моральных соображений.
С уважением, Тарас Злонов

На этом, собственно, всё и закончилось. Наверное, почитали мой блог и среди вендоров, о которых я пишу, нашли злейшего врага =) Или ещё что-то повлияло. Тем не менее, хотелось бы отметить тот факт, что блоггерство нынче воспринимается маркетологами и пиарщиками как реальный инструмент продвижения даже в столь специфичной области как ИБ.

Концепция предполагающегося блога в целом понятна и вряд ли мы с вами пропустим его запуск. Во всяком случае, могу уважемому (-ой) ******* точно сказать, что этот блог не минует мою ленту чтения (иначе считайте всю концепцию полным провалом =) ).

Будут новости у меня - сообщу. Натолкнётесь на блог параноика в сфере ИБ - пишите: интересно ведь, что за ИТ-компания это была =)

Изображение: http://taba.ru/image/category/67/642319_Chempionka_Rossii_po_mauntinbordu_Viktoriya_Le.html

Ворованное можно обналичить всего за 4,9%

2011-08-27T08:39:00.004+04:00

"<ваше имя>, я попал в аварию на трассе, телефон не доступен, пожалуйста срочно положи 500р. на этот номер, не могу вызвать страховщиков и скорую. <имя вашего друга>."

Не готов сказать, какой процент людей таким сообщениям верит, но склонен предполагать, что при недоступном номере лучшего друга деньги положил бы и я сам.

Во всех этих SMS-мошенничествах меня всегда интересовал вопрос: вот положил тебе обманутый человек денег на телефон, а что ты с ними делать-то будешь? В Австралию прохожим предлагать звонить за деньги что ли? Но, раз прецеденты были, значит были и варианты вывода денег со счёта.

Теперь же всё стало гораздо проще: "Абоненты «МегаФона» получили возможность осуществлять денежные переводы со счета мобильного телефона на банковские карты". Подробее здесь.

Готовьте близких к новой волне malSMSware =(

Изображение: http://stat17.privet.ru/lr/0a0b93dc0b8a8d06456accd5cf33280d

Банкам запрещают обращаться к коллекторам

2011-08-26T18:14:00.001+04:00

Просрочили выплату ипотеки и вздрагиваете от телефонных звонков, со страхом ожидая прихода крепких людей в штатском со стальным взглядом и волевым затылком? Расслабьтесь.

Высший Арбитражный Суд РФ считает, что право требования кредита банк может передать только другому банку, так тот, кому передается это право, получает информацию о заемщике, являющуюся банковской тайной. Согласно законодательству в перечень тех, кто имеет доступ к банковской тайне, попадают только банки, сами клиенты (и их представители), бюро кредитных историй и госорганы, но никак не коллекторские агенты.

Соответствующее письмо Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека с разъяснениями и комментарии юристов доступны на сайте Гарант.

Изображение: http://100m2.com.ua/rubric/5/page173.html

Месть дизайнера

2011-08-25T16:08:00.003+04:00

Нужно было нам нарисовать небольшой баннер. Обратились к аутсорсеру. Первый вариант его творчества вы видите чуть выше. Озвучив очевидные недостатки (слишком широкий, очень много трудно читаемого текста и примитивная анимация), мы получили нечто...

Музыки, естественно, не было - наложили "just for fun".

Плагиат как средство продвижения

2011-08-22T19:35:00.000+04:00

Слово "маркетинг" в названии блога позволяет мне писать и такие посты, как этот.

Новостные и информационные порталы практически никогда (в отличие от подписных бумажных изданий) не берут денег со своих читателей, поэтому основной источник дохода для них - это реклама. А как убедить рекламодателя, что твой ресурс - это лучшая трата его маркетингового бюджета? Статистикой посещения и личным обаянием, конечно!

Обаяние - вещь сугубо личная и слабосовершенствуемая, а вот вниманием потенциальных рекламополучателей к своему сайту можно попытаться управлять. Что важно для посетителей новостных ресурсов? Точность, объективность и оперативность. Первое и второе трудно оценить даже на субъективном уровне, а вот скорость появления материалов легко измерима.

Вчера в моей ленте чтения RSS друг за другом появилось два сообщения со схожей тематикой:

Мошенники вооружатся тепловизорами (Anti-Malware.ru - 22 августа, 2011 - 13:56 )
Для кражи PIN-кодов мошенники вооружатся тепловизорами (CNews.ru - 22 августа, 2011 - 15:48)

Глядя на время создания каждой из публикаций, я чуть было не зауважал "продажный" (оценочное суждение) ресурс Anti-Malware.ru, сумевший по скорости ~~перевода~~ реакции превзойти явно более авторитетный (оценочное суждение) CNews.ru. Почитав, однако, более внимательно обе публикации и воспользовавшись инструментом сравнения текстов от MS Word, вынужден признать факт полного копирования контента с CNews.ru Александром Панасенко (Anti-Malware.ru).

На скриншоте представлен результат сравнения исходного текста CNews с тем, что опубликовал Александр:

Как мило: удалён изначальный источник (CSOOnline.com) и добавлен новый (CNews). Кстати, переведший западную новость CNews.ru, в отличие от скопипастившего адекватный перевод Anti-Malware.ru (известного своими трудностями перевода), не сделал активной ссылки на "первоистоник".

Неискушённый читатель в обеих публикациях подвоха не увидит, считая каждый из ресурсов реальным генератором новостей, а не просто сборищем ~~низкоквалифицированных~~ переводчиков, но мы же с вами не хотим вестись у кого-то на поводу, верно?

Изображение: http://mobilekid.ru/photo/kak_vy_otnosites_k_plagiatu/12-0-1882

Управа на упёртого абонента

2011-08-22T16:12:00.000+04:00

Вам никто никогда не начинал регулярно названивать много раз подряд? Отдельные назойливые люди, как показывает практика, способны звонить по десять-двадцать раз, вызывая что-то среднее между раздражением, недоумением и жалостью.

Не всегда и далеко не со всеми хочется в данную конкретную минуту общаться по телефону - на то и существует у человека право на личную жизнь. Вот только отдельные персонажи этого не понимают и требуют к себе пристального внимания немедленно, сейчас же! Бывают ещё шутники (мошенники?), развлекающие себя таким образом: позвонил со Skype и сбросил звонок, позвонил и сбросил... Номер определяется непонятный (+13023803685) и кто тебя "разыгрывает" - не известно.

Компания Мегафон для таких случаев предлагает услугу "Чёрный список", избавляющую от нежелательных звонков. Вот только есть два аспекта в её использовании.

Во-первых, звонящий услышит: «Неправильно набран номер, пожалуйста, проверьте правильность набора номера и перезвоните», «Отклонён», «Недоступен» или «Занято» (настраивается с использованием Сервис-Гида). Что предпримет назойливый неадекватный абонент в этом случае? Правильно, начнёт звонить с других телефонов, будет пытаться скрыть свой номер АнтиАОНом, в общем, с тупым упорством продолжать портить вам жизнь и нервы.

Вторая сложность заключается в том, что даже с самыми надоедливыми иногда, к сожалению, приходится разговаривать и совсем их звонки блокировать нельзя.

Поэтому в большинстве случаев люди, попавшие под такую DOS-атаку, просто отключают звук телефона. Недостатком, очевидно, является тот факт, что из-за одного неадеквата можно пропустить звонки от нормальных людей.

В ходе размышлений над этой проблемой мне пришло в голову простое и незатратное решение: установить на неадекватного абонента в качестве звонка тишину. Воплощение замысла заняло буквально несколько минут. Выкладываю результаты своего труда - 10 секунд чистейшей тишины. Быть может, и вам будет полезно:

Изображение: http://www.yoursmileys.ru/tsmile/watermelon/t1757.gif

Монетизация темы персональных данных

2011-08-17T07:04:00.001+04:00

Пока эксперты-блогеры на совершенно бескорыстной основеделятся своим мнением относительного ФЗ-152 и всего, что связано с тематикойперсональных данных, господа Травкин и Баевский предлагают свои услуги за определённую плату.

На свежезапущенном сайте Мир персональных данных можно за деньги скачать материалы по вышеобозначенной тематике. Схема оплаты гибкая, оптом - скидки. Правда, пока материалов совсем не много, да и те, что есть, практическую ценность имеют весьма сомнительную.

Например, всего за 500 рублей можно приобрести Закон США "О добросовестном предоставлении кредитной информации" о_О Уж не знаю, насколько этот документ вообще законно продавать, но, в любом случае, будем надеяться, что в ближайшем будущем будет доступно и что-то более полезное для рядового российского оператора персональных данных.

Вообще, конечно, очень мило выглядит предоставление платных консультаций и материалов по тематике персональных данных от человека, который описывает себя так: Член раб. группы по доработке ФЗ "О персональных данных" (2006), член раб. группы по разработке новой редакции ФЗ "О персональных данных" (2011). Соавтор основных правовых "новаций" в новой редакции ФЗ.

