WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     || 2 | 3 | 4 |
Да кому нужны эти файлы! Артюхин Валерий Викторович системный аналитик центра MIIT-Expert, научный редактор журнала «Прикладная информатика», член Экспертного совета МОО ВПП ЮНЕСКО «Информация для всех» - Ты знаешь, как система - Она не различает.[1] различает авторизованный и нелегальный доступ Введение Информационная безопасность — это состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в организации, предприятии. Соответственно, защита информации – это процесс, направленный на достижения безопасного состояния информационной среды. В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

• конфиденциальность (англ. confidentiality);

• целостность (integrity);

• доступность (availability).

Под конфиденциальностью понимается доступность информации только определённому кругу лиц, под целостностью — гарантия существования информации в исходном виде, под доступностью — возможность получение информации авторизованным пользователем в нужное для него время. [6] На самом деле определений понятия «информационная безопасность» множество, и приведенное ничем не хуже других. Тем паче, что у каждого пользователя, вне зависимости от его компетенций существует некое собственное интуитивное, неполное, но в целом верное представление о ней.

В октябре 2008 года мне на глаза попал документ Европейского агентства по безопасности сетей и информационной безопасности (ENISA) под названием «Руководство для IT-специалистов по обоснованию необходимости расходов на безопасность». [3] В своем комментарии к нему я отметил, что организациям и компаниям наряду с заботой о работе IT-специалистов стоило бы уделять более пристальное внимание пропаганде и обучению рядовых пользователей компьютеров (которые составляют подавляющее большинство всех пользователей вообще) в области информационной безопасности. [5] Самим же пользователям я позволил себе порекомендовать почитать чтонибудь публицистическое на эту тему, например одну из книг Кевина Митника.

Не прошло и двух недель, как вышеупомянутое агентство ENISA выпустило еще один документ – «Социальная инженерия: эксплуатация наиболее слабого звена», включающий, помимо прочего, интервью с вышеупомянутым Митником. [4] Конечно, между этими двумя событиями (моим комментарием и выходом нового документа) нет никакой связи, разве что, кармической, но приятно почувствовать себя провидцем, хотя бы на секунду, и отметить, что между моими частными соображениями и выводами ENISA наблюдается определенная корреляция.

Впрочем, довольно скоро стало понятно, что с последним выводом я погорячился, и вот, почему. Термин «социальная инженерия» определяет технику использования человеческих слабостей и манипулирования людьми с целью заставить их нарушить принятые процедуры, связанные с информационной безопасностью. Рассмотрим это определение подробнее:

• Фрагмент «…использования человеческих слабостей и манипулирования людьми…» однозначно предполагает наличие злого умысла, однако многие «неправильные» вещи очень часто делаются или случаются при его отсутствии: по недосмотру, забывчивости, рассеянности или из-за какой-нибудь другой безобидной особенности, совокупность которых делает нас людьми.

• Сочетание слов «… нарушить… процедуры…» должно означать, что в обычных обстоятельствах эти процедуры всегда соблюдаются, но это не так, и даже наоборот – с течением времени при работе без происшествий наблюдается тенденция к снижению бдительности пользователей (ведь если на Ваш почтовый ящик полгода не приходило ни одного спамерского письма, Вы будете более доверчивы к почте, чем в случае, если Вас ежедневно штурмуют письма со ссылками на зараженные файлы, чьи-то частные фотосессии и страницы компаний, обещающих перевезти Вашу мебель в целости и сохранности куда душе угодно).

• Наконец, выражение «принятые процедуры» наводит на мысль о том, что такие процедуры существуют, и они приняты, хотя во многих компаниях никто понятия не имеет о значении термина «политика информационной безопасности», если она существуют, то часто как бы отдельно от пользователей, а с паролями типа «123456» (я называю их «заходи, кто хочет») даже в крупных организациях мне приходилось сталкиваться в своей практике значительно чаще, чем с паролями, включающими бессмысленную последовательность букв и цифр (такие пароли значительно надежнее).

Защититься от злоумышленника, безусловно, важно, однако если пользователь не знает, в чем заключаются упомянутые выше процедуры, связанные с защитой информации, то он может хоть 24 часа в сутки бдительно озираться в поисках врага и просыпаться по ночам в холодном поту, но даже не узнает, не поймет и не запомнит когда и где он совершил прокол.

Не менее значимы и технические средства защиты, но они значительно менее полезны, если пользователь не подозревает, от чего они его защищают, а от чего – нет. В таком случае они дают ложное чувство уверенности в абсолютной защищенности «от всего».

