пятница, 30 сентября 2011 г.

Infosecurity 2011 (день второй)

Вчера весь день посвятил Zecurion DLP Forum'11. Мероприятие проходило в зале №4 расположенном отдельно от основного зала выставки. На входе стояли бдительные девушки и без наличия фамилии в списке не пропускали. Сначала. Потом все таки пускали. У меня проблем не возникло, т.к. я отправил запрос на регистрацию днем раньше и получил подтверждение. Однако мой коллега этого сделать не смог и его сначала не пускали. Мотивируя это тем, что якобы у них на 150 мест 300 желающих. Но когда к началу форума зал был заполнен наполовину, все таки решили пустить. 

Всем раздали тряпочные сумки с материалами. Среди материалов был блокнот, ручка, программа форума и рекламный буклет с продукцией Zecurion DLP. Да и еще в каждой сумке лежала книга. У всех разная. Мне досталась книга Паоло Коэльо "Алхимик". Коллеге достался Жан Жак Руссо. Забавно. Программа форума состояла из трех сессий. Плюс в конце обещали чемпионат по картингу. Но я на него не пошел. Были дела дома. 

Форум начался не очень организованно. Т.к. большинство докладчиков опоздали. Но тем не менее начали вовремя. В первой сессии под названием "DLP-сегодня: задачи и возможности" выступал А.Раевский с докладом по теме "Стратегический подход к защите от утечек: какие бизнес-задачи решают современные DLP-системы". 
Потом выступил И.Шабанов из Anti-malware.ru. Но его доклад как то не впечатлил. Раевский был интереснее. 
Затем очень не плохо выступил М.Кардер из Cisco. И еще выступил Е.Климов из RISSPA. 

Во второй части под названием "Выбор DLP" выступали П.Савич из Websense с интересным докладом о потребностях клиентов и возможностях систем DLP. В частности, он пытался объяснить, что зачастую клиенты требуют от системы DLP возможностей, ктороые в жизни не очень нужны. Например, морфологический анализ. По его словам это не самое главное свойство DLP. И если его нет, то вполне можно обойтись звездочкой - договор*. 
Р.Подкопаев (Zecurion) с докладом "А что вам нужно от DLP?". Затем выступил О.Головенко из Symantec с обзором технологий DLP. 
Затем был довольно скучный (для меня) доклад А.Рогожина из Trustwave о DLP в контексте PCI DSS.

В третьей части под названием "Практика защиты от утечек: от внедрения до расследований", довольно интересно выступил А.Новиков из McAfee. Он рассказывал о сложностях при внедрении DLP. 
Затем было выступление представителя Group-IB. Он много рассказал о проведении расследований. Но не совсем понятно было при чем здесь DLP. И когда мы спросили использовались ли системы DLP и их логи при расследовании. Был получен ответ  "Нет". 

Очень интересно выступал К.Суворов из адвокатской конторы "Корельский, Ищук, Астафьев и партнеры" о том, насколько правомерно использование DLP в компании. И что необходимо для обеспечения правомерности. Т.к. по конституции все имеют право на тайну частной переписки. И за нарушение этого права грозит уголовная ответственность. Но и работодатель имеет право контролировать исполнение обязательств. Но чтобы не нарушать права работника нужно получить его согласие. Тогда работодатель прав не нарушает. Было много вопросов. Например, даже если нет DLP, то есть скажем антиспам фильтр, который просматривает почту. Формально нарушаются права на тайну переписки. Т.е. нужно согласие работника. Для себя определил, что надо наравне с согласием на обработку персональных данных, брать еще согласие на доступ к переписке. Плюс вводить режим коммерческой тайны и запрещение использования служебных средств в частных целях.

Напоследок было выступление К.Керценбаума. В своем докладе Керценбаум пытался довести до нас, что внедрение DLP это одно из последних средств.  А на начальном этапе многие вопросы можно закрыть простыми средствами. Внедрением антивируса, межсетевого экрана, систем IDS/IPS и т.д.

Вкратце все. В целом форум понравился. Почерпнул некоторую новую для себя информацию.

среда, 28 сентября 2011 г.