Ладно, будем считать, что я просто завидую, что меня не позвали сочинять какой-нибудь хитрый закон, чтобы я потом за деньги всем объяснял, что я там напридумывал =) А вообще, господин Травкин при личной встрече произвёл самое благоприятное впечатление. Помню, когда тема ПДн ещё только-только становилась горячей, я из его рук получил книгу "Персональные данные" с автографом автора. Вот только курил Юрий Владимирович тогда много. Надеюсь, сейчас бросил.

Изображение: http://onlinewm.at.ua/publ/ehlektronnye_platjozhnye_sistemy/webmoney_transfer/3

Форт-Росс - ремонт под ключ

2011-08-15T13:31:00.001+04:00

Сегодня прислали очередное предложение принять участие в мероприятии. На этот раз в "Девятом Съезде российских ИТ-директоров". По мне, так все эти мероприятия на одно лицо. Даже и писать бы не стал, но тут такое дело...

Пролистывая описание мероприятия на сайте, я вдруг увидел вот такую красоту:

Вот и гадай теперь, то ли на организации мероприятий много не заработаешь и приходится, так сказать, расширять профессиональную область деятельности, то ли web-мастер имеет свою копеечку, размещая посторонние ссылки...

Кстати, на сайте самого организатора аналогичное объявление:

А может это классический "дефейс" сайта и происки конкурентов? Пойду напишу им письмо, чтобы ИТ-перед директорами не позорились.

Изображение: http://900igr.net/fotografii/predmety/Instrumenty-1.files/024-Masterok.html

Второй исход из социальных сетей

2011-08-12T06:15:00.000+04:00

Несколько лет назад, поставив простой эксперимент в Одоклассниках (о сути при случае расскажу), я пришёл в ужас от слабой защищённости своей личной информации от посторонних. В результате осознания масштабов проблемы полностью удалил свой профиль и закрыл для себя тему социальных сетей на некоторое время.

Не берусь сказать сколько точно времни спустя, но завёл-таки себе страничку в Моём круге, социальной сети, как мне тогда казалось, для поиска работы и общения с коллегами. Затем друзья затащили ВКонтакт. Практически сам собой опять появился профиль в Одноклассниках. Наконец, в этом году Facebook вообще позволил взглянуть на общение в социальных сетях по новому.

Ведь как здорово ставить "лайки", комментировать сообщения друзей, делиться интересными ссылками, отмечать понравившееся видео на YouTube...

Не так давно меня по-дружески попросили собрать информацию об одном человеке. Так как нас с ним разделяло более тысячи километров, а времени особо не было, то естественно, я решил воспользоваться мощнейшими средствами современных поисковых систем и никуда не ездить. Благо, что ФИО субъекта было достаточно редкое (скажем, Владимир Викторович Одновзвод).

Место работы, телефон, фотография, адрес электронной почты, отзывы клиентов... Всё нашлось по мановению волшебной палочки за пару десятков минут. Параллельно был определён полный состав семьи и обнаружены источники ещё более детальной информации о детях субъекта. В итоге в отчёт пришлось даже вставлять далеко не всё обнаруженное.

Подавляющее большинство информации было получено, как все уже догадались, из социальных сетей. Хочу отметить, что мой сбор информации был исключительно пассивным - я просто анализировал результаты того, что проиндексировали поисковики и просматривал размещённую самими людьми информацию о самих же себе. Простейшие методы социальной инженерии позволили бы собрать ещё больше деталей и фактов.

В ходе этой работы на языке у меня постоянно вертелась присказка "сапожник без сапог". Ведь вся информация обо мне точно так же равномерным слоем размазана по жёстким дискам крупных датацентров по всему миру! А самое нелепое, что размазана-то мной самим и добровольно! Никто ведь не заставлял всему миру называть свою родную школу или сообщать, что я люблю видеоролики с котами. Всё сам. Пятый роман Фёдора Михайловича Достоевского, да и только.

Сейчас все мои странички в социальных сетях пусты (если не считать перепостов с этого блога и моего сайта), а на большинстве и вовсе указан псевдоним вместо реальных ФИО. Но на душе всё равно не спокойно.

В Соединённых Штатах Америки действует правило Миранды, согласно которому подозреваемому перед допросом зачитывают его права (помните же, в фильмах: «Вы имеете право хранить молчание. Всё, что вы скажете, может и будет использовано против вас в суде»), а Михаил Юрьевич Емельянников отлично сформулировал новое правило, правило цифровой Миранды: «Всё, что вы указали о себе в социальной сети, блоге, форуме, чате, любом общедоступном сервисе, будет храниться там вечно и всегда может быть использовано против вас».

Вот и сижу, опасаюсь, как бы чего не использовали... А вы всё ещё "лайкаете"?

Изображение: http://www.mediaspin.com/blog/wp-images/social_networks2.jpg

Всего несколько секунд — и вы сможете продолжить поиск

2011-08-04T13:29:00.000+04:00

Первый раз такое встретилось. Первая мысль - не по следам ли недавних нашумевших поисковых утечек Яндекс ввёл новые правила?

Оказалось - показалось. Есть посты на форумах про данный механизм как минимум в январе этого года. Наверное, у нас в компании сегодня просто активно поработали слишком много маркетологов и аналитиков, тщательно мониторящих онлайн ресурсы в сети Интернет, вот и превысили пороговое значение на количество запросов с одного IP-адреса за период времени.

Сертифицированное будущее

2011-08-02T21:20:00.000+04:00

Принятие поправок в закон о персональных данных ФЗ-152 породило активное обсуждение нововведений. Вопросов много и один из них - обязательная сертификация средств защиты.

Хороший анализ данного вопроса и активное обсуждение есть в блоге Алексея Волкова. Юристы у нас, что ни говори, зарплату получают не зря. Разобраться в хитросплетениях законодательства, разные составляющие которого принимались в разное время (я бы даже сказал в разные эпохи) и при разных обстоятельствах - дело не тривиальное.

Вот только мне кажется, что на месте рядового оператора персональных данных при выборе средства защиты гораздо проще подстелить соломку сразу: купить сертифицированное и не думать. Не секрет, наверное, что наличие бумажки с гербом на проверяющих действует более положительно, нежели стопка вырезок из разных законов и умный юрист. Да и стоимость услуг юриста может оказаться дороже разницы в стоимости обычного продукта и "идеологически правильного".

Есть, правда, ещё исторически сложившаяся претензия к слабой функциональность отечественных средств защиты, а ведь именно они как правило "самые-самые сертифицированные". Госчиновникам это часто не принципиально, а вот коммерсантам кроме "бумажной" защиты хочется и реальную иметь. Но, к счастью для таких, западные вендоры уже давно освоили процедуру сертификации своих изделий, и поштучно, и партиями, и даже производством, поэтому выбрать есть из чего. Не все ещё, конечно, вендоры, но многие. А тем, кто пока не успел, лучше поторопиться, пока рынок не поделили без них. Хотя, думаю, они и сами это прекрасно понимают.

В общем, и без того не маленький файлик на сайте ФСТЭК явно начнёт прибавлять в размере в самое ближайшее время:

Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00

Картинки: http://applemix.ru/catalog/iphone/3g/

http://www.fstec.ru/

В полку токенов прибыло

2011-07-28T12:22:00.000+04:00

Компания Fortinet, являющаяся мировым лидером в сегменте UTM-устройств, славится тем, что все технологии стремится разрабатывать самостоятельно, отказываясь от лицензирования сторонних решений в составе своих продуктов. Ещё один принцип развития компании - постоянное расширение продуктового портфеля: FortiGate, FortiMail, FortiManager, FortiAnalyzer и т.д. вплоть до FortiFone. Теперь вот дошла очередь и до токенов.
Пока в модельном ряде представлен только FortiToken-200, являющийся генератором одноразовых паролей (OTP - one time password) с синхронизацией по времени (раз в минуту генерируется новый пароль как на самом устройстве, так и на проверяющей стороне). Сфера применений достаточно широкая: аутентификация при построении IPSec или SSL VPN, безопасный доступ к Web-порталу или двухфакторная аутентификация администраторов устройств FortGate.

Что мне особо понравилось в устройстве - так это его высокая степень защищённости IP68, а именно: полная защита от пыли и защита от долговременного погружения в воду, а также наличие кнопки включения экрана. Данная кнопка позволяет экономить батарейку, включая экран только в нужный пользователю момент. У конкурирующих продуктов экран обычно работает всё время, даже когда сотрудник, например, в отпуске или спит. Есть, правда, ещё устройства с синхронизацией по событиям: в них генерация секретного значения происходит только по нажатию клавиши, а не постоянно с заданной периодичностью, но такие устройства при определённых обстоятельствах могут быть рассинхронизированы с сервером, что не всегда удобно.

О стоимости FortiToken пока не сообщается.

