суббота, 29 октября 2011 г.

А зачем шифровать?

Очень часто слышу вопрос: "А зачем шифровать ноутбуки? Ведь это не удобно и сложно и дорого (возможно).". Или вот еще у больших боссов: "У меня охранник всегда со мной. Так что его не украдут.". 

Так вот мое мнение шифровать необходимо. Потому что в жизни всякое бывает. И у топов ноуты пропадают. На одном из мест работы зашифровали все ноутбуки. Все ругались, плевались и т.д. Однако вскоре произошло ЧП. У директора департамента украли сумку с ноутбуком, документами и т.д. Совершенно случайно. Приехал домой после ресторана и забыл сумку на полу заднего сиденья. Окна тонированы почти в ноль. И тем не менее, разбили окно и унесли. И вот он рассказывает нам как же хорошо, что все зашифровано. А в другом месте украли у топа. И вроде бы охрана была, и все остальное. Тем не менее и на старуху бывает проруха.

Тогда мы использовали SecretDisk, сертифицированную версию. И шифровали весь диск. Т.е. и системный диск. Соответственно перед загрузкой требовалось предоставить токен и пароль. 

Но в целом можно использовать и бесплатный TrueCrypt. Тем более, что он тоже умеет шифровать системный диск. И имеет еще множество вкусностей, с которыми можно ознакомиться на сайте.

пятница, 28 октября 2011 г.

VMWare vCenter Converter и сохранение информации

В любой нормальной организации проводится резервное копирование информации. Обязательно с серверов. Реже с рабочих станций. Достаточно часто возникает вопрос с увольняемыми. Человек написал заявление на увольнение. А вдруг у него на рабочей машине что то ценное, что он не положил на сервер? А если он все сотрет в последний день?

Одним из решений, на мой взгляд, может быть использование продукта VMWare vCenter Converter. Продукт бесплатен и позволяет сделать VMWare образ с работающего компьютера. При этом сохранится возможность использования всего того ПО с которым работал сотрудник.  Правда при этом возникает вопрос с доступом к личным данным. Но здесь, я думаю, поможет получение согласия и всего остального в рамках использования DLP.


Интерфейс программы достаточно прост и понятен. Можно настроить какой именно образ нужен. Изменить результирующие параметры виртуальной машины.

















vCenter Converter работает достаточно хорошо. Хотя бывают моменты. У меня была ситуация, когда в начале снятия образа все работало быстро, но в какой то момент вдруг резко падала скорость передачи (с 12 Мб/с до 600 кб/с). При этом причина падения была не понятна. В остальном все было хорошо. Снятые образы запускались в VMWare Player и позволяли, при необходимости, получить необходимые документы.

Решение конечно не самое правильное, но тем не менее работающее и позволяющее хоть как то решать вопрос сохранения информации.

четверг, 27 октября 2011 г.

Смарт-карты от Аладдина и Windows7



Ранее я писал, что выбираю и тестирую систему двухфакторной аутентификации на базе смарт-карт. Так вот недавно, с директором по ИТ, мы тестировали продукт от Алладина. Ставили Network Logon на Windows7. При этом использованный компьютер был не в домене. Выяснились несколько особенностей. В частности, сделать вход только по смарт-карте так, как написано в инструкции нельзя. По крайней мере у нас не получилось. Звонок в поддержку Аладдина не прояснил ситуации. Девушка упорно сообщала, что вся процедура написана в инструкции. На наше замечание, что описанная процедура не работает, она сообщала:"Но ведь в инструкции написано, значит работает.". Забавно. Но в конце концов с помощью лома и какой то матери, а также с помощью правки реестра мы своего добились. Но выяснилось, что если у вас есть учетные данные в нескольких доменах и вы хотите эти учетные данные записать на смарт-карту, то ничего не выйдет. При запуске wizard'а он автоматически подставляет текущий домен (т.е. тот в котором находится компьютер, на котором запущен wizard). В инструкции написано, что можно исправить реестр и тогда такой подстановки не будет. Однако на Windows7 это не срабатывает (что в общем то и написано в инструкции). Поэтому пришлось директору идти на мой компьютер (который входит в основной домен) и на нем запускать wizard и прописывать свою учетную запись для другого домена в свою смарт-карту. 

