WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 || 3 | 4 |

• 07.10.08 – Исследователи из Дании опубликовали криптографический алгоритм и исходный код, которые можно использовать для создания дубликатов smart-карт, используемых несколькими крупными транзитными системами.• 07.10.08 – Ученые Университета Карнеги Меллон Алисия Макдональд и Лори Фейт Кранор рапортуют о том, что политики конфиденциальности, размещаемые компаниями на сайтах, непонятны, слишком длинны, не служат интересам рационального принятия решений пользователями и зачастую не читаются вовсе.• 14.10.08 – Онлайн-головоломки, используемые для защиты от спама, подвергаются атакам ученых, работающих над программами, способными их решить. Так программа Джеффа Яна из Университета Ньюкасла способна правильно решать головоломки типа CAPTCHAs, состоящие из последовательности искаженных букв и цифр в 60% случаев. В частности был продемонстрирован «взлом» головоломок, защищавших Microsoft's Hotmail, MSN и Windows Live.

• 14.10.08 – Ученый Чарли Бачман заявляет, что при любых изменениях, создании и удалении информации из баз данных должен фиксироваться пользователь, совершивший операцию. Это должно помочь контролю за незаконными и неавторизованными изменениями.• 14.10.08 – В Мадриде разработана многоагентная система, позволяющая обнаруживать компьютерное вторжение и автономно выбирать наилучшую стратегию поведения.

Напомню, что доселе smart-карты считаются высоконадежными средствами.

А часто ли Вы дочитываете до конца подобные политики, условия обслуживания и прочее, прежде чем с ними согласиться Лично я считал, что такие вещи ВСЕГДА и ВЕЗДЕ фиксируются. Оказывается – нет! У меня тоже есть свои заблуждения.

• 15.10.08 – Исследователи компании Georgia Tech предрекают, что вскоре хакеры начнут создавать сети из «зомбированных» (то есть контролируемых извне) мобильных телефонов.• 21.10.08 – Швейцарские докторанты создали аппаратно-программный комплекс, позволяющий перехватывать и восстанавливать пользовательский ввод без подключения к компьютеру с расстояния до 20 метров путем улавливания электромагнитных сигналов, возникающих при нажатии на любую клавишу. [2] Итак, за последние месяцы событий действительно предостаточно.10 В свете всего сказанного можно сделать несколько важных выводов:

1. В области информационной безопасности каждый день что-то происходит:

совершаются ошибки, обнаруживаются новые угрозы, создаются средства противодействия им. Это живой мир, в котором есть свои хищники и свои жертвы.

2. СМИ и интернет-сайты с восторгом или унынием в зависимости от ситуации освещают глобальные и/или технические прорывы или промахи в этой области, не скупясь на специфические термины. Поскольку информационные технологии нынче «в моде» любое происшествие способно стать событием глобального масштаба и, как обычно, негатив «раскручивается» более интенсивно.

3. Главное. Для менеджера среднего звена, столяра, стилиста, преподавателя или другого профессионала, идущего на работу в 8 утра и не имеющего образования в области ИТ, все это абсолютно не интересно. Он даже не подозревает, что где-то ради НЕГО проводят исследования, что где-то кто-то за НЕГО борется, а кое-кто в тоже время «охотится» на НЕГО и его технику.

Большая часть пользователей компьютеров часто не подозревает, а зачастую недооценивает степень связи между термином «информационная безопасность» и собственной персоной.

Знаменитая фраза, приписываемая американскому философу Йоги Берра, гласит, что «в теории нет разницы между теорией и практикой, на практике есть». Если предположить, что с точки зрения большинства простых пользователей весь приведенный список – чистая, но весьма далекая от них теория (хотя это далеко не так), то, что же мы имеем на практике Чтобы не быть голословным, приведу еще один список – список событий, действий и ситуаций, с которыми лично мне довелось столкнуться за последние годы и которые идут вразрез с элементарными канонами защиты информации. Замечу, что большинством представителей моего окружения, в том числе причастными, эти случаи воспринимаются абсолютно… никак, хотя не должны бы. Итак:

1. Я имел честь участвовать в конференции, проходившей на туристической базе вблизи Черного моря. Несмотря на то, что на базе были вроде бы только «свои», один из Собственно, этого следовало ожидать с развитием мобильных устройств. Тут уместен западный анекдот, суть которого сводится к тому, что человек, засыпая, мечтает о том, что он проснется и увидит, что его компьютер настолько же прост, как и его мобильник, но, просыпаясь, он обнаруживает, что его мобильник настолько же сложен, как его компьютер. Все больше и больше людей остаются онлайн, находясь в дороге. Наивно полагать, что никто не воспользуется этим в своих корыстных противозаконных целях.