Демотиваторы.ру о принятии ФЗ-152

2011-07-27T11:07:00.001+04:00

Но, надежда на лучшее пока жива:

Алексей Лукацкий

После нашего второго письма в сторону Президента с просьбой не пересылать его по подведомственности в Минкомсвязь в адрес «пяти экспертов» посыпались звонки из Минкомсвязи с просьбой разъяснить, что происходит и почему в Минкомсвязь идет такой поток запросов из Администрации Президента. Мы пояснили, что и как, и нас пригласили на встречу с целью обсуждения, как из обычных критиков законопроекта мы можем превратиться в экспертов, реально помогающих выполнить распоряжение Президента по ускорению решения вопроса с законодательством по персданным.

Евгений Царёв

Уже не секрет, что своими действиями (начиная с письма президенту), мы с вами, уважаемые коллеги, сумели привлечь внимание к проблеме чиновников из Минкомсвязи. Нас (Пять экспертов) на прошлой неделе пригласили на встречу, на которой сообщили, что закон подписан и ничего изменить мы не можем, с ним придется жить. Однако, работа над законом будет продолжена и нам предложили присоединиться этой работе. Понятное дело, дорога будет долгой и непростой. Однако, формальные общественные организации так и не проявили интерес к происходящему. Чтож, если они не желают заниматься ключевой проблемой современного ИБ в России, придется нам вести эту работу самим.

Алексей Волков

Помните старую притчу про двух лягушек, попавших в кувшин с молоком? Мы впятером, как та лягушка, все еще продолжаем барахтаться в надежде хоть как-то исправить патовую ситуацию. Правда, субстанция, в которой приходится находиться, по цвету и запаху на молоко совсем не похожа, но это ничего - мы привыкши :)
На прошлой неделе представитель "подписантов" ходил на смотрины в Минкомсвязь. Главное, что удалось сделать - договориться о дальнейшем сотрудничестве при подготовке подзаконных актов. Мы, как всегда, ратовали за публичность и открытость процесса разработки "подзаконников", но на первом этапе коллеги из Минкомсвязи попросили подготовить предложения по внесению изменений в законодательство с учетом принятия поправок к 152-ФЗ.

Кто тут у меня завёлся?

2011-07-27T10:26:00.003+04:00

Если вдруг возникли подозрения, что ваш пароль от почты стал достоянием ~~общественности~~ посторонних, то пароль лучше сразу же поменять, вот только не стоит делать это со своего компьютера до полной его проверки на отсутствие посторонних вредоносных программ.

Кто знает, быть может причиной взлома послужил троян? Прежде всего, конечно, нужно обновить свой текущий антивирус и выполнить полную проверку, но не лишним будет воспользоваться и другими продуктами, благо, что многие вендоры предлагают бесплатные утилиты для проверки компьютера на вирусы.

Приведу краткий обзор ссылок на подобные утилиты.

Panda Security предлагает ActiveScan 2.0 - решение для проверки на вирусы онлайн (требуется Internet Explore или Firefox):

Компания ESET 32 хоть и называет свою утилиту ESET Online Scanner, на деле предлагает скачать небольшой инсталлятор:

BitDefender ("Битдефендер") предлагает сверхбыстрый QuickScan, у которого есть даже отдельный плагин для Google Chrome:

У Лаборатории Касперского кроме утилиты Kaspersky Virus Removal Tool 2011 есть специальный образ диска Kaspersky Rescue Disk 10 для особо тяжёлых случаев заражения.

Ну, а Dr.Web после регистрации даёт ссылку на скачивание дистрибутива Лечащей утилиты Dr.Web CureIt! Эх, маркетологи, у людей трагедия - вирус завёлся, а вы всё персональные данные собираете...

Спасибо, что хоть набор Аптечка сисадмина не требует регистрации.

Ещё можно воспользоваться бесплатными антивирусами от AVG (http://www.freeavg.com/), Avira (http://www.avira.com/ru/avira-free-antivirus), Comodo (http://www.comodo.com/home/internet-security/antivirus.php), Emsisoft (http://www.emsisoft.com/en/) или другими на ваш вкус, помня при этом, что их бесплатные версии ограничены по функционалу, но для разовой проверки вполне подойдут.

Наконец, никто не мешает скачать мало пока известный в России бесплатный полнофункциональный (отсутствуют в основном корпоративные функции) FortiClient.

Картинка: http://d.foto.radikal.ru/0606/4103e30e6ba6.jpg

Комментарий на: Разработку единой государственной информационной системы обеспечения транспортной безопасности передадут другому органу

2011-07-26T15:45:00.005+04:00

Разработку единой государственной информационной системы обеспечения транспортной безопасности передадут другому органу.

Согласно поправкам разработчиком единой государственной информационной системы обеспечения транспортной безопасности является уполномоченный Правительством РФ федеральный орган исполнительной власти. Ранее этим занималось Минкомсвязи России.

Необходимость передачи полномочий по разработке указанной системы иному органу обусловлена следующим. Достигнутый уровень работы Минкомсвязи России уже не соответствует полномочиям этого министерства. Требуется организовать взаимодействие Росжелдора, Росавтодора, Росавиации, Росморречфлота и Ространснадзора с федеральными органами исполнительной власти (в том числе с МВД России и ФСБ России), заинтересованными в получении информации о персональных данных пассажиров.

А тут как раз утечка данных о пассажирских билетах. Как во время!

Статья 11. Информационное обеспечение в области транспортной безопасности

1. ...создается единая государственная информационная система обеспечения транспортной безопасности, являющаяся собственностью Российской Федерации.

2. Информационная система, указанная в части 1 настоящей статьи, состоит в том числе из автоматизированных централизованных баз персональных данных о пассажирах.

Источник: Федеральный закон от 18 июля 2011 г. N 221-ФЗ "О внесении изменения в часть 1 статьи 11 Федерального закона "О транспортной безопасности".

А как зовут вашу собаку?

2011-07-26T12:19:00.000+04:00

Мы уже привыкли к тому, что специалисты в области информационной безопасности регулярно призывают всех использовать надёжные пароли. Многие он-лайн сервисы вводят ограничение на простоту пароля, публикуют рекомендации по выбору правильных и т.п.

Вместе с тем, нередко мы забываем, что даже самый надёжный пароль может не уберечь ту же личную переписку от тех, от кого вы хотели бы её скрыть. Метод полного перебора рано или поздно приносит результат, но, во-первых, он всё же слишком затратен по времени (если, конечно, не используется пароль из четырёх цифр или словарное слово), а во-вторых, адекватные сайты защищают своих пользователей от таких грубых приёмов взлома.

Чтобы узнать пароль, гораздо эффективнее поставить вам клавиатурного шпиона, правда, это сделать достаточно не просто, особенно если нет физического доступа к ноутбуку/компьютеру, да и для той же iOS клавиатурных шпионов пока что-то не видно.

Однако, есть и другие способы. Если пароль не получается узнать, то можно просто его сбросить. Любой почтовый сервис предлагает такую опцию, вот только "правильные" почтовики отправляют СМС или выслают сообщение для восстановления пароля на другой почтовый ящик, а обыкновенные ограничиваются стандартными секретными вопросами вроде "девичья фамилия матери".

Конечно, в случае смены пароля сам пользователь в свой ящик зайти уже не сумеет и кинется пароль восстанавливать. Но, как ни странно, некоторые пользователи вообще могут решить, что это какой-то сбой и ничего страшного не произошло, так и не узнав о факте взлома.

Пропаганда надёжных паролей может создать иллюзию защищённости - раз пароль длинный, то я в безопасности. Так что советую проверить, каким образом можно попасть в ваш почтовый ящик, не зная пароля. Такой ли уж секретный ваш секретный вопрос? Действительно ли никто другой не знает ответа на него? Очевидно ведь, что переписываться в тайне от жены с любовницей, а в качестве вопроса для сброса пароля ставить "Как зовут вашу собаку?", - не самый дальновидный поступок.

Картинка: http://www.ezdunska.pl/images/stories/Labrador.jpg

Бесплатный SpamBayes оказался эффективнее IronPort

2011-07-25T13:45:00.001+04:00

Не так давно уже рассказывал о низкой эффективности корпоративного IronPort в деле защиты от спама. Созерцание заваленного после отпуска навязчивой рекламой почтового ящика побудило найти решение проблемы.

Имеющийся FortiClient, как сообщили разработчики, с Outlook 2010 пока не работает (что крайне неприятно, ведь из-за антиспам модуля я как раз недавно и заказал себе платную версию), поэтому стал искать бесплатные продукты, способные помочь.

На удивление, решение нашлось и очень быстро: SpamBayes Outlook Plugin. Не буду в деталях описывать программу, т.к. она проста и удобна в использовании - большого труда в ней разобраться не составит.

Общее впечатление: "на пять с плюсом". Работает тихо и незаметно, после небольшого обучения практически не ошибается. IronPort же пропускает до 14% (!) спамовых сообщений.