В общем и целом мы победили. Однако в ходе установки и проверки возникла мысль. Ведь Windows7 умеет работать со смарт-картами самостоятельно. И теоретически, если подключить совместимый считыватель и смарт-карту, то можно работать и без использования всяких Network Logon и т.д. Но смарт-карты от Алладина не распознаются Windows7 как совместимые. 

Мы обратились к коллегам с этим вопросом и те предложили попробовать другую смарт-карту и считыватель. А именно эти смарт-карту и считыватель. И даже любезно предоставили один комплект на тестирование. Единственно, этот комплект не сертифицирован. Но нам никто не мешает в нужных местах использовать сертифицированное решение от Аладина, а для остальных использовать другие карты. Тем более, что цены примерно одинаковые. Так что по результатам напишу.

четверг, 13 октября 2011 г.

Интересный и опасный DDOS

Наткнулся на интересное описание варианта атаки DDOS. Метод называется slow HTTP POST. Является развитием атаки Slowloris. Впервые обнаружена в сентябре 2009 года Wong Onn 
Chee и его командой.

Смысл атаки в том, что мы посылаем POST запрос обычного вида. При этом в поле Content-length пишем, например, значение 1000 байт. Т.е. сервер понимает, что мы хотим отправить ему 1000 байт. Соответственно он их начинает ждать. А мы в ответ посылаем эти 1000 байт со скоростью 1 байт в 110 секунд. Если таких запросов 20 000 = DDOS. Исходя из реализации принципа атаки, атакующему не нужен скоростной канал. При этом, атаки такого типа будет на мой взгляд довольно сложно обнаружить. Т.к. формально ничего особенного не происходит. Просто у клиента медленный канал. Или это мобильный пользователь. 

Таким образом, web сервера, на которых есть формы для ввода данных (логин/пароль, webmail и т.д.) подвержены такой атаке. При этом вероятность такой атаки увеличивается, т.к. злоумышленники переходят на использование сетей 3G, а там скорости не супер.

Вариантом защиты может быть ограничение размера принимаемых данных. Если это логин и пароль то не нужно принимать в такое поле 1 Кб данных. Установить Request Timeout. Определить порог минимальной скорости. Но при этом есть вероятность отсечь пользователей с медленными каналами и мобильных пользователей.

В сети есть ПО для проверки уязвимости. И есть описание в виде презентации (на англ. языке).


вторник, 11 октября 2011 г.

ИБ и проекты

Я вот задался вопросом "Должен ли специалист по ИБ сам влезать в проекты и обеспечивать их безопасность или все таки его должны включать в проектную группу?". По правильному вроде бы второй вариант. Но по моему опыту редко когда спеца по ИБ включают в проектную группу. Но почти всегда возникает момент, когда руководитель проекта приходит к спецу по ИБ с вопросом будем ли мы защищаться и как? Один из моих руководителей называл это "Разделить ответственность". Обычно после разговора руководитель проекта огорчается и уходит. Хорошо, если после этого начинают что то делать в области ИБ. Мне удавалось изменить ситуацию и добиться, чтобы вопросы ИБ согласовывали с самого начала. 
Коллеги, мне интересно это только мне так "везло" или это стандартная ситуация?

понедельник, 10 октября 2011 г.

Кибервойна

Интересная новость появилась на сайте www.lenta.ru.


Компьютерный вирус поразил систему управления американскими БПЛА

В системе управления американскими беспилотными летательными аппаратами (БПЛА) обнаружен компьютерный вирус, сообщает Associated Press в субботу, 8 октября, со ссылкой на журнал Wired.
По данным издания, вирус, отслеживающий нажатие клавиш на клавиатурах, поразил компьютеры на базе ВВС США Крич в штате Невада. С этой базы дистанционно управляют беспилотниками Predator и Reaper, участвующими в операциях в Ираке, Афганистане и других странах мира. Удалить вирус, как стало известно Wired, пока не удается.

Такими темпами скоро войны будут похожи на компьютерные игры, типа Command&Conquer. И где гарантия, что следующий вирус не начнет бомбить кого нибудь. А еще вопрос, где же была система безопасности. Антивирусы разные, система контроля доступа и т.д.

