Свежие посты   По годам   По датам
  • 24 Ноября 2011 » Бей своих, чтоб чужие боялись
    Хороший пример правильного подхода к безопасности демонстрирует компания Google, регулярно помещая в спам уведомления о моих комментариях к мои собственным же постам на Blogspot.Ну а что? Формально ведь письмо действительно отправлено не с моего аккаунта. И сколько я ни пытался объяснять Gmail, что это не спам - бесполезно: эти уведомления регулярно забраковываются. Кстати, справка у компании Google просто великолепная. Про спуфинг (в котором Google, по сути, сам себя и подозревает) написано просто и доходчиво, даже с жизненными примерами. Вот все бы так.

  • 23 Ноября 2011 » Умирающие шифровальщики
    Всего несколько лет назад программы для шифрования данных на жёстких дисках были невероятно популярны, при чём не только в корпоративной среде, но и среди обычных пользователей. Предложений было так много, что порой даже складывалось ощущение, что только ленивый их не пишет. Что же происходит на этом рынке сейчас? Для начала немного истории. В силу своих профессиональных обязанностей в 2006-08 годах внимательно следил за российским рынком систем шифрования данных, писал статьи на эту тему и знал, что называется, "в лицо" всех основных игроков. Даже сам был активным пользователем Secret Disk и не мог представить свой компьютер/ноутбук без него. Сейчас же мне даже в голову не приходить что-то шифровать на диске! Основная угроза для моих личных данных сейчас - это, пожалуй, троян, от которого шифрование всё равно не поможет, а фотографий много он не утащит - спасибо Yota: коннект, оставленный на день всё равно к вечеру обычно рвётся. При мне же, очевидно, любая ненормальная сетевая активность будет сразу замечена и пресечена на корню. Что касается доступа гостей/членов семьи/сантехников-садовников к стационарному компьютеру, то кого попало не надо приглашать в гости, жить надо так, чтобы нечего было скрывать от домочадцев, а сантехников дальше ванной/кухни пускать в принципе не стоит - это они пусть в фильмах по спальням ходят =) Проверено на себе - такие простые правила работают. К тому же, пароль на вход и разграничение прав доступа никто не отменял. На ноутбуке же для командировок личных данных я не храню, а доступ к корпоративным данным получаю или через OWA (Outlook Web Acces) или по RDP. Ну, останется после моих сессий какой-то кэш на жёстком диске, но в нашем мире столь незначительный объём данных устареет быстрее, чем кто-то реально сможет им воспользоваться. Стоит ли при учёте всего вышесказанного жертвовать производительностью ради мифической защиты от кражи непонятно чего и не очень понятно кем? Я бы не стал. Кстати, об основных игроках того времени. Годы прошли, что с ними стало? StrongDisk компании Физтехсофт. Последняя версия вышла в декабре 2010 года, почти год назад. Вы верите в успешность этого продукта на рынке? Я - нет. Secret Disk компании Аладдин Р.Д. Последняя версия - июль 2011. Получше, но, во-первых, насколько я могу судить, руководство этой компании частенько допускает просчёты в объектах (продукты/технологии) и субъектах (собственные сотрудники) инвестирования (на эту тему готовлю отдельный пост). Во-вторых, в мае была устроена акция по снижению цен, а это, поверьте моему опыту, говорит о неудовлетворительных продажах. Вы акций на iPhone от компании Apple много видели? Я - ни одной. В-третьих, 15 ноября была рассылка по подписчикам (на сайте этой информации не нашёл) вот о чём: Компания «Аладдин Р.Д.» сообщает об обновлении в комплектации коробочных версий Secret Disk Server NG. Теперь она будет дополнена комплектом подачи сигнала «тревога» с USB-подключением, стоимость коробки Secret Disk Server NG при этом останется прежней. Тоже тревожный звоночек, согласитесь. ZDisk компании SecureIT. Самое свежее обновление, которое смог найти в их Пресс-центре - июль 2010 года. В ноябре 2010 провели акцию со скидкой 50% на один из компонентов системы шифрования. Был, правда, вебинар летом 2011 по серверной версии, но сколько там было посетителей - история умалчивает. Зато про их недоDLP новостная лента так и пестрит сообщениями. Что ж, хороший урок предыдущему игроку в своевременности смена курса развития компании. Был ещё импортный PGPDisk, бесплатный TrueCrypt и ещё целая куча самого разного софта. Даже в эпоху расцвета они популярностью пользовались довольно специфической - сейчас же, скорее всего, вообще остались очень нишевыми решениями. Да, ведь было ещё детище InfoWatch - CryptoStorage. Последнюю версию, датированную октябрём 2010 годазачем-то вытащили из пыльного чулана этим летом и показали германцам. Ребята пришли на падающий рынок, вложили, полагаю, не менее $1M и даже затрат наверняка не отбили. Но они InfoWatch, им можно =) Подведём итоги. Основные законадатели мод рынка систем шифрования жёстких дисков прошлых лет в большинстве своём давно забросили разработки, устраивают акции, анонсируют скидки, в новостных лентах минимум пресс-релизов о внедрении, новых игроков не видно и не слышно... Как вы считаете -  этот сегмент рынка умирает или уже умер? </div>

  • 08 Ноября 2011 » Саратовские зарисовки
    Вот так взвоз некоей бабушки превратился в взвоз товарища Бабушкина =) Друзей и друзей друзей приглашаю за подробностями на свою страничку Facebook за полной версией. Остальных приглашаю в друзья =)