Infosecurity 2011

Сегодня с утра сходил на выставку Infosecurity. Сама выставка проходит в Сокольниках. По размеру не очень большая. Крупных производителей не много. Но тем не менее посмотреть кое что можно. Для меня основное все таки общение с коллегами и представителями компаний. А также участие в семинарах и других мероприятиях. Сегодня послушал выступление по теме "Безопасность WEB-приложений - а Ваш WEB-сервер защищен?". Выступал Маркус Хенинг из Astaro GmbH. Выступление не очень понравилось. Маркус дал общую информацию о взломе RSA, Barracuda. И еще общие размышления. После этого посетил демонстрацию решения Центр мониторинга и управления безопасностью предприятия от компании АйТи. Коллеги рассказывали о своем продукте Security Vision. Продукт  как я понял является некоей надстройкой над SIEM. В демонстрации был использован Q1 Radar. Но по словам АйТи можно использовать любую другую SIEM. Кроме этого, они добавили немного функционала. Например, работу с ПО и устройствами российских производителей. Возможность проведения инвентаризации и контроля целостности, а также некий incident management. В конце представители АйТи провели конкурс а-ля  "Кто нас слушал, молодец". Задавал вопросы по информации из презентации. Мы с коллегой выиграли по две флешки. 
На стендах активно пообщался с представителем Qualys и их партнером компанией Анализ защищенности. Они предлагали попробовать QualysGuard бесплатно. Все интересно и замечательно. Единственно смущает стоимость решения - 15 000$/год на 256 машин. Стоимость Nessus на год 1200$. Но как говорит Анализ защищенности Qualys круче. Думаю попробовать и сравнить. Далее Ассоциация руководителей служб информационной безопасности (АРСИБ) рекламировало свою инициативу совместно с кадровым агентством Кордек под названием "Кадровый резерв". Планируется помогать спецам в ИБ находить правильные вакансии, а работодателям находить правильных специалистов. В ходе общения принял решение вступить в АРСИБ. Заполнил анкету. Обещали на ближайшем заседании в октябре рассмотреть мою кандидатуру. Посмотрим, что из этого выйдет. В общем пока все. Завтра планирую сходить на DLP форум. Постараюсь написать по результатам

пятница, 23 сентября 2011 г.

Документы в рамках ФЗ №152 (продолжение)

Вчера был пост про документы по ФЗ №152 и их внутреннему наполнению. Сегодня я наткнулся на ссылку на сайте Защита персональных данных, содержащую подборку документов необходимых в рамках ФЗ №152. Документы из тех же методических рекомендаций Министерства здравоохранения и социального развития. Подборка большая (26 документов) и на мой взгляд полезная. Желающие могут ознакомиться. Мне кажется если оператор сделает себе примерно такую же подборку, то вопросов от регуляторов будет гораздо меньше. 

четверг, 22 сентября 2011 г.

Документы в рамках ФЗ №152

Просматривая перечень документов необходимых для выполнения требований ФЗ №152 "О персональных данных" обратил внимание на документы Инструкция пользователя ИСПДн, Инструкция администратора ИСПДн, Инструкция администратора безопасности ИСПДн. Возник вопрос, а насколько подробными должны быть эти инструкции? Будет ли достаточно инструкции размером в 2-3 страницы, описывающей основные действия пользователей и администраторов? Решил поискать в сети, какие варианты предлагаются обществом. Наткнулся на следующие варианты от Министерства здравоохранения и социального развития РФ (инструкция администратора безопасности, Инструкция администратора, Инструкция пользователя). Варианты весьма лаконичные. Но тем не менее описывают основные действия. Формально инструкция есть. Вопрос удовлетворит ли такая инструкция регуляторов? Может быть у кого то был опыт общения с регуляторами? Какие требования к таким документам?

вторник, 13 сентября 2011 г.

С Днем программиста!!!

Чуть не забыл.

Поздравляю всех программистов с профессиональным праздником. Поменьше багов в вашей жизни.

Безопасность и бюджет

Очень часто возникает вопрос бюджета на внедрение средств ИБ. Это бюджет какого подразделения? Многие скажут конечно же подразделения ИБ. Возможно. Но ведь средства обеспечения ИБ защищают всю компанию. Хотя часть средств защиты может относится к конкретному подразделению, или к ПО используемому в конкретном подразделении. Так что получается, что бюджет на средства обеспечения ИБ должен быть во всех подразделениях (в том или ином размере). И мне кажется естественным закладывать деньги на средства ИБ при закупке/внедрении нового ПО, а не после закупки/внедрения.

