воскресенье, 29 мая 2011 г.

Психология пользователей

Добрый день.

Общался с руководителем представительства компании. По ходу разговора спросил, как они работают с системой банк-клиент. Выяснилось, что бухгалтер работает с банк-клиентом на той же машине с которой выходит в Интернет, работает в почте и т.д. И ключи лежат на жестком диске. На мое замечание о том, что так не делают, был сказано: "А что такого? У нас же антивирус... И у нас никогда такого не было.". Пришлось потратить некоторое время и объяснить все возможные несчастья, которые могут произойти с деньгами компании. В ответ услышал, что я страшный человек. Напугал, испортил настроение.
Странно конечно, но я был доволен. Раз стало страшно, может быть теперь будут работать более аккуратно и выделят наконец отдельное рабочее место с антивирусом и межсетевым экраном настроенным только на доступ к серверу и т.д.

вторник, 24 мая 2011 г.

Контур ИБ (SearchInfrom)

Добрый вечер, коллеги.
Сегодня продолжились тесты Контура ИБ. С утра выяснилось, что сервисы относящиеся к КИБ зависли. Т.е. при запуске клиентов выдавалось сообщение, что индексы не доступны. В результате проверки выяснили, что в Журнале событий вчера зафиксировалось неожиданный останов сервиса. Потом зафиксирована попытка перезапуска и в результате сообщение о том, что сервис не может быть загружен, т.к. уже работает. Попробовали перезапустить все сервисы относящиеся к КИБ. По ходу перезапуска часть сервисов отказалась стартовать и выдавала ошибку 1053. Решили связаться с инженером SearchInform. Инженер выслушав меня, сразу предложил приехать. Я согласился. После приезда и разбора логов и всего сопутствующего, было принято решение перезагрузить сервер. В результате этого, как всегда, все заработало. По ходу наладки я высказал вопрос о том, почему не отрабатывает расписание на сервисе перехвата почты. По расписанию сервис должен проводить индексацию каждую минуту. А на деле не проводит. Инженер изучил расписание, провел мониторинг его работы и признал, что такой баг имеется. Снял скриншоты, скопировал логи и сказал, что будут разбираться. Посмотрим.


понедельник, 23 мая 2011 г.

Тестирую КИБ от SearchInform

Сегодня тестирую КИБ. Отправляю разные сообщения по разным каналам и смотрю результат. Пока все выглядит позитивно. Skype, почту, печать перехватывает хорошо. Пробовал создавать различные фильтры в AlertCenter. Создал фильтр по словам, цифровым отпечаткам и нераспознанным форматам. Со поиском по словам нужно, на мой взгляд, сразу ставить галку "Искать слова с ошибками". Иначе часть потенциальных утечек может проскочить. По цифровым отпечаткам вылавливает хорошо. Пробовал запаковать файл в архив zip. Поймал, распаковал и сообщил об утечке. Пробовал отправлять через pochta.ru. Тоже ловит неплохо. А вот через gmail.com не ловит. Т.к. gmail.com работает через https, а комплекс по умолчанию не настроен на перехват https. В моем случае, при использовании MS ISA необходимо провести дополнительную настройку прокси. Нужно сделать так, чтобы MS ISA выполнила "атаку" man-in-the-middle. Т.е. пользователь при попытке войти на https сайт, устанавливает защищенное соединение с прокси (используя сертификат прокси), а прокси от своего имени устанавливает соединение с сайтом (используя сертификат сервера). При этом пользователь об этом не догадывается. Для него все прозрачно. Правда необходимо сертификат прокси сделать доверенным. Иначе браузер станет предупреждать о том, что сертификат не доверенный. Таким образом в середине трафик расшифрованный и может быть перехвачен и проиндесирован.  В документации к контуру есть описание необходимых настроек.
Нашел одну мелочь в дизайне. В AlertCenter слева есть область с древовидной структурой для выбора разных разделов (политики, инциденты, параметры и т.д.). Там есть раздел Инциденты. Так вот в нем не отображается наличие новых инцидентов. Пока не зайдешь - не узнаешь. Мне кажется было бы удобно если бы в скобках указывалось наличие и количество инцидентов. Что то типа "Инциденты (5)". Вошел в AlertCenter и сразу видишь количество инцидентов и при разворачивании дерева, чтобы показывалось какие политики сработали.
В остальном продолжаю тесты. Если удастся выложу скриншоты.

пятница, 20 мая 2011 г.