Я сознательно опустил все новости, связанные с выборами на пост президента США, каковых было немало. В основном они касались ошибок в программном обеспечении, которое предполагалось задействовать для подсчета голосов и обеспечения общественного контроля над ним.

участников в первый же вечер лишился ноутбука, опрометчиво оставленного у открытого окна домика.2. За время моей работы в одном из вузов Москвы его трижды охватывала массовая компьютерная эпидемия, вызванная запуском программ типа троянский конь (или просто «троянец», «троян»). Для оперативного обмена сообщениями сотрудники вуза использовали ICQ. Зараза распространялась путем отсылки с компьютера-носителя сообщения с гиперссылкой всем потенциальным жертвам (то есть всему контактлисту). Проходя по ссылке, сотрудник заражал свой компьютер, троянец перехватывал управление ICQ, менял пароль, и цикл выходил на новый виток. Самое занятное, что половина сотрудников считала, что их номер ICQ «взломали», и отдельные индивиды почти гордились этим, как будто хакерам по всему миру одновременно стало нечего делать, и они взялись вскрывать 9-тизначные номера именно сотрудников этого самого вуза, причем с большим и, я бы сказал, молниеносным успехом. Человеческой натуре, в общем, свойственно винить кого угодно, но не себя. Подвергнуться кибернасилию тоже неприятно и унизительно, но все же менее неприятно и унизительно, чем потерять бдительность и напортачить самостоятельно. Многие удивлялись, когда узнавали, что они сами, по сути, «взломали» свои машины, причем сделали это с подачи сообщений, посланных с зараженных компьютеров ученого секретаря или проректора по учебной работе.

3. Администратор создал для меня учетную запись в корпоративной информационной системе. При первом же входе я сменил пароль. Администратор позвонил мне и поинтересовался, каков мой новый пароль, чем поверг меня в состояние шока и уныния. Вероятно, он хотел убедиться в том, что я сменил пароль, но вопрос однозначно был поставлен неверно. Разумеется, я его разочаровал.

4. Я приобрел новую «флэшку». Памятуя, что я много раз оставлял старую на работе в компьютере, я решил повесить новую на брелок с ключами от квартиры, рассудив, что сей маневр не позволит мне ее забыть. В общем-то, у меня сразу возникла смутная переходящая в уверенность догадка, относительно того, чем это кончится. ЭТИМ кончилось всего через полторы недели. Я обнаружил ЭТО уже у подъезда дома после тяжелого рабочего дня. Пришлось путешествовать за запасными ключами. Теперь флэшка и ключи хранятся и транспортируются по отдельности.5. Родственники обратились ко мне с просьбой продиктовать мое место работы и должность, которые им было нужно внести в какую-то анкету какого-то отдела кадров. В результате возникло непонимание с обеих сторон: они не понимали, почему я упрямо отказываю, а я упрямо не понимал с какой целью и по какому праву на мой счет неизвестно у кого возник подобный интерес. Я не люблю разглашать информацию о себе без необходимости, и, по идее, никто не должен любить. Все, что я имею сообщить о себе и без того имеется в Интернет, например. По запросу «Валерий Артюхин» возникает множество ссылок, отражающих мой жизненный путь, и первые страницы Яндекса и Рамблера я делю только с хоккеистом Артюхиным С точки зрения уголовного кодекса – это чистый криминал, но с точки зрения защиты информации – это халатное расположение технического средства в неподобающем месте без присмотра.

Произошедшее вдвойне неприятно для меня как для IT-специалиста. А еще говорят, что нам чуждо человеческое. Впрочем, это умирающий миф, хотя он и был весьма живуч, порой казался неискоренимым, да и сейчас еще одолевает многие умы (и у нас, и на Западе, причем в большей степени на Западе – из-за него в настоящее время испытывается растущая нехватка выпускников школ, желающих заниматься математикой и компьютерными науками).

(который, кстати, Евгений) и еще с одним тезкой, продающим кукурузу и жмых подсолнечника.13 Однако я вовсе не желаю давать подробную информацию на «деревню дедушке», а потом (после ее фильтрации, анализа и объединения с информацией из давно уже опубликованных баз данных) подвергаться в 12 часов ночи буднего дня телефонным атакам с предложением купить какой-нибудь пылесос, тренажер или что-либо другое за сумму, которой у меня отродясь не было. Это не паранойя – это реальность, и я таки им подвергаюсь! Сравнивая масштаб того, что перечислено в первом и во втором списках, не сразу можно сообразить, что все это – части одного целого, но это так! Воспользовавшись аналогией из физики, можно ответить, что и ядро, и бумажный самолетик падают на землю вследствие существования одного и того же явления – гравитации, хотя имеют разный размер и массу. Кстати, в вакууме, будучи отпущенными на одной высоте, они упадут на землю одновременно. В идеале, требования информационной безопасности должны стать чем-то вроде гравитации в мире компьютеров: все ее признают, на всех она действует одинаково, и преодолеть ее очень сложно. К сожалению, до этого пока далеко.