А то получается история.
Я сначала купил "Жигули", а потом говорю: 
- А безопасно ли на них ездить? 
- Нет, не безопасно. Нужна подушка безопасности, АБС, преднатяжители.
- Ну так сделайте безопасно.
- Но тогда нужно для начала все это купить и установить, при этом из за подушки придется залезать через заднюю дверь. Плюс время на установку 1 месяц.
- Нет, это меня не устраивает. Мне нужно здесь и сейчас. Плюс входить через заднюю дверь я не хочу/могу.
Значит садись и езжай так. Только в случае аварии не пеняй на безопасника. Он предупреждал. А еще лучше, надо было при покупке проконсультироваться.

А ведь очень часто в компаниях при покупке некоего ПО так и происходит. Сначала что то купят, а потом требуют с безопасника сделать работу безопасной. А на его замечания, что это будет стоить денег и неудобств (в связи с тем, что изначально вопросы безопасности не рассматривались), следует ответ: "Сделай здесь и сейчас и бесплатно и удобно".

Может быть, все таки стоит работать вместе и продумывать вопросы безопасности заранее? 

суббота, 10 сентября 2011 г.

Борьба с мошенниками

Во время моей работы в банке нам приходилось бороться с так называемыми дропами. Т.е. людьми, которые занимаются обналичиванием краденных денег через банковские карты. И большой проблемой были люди, которые открывали счет сначала в одном банке. Потом когда там закрывали их счет за такие операции обналичивания, они шли в следующий банк и так далее. Возникает вопрос, как узнать, что человек уже участвовал в схемах обналичивания или других негативных схемах и не открывать ему счет или применять некие средства контроля? 
И тогда возникла идея организовать обмен такой информацией между банками и заинтересованными организациями. Но как это сделать не нарушая закон о банковской деятельности и закон о персональных данных? Одним из вариантов видится объединение участников в некую сеть и организация обмена информацией на базе некоего сервера для обмена. Но при этом на сервере не должно храниться никакой информации. Т.е. это просто некий сервер для связи. 
Схема работы могла быть такой. Есть некое клиентское ПО. В него заносятся ФИО человека, его дата рождения и некая "Соль" для усложнения взлома хеша. Считается хеш полученной строки и результат передается на сервер. Сервер отправляет запрос наличия такого хеша членам сети. Соответственно, банк или другая организация получив запрос от сервера производит поиск по заранее просчитанным хешам известных ему дропов или мошенников. Если совпадение есть, то он отправляет серверу флаг. Таким образом, сервер получает от участников обмена флаги, говорящие о том, что на запрашиваемое лицо есть негатив. Но при этом сервер не фиксирует от кого получена информация и какой именно негатив. После получения всех ответов сервер передает результат инициатору запроса. Инициатор на основании количества флагов может принимать некие решения и учитывать риски. Например, ставя клиента на контроль. Таким образом мы не раскрываем информацию о клиентах, не передаем ПДн в открытом виде. 
Вроде бы на первый взгляд все должно быть хорошо. Возможно коллеги найдут уязвимые места такого алгоритма. Готов выслушать.

пятница, 9 сентября 2011 г.

Вспомнить детство

На просторах Интернета наткнулся на забавный видеоролик. Это правда к безопасности не совсем относится, но тем не менее. Некто решил проверить, можно ли с помощью обновлений перейти из MS Windows 1.0 в MS Windows 7. Сразу вспомнилось детство, первые компьютеры, Win95 на 32 дискетах 3.5 дюйма. Было время. В ролике поразило то, что в результате обновлений в Win7 подтянулись программы установленные в Win 1.0 (типа Doom). В целом Майкрософт конечно молодцы. Единственно, как безопасника меня заинтересовало как изменялось количество уязвимостей от системы к системе. Было бы интересно проанализировать такую зависимость.


четверг, 8 сентября 2011 г.

Расследование инцидентов и не только

На днях я писал про инструменты исследователя под названием CAINE и Kon-Boot. Сегодня хотел бы рассказать еще об одном дистрибутиве. Точнее наборе дистрибутивов с названием KATANA.
В набор входят следующие продукты:
CAINE 

Весь набор записывается на флешку. При этом рекомендуется использовать флешку размером 8Гб. При старте с флешки появляется меню выбора системы


После выбора происходит загрузка соответствующей системы или ПО. При этом есть возможность работать с частью ПО из ОС Windows в рамках Katana ToolKit


Мне продукт понравился. Своего рода швейцарский нож для хакера/безопасника.