И что толку, что они свой продукт регулярно дорабатывают....

Статья Expert.ru

2011-07-25T01:24:00.000+04:00

Закон «О персональных данных» вешает новые вериги на бизнес и создает новый рынок для структур, близких к ФСБ
Совет Федерации принял закон «О внесении изменений в Федеральный закон “О персональных данных”». Сенаторы поддержали закон, несмотря на протесты экспертов в области информационной безопасности, Ассоциации российских банков и Ассоциации региональных операторов связи. Сам закон вступил в силу в январе 2007 года, но не весь. Заблокирована была статья 19, вводящая драконовские меры в отношении всех организаций, имеющих хоть какое-то касательство к персональным данным (ПД). А под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», то есть это и цвет глаз, и размер ноги, и номер сотового телефона, и сексуальная ориентация, и данные о здоровье, и членство в партиях. Согласно закону, госкомпании и частные фирмы должны были взять с каждого человека подписку, что он не против обработки своих ПД, а компьютер, где находятся эти ПД, защитить специальным софтом, аттестовать как минимум трех специалистов и т. д. (многие из мер не прописаны в законе, а были потом введены подзаконными актами ФСБ и Федеральной службы по техническому и экспортному контролю, ФСТЭК). Закон касается около 7 млн организаций — частных фирм, госкомпаний, поликлиник, детсадов.

Хорошая статья. Не такая подробная, как посты коллег на эту тематику, но зато более обзорная и завершённая.

Источник: Новая модель угроз - Expert.ru.
Изображение: http://blog.magiaworld.org.ru/wp-content/uploads/2008/03/20080311_9.JPG

"Гробовые" бабы Зины

2011-06-22T23:31:00.001+04:00

Ещё задолго до принятия закона "О персональных данных" случилось мне подрабатывать в одной компании, занимавшейся разработкой программного обеспечения для аптек. Не расскажу сейчас уже всех деталей принципа работы этого ПО, но суть примерно опишу.

В то время (не знаю, как дело обстоит сейчас, после всех многочисленных монетизаций) определённые категории граждан имели право на получение льготных лекарств (относящихся, например, к категории жизенноважных). Лекарства выписывались врачом, а получить их по рецепту можно было в любой аптеке города или района совершенно бесплатно.

Данные о выданных безвозмездно лекарствах и рецептах, на основании которых выдача производилась, вносились в ту самую программу сотрудниками аптек. Скоростного и всем доступного Интернета тогда ещё не было, поэтому моя работа заключалась в том, чтобы объехать все районные аптеки, скопировать данные из программы на дискету и доставить всю собранную информацию в соответствующее Управление здравоохранения. На основании анализа предоставленной аптеками информации Управление возмещало им затраты на бесплатный отпуск лекарств.

Дискет с собой я всегда возил штуки 2-3 и в каждой аптеке делал по несколько копий (да-да, дискеты слишком часто портились - это вам не современные флешки), дабы не возвращаться в особо отдалённые районные аптеки повторно. Никто и никогда мои носители информации не проверял, не инвентаризировал, да и вообще, ими не интересовался.

Как-то раз, я решил всё же посмотреть, что за файлы записываются на дискеты. Не имея копии программы (хотя при желании это проблемой, в общем-то, и не стало бы), воспользовался первым попавшимся редактором.

Друзья! Моему взору предстали обычные текстовые файлы с данными, разделёнными запятыми. Ладно, шифрование или хотя бы просто маскировку никто не стал использовать. В конце концов, для обезличенных данных это иногда допустимо, но беда была в том, что данные совершенно не были обезличены.

Мне трудно объяснить, почему в выгружаемых в аптеках файлах не были указаны, например, только номера рецептов и суммы - ведь для решения поставленной задачи этого было бы более, чем достаточно. Собственно, информация о рецепте, пациенте и выписанных ему лекарствах поступала в Управление из поликлинник и иных лечебных учреждений по другим каналам. В Управлении должны были, в общем-то, только производить сверку данных из аптек (номер рецепта и стоимость лекарства) с данными из поликлиник и прайс-листов поставщиков.

Вы уже, наверняка, догадались, но боитесь поверить: да, в просмотренных мною текстовых файлах хранилась детальная информация о пациентах - ФИО, дата рождения, адрес проживания, выписанные лекарства, основание для предоставления льготы и множество другой абсолютно лишней информации.

Попади эта информация не в те руки - беды не миновать. Не хочу писать готовые алгоритмы мошенничества, но вы сами подумайте, что можно сотворить, имея злые намерения и, например, вот такие вводные данные: "Зинаида Петровна Иванова, 84 года, проживает по адресу пр. Ленина, д. 175, кв. 17, диагноз: сахарный диабет, в среду получила по рецепту 2 упаковки инсулина".

Дело было, как я уже писал, достаточно давно, и мне неизвестны ни текущая ситуация с принципами обеспечения граждан бесплатными лекарствами, ни с то, какое программное обеспечение используется в аптеках сейчас. Тем не менее, сдаётся мне, коллеги, что там всё так же грустно и безрадостно =(

Картинка: http://www.ironworld.ru/upload/iblock/b16/b16f8d73a1d13484809ee370598ca499.jpg

Обновление рейтинга ИБ-блогов

2011-06-21T06:45:00.005+04:00

Яндекс существенно обновил свой рейтинг блогов, что не могло не сказаться на блогах, посвящённых информационной безопасности.

Какие-то блоги резко взмыли вверх, какие-то, наоброт, из рейтинга выпали. В целом, на мой субъективный взгляд, картина теперь больше отражает действительность, хотя пока и далека от идеала.

Сам рейтинг блогов тоже перетерпел серьёзные изменения. Прежде всего стоит отметить, что благодаря коллегам список был существенно расширен. По ряду причин пришлось расширить список разделов: Сообщества, Блоги, Дополнительно и Блоги, посвящённые информационной безопасности частично. Первый раздел предназначен для сообществ (прежде всего, конечно же, сообществ в ЖЖ, которые и сам Яндекс оценивает отдельным рейтингом), второй посвящён индивидуальным блогам людей и компаний (есть, кстати, идеи по их разделению), третий предназначен для всего остального, а в четвёртом собраны блоги людей, имеющих явное отношение к тематике информационной безопасности, но пишущих на самые разные темы.

Во-вторых, список блогов был существенно расширен, за что огромное спасибо коллегам:

Tiger
toparenko
Александр Бодрик
Александр Бондаренко
Сергей Ерохин

Картинка: http://smolive.ru/wp-content/uploads/2010/11/top.jpg

Update 22.06.11

Рейтинг Яндекса, как инструмент оценки популярности, оказался пока сыроват. А уж если говорить об определении авторита экспертов, то и вообще не пригоден. В связи с этим Рейтинг блогов переименован в Список, а сами блоги теперь просто расположены в алфавитном порядке. Кнопки от Яндекса пока оставил, но скорее потому, что жалко потраченного на них времени =)

2011: INFOBEZ-EXPO vs InfoSecurity

2011-06-20T07:05:00.009+04:00

Адский ад, который устроили маркетологам организаторы и владельцы выставки InfoSecurity Russia в 2010 году, успешно продолжается.

Сейчас уже с грустью вспоминаются те времена, когда была одна большая тематическая выставка по информационной безопасности, на которой каждая уважающая себя ИБ-компания фактически обязана была присутствовать. Однако, внутренние противоречия привели, как мы все прекрасно знаем, к появлению двух похожих как две капли воды мероприятий.

Казалось бы, конкуренция должна была сподвигнуть организаторов на повышение качества и понижение цен, но... Порой казалось, что основные усилия с обеих сторон были направлены только на то, чтобы опорочить конкурентов в глазах общественности.

Оба участника "соревнования", тем не менее, в прошлом году худо-бедно, но народ собрали и интереса к повторению не утратили, поэтому в 2011 году перед директорами по маркетингу в очередной раз встал вопрос - в каком мероприятии участвовать? Удваивать бюджет (яростного демпинга ведь никто не устроил) - не вариант, а арендовать по полстенда там и там - ещё хуже. Каждая компания решала этот вопрос, конечно, по-своему, но давление со стороны организаторов на потенциальных участников было, прямо скажем, не слабое.

Весь конец 2010 года и начало 2011 прошли всё под тем же лозунгом непримиримой борьбы двух конкурентов. Чего только не было:

- За нами АЗИ! - говорят одни.
- А мы сдвинем выставку на неделю раньше вас и все пойдут к нам! - отвечают другие (кстати, на сайте Reed Exhibitions до сих пор указаны 16-18 ноября, хотя реально выставка будет в конце сентября).
- Крупнейший ИБ-холдинг верит в нас!
- А нас выбирают ведущие российские и мировые вендоры!
- И нас!

и так до бесконечности.

Кстати, в пылу борьбы у сторон, видимо, возникли сложности и с самоидентифкацией: на сайте с новостями про INFOBEZ-EXPO, например, висит логотип InfoSecurity.