SearchInform Контур ИБ

Вчера после обеда разворачивали тестовый стенд КИБ от SearchInfrom. Решили начать с клиентского модуля. Модуль занимается перехватом Skype, FTP, печати. Установили консоль управления. Настроили хранилища для Skype и печати на сервере MS SQL, а для FTP на диске сервера. Создали индексы. После этого консоль сразу же просканировала домен и нашла компьютеры, группы и т.д. Дальше выбрали компьютер и попытались установить на него агента и модули для Skype, FTP и печати. Консоль отчиталась о том, что все ОК. Решили проверить и отправили сообщение через Skype. Зашли в консоль управления и......ничего. Индексы пустые, в базе ничего нет. Стали разбираться. Выяснили, что установщик не может получить доступ к веб-серверу консоли для загрузки модулей. Скопировали URL в браузер и он тут же предложил сохранить их на компьютер. Стало интересно, почему установщик не может скачать. После долгого курения проблемы и общения с залом, придумали следующее. Когда мы копируем URL в браузер, мы запускаем процесс от имени пользователя. А когда это делает установщик, то он это делает от имени системной учетной записи. Зашли на MS ISA и наши, что действительно забыли дать доступ системным учетным записям. Ура! Однако не тут то было. Процесс все равно не идет. И модули на компьютере не появляются. Пинг и traceroute показывают, что сервер и компьютер в прямой видимости. Решили переключиться временно на другую задачу и начали ставить компонент перехвата почты. Здесь в целом прошло без проблем. Компонент ставился на сбор почты с определенного ящика, куда копировалась вся почта. Установили, проверили, работает. Ура! Вернулись к модулю Skype. Инженер решил попробовать другую версию. Не прошло. Решили поставить не через консоль управления, а локально. Скачали модуль на компьютер, запустили ........и снова никакого эффекта. Наступило 18:00. Решили остановиться  и перенести на сегодня. Сегодня с утра приехал новый инженер. Сразу предложил внести исключения в антивирусную проверку. После этого агент встал с полоборота. При этом сразу закачал всю историю переписки в чате Skype. Перехват печати тоже работает. Текстовый файл поймал и как картинку и как текст. Долго боролись с HTTP перехватом. Оказалось вчера инженер сделал ошибку в файле конфигурации и поэтому не работало. После общения с залом, курения манов ошибку нашли, исправили и все заработало. В общем установку в целом завершили. Теперь будем тестировать. По результатам буду писать.

среда, 18 мая 2011 г.

Персональные данные

На днях жена получила письмо от Банка Тинькоф с предложением кредитной карты. Казалось бы обычный спам. Но в письме имелась информация, которая никому кроме нашей семьи и женской консультации неизвестна. Речь шла о скором прибавлении в нашей семье. Стало мне интересно, откуда же это банк получил такую информацию..... И решил я написать заявление на сайте РосКомНадзора с требованием прояснить ситуацию с разглашением персональных данных. Написал, приложил скан письма. Ответа от РКН пока не получил никакого. Посмотрим чем закончится.

вторник, 17 мая 2011 г.

Границы идиотизма.

На днях разработал и утвердил инструкцию по работе с ресурсами Интернет. Все замечательно. Определили правила, ввели некоторые ограничения. Но стали приходить ко мне разные люди и говорить: "А какой смысл? Я вот сейчас возьму смартфон все сфотографирую и унесу." Я им отвечаю:"Согласен. Но в таком случае давайте тогда я напишу заявление об увольнении и  ничего не буду делать. И вы деньги сэкономите. Или, как говорил один мой шеф, давайте определим границы идиотизма.". 
Все прекрасно понимают, что возможностей украсть масса. Можно сфотографировать, запомнить, записать на бумажку, и т.д. Нет проблем, давайте отберем на входе все мобильники, флешки и т.д. Поставим аппаратуру досмотра, как в аэропорту. Будем стирать память на выходе. Смешно? Но возможно. Просто нужно очень много денег.
Давайте же тогда определим риски и ущерб от них. И в случае если этот ущерб превысит стоимость защиты, тогда и будем все это внедрять.Есть организации, в которых на входе просят оставить мобильные телефоны в камере хранения, есть организации просвечивающие сумки посетителей. Значит это было им необходимо и выгодно. Они для себя определили границы.

понедельник, 16 мая 2011 г.

DLP и все, все, все....

Добрый день.

На днях буду тестировать DLP от SearchInfrom под названием Контур информационной безопасности. По описанию интересный продукт. Посмотрим что на деле.
А то, как то давно, был у меня опыт общения с продуктом уважаемой компании McAfee. Предлагали свое решение по мониторингу утечек. При этом мониторили, не только SMTP\POP3, но и HTTP. Что на тот момент было ново и интересно. Приехали, развернули стенд. Говорю им: "Добро. Вот я вхожу на сайт mail.ru, создаю сообщение с темой "Секретно.". Пишу в теле слово "Секретно", вкладываю файл MS Word с именем "Секретно". Внутри файла слово "Секретно". Отловите мне это сообщение по слову "Секретно". Промучались 2.5 часа. Все, что смогли, это зафиксировать факт входа на mail.ru. Было очень забавно.
Поэтому с тех пор стараюсь все пробовать сам. Чтобы потом не было обидно.