пятница, 7 октября 2011 г.

Rutoken и eToken

Чуть ранее, на выставке INFOBEZ, я общался с представителями Рутокен. И выдвинул предположение о том, что стоимость их ключей больше стоимости ключей Аладдина. Вчера решил посмотреть и оказалось, что ключи Рутокен дешевле. В частности, по официальным данным с сайта:

eToken PRO (Java)/72K USB-ключ eToken PRO (Java), защищённая память 72КБ 
(1 - 1000 шт) -  991р. 
(1000+ шт)   -  921р. 

eToken PRO (Java)/72K/CERT-1883 USB-ключ eToken PRO (Java), защищённая память 72КБ, сертификат ФСТЭК №1883    
(1 - 1000 шт)  - 1 060р.  
(1000+ шт)     - 1 007р.  


Рутокен 32 Кб  (1-199 шт) 770 руб
                            (200-499)   704 руб
                            (500-999)   681 руб

Рутокен 64 Кб  (1-199 шт) 784 руб
                            (200-499) 717 руб
                            (500-999) 693 руб

Рутокен 128 Кб (1-199 шт) 986 руб
                             (200-499) 925 руб
                             (500-999)  звоните

Рутокен 32Кб (серт ФСТЭК)  (1-199 шт) 827 руб
                                                      (200-499) 760 руб
                                                      (500-999) 736 руб

Рутокен 64Кб (серт ФСТЭК)  (1-199 шт) 841 руб
                                                      (200-499) 773 руб
                                                      (500-999) 748 руб



Получается по стоимости чистого железа Рутокен дешевле. Интересно было бы посмотреть решение в целом. Т.е. железо + ПО в пересчете на одно рабочее место. Если будет время и возможность надо будет посмотреть. Должно быть интересно.

четверг, 6 октября 2011 г.

Умер Стив Джобс

Сегодня сообщили, что умер основатель компании Apple Стив Джобс. Это большая потеря для мира ИТ. Человек стоявший у истоков персональных компьютеров. Создатель персонального компьютера Макинтош, графического интерфейса, компьютеров Next, студии Pixar, iPhone, iPad и много другого. Мое знакомство с миром компьютеров начиналось с Apple II (который до сих пор жив).  

Этот человек обладал даром предвиденья будущего информационных технологий.
Выражаю свое соболезнование семье Джобса. 

среда, 5 октября 2011 г.

INFOBEZ-EXPO 2011

Вчера был на INFOBEZ-EXPO 2011. Посмотрел, послушал, пообщался. В целом выставка похожа на Infosecurity. Что в общем то и понятно, т.к. вышли они друг из друга. Заметил одну особенность (хотя может просто показалось). На Infosecurity было больше зарубежных компаний, а на INFOBEZ больше российских. Сама выставка не очень большая. Мне показалось даже меньше Infosecurity. Запланировано много мероприятий. Толком на мероприятиях посидеть не удалось, как и попасть на раздачу пива в конце дня. Но тем не менее. 

Один раз очень напугали барабанщицы. Они незаметно вышли из за спины и как грянули марш. Оказалось, это был своего рода анонс выступления на центральной сцене.

Пообщался на стенде Сертифицированные информационные системы с Ульяной Малиной. В ходе беседы Ульяна активно рекламировала сертифицированные продукты Microsoft. На вопрос,
 "Если установлена сертифицированная Windows XP/7 можно ли считать встроенный межсетевой экран также сертифицированным?", Ульяна ответить затруднилась. Но сказала, что уточнит. В качестве межсетевого экрана у них сертифицирована MS ISA 2006. А вот TMG только сертифицируется. 

Интересно идет получение сертифицированного продукта. Если у Вас ничего нет, то просто покупаете сертифицированную версию и все. А вот если у Вас уже куплена лицензионная версия скажем Windows 7. ТО тогда Вы передаете диск и лицензионный номер к ним в компанию. Они вместе с Microsoft проводят сертификацию и возвращают Вам. После этого нужно переустановить систему с выданного диска. Потом установить сертифицированные обновления. Потом, по словам Ульяны, можно установить несертифицированные обновления. И все. Хотя у меня возникает вопрос, после установки несертифицированных обновлений не аннулируется ли сертификация продукта? На то они и сертифицировали продукт и обновления к нему, чтобы сказать, что в нем все чисто. А после установки несертифицированных обновлений, так сказать уже нельзя. В общем вот такой разговор был на стенде Сертифицированных информационных систем. 