Чем закончится Противостояние 2011 мы узнаем только ближе к концу года. Пока же своё участие в InfoSecurity (организатор Гротек) подтвердили 52 компании, а в INFOBEZ-EXPO (организатор РЕСТЭК) только 22. Но РЕСТЭК не унывает и даже строит планы на 2012 год.

А вот статистика за прошлые года:

Год	Выставка (организатор)	Участники	Посетители
2005	InfoSecurity (РЕСТЭК)	80	4688
2006	InfoSecurity (РЕСТЭК)	95	4800
2007	InfoSecurity (РЕСТЭК)	77	4301
2008	InfoSecurity (РЕСТЭК)	80	4500
2009	InfoSecurity (РЕСТЭК)	70	5000
2010	InfoSecurity (Гротек)	104	4019
2010	INFOBEZ-EXPO (РЕСТЭК)	53	3730

Картинка: http://fyi09.files.wordpress.com/2010/01/google-vs-apple1.jpg

Альфа-Касперский

2011-06-20T01:29:00.000+04:00

«Альфа-Банк» и «Лаборатория Касперского» представили эксклюзивную версию программы Kaspersky Internet Security 2011, доступную только клиентам «Альфа-Банка» и адаптированную под фирменный стиль банка. Продукт Kaspersky Internet Security 2011 клиенты «Альфа-Банка» могут приобрести по специальной цене 1280 руб., сделав покупку в интернет-супермаркете ПО Softkey и оплатив ее через интернет-банк «Альфа-Клик».Версия продукта Kaspersky Internet Security 2011 для клиентов «Альфа-Банка» создана с учетом всех параметров и специфики интернет-банка «Альфа-Клик», сообщили в «Лаборатория Касперского». Установка этого продукта на компьютер, с которого осуществляется доступ в «Альфа-Клик», позволит повысить степень безопасности клиентских средств и персональной информации, так как он обеспечивает полноценную защиту от современных интернет-угроз.

Очень похвальное начинание. Приятный пример проявления заботы банка о своих клиентах. Жаль только, что сам продукт (по крайней мере в обычном исполнении) очень уж требователен к ресурсам - на нетбуке с 1Гб памяти порой даже просто в офисных приложениях работать было сложно.

Источник: CNews: «Альфа-Банк» и «Лаборатория Касперского» представили специальную версию Kaspersky Internet Security 2011 для клиентов банка.

Ушанка безопасности

2011-06-16T01:32:00.000+04:00

Компания «Код Безопасности» и Военно-космическая академия им. А.Ф.Можайского заключили соглашение о сотрудничестве и договор на поставку решений разработчика с целью их применения в Учебном процессе вуза.Решения компании «Код Безопасности» изучаются курсантами и слушателями вуза сразу на двух факультетах - факультете «Систем сбора и обработки информации» по специальности «Компьютерная безопасность» и на факультете «Переподготовки и повышения квалификации». В рамках учебных программ курсанты и слушатели вуза изучают:
СЗИ от НСД Secret Net;
средство доверенной загрузки ПАК «Соболь»;
распределённый межсетевой экран TrustAccess;
программное решение Honeypot Manager;
продукты семейства «Континент».

- Товарищ лейтенант, почему "Аккорд" в штабном компьютере не установлен?!
- Виноват, товарищ полковник! Нас на "Соболях" учили.
- Чтобы завтра же всё исправил и доложил!
- Есть! Э-э-э-э... Товарищ полковник... а разрешите я из дома "Соболь" лучше принесу? Я его у прапора нашего на пятом курсе на бутылку водки выменял. Как знал, что пригодится.
- Ладно, неси, раз так полюбил его. <Про себя> А "Аккорд" я у Семёныча на iPad махну - у него инженер другой ВУЗ заканчивал, там как раз на iPad`ах учили.

Источник: Военно-космическая академия им. А. Ф. Можайского обучает курсантов работе с продуктами компании «Код Безопасности».

Дальновидный Trend Micro

2011-06-10T23:16:00.002+04:00

Американо-японская Trend Micro пошла нестандартным для зарубежного вендора защитного ПО путем для сертификации своих продуктов в ФСТЭК. Такая проверка нужна для внедрений у госзаказчиков и удовлетворения требованиям 152-ФЗ о персональных данных у коммерческих клиентов.

Вендор сертифицировал в России производство (т.е. локальную запись на диски и раздачу обновлений из московского дата-центра) продукта Trend Micro Enterprise Security 10.0. Заявителем сертификации TM выступала НИЦ CALS-технологий “Прикладная логистика”, являющаяся материнской компанией одного из 3 российских дистрибуторов вендора - APL (два других - Mont и “Аксофт”).

Генеральный директор APL Михаил Кондрашин заявил CNews, что испытания были проведены на соответствие техническим условиям (ТУ, относительно простая и недолгая проверка функционал) и на отсутствие недекларированных возможностей (НДВ, значительно более сложная процедура, требует полной передачи исходников для анализа) по четвертому уровню соответствия.

“Это позволяет использовать продукты в информационных системах, обрабатывающих персональные данные (ИСПДн) до первого класса включительно, - говорит он.- Как правило, зарубежные игроки получают сертификаты не на производство, а на определенное количество экземпляров или серию”.

Сертификация производства или серии - это на самом деле большого значения не имеет. Просто при определённых объёмах сертификация производства обычно оказывается дешевле. Другое дело - процесс получения обновления. Насколько мне известно, в готовящихся сейчас к выходу руководящих документах (РД) ФСТЭК, посвящённых антивирусам, прописано наличие защищённого канала для получения обновлений. Другими словами, потребуется шифрование по ГОСТу со всеми вытекающими. В этом плане Trend Micro молодцы, что перенесли раздачу обновлений в московский дата-центр. Впоследствии (после утверждения новых РД) реализовать данное требование им будет проще.

Источник: CNews: Trend Micro перенес запись болванок в Москву и получил сертификат ФСТЭК.

Рейтинг блогов по информационной безопасности

2011-06-10T14:48:00.000+04:00

Сегодня завершил составление списка блогов, посвящённых информационной безопасности.

Всё отсортировано в соответствии с рейтингом блогов рунета Яндекса. К сожалению, некоторые блоги пока Яндексу пока неизвестны (например, блог Михаила Емельянникова) поэтому рейтинг у них отсутствует. Думаю, в скором времени ситуация должна измениться.

С другой стороны, приятно осознавать, что отдельные узконаправленные, в общем-то, тематические блоги имеют хороший рейтинг (блоги Евгения Царёва, Дмитрия Евтеева), а ведь в них нет ни "желтизны", ни "развлекухи".

Ну, а лидером, как и можно было ожидать, оказалась компания Infowatch и их журнал Утечки информации.

Если вы знаете (или, например, ведёте) блог, посвящённый вопросам информационной безопасности, который не попал в этот рейтинг - пожалуйста, сообщите мне об этом. Пусть картина будет максимально полной.

А не врёшь, что хочешь денег?

2011-06-09T15:39:00.002+04:00

Российский Сбербанк тестирует специальный банкомат нового типа, который будет иметь встроенный детектор лжи. Новое устройство будет применяться для автоматической выдачи кредитов потребителям, которые ранее не имели никаких контактов с банком.

Утопия какая-то. Даже специально обученные работе на полиграфе люди не всегда могут с уверенностью определить правдивость человека, а тут техника в автономном режиме, сама... Риск ложного определения надёжных заёмщиков, очевидно, придётся заложить в процентную ставку. Как, впрочем, и стоимость самого оборудования.

Источник: CNews: Сбербанк разрабатывает банкоматы со встроенным детектором лжи.

Изображение: http://homerize.com/_framegrabs/3G01/fg_195.jpg

Рецепты безопасности от Емельянникова

2011-06-09T12:33:00.002+04:00

Михаил Юрьевич, оказывается, ведёт блог: http://emeliyannikov.blogspot.com/ А я и не знал. С удовольствием буду читать. И вы присоединяйтесь.

ПроPRились

2011-06-09T01:35:00.000+04:00

Новая технология «Лаборатории Касперского» использует более эффективный метод, позволяющий оперативно выявлять фишинговые сайты, перенаправление на которые осуществляется автоматически и скрытно в результате фарминг-атаки. В случае подобной атаки пользователь вводит URL подлинного сайта, но скрытно перенаправляется на ложный IP-адрес, по которому расположена поддельная страница. Суть технологии, разработанной Алексеем Малышевым и Тимуром Биячуевым, заключается в создании дублирующего безопасного канала связи. По этому каналу для определенного списка сайтов можно установить настоящее соответствие IP-адреса и доменного имени. В результате данный метод защищает пользователей в момент обращения, не допускает посещение фишинговых сайтов и помогает выявить факт фарминг-атаки.