среда, 7 сентября 2011 г.

Зачем нам пароли?

Как то наткнулся на интересный продукт Kon-boot. Данный продукт позволяeт загрузить ОС Windows и даже Linux не зная пароля администратора или пользователя. Вот таблица версий ОС Windows (с сайта разработчика), с которыми протестирована программа.

Tested Windows versions
Windows Server 2008 Standard SP2 (v.275)
Windows Vista Business SP0
Windows Vista Ultimate SP1
Windows Vista Ultimate SP0
Windows Server 2003 Enterprise
Windows XP
Windows XP SP1
Windows XP SP2
Windows XP SP3
Windows 7


А вот ОС Linux

Kernel
Grub
Gentoo 2.6.24-gentoo-r5
GRUB 0.97
Ubuntu 2.6.24.3-debug
GRUB 0.97
Debian 2.6.18-6-6861
GRUB 0.97
Fedora 2.6.25.9-76.fc9.i6862
GRUB 0.97


Маленькая программка (влезает на дискету, если кто то их еще использует) стартует перед ОС, производит магические действия и далее загружает основную ОС. После появления запроса имени учетной записи и пароля, вводим необходимые данные (например Администратор) и пустой пароля. Жмем вход и все! 



Единственное, мы войдем под учетной записью локального пользователя. С доменным чуть сложнее. Но тоже возможно, если на локальном компьютере сохранился кеш для автономной работы, то тогда может сработать и с доменным пользователем. В общем интересный продукт и опасный. Вот здесь можно взять ISO образ.

вторник, 6 сентября 2011 г.

Круговая защита данных

Сегодня сходил на семинар от компании SoftLine под названием "Круговая защита данных". Как оказалось название не совсем соответствовало наполнению. Были следующие доклады:

- Построение эффективного DLP-решения на базе DeviceLock 7 в корпоративной среде
- Главные возможности нового семейства продуктов ABR 11
- Обзор продукта SANsymphony-V и его возможностей. Оценка экономической целесообразности приобретения ПО

Т.к. я нахожусь в поиске DLP решения, мне было интересно послушать про DeviceLock DLP. В ходе доклада рассказывалось как все замечательно построено и работает. Правда в связи с тем, что основная масса слушателей были сисдамины, доклад был больше ориентирован на них. Система является Endpoint решением. Т.е. на клиентские машины ставится агент, который и производит все действия. Система фильтров пока не очень развита. Есть поиск по ключевым словам, по шаблонам (с использованием RegExp), сложные шаблоны. Перехватываются многие каналы (http/s, pop/smtp, IM, print). Но почему то не берется Skype. Хотя у других перехват есть. Докладчик мотивировал отсутствие тем, что протокол Skype закрыт. Ну да ладно.
Очень интересно выглядела сессия вопросов после доклада. Докладчик (Сергей Вахонин) достаточно агрессивно защищал свой продукт и на вопросы иногда отвечал довольно резко. Скользкие вопросы по нагрузке на компьютер и сеть плавно обходились или давались размытые ответы. Из этого можно сделать вывод, что нагрузка на клиентские машины есть. Также с централизованным сбором логов и теневых копий. Для снижения нагрузки ставьте больше серверов в разных сегментах и соответственно платите больше денег за лицензии. В целом у меня впечатление сырого продукта. Старый DeviceLock для работы со съемными носителями мне нравится. Система отлажена и работает. А вот новые навороты, мне кажется еще сыроваты. 
Далее рассказывали про новую версию Acronis backup and restore. Выглядело достаточно интересно. 
И напоследок рассказывали про решение компании DataCore. Решение позволяет виртуализировать хранилище данных. При этом можно использовать самое разное оборудование и каналы связи. В целом понравилось, надо будет почитать дополнительно.
В общем было нормально. Не могу сказать, что в полном восторге, но кое что полезное почерпнул.