Наиболее важно на сегодняшний день хотя бы ознакомить пользователя с тем, чего ему вообще следует опасаться в стране битов и байтов (впрочем, сегодня это уже гигабайты и терабайты).

Пару недель назад я удивился, отметив, что на пленарном заседании Слушаний по вопросам развития информационного общества в Общественной палате РФ проблемы, связанные с информационной безопасностью, затрагивались лишь вскользь. Поразмыслив, я понял, что иначе и быть не могло – задачей общественной палаты является донесение социальных заказов до власти, а социального заказа на обеспечение информационной безопасности в ее широком, общественном смысле нет, потому что в самом обществе нет достаточно ясного понимания ее назначения и связанных с ее нарушением угроз.

В такой ситуации у рядового пользователя реже возникает вопрос о том, как защитить свои данные и чаще тот, который вынесен в заглавие статьи. Это логично, поскольку, даже чтобы задать первый вопрос, необходимо сначала как-то ответить на второй, что я и пытаюсь сделать в этой работе.

Вести с фронтов Приведу небольшую подборку последних (на момент написания статьи) мировых событий в области информационной безопасности (по данным ACM TechNews):

• 25.08.08 – Исследователи из Университета Карнеги Меллон создали очередную систему, призванную обеспечить веб-безопасность, под названием «Perspectives».

В частности, система способна оградить пользователя от атак типа «человек посередине» (англ. man-in-the-middle или MitM), а также позволяет защитить компьютер пользователя от уязвимости системы доменных имен (англ. Domain Name System или DNS), о которой уже очень много говорилось в 2008 году.

• 26.08.08 – Крупные корпорации и правительство США пытаются тщетно договориться о том, кто должен «починить» Интернет. Диалог резко обострился после очередной порции крупных инцидентов с кражами десятков миллионов номеров кредитных карт, ставших возможными благодаря все той же уязвимости DNS.

• 27.08.08 – Сотрудники Citizen Lab Университета Торонто в угоду конъюнктуре переключились с благородных деяний оказания помощи пользователям в странах с интернет-цензурой на изучение того кто, как и откуда взламывал Грузинские сайты в период проведения операции по принуждению этой страны к миру.

Разумеется, сама операция в новостях была названа иначе. Также, разумеется, что ответ на вопрос «Как» лежал на поверхности – атака типа «отказ в обслуживании» (англ. Denial of Service или DoS), в то время как остальные вопросы остались без ответа.• 27.08.08 – В США было признано, что ИТ-проект ценой в 500 млн. долларов, который, как ожидалось, позволит находить связи между подозреваемыми в терроризме и помогать в предотвращении будущих террористических актов, закончился провалом и не способен обрабатывать даже простые логические выражения. Воистину, страна больших возможностей.

• 27.08.08 – Исследователи Лаборатории Линкольна Массачусетского Технологического университета разработали Архитектуру планирования сетевой безопасности (англ. Network Security Planning Architecture или NetSPA). Это программное обеспечение способно определять наиболее уязвимые точки в сетевой архитектуре.

• 27.08.08 – Специалисты NASA все еще пытаются выяснить, каким образом лаптопы, «завезенные» на Международную космическую станцию в июле, оказались заражены компьютерным вирусом Gammima.AG.

• 01.09.08 – Ричард Клейтон из Университета Кембриджа обнародовал свое исследование, в котором огласил список латинских букв, которые, являясь первыми в e-mail адресе «притягивают» спам.

• 01.09.08 – Ученые из Греции и Сингапура совместно создали Facebot – вредоносную программу, призванную на примере продемонстрировать опасности, связанные с приложениями социальных интернет-сетей. Разработанный ими продукт предлагается для скачивания всем желающим под названием «Фото дня».

На компьютере скачавшего каждый раз при запуске он отображает свежую фотографию из журнала National Geographic, однако одновременно он посылает на сайт жертвы множество запросов. С ростом числа «пользователей» Facebot растет и число запросов, что в итоге приводит к «отказу в обслуживании» со стороны сайта-жертвы.• 09.09.08 – Профессор и студент-дипломник из Университета Тэль Авива разработали «Корсет» - open source антивирус для серверов на базе Linux.