Идея понятна. Связываемся с сервером Лаборатории Касперского и просим проверить соответствие IP-адреса и доменного имени. Если они расходятся, значит мы пали жертвой фишинга и на этот сайт идти нельзя. Злоумышленникам остаётся только изучить формат обмена данными антивируса с этим проверяющим сервером, подменить затем его IP-адрес на свой собственый и обмануть антивирус ложным подтверждением совпадения имени сайта и IP-адреса. Делов-то =) Кстати, от более простой атаки, когда пользователя приглашают на абсолютно левый сайт без какого-либо фарминга, этот метод не защитит. Остаётся старый дедовский чёрный список, про который в этом же сообщении читаем следующее:

сверка имени сайта с черным списком неэффективна для вновь появляющихся поддельных адресов

Вот вам и чудо-мега-патент. Зато проPRились =)

Источник: CNews: «Лаборатория Касперского» запатентовала новый способ борьбы с фишингом.

Гадание по фотографии

2011-06-07T07:26:00.009+04:00

Помню, раньше браузер Opera мне нравился за то, что в нём была удобная кнопка, которая переключала режим работы: грузить все картинки/показывать только картинки из кэша/не показывать никакие картинки. Во времена dial-up вещь была крайне полезная.

В настоящее время, даже пост в блоге без картинки можно встретить не часто - благо, скорость и тарифы провайдеров позволяют украшать ~~скучный~~ текст яркой иллюстрацией. Подходящую картинку можно найти в поисковике (не забыть только об авторских правах), нарисовать (тут я, за редким исключением, пас) или выбрать из имеющихся в наличии фотографий.

Про третий вариант и поговорим. Многим знаком стандарт EXIF (Exchangeable Image File Format), но мало кто задумывается о том, что фотографии, выложенные в Интернет, могут содержать в себе не только то, что видно на них невооружённым взглядом.

Для примера, давайте возьмём мой собственный прошлый пост, где в качестве примера материального спама я привёл фотографии визиток, разложенных в вагоне электрички. Давайте вооружим наш взгляд и посмотрим, что скрыто в выложенных мной фотографиях. Вооружиться можно, например, программой ShowExif ;-)

Простой запуск без установки и мы уже видим вот это:

Устройство, которым сделана фотография, операционная система, куда был осуществлён импорт, точное время съёмки и даже координаты GPS (!) - видно всё. Кстати, и обычный просмотр свойства файла в Windows, позволяет получить дополнительную информацию, быть может, только не в таком удобном виде:

А вот удалять эти данные перед загрузкой фотографии в Сеть удобнее всё же ShowExif ;-) или чем-нибудь аналогичным - пара кликов и готово:

Метаданные также пропадают при практически любом редактировании фотографии. Тот же Facebook, при загрузке фотографий всё удаляет, например. Другие социальные сети не проверял, а вы проверьте, если используете - а то мало ли...

Использованная картинка: http://www.chitalnya.ru/upload/282/74735092232003.jpg

Социнженерия. Наши дни.

2011-06-06T23:38:00.001+04:00

Начинается всё довольно невинно, кто-то из друзей пишет вам банальное «привет. как дела?». Вы не менее банально отвечаете, что у вас всё отлично, и интересуетесь делами собеседника, он уточняет: «ты за компом сейчас?», спрашивает: «хочешь посмеяться?» и кидает ссылку вроде
http://tinyurl.com/home-video-10737644-html
На этом этапе впечатляет уже то, что бот с, очевидно, взломанной учётной записи пишет три вполне уместные реплики, прежде чем кинуть ссылку. Ссылка перенаправляет на страницу
http://46.98.28.65/home-video/10737644
с интерфейсом YouTube. Внимательный пользователь, разумеется, заметит несоответствие URL сайту, но расчёт, очевидно, делается на тех, кто на такое внимание не обращает.

Страница, на которую даётся ссылка, персонализирована. Цифры 10737644 в ссылке — это мой id. В название и описание якобы-видеоролика вставлено моё имя

Великолепный пример социальной инженерии. Бот пообщался сначала, потом только ссылку дал. Реальные друзья оставили комментарий к поддельному видео. Действительно, красиво!

Источник: Красивый пример фишинга во «В Контакте» / Информационная безопасность / Хабрахабр.

Изображение: http://mars-fish.ru/wp-content/images/f/fec7636e9f5161fc57ad1c5a67f9358e.jpg

Соревнование конкурентов

2011-06-06T00:15:00.000+04:00

Две российские компании - разработчика в сфере информационной безопасности вступили в борьбу за право называть свое криптографическое приложение для iPhone первым на рынке.
Эксперты по безопасности не исключают, что вопрос приоритета будет разрешен нетехнологическим путем. Интересно, что оба криптографических решения для установки на iPhone и iPad предварительно требуют джейлбрейка устройства. Тем самым «Код Безопасности» пополнил ряды отечественных разработчиков, создающих «первые VPN-решения для iPhone на основе российских криптоалгоритмов». Ранее первенство в деле создания такового для iPhone и iPad застолбила за собой компания «Инфотекс», заявившая о реализации своего приложения ViPNet Client iOS еще в апреле 2011 г.

Как мило =)
- Я первый!
- Нет, я!

Источник: CNews: Россия: разработчики «секретного iPhone» воюют за симпатии ФСБ.

Изображение: http://i014.radikal.ru/0908/50/e43ac8eb2291.jpg

Чудо инжереной мысли

2011-06-02T15:30:00.009+04:00

Вот такое вот интересное изделие для защиты сегмента сети за 50 000 руб. Всё впускать, ничего не выпускать:

Конструктивно исключена возможность на физическом и программном уровнях передача данных в обратном направлении, а также его конфигурирование через внешние интерфейсы, тем самым исключается возможность изменения политики безопасности сети нарушителем даже с правами администратора.

Защита от злонамеренного администратора? А кто ему помешает подойти и "провода переткнуть"?

Источник: АЛТЭКС-СОФТ

Я тоже DLP

2011-06-02T00:47:00.009+04:00

Такое ощущение, что DLP сейчас только ленивый не делает... Даже если ничего в этом не понимает...

Компания SecurIT, разработчик DLP-решений, объявила о выпуске новой версии Zlock — системы защиты от утечек информации на конечных точках сети.
По сравнению с предыдущими версиями продукта Zlock 4.0 вышел на новый уровень защиты от утечек: теперь DLP-система обладает встроенными инструментами контентного анализа, говорится в сообщении SecurIT. При записи документов на USB-устройства или чтении с них Zlock может анализировать содержимое файлов, обнаруживать в них конфиденциальные данные и блокировать действия пользователя в случае выявления нарушений политик безопасности. Такая возможность позволит администраторам Zlock более гибко настраивать контроль копирования файлов на мобильные носители не только по характеристикам устройств и пользователей, но и по содержимому самих документов, подчеркнули в компании.

Источник: CNews: Вышел Zlock 4.0 со встроенными инструментами контентного анализа.

Изображение: http://t0.gstatic.com/images?q=tbn:ANd9GcSLeTNQ4zU1D0tXk889knc3qkq9Sny6zBS0Py4nQGer_dzaLDt4VO__

Материальный спам

2011-05-25T08:25:00.000+04:00

Мой опыт использования антиспам-решений ограничивается всего лишь тремя продуктами: встроенный антиспам на Gmail.com, eSafe на прошлой работе и IronPort на текущей. Во всех остальных случаях либо поток писем был слишком небольшой, чтобы говорить о значительных объёмах спама, либо мне не было известно применяемое средство.

Не сочтите за рекламу, но с eSafe я не знал никаких проблем со спамом - просмотрел иногда отчёт о карантине, добавил за полгода буквально пару адресов в белый список и всё. Спама в почте не было. Реально не было. При этом в белый список попадал целиком домен, систему обучали сразу все сотрудники компании, да и дело было уже достаточно много лет назад, так что текущие возможности продукта даже представить себе не могу. Мне всё же думается, что качество должно было только вырасти. А отсутствие возможности в некоторых продуктах видеть и принудительно "обелять" адресованные мне, но заблокированные системой письма, я вообще не понимаю. Это же удобно!

Антиспам от Google большей частью справляется со своей задачей, но вот заблокировать письмо, внешне не похожее на спам, но содержащее ссылку на сайт с явным встроенным вредоносным кодом, ему не всегда удаётся, так что использование дополнительного средства вроде Kaspersky Internet Security или того же, симпатичного мне, бесплатного FortiClient - настоятельно рекомендуется. eSafe, к слову такие проверки делает, да и вообще представляет собой комплексное решение, которое не только от e-mail угроз защищает, но и всё вредное и опасное из http, https и т.п. трафика удаляет.