Расследование инцидентов

В свое время приходилось активно участвовать в расследовании различных инцидентов ИБ. При этом необходимо было производить анализ компьютера подозреваемого.  Вот решил поделиться инструментарием. На сегодня существует несколько специальных дистрибутивов для проведения расследований. Есть и платные и сертифицированные (правда за рубежом) и бесплатные. Среди таковых мне очень нравится система CAINE (Computer Aided Investigative Environment). Дистрибутив обладает приятным интерфейсом и достаточным набором инструмента (список инструментов). При загрузке монтирует все разделы в режиме чтения, чтобы не нарушить улики. При необходимости монтирования в режиме записи необходимо набирать команду в консоли. Есть возможность делать образы дисков для анализа. Ведь с точки зрения расследования и суда, нельзя проводить анализ на компьютере подозреваемого. Т.к. в процессе анализа вы нарушаете целостность системы, вносите изменения и т.д. Поэтому весь анализ проводится только на образе системы. В ходе анализа есть возможность восстановления удаленных файлов. Поиск информации, просмотр кеша и многое другое.
Все инструменты собраны в единое меню. В рамках данного меню сразу заводится название расследования и имя исследователя. 

Позволяет выгрузить отчет в формате RTF или HTML.


В целом если Вам требуется провести локальное расследование и не потребуется предоставление результатов в суд, то я рекомендую данный продукт. С обращением в суд не готов сказать однозначно, но думаю, что российский суд доказательства собранные данной программой не примет во внимание.





понедельник, 5 сентября 2011 г.

Двухфакторная аутентификация в Google

На днях включил в Gmail функцию двухфакторной аутентификации с помощью одноразовых паролей (one time password - OTP). Процесс активации выглядит достаточно просто. Можно получать коды на телефон в виде СМС, или воспользоваться программкой для смартфона Iphone/Android. Про Symbian не помню... Но думаю, что тоже есть. Я выбрал смартфон. Ставится небольшая программка, которая генерирует разовые коды. Срок жизни кода 1 минута. На начальном этапе необходимо активировать генератор кодов и синхронизировать с сервером. После этого, необходимо создать пароли для сервисов не умеющих работать с OTP (например приложение для GMail на смартфон). GMail создает пароль длиной символов 20, который необходимо ввести в программу один раз. И все. Для случая когда нет телефона или он неисправен, предлагается предоставить альтернативный номер мобильного для СМС и распечатать спецкоды на бумажку. 
В целом мне сервис понравился. Да появилось лишнее действие на входе, но как мне кажется стало более безопасно. Код спрашивают на входе в GMail, Blogger. В других местах не знаю, не пробовал. В общем рекомендую всем. 
Вот бы такую штуку сделали для банк клиентов.... Часть банков уже использует OTP токены. Но многие считают их дорогими. Мне кажется для таких подошел бы программное решение как у Google.

пятница, 2 сентября 2011 г.

Мы персональные данные не обрабатываем!

Во время аудита на предмет выяснения ИСПДн очень часто в начале разговора возникает ситуация, когда опрашиваемый заявляет: "А мы никакие персональные данные не обрабатываем!". И все точка. Причин такого ответа может быть несколько. Основная это конечно же непонимание людьми, что такое персональные данные. Второе, очень часто считают, что персональные данные это только в отделе кадров. А у них в КИС или еще где то, это так, мелочи. Еще один вариант, когда люди путают обработку и работу. Аудиторы спрашивают про обработку понимая под этим все процессы. А люди понимают обработку это как в кадрах или бухгалтерии. А я не обрабатываю, я только получаю и отправляю. Но когда уточняешь, ведется ли работа с персональными данными, вот тогда люди начинают рассказывать больше. В общем аудитор должен быть большим психологом и уметь общаться с людьми. А иначе получится, что на словах никто ничего не обрабатывает, а на деле все наоборот.

четверг, 1 сентября 2011 г.

Дешевле платить штраф

В связи с новой версией закона "О персональных данных" возникла ситуация, что закон уже есть. а подзаконных актов пока нет. Кроме того. не определены требования к техническим средствам защиты. И в связи с этим, многие компании даже не пытаются внедрять защиту ПДн. Т.к. по их подсчетам пока дешевле платить штраф. Особенно если нет внешних субъектов, а только сотрудники. Как уже замечал Емельянников в своем блоге, он также в последнее время сталкивается с разновидностью такой ситуации. Когда компании готовы внедрять нормативную часть, но не готовы техническую. Получается как всегда, закон есть. но выполняют его не все и не всегда. А причиной является само государство, не обеспечившее полноценную поддержку закону. И в результате хотели как лучше. а получилось как всегда.