• 11.09.08 – Ожидается, что Отчет по глобальным трендам до 2025 года (Global Trends 2025 report) подготавливаемый американскими разведывательными службами будет помимо прочего включать список из шести трендов в развитии технологий, потенциально угрожающих мощи США. Предположительно на шестом месте окажется повсеместное распространение Интернет, с которым будут связаны такие объекты повседневной деятельности, как дверные ручки, Некоторые западные СМИ, тем не менее, позволили себе заявить, что атаки на серверы упомянутой страны осуществляли “Russian Cybercrime Lords” – я просто не могу отказать себе в удовольствии привести этот термин в точности. Дословно он означает «Русские Киберпреступные Лорды» (или, если угодно, «Российские Лорды Киберпреступности»). Видимо «русская мафия» уже не так актуальна, теперь у нас… вот то, что я написал. Нет, может быть, по сути все так и было – я не компетентен судить, но сам термин просто… ошеломляет! Честно говоря, как специалисту мне не ясно, что здесь принципиально нового – обычная троянская программа, превращающая компьютер своего пользователя в зомби-машину.

хозяйственные сумки, бумажные документы и др., что в свою очередь приведет к удешевлению производства и рабочей силы.• 12.09.08 – Европейская организация по атомным исследованиям сообщила, что ее специалисты воскресили сайт Большого адронного коллайдера, страницы которого были замещены посредством хакерской атаки (англ. defaced) на некое сообщение, чье содержание имело отношение к появлению черных дыр и безопасности масштабных физических экспериментов.

• 13.09.08 – Бывший президент Общества американских архивариусов Ричард ПирсМозес обозначил проблему, связанную с тем, что служащие всех уровней и специальностей сохраняют далеко не все документы, с которыми работают, что в широкой перспективе приводит к потере целых кусков истории и затрудняет восстановление процессов принятия решений, если таковая необходимость возникает4.

• 15.09.08 – Сэр Тим Бернерс-Ли принимает участие в создании новой организации, предназначением которой должна стать оценка степени доверия к тому или иному веб-сайту.

• 18.09.08 – По сообщениям из информированных американских источников дров в костер финансового кризиса подбросили компьютерные финансовые модели и люди, их использующие. Модели в общей массе программировались по слишком оптимистичным алгоритмам расчета рисков, в то время как данные в них закладывались в слишком упрощенном виде. В результате модели не выполняли своей функции – в существовавшем виде они были не в состоянии предсказывать угрозы.

• 19.09.08 – Эксперт по кибербезопасности Пол Куртц заявляет, что разведывательные службы США не в состоянии обмениваться информацией о кибератаках на американские компании извне из-за риска «засветить» источники и методы сбора этой информации.

• 19.09.08 – Исследователи Университета Корнелла продемонстрировали, что сигналы системы GPS могут быть подменены таким образом, что GPS-приемники будут принимать их за настоящие (такая подмена носит англ. название spoofing).

• 22.09.08 – Ученые из Университета Северной Каролины обнародовали свое исследование, связанное с опасностью всплывающих окон (англ. popup) в Интернет.5 По их данным 63% участников эксперимента действовали небезопасным образом, который в реальной ситуации мог привести к установке на компьютер пользователя злокачественных программ.

Новостей из США я привожу так много не в силу своей предвзятости. Просто ACM (англ. Association for Computing Machinery - Ассоциация вычислительной техники), являясь крупнейшей международной ассоциацией, создана и базируется в США, что и сказывается на интенсивности потока тамошних новостей.

Если это призыв к увеличению бумажной волокиты и бюрократии в цифровой форме, то я бы порекомендовал воспользоваться системой контроля версий (например, Subversion), а не сохранять десятки копий файлов разной степени замшелости – как в одной организации, где мне довелось побывать недавно. На их сервере около 50 (и это число по сей день растет) версий руководства пользователя по информационной системе с именами наподобие 28.02.08.doc, 29.02.08.doc и так далее. Не понимаю, зачем нужны все эти файлы за исключением трех последних… или двух… или одного самого последнего.

Отдельно стоит отметить фразу главного исследователя: «Be cautious when things pop up»! По-моему, она применима к любой ситуации в жизни.

• 29.09.08 - В Университете Мичигана разработана система, позволяющая микропроцессорам работать в обход функциональных жучков, включая те, что будут обнаружены в будущем.

• 30.09.08 – Ученые NASA объявили, что блок форматирования и контроля данных на телескопе Хаббл полностью «рухнул», в результате чего телескоп не передает данные на Землю.

• 30.09.08 – В университетах Вашингтона и Калифорнии создана программа Adeona, позволяющая отслеживать путь перемещения украденных лаптопов и передавать информацию на центральный сервер в зашифрованном виде.

• 02.10.08 – Исследователи из двух британских университетов работают над электрическими системами, которые смогут диагностировать и чинить себя по аналогии с человеком и его иммунитетом.

• 03.10.08 – Профессор Кевин Фу из Массачусетса разрабатывает криптографические протоколы для имплантируемых устройств (в частности кардиостимуляторов).

Pages:     || 2 | 3 | 4 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.