На IronPort, который думает, что защищает сейчас мой рабочий почтовый ящик, порой хочется просто плеваться. Пятилетний ребёнок догадается, что пятнадцатое приглашение на семинар по налоговой оптимизации или надоевшая уже рассылка "За что платить зарплату сотрудникам?" - это самый что ни на есть махровый спам. А вот IronPort этого пока, увы, ещё не осознал. Но, что поделать - корпоративный стандарт =(

Но совсем недавно я столкнулся лицом к лицу со спамом, от которого даже лучший продукт защитить пока не в состоянии - самый настоящий, осязаемый материальный спам.

Судите сами, всё в строгом соответствии с определением: массовая рассылка коммерческой, политической и иной рекламы (информации) или иного вида сообщений лицам, не выражавшим желания их получать. Чем раскладка визиток в электричке не рассылка? =)

P.S. Когда и куда подъехать за гонораром за рекламу eSafe? =)

Взлом из-за плеча. Пополнение арсенала защиты.

2011-05-24T07:42:00.004+04:00

К сожалению, про закрепляемый на очки ретинальный дисплей AiRScouter, проецирующий изображение сразу на сетчатку глаза, от компании Brother (см. прошлый пост на эту тему) новостей пока не поступало, однако тема сохранения в тайне содержимого экрана портативных электронных устройств при нахождении в общественных местах, очевидно, продолжает вызывать интерес.

Так, например, Планета iPhone сообщает:

В последней заявке на патент от корпорации Apple описывается режим конфиденциальности для дисплеев мобильных устройств, при включении которого можно будет, меняя угол отражения световых лучей, делать изображение на дисплее видимым только для одного человека. Изобретение получило название «Системы и методы электронного контроля угла обзора дисплея».

Отличная новость, ведь такой экран в отличие от наклеиваемых "конфиденциальных" плёнок, по идее, не должен терять в яркости при том же уровне защиты.

Записываем ПИН-код

2011-05-19T07:08:00.001+04:00

Сегодня почти у всех нас есть банковская карточка, а то и не одна. Как известно, у каждой из них есть ПИН-код. Уверенно помнить его обычно получается для одной-двух карточек, используемых часто, а остальные ПИН-коды приходится записывать.

Как ни странно, записанный на листке бумаге ПИН-код, некоторые до сих пор хранят вместе с самой картой в кошельке. Недостатки такого варианта даже описывать не нужно - всё очевидно. Если других вариантов не остаётся, то можно хотя бы записать на этом листке несколько комбинаций, чтобы уменьшить шансы злоумышленника.

Другой популярный способ - сохранение ПИН-кода в телефоне: в контактах, заметках или других местах. Способ хорош тем, что карта и ПИН-код не находятся вместе, а значит их одновременная потеря маловероятна. Более того, спрятать ПИН-код в телефоне можно гораздо лучше, чем на листке бумаге. Вот только с телефоном тоже порой случается беда: сел аккумулятор, остался в гостиничном номере, украден и т.п. Оказаться в чужом городе без телефона и доступа к карте с деньгами - вообще никому не пожелаешь.

Что же получается? Хранить ПИН-код отдельно от карты безопаснее, так как вору сложнее украсть и то и другое сразу, но с другой стороны - менее безопасно, так как вероятность утраты одного из двух элементов выше, чем одного единственного...

Недавний пост на Хабрахабре натолкнул меня на такую мысль. Что, если наклеивать на банковскую карту небольшую табличку с цифрами?

Не с буквами, как на картинке, а только с цифрами. Фактически, нужно реализовать некий сайт (или написать несложную программу), с помощью которого можно указать вариант размещения (от знака доллара вправо вниз по диагонали) и нужную комбинацию. На выходе получаем шаблон со случайными цифрами и правильной комбинацией, написанной по выбранному правилу, который можно напечатать на клейкой бумаге самостоятельно или, как вариант, заказать его распечатку и доставку курьером.

Преимущества перед обычным листком заключаются в следующем:

Не надо изобретать собственные случайные цифры, которые будут путать вора
Всё приклеено к самой карте, а листок, например, может выпасть и т.п.
Можно придумать единый алгоритм выбора цифр, который будет работать для всех имеющихся карт
В случае утраты/порчи наклейки - её можно восстановить

Опасения вызывают только потенциальные проблемы со стойкостью самой наклейки при длительном использовании и увеличивающиеся фактические размеры карточки.

В заключение приведу ссылку на интересный пост 5 способов защитить свою пластиковую карту. Особенно мне понравилась идея с затиранием CVV-кода - Сбербанк, например, при оплате через Интернет присылает по SMS одноразовый пароль, который нужно ввести, а некоторые банки позволяют оплачивать покупки просто по номеру карты и CVV-коду, что позволяет укравшему карту вообще ничего не подбирать, а просто цинично использовать денежные средства своей жертвы.

Who is Mr. ALTELL?

2011-05-11T07:17:00.002+04:00

В последнее время частенько приходится слышать о новом игроке на рынке сертифицированных межсетевых экранов - компании АльтЭль. Попробуем разобраться, кто это такие.

Вдумчивый поиск по просторам сети позволяет по крупицам собрать следующую информацию.

Созданная в 2006 году, компания, видимо, изначально занималась поставкой серверов и систем хранения (http://srv.altell.ru/about). Бизнес, судя по всему, активно ведётся и в настоящее время.

Летом 2008 года компания анонсирует свою защищённую операционную систему ALTELL seOS (специализированная защищенная UNIX-подобная операционная система). Весной 2009 года объявляет о новой разработке - базовой подсистеме ввода-вывода (BIOS) ALTELL HyperBIOS.

На этот же период (2008-2009) приходится этап получения самых различных лицензий ФСТЭК, ФСБ и даже МО - всего их на сегодня уже 12 штук.

seOS и HyperBIOS использовались для создания защищённых серверов (ALTELL FORT SRV), рабочих станций (ALTELL FORT DT), ноутбуков (ALTELL FORT NB) и тонких клиентов (ALTELL FORT TC).

И вот, наконец, в компании решили сделать межсетевой экран с поддержкой VPN, который дополнили антивирусом, антиспамом, IPS, ещё парой функций и назвали это UTM-устройством ALTELL NEO.

Устройство получилось забавное. Смотрите сами:

База данных IPS берётся на публичных сайтах (например, National Vulnerability Database и Bugtrax);
Антивирус и антиспам - от Kaspersky Labs;
Данные для web-фильрация берутся с «нескольких серверов глобальных индексов с миллионами URL»;
Заявлена поддержка ГОСТ, но никаких сертификатов от ФСБ на сайте не выложено.

В общем, получается этакий сервер с модифицированным UNIX, на который получили сертификат ФСТЭК (по 4 классу защищённости для межсетевых экранов), установили несколько пакетов, обновляющихся из открытых источников, и добавили известный антивирус-антиспам. Прелестно.

Ладно, оставим в стороне качество самого продукта. Гораздо интереснее, как можно было меньше, чем за три года, разработать такую широкую линейку продуктов - от ОС до ноутбука и межсетевого экрана? При штате всего в 40-45 специалистов по ИБ - это непростая задача. Проектирование, написание, отладка, тестирование.... Это сотни и тысячи человеко-часов.

Боюсь ошибиться, но мне кажется, что разработки уже были почти завершены, когда компания создалась. Остаётся открытым вопрос - где же тогда трудились разработчкики до этого и как их предыдущий работодатель отнёсся к утечке ноу-хау? Если, конечно, такая утечка была.

Второй вопрос - неимоверное количество полученных лицензий. Для пробивания бюрократических стен в государственных учреждениях требуется соответствующей крепости лобби. Где же взять его компании, торгующей серверами?

Тем не менее, компания сотворила это чудо и успешно росла. Вот данные из рейтингов СNews за 2007-2009 года о выручке по направлению ИБ (в скобках указан рост к предыдущему году)

2007: 54 002 тыс. руб. (+156%)
2008: 128 665 тыс. руб. (+138%)
2009: 141 918 тыс. руб. (+10%)

Более свежей информации пока нет, так что текущая ситуация с выручкой ещё не ясна. Кстати, в одном из отчётов CNews от конца 2009 года приводится вот такая любопытная информация:

Два года подряд рост свыше 130% демонстрирует «АльтЭль», чей бизнес на 95% завязан на госзаказчиках. Учитывая, что бюджеты 2008-го были утверждены в начале года, а кризис обозначился только в конце, все поставки компании в ФНС, ФМС, Роснедвижимость и пр. прошли успешно.

Интересна ещё новость от мая прошлого года:

Холдинговая компания ОАО «Концерн «Сириус», входящая в Государственную корпорацию «Ростехнологии» и объединяющая 25 предприятий в области автоматизированных и информационных систем, и ООО «АльтЭль» заключили соглашение о сотрудничестве при выполнении проектов создания информационных систем в защищенном исполнении. Стратегический альянс сторон нацелен на создание, внедрение и сопровождение перспективных средств и систем обеспечения информационной безопасности отечественной разработки.