Повторюсь: выше перечислено то, чему я был свидетелем и участником на практике.

Кстати, последствия этих событий могли бы быть и иными (и некоторые, быть может, еще и «аукнутся»).14 Например:

1. Украденный ноутбук мог быть моим, благо на тот момент у меня просто не было ноутбука.

2. Я мог стать еще одной жертвой компьютерной эпидемии, если бы не был чуть-чуть более осведомлен, чем большинство несчастных (и не имел бы установленной, настроенной, включенной и регулярно обновляемой антивирусной защиты).

3. Если бы я выдал администратору пароль, а он оказался бы не чист на руку, то все его действия в корпоративной информационной системе были бы списаны на мой счет.

4. Самый жуткий сценарий представить несложно. На флэшке хранятся все мои документы, включая резюме и анкеты, содержащие адрес, и, в качестве «бонуса», ключи от квартиры находились на том же брелке.

5. Здесь я уже нарисовал достаточно яркую картину, но поскольку описанная проблема раздражает наиболее часто (лично меня), я кое-что добавлю.

Дополнительно: Вытягивание информации личного характера из пользователей/клиентов за последние 5 лет приобрело чудовищные масштабы. Мы заполняем безумные анкеты с целью получить дисконтную карту; множество полей формы, чтобы зарегистрироваться на сайте; отвечаем на десятки вопросов, участвуя в социологических исследованиях и телефонных опросах. С какой целью собирается и куда идет вся информация помимо той, которая действительно необходима для совершения той или иной операции и решения того или иного вопроса, мы зачастую не знаем. Это знает только «агент» (то есть инициатор передачи данных). И здесь под агентом я не подразумеваю лицо, задающее вопросы по телефону, продавца или сотрудника, выдавшего анкету, или разработчика сайта – они тоже могут быть не в курсе. Назначение собранных сведений известно (и то, если известно) только их Я к этому специально не стремился – так получилось.

Как говорится, «если у Вас паранойя, это еще не значит, что за Вами никто не следит»! руководителям. Бывает, что и им это неизвестно, то есть сведения собираются «про запас». Меня такой запас за мой счет совершенно не устраивает.

Парадокс ситуации заключается в том, что выуживание личных сведений, а не только объективно необходимых, на самом-то деле не выгодно НИКОМУ. Многие клиенты отказываются от получения дисконтных или накопительных карт, именно по причине необходимости заполнения длиннющей анкеты с сомнительными вопросами, и это вполне логично, поскольку клиенты «подписывались» на поход в магазин за покупками, а не на конкурс по правописанию или изложению своей биографии. Что же касается электронного сбора данных, то, на мой взгляд, по этому поводу весьма емко выразился консультант по юзабилити-тестированию и дизайну интерфейсов Стив Круг в своей книге «Веб-дизайн или не заставляйте меня думать!». Позволю себе привести фрагмент из этой книги, тем более что по своему стилю он очень хорошо вписывается в данную работу:

Любой, кто имеет дело с Интернетом, сталкивался с этим много раз. Допустим, вы хотите подписаться на бюллетень (или запрашиваете бесплатный образец товара, или регистрируете продукт, или создаете учетную запись). В общем, вступаете с кем-то в такие отношения, когда сначала вы должны сообщить данные о себе, чтобы потом получить что-то взамен.

Вы нажимаете кнопку «Subscribe» (Подписаться), и появляется форма. Она длиннее, чем вы ожидали, и вы быстро обнаруживаете почему. Без особых уважительных причин вас просят указать ваш электронный адрес. И номер вашего телефона. И род занятий. Простое дело неожиданно превратилось в целый проект.

У профессионалов в области юзабилити для этого есть специальный термин. Именно это мы называем «чрезвычайно неудачной идеей».

Понятно, что попытка получить столько персональных данных, сколько представится возможным, заманчива (особенно если учесть количество способов применения этих данных). Но дело в том, что пользователи, заполняющие в Интернете любую форму, всегда задают себе вопрос: «А зачем они спрашивают меня об этом Необходимо ли им знать это, чтобы дать мне то, что прошу» Если же ответ на эти вопросы отрицательный, то возникает следующий вопрос: «Для чего им надо это знать» В большинстве случаев для этого можно придумать всего два объяснения: либо а) вы настолько плохо представляете себе Интернет, что просто не знаете, что пользователи находят такой интерес оскорбительным, либо б) вы все знаете, но персональные данные нужны вам (для какой-то другой цели) так сильно, что вы готовы оскорбить пользователей, лишь бы заполучить эти данные.

Получается, что запрашивая избыточную информацию, вы готовы к трем весьма неприятным последствиям:

Pages:     | 1 || 3 | 4 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.