Кстати, у меня возникла мысль. Все используют аббревиатуру DLP, т.е. Data Leakage Prevention или Protection. Интересно, сколько компаний внедряют такие системы именно в режиме Prevention? Т.е. ставят в разрыв канала с блокировкой отправки подозрительных сообщений? Сколько я видел, в основном такие системы ставят параллельно на mirror port. Т.е. в режиме Monitoring. Когда утечка не предотвращается, а только фиксируется. В таком случае, мне кажется, было бы логично использовать термин Data Leakage Monitoring или DLM.

четверг, 12 мая 2011 г.

СвязьЭкспоКом2011

Здравствуйте.

Вчера посетил СвязьЭкспоком2011. http://www.svyazexpo-online.ru/  



Выставка большая, занимает несколько павильонов. Тематика выставки конечно не совсем относится к области ИБ, но тем не менее кое-что интересное было. Посетил стенд компании МФИ Софт. Они предлагают свою разработку в области DLP под названием "Гарда-предприятие" и "Гарда-БД". По имеющимся данным у них на сайте (www.mfisoft.ru) они разработали и внедрили систему СОРМ для операторов связи. Один из моих коллег, во время работы в органах имел дело с их продуктом и в целом отзывается хорошо. Компания решила использовать свой опыт в создании систем СОРМ в коммерческих целях. 
По описаниям все выглядит красиво. Продемонстрировать продукт нам не смогли в связи с тем, что отсутствовал специалист. Пришлось довольствоваться устным рассказом. Так вот, по описанию, продукт может контролировать основные каналы, типа HTTP, SMTP, ICQ и т.д. Анализ сообщений пока только по ключевым словам. Поддерживает морфологию русского языка. Архив сообщений лежит в PostgreSQL. 
По словам менеджера, планируется активно развивать продукт. В частности, разработать агента для контроля USB и файлов на рабочих станциях. Контроль Skype пока не запланирован. Хотят перейти с использования SQL на использование своих индексов и файловой системы для ускорения работы. Добавить фильтров в дополнение к ключевым словам. 
Лицензирование осуществляется по скорости канала, а не по количеству рабочих мест (как у других). Этот подход выгоднее для клиента на мой взгляд. Т.е. до мониторинг канала до 10Мбит/с стоит в районе 500 000 руб. от 10 до 100Мбит/с где то 700 000 руб. Свыше 100 Мбит/с не помню. Плюс есть модуль категорирования информации (~650 000 руб), который умеет определять, что за информацию поймал комплекс и принять по ней решение.

Мое впечатление - продукт пока сырой. Функционала по сравнению с конкурентами мало. Плюс продукт вырос из СОРМ, а там задачи немного другие. В СОРМ отлавливают информацию от конкретного человека, а не от всех пользователей. А в коммерческих структурах, наоборот нужно контролировать всех и выявлять от кого утечки. Но думаю, что года через два будет очень интересный продукт.

вторник, 10 мая 2011 г.

С прошедшим Днем нашей Победы!!!!!!

Поздравляю всех с Днем победы!!! Пусть ужасы той войны никогда не повторятся.

Вчера пытался отправить сообщение в блог со смартфона находясь на даче. Использовал программу Blogger от Google. Не удалось. Подозреваю плохую связь. А может быть еще что то. Буду разбираться на днях.

Еще на этой неделе планирую посетить СвязьЭкспоком 2011. На людей посмотреть, себя показать. Будет что интересное- расскажу.

пятница, 6 мая 2011 г.

Проблемы с биометрией

В ходе поиска биометрических решений для двухфакторной аутентификации в домене обратил внимание на такой вопрос. Многие сканеры выполнены таким образом, что сканирующий элемент утоплен в корпус.

Проходя мимо секретарши, увидел у нее шикарные ногти. Примерно такие как на картинке.

И вот что мне стало интересно, как она с такими ногтями сможет пользоваться сканером отпечатков? Надо будет проверить и учесть при выборе.

среда, 4 мая 2011 г.

Обо мне

Меня зовут Андрей Нуйкин. Занимаюсь я вопросами информационной безопасности. Не так давно получил сертификаты CISA и CISM. ИБ занимаюсь уже лет 8 в разных компаниях. Дело это мне интересно и надеюсь, что полезно для окружающих. Здесь буду писать обо всем, но больше наверное все таки о вопросах ИБ.

Вот как раз сегодня озадачился вопросом выбора биометрической системы аутентификации в компанию. Хочется чего то не очень дорогого. Нужно обеспечить людям вход в домен Windows. А этот самый Windows вроде бы уже умеет изначально работать со сканерами отпечатков. Однако при поиске обнаружилось, что самый дешевый вариант стоит 50$. Я рассчитывал на меньшую сумму. Насколько я понимаю, нужен просто сканер и драйвер. А мне предлагают еще и софт... А нужен ли он мне? Не уверен. Будем изучать вопрос. Вот БиоЛинк прислал стоимость 210$ на человека при заказе 251 штуки. Много. Столько денег сразу не дадут. :-) Но как говорит герой в фильме Бриллиантовая рука": "Будем искать.".

Начнем пожалуй...

Уже давно читаю чужие блоги. Вот решил, попробовать вести свой. Посмотрим, что из этого получится.