Еще пообщался с Рутокен. Спрашивал о наличии смарткарт. Сказали пока нет, но будут. По ценам на USB-токены они по моему проигрывают Аладину. Надо сравнить. Плюс у них нет своего ПО типа Network Login и TMS. Это может и не слишком важно, но все таки.

Также интересно рассказывали на стенде ТаксКом. Предлагали перейти на электронный документооборот с поставщиками и заказчиками. В качестве платформы предлагали свой продукт Такском-Файлер. Пока бесплатно. Но когда правительство примет соответствующее законодательство, то будет за деньги. Весь обмен идет через них, как оператора. Причем если Ваш контрагент нуждается только в получении документов, то он может и не ставить клиента, а работать через WEB сайт. В этом режиме возможно только получение. На вопрос о том хранят ли они на сайте копии сообщений, сказали, что не хранят сами сообщения. У них остается на хранение только квитанции об отправке и получении. Если надо могут организовать и полноценный архив. Надо будет подумать над этим вместе с финансистами.

В общем неплохо провел день.


вторник, 4 октября 2011 г.

Взлом из сети выставки по безопасности.

   Забавный случай произошел на выставке Infosecurity 2011. Мы с коллегой слушали одну из презентаций. В какой то момент выступление был не очень интересно и коллега решил посмотреть, что происходит в окружающем эфире. Включив на своем Ipad обнаружение WiFi сетей, он обнаружил большое количество устройств. Среди найденных устройств высветился некая точка доступа D-Link. Проведя сканирование портов обнаружили открытый порт 80. Это оказалась консоль управления. Пробуем классическое admin/admin, и вот он интерфейс управления.  Покопавшись в настройках и не найдя ничего интересного, поиграли со светодиодами, отключили несколько устройств. Потом перезагрузили точку доступа  и отключились. Искать где же расположено это устройство не очень хотелось и было некогда.
  
Очень забавно выглядело использование незащищенной точки доступа и логина/пароля по умолчанию на выставке по безопасности. При этом, существует опасность того, что такой точкой доступа воспользуются злоумышленники. И будет очень смешно, когда выяснится, что взлом произошел из сети выставки по инфобезопасности. С другой стороны в парке Сокольники кругом бесплатный WiFi, но тем не менее. 

Когда люди научатся менять пароли по умолчанию сразу после включения устройства?

А нужно ли внедрять дорогую DLP систему?

В выходные сидел в Интернете и наткнулся на статью одного человека, о том как он сделал себе на дачу GSM сигнализацию о взломе. Статья конечно интересная, но не менее интересны комментарии к статье. И вот, в частности, в комментариях один из читателей написал, что в целом достаточно эффективно защищает простая установка мигающего светодиода. Залетных отпугнет, а если кто захочет, так и сигнализация не спасет. Тем более без соответствующего договора с ЧОПом или ВОХР.
  Так вот, к чему это я. Мне кажется, что во многих компаниях вместо дорогостоящего внедрения DLP вполне хватит "мигающего светодиода". Т.е. объявления сотрудникам о наличии системы контроля. Здесь конечно есть и минусы. Такое решение не обеспечит защиту от случайного нарушения, типа отправки не тому адресату. И все равно нужны хоть элементарные средства контроля, чтобы периодически показательно карать нарушителей (типа NetResident от TamosSoft).  Кроме этого, нужно проводить мероприятия по повышению осведомленности. Чтобы люди знали и понимали вопросы безопасности. Но тем не менее, в не очень крупных компаниях где воровать особенно нечего, но порядок все равно нужен, такое решение может и сработать. У меня такой вариант сработал ранее в одной из компаний. Кстати, интересное обсуждение по теме внедрять или нет DLP есть в блоге Александра Бондаренко.