А что, если высокопоставленными чиновниками создаётся коммерческая компания, которой передаются перспективные разработки из каких-нибудь НИОКР, спонсируемых государством? Что, если пользуясь высоким покровительством, компания без проблем получает все необходимые сертификаты и лицензии для работы с государственными заказчиками? Что, если и сами контракты поставляются напрямую - "по звонку от Иван Иваныча"?

Нет, не будем думать плохо про неизвестных нам людей, а лучше пожелаем им удачи в деле вывода на международный рынок российских разработок! Ведь у компании АльтЭль уже даже есть офис в Лондоне:

ALTELL Ltd.

48, Queen Anne Street,

London W1G 9JJ,

England, United Kingdom

На последок - "пасхальное яйцо". Набрав адрес несуществующей страницы на сайте компании можно увидеть ~~автомобиль генерального директора Игоря Стасевича~~ красивый автомобиль с креативным номером. Например, так: http://www.altell.ru/zlonov.html

А на Украине у Аладдина всё хорошо =)

2011-05-10T08:19:00.005+04:00

(перед просмотром просьба включить чувство юмора)

В просторном офисе всегда много клиентов:

Уже реализована поддержка Windows 7:

Для заказчиков всё открыто и прозрачно:

Путь по карьерной лестнице лёгок и приятен:

Заслуженным сотрудникам выдают удобную униформу:

Получены новые сертификаты ФСТЭК:

И такой тоже теперь есть:

Добро пожаловать в торгово-развлекательный центр Аладдин в городе Киеве! Торгуйтесь и развлекайтесь =)

Атака (?) на сервис LastPass

2011-05-07T00:12:00.000+04:00

Глава LastPass, сервиса для хранения паролей онлайн, Joe Siegrist дал подробное интервью PCWorld и поделился подробностями истории, о которой LastPass рассказал в своём блоге ещё 4 мая.

Если коротко, то сотрудники LastPass заметили подозрительный трафик, идущий с нескольких их серверов, хранящих адреса электронной почты пользователей, хешированные пароли и соль к ним.

Данный факт не является прямым доказательством реальной утечки данных, да и объём страннного трафика соответствует информации максимум о паре сотен учётных записей, но LastPass сразу забил тревогу и начал применять целый ряд мер во избежание компрометации паролей своих пользователей. Запись в своём корпоративном блоге они регулярно обновляют, держа всех заинтересованных в курсе происходящего.

Такой подход к своим клиентам может вызывать только уважение. Утечки могло и не быть, потенциальные её масштабы не велики, а LastPass открыто говорит о случившемся с деталями и подробностями. Мне думается, что многие на их месте предпочли бы промолчать и скрыть досадный инцидент - всё же удар по имиджу, могущий привести к оттоку клиентов... Но нет, это отдельные российские компания могут позволить себе стыдливо молчать о происходящем (взять хотя бы мой предыдущий пост =) ), а LastPass, как оказалось, не такие - за это им большое спасибо!

Что касается практической стороны вопроса, то мой пароль для этого сервиса, например, достаточно сложный, чтобы опасаться, что по хешу и соли его подберут, но чуть позже, когда поток желающих сменить пароль и нагружающих сервера вплоть до задержек с авторизацией схлынет, на всякий случай его поменяю, что и остальным советую. В конце концов, любой пароль желательно хотя бы иногда менять.

Аладдин потерял волшебную лампу?

2011-05-05T07:47:00.001+04:00

Про непростую судьбу компании ЗАО "Аладдин Р.Д." в связи с покупкой вендора Aladdin Knowledge Systems таким гигантом как SafeNet я уже писал. Сама компания по прежнему хранит молчание о сути происходящего, рапортуя периодически о своих очередных финансовых победах, но чтение новостных лент наводит на определённые размышления.

Компании Microsoft, SafeNet и «Сертифицированные информационные системы» (СИС) объявляют о продвижении на рынок новых комплексных решений по аутентификации для программных продуктов Microsoft. Полностью >>

Ну как же так? "eToken для Microsoft" - это же старейший продукт Аладдин Р.Д., а их даже не упомянули... Да и говорят о "старье" как о чём-то неизведанном. Разве что из Висты и "семёрки" новых скриншотов наделали, а то решения для Windows 2000/XP/2003, наверное, никто уже и не покупает (поясню - поддержка eToken, как и многих других смарт-карт в операционных системах Windows является нативной и никаких совместных велосипедов тут изобретать не нужно, надо только правильно всё настроить, а упомянутый продукт "eToken для Microsoft" - это не более чем пошаговое руководство по такой настройке с подробными скриншотами).

Дальше - хуже. Цитата из интервью вице-президента компании SafeNet по продажам и управлению бизнесом в регионе EMEA господина Гери Кларка:

PC Week: SafeNet структурировала свою партнерскую сеть в России, выделила несколько направлений и определила ведущих партнеров по этим направлениям. Какие задачи поставлены перед обновленным партнерским каналом и какие способы их решения SafeNet предложит российским партнерам?

Г. К. Действительно, мы реструктурировали здешний канал продаж, выбрали ключевых партнеров, у которых, как нам кажется, есть экспертиза в ключевых сегментах рынка. Теперь перед ними стоят задачи повысить узнаваемость продуктов и бренда SafeNet, развивать партнерскую сеть, вовлекая в нее больше системных интеграторов. Фокус работы наших российских партнеров должен быть нацелен на государственный и финансовый секторы.

Как известно интересующимся, компания Аладдин Р.Д. из списка дистрибьюторов SafeNet была ~~изгнана~~ исключена, а её место заняли "Сертифицированные информационные системы". Вот выдержка из соответствующего пресс-релиза:

В рамках программы развития продаж и поддержки клиентов компания SafeNet утвердила следующие российские компании в качестве стратегически важных партнеров, обеспечивающих пользователям в России техническую поддержку и стимулирующих продажи:
• Компания «Сертифицированные информационные системы» (CIS) занимается дистрибуцией решений eToken для двухфакторной аутентификации и eSafe для защиты содержимого ресурсов. CIS зарекомендовал себя как лидер в области информационной безопасности на территории России.

Теперь господин Кларк открыл общественности причину такого решения: "нет экспертизы в ключевых сегментах рынка". Видимо, по мнению SafeNet экпертизы нет настолько, что в списке партнёров (а их на сайте можно для Российской Федерации найти 17) Аладдин Р.Д. места не нашлось вообще:

Аладдин Р.Д. утратил дистрибьюцию (или вообще партнёрство?), "экспертизу в ключевых сегментах рынка", но показывает стабильный финансовый рост? Как такое возможно?

Русский FortiClient

2011-04-27T20:29:00.000+04:00

Бесплатный антивирус и файервол, о котором уже писал раньше, оказывается, теперь доступен на русском языке. Скачать можно с сайта вендора (выбор языка не предлагается, а видимо, определяется по IP-адресу) или Российского дистрибьютора (здесь лежит только русская версия и вариант для 64-битных платформ).

Лично мне этот программный продукт нравится простотой использования, достаточным для моих целей функционалом и полной бесплатностью. Несколько скриншотов:

Такой вот безопасный вокзал...

2011-04-25T20:07:00.000+04:00

Давно хотел про это написать. После ряда неприятных событий, так или иначе связанных с транспортом, руководство нашей страны призвало усилить безопасность, увеличить бдительность и принять иные необходимые меры для повышения степени защищённости граждан в крупных транспортных узлах. Во что это вылилось на практике, на примере одного из вокзалов рассказал мне коллега, лично наблюдавший описанную ниже картину.

Вокзал, как место скопления большого количества людей, очевидно, является крайне привлекательным местом для террористов. Особенно много людей можно каждый день наблюдать вечером в зале продаж билетов на пригородные поезда - не все готовы покупать проездной, вот после работы и простаивают в очередях. Нужно ли позаботиться о безопасности этих пассажиров? Конечно. Вот только, к сожалению, нередко такие проблемы решаются, что называется, "в лоб".

По словам коллеги, руководство вокзала просто перекрыло все входы, поставив только у одних дверей рамку с металлодетектором и двух господ полицейских с служебной собакой. Наверное, это действие реально усложнило задачу потенциальному террористу по проникновению в зал с чем-нибудь металлическим и взрывоопасным, но обратной стороной стало... правильно, скопление людей у единственного, да ещё и зауженного, входа.

Полицейские? Металлодетектор? Собака? Да на вокзал можно и не входить - прямо у дверей несколько десятков человек... И все трое "блюстителей порядка" (и полицейские и собака), как рассказал коллега, были сонными, вялыми и явно тяготящимися выполнением поставленной им задачи.

Не являюсь специалистом в вопросах физической безопасности, но, по-моему, тут решение очевидное - нужно просто увеличить пропускную способность, ну и блюстителей, конечно, надо поактивнее выбирать. Вот только отдающим приказы, наверное, об этом и подумать толком некогда...

Картинка отсюда: http://www.zoopicture.ru/wp-content/uploads/2010/10/62580211_blud.jpg