  • 08 Ноября 2011 » Непреднамеренный самоинсайд
    Воообще говоря, масштабы и степень опасности случайных утечек в организациях мне всегда казались немного преувеличенными, но вот в повседневной жизни сталкиваться с ними приходится сплошь и рядом.В одной из своих статей я приводил пример с содержимым флешек, с которыми подходят слушатели после докладов и на которые просят записать им презентацию. Чего только там не хранится! Музыка и свежие фильмы с торрентов (подсудное, кстати, дело-то) - ещё ладно, но резюме, пляжные фотографии и архив частной переписки - лучше где попало не хранить. В конце концов, программы вроде usbgrab никто не отменял =) К слову отмечу, что папки типа "Контракты" или "Клиенты" тоже периодически встречались.Как ещё можно стать самоинсайдером? Проще простого. Например, просто стереть файл "не для публичного распространения" штатными средствами операционной системы и одолжить флэшку любопытному знакомому. Любопытному и вооружённому программой для восстановления удалённых данных.Или вот недавно мне рассказали историю про то, к

  • 28 Октября 2011 » Вавилонская башня. Наши дни.
    Маркетологам постоянно что-то приходится заказывать: то баннер, то стенд, то листовку, то сувенир. При этом самое сложное - это даже не придумать идею, а объяснить подрядчику, что же ты хочешь.Ощущение, что ты говоришь с людьми на разных языках при этом не покидает ни на минуту:- Нам нужно сделать промо-страницу на нашем сайте.- Давайте возьмём простейшую CMS и готовый шаблон сайта.- Но у нас же уже есть сайт, зачем нам CMS?- Мы такой вывод из вашего техзадания сделали......- Оцените, пожалуйста, стоимость работ по разработке дизайна.- Дайте доступ к админке вашего сайта и ftp.- Зачем? Нам нужна только стоимость ваших услуг по разработке дизайна.- Без доступа смогу только приблизительно оценить.Переписка по почте, в скайпе, телефонные конференции, недели согласований и уточнений, к сожалению, порой заканчиваются тем, что получаешь совсем не то, что ты ожидал. Замечено, что итоговый результат тем дальше от желаемого, чем меньше ты разбираешься в предметной области.Скажем, чтобы объяснить дизайнеру, как на блокнот нанести QR-код, пришлось прочитать целую кучу материалов в сети, узнать какой минимальный размер этого кода допустим, можно ли менять его цвет, допустимо ли скругление квадратов и много другое. Только после изучения всех нюансов задачу удалось поставить максимально корректно. А вот, например, от инфографики в другом проекте пришлось отказаться, так как мы не понимали, что нас спрашивает подрядчик, а он не мог понять, что хотим мы, при этом времени на изучение всех деталей не было.Когда я читаю рассуждения коллег о сложности взаимодействия безопасников с руководством в плане выделения бюджетов и обоснования затрат, то аналогия приходит в голову сама собой: эти люди тоже ведь говорят на разных языках. К сожалению, безопасников, способных мыслить теми же категориями, что и топ-менеджмент, не так много, как хотелось бы, но надеятся, что руководитель вникнет во все детали и будет легко опер</div>

  • 24 Октября 2011 » Почувствуйте разницу
    Телевизор не смотрю, но для наружней рекламы фильтров пока не придумали, так что, в целом,  в курсе рекламируемого, поэтому, когда в Саратове увидел цифру 75, что-то щёлкнуло. Ну, конечно, московская реклама совсем другую стоимость предлагает! Оказалось, что в разных регионах одна и та же услуга может по цене отличаться более, чем в три раза.

  • 19 Октября 2011 » Ваш сайт незаконно размещен на моем доменном имени
    В одном из недавних постов я писал про плагин Social Connector для Outlook, наглядно показывающий данные о вашем собеседнике, размещённые им в социальных сетях. Сегодня пришёл спам, для отправителя которого плагин показал мне фотографию!Самой странички, кстати, уже нет и найти "Дмитрия" в сети Facebook ни по имени и фамилии, ни по адресу электронной почты не удаётся, а фотография до сих пор где-то закеширована в недрах американских серверов и служит прекрасным доказательством правила цифровой Миранды.Текст письма тоже, кстати, заслуживает внимания: "Ваш сайт незаконно размещен на моем доменном имени". Что имеет в виду "Дмитрий"?

  • 15 Октября 2011 » Локальная реклама
    Обожаю бумажный спам, который регулярно кладут в почтовый ящик. Каждый раз бережно достаю всё до последнего листочка и внимательно изучаю. Сегодня поделюсь несколькими картинками, привлекшими моё внимание. Для начала - грузовик на шарах. В общем, идея не плоха, но почему вместо нормальных колёс нарисовали кругляши? Ехать ведь на них ну никак не получится =( А мы (без кругляшей) поехали дальше. Лесная подкова. Ещё раз: подкова, но не какая-нибудь, а именно лесная. Как она вообще выглядеть должна? Чем лесная подкова отличается от полевой или озёрной? Сходив к ним на сайт, всё, конечно, понял: застройка посёлка с высоты птичьего полёта выглядит примерно как подкова, а вокруг - куча леса. Но, ё-моё, словосочетание "лесная подкова" для тех, кто не в теме, звучит, ИМХО, как-то странно. Следующий шедевр. Для начала зацените "ателье бalлконов". Зачем английские буквы внутри слова? Что такое al? Неграмотное all? В смысле, для всех? Или что? Непонятно. Дальше - хуже. Перечислен спектр работ: Лоджии, Балконы, Окна, Двери, Офисные перегородки. Всё бы ничего, но, судя по картинке, реально компания занимается исключительно лоджиями и окнами - ведь только напротив них стоит "галочка". Почему ателье балконов не поставило "галочку" напротив балконов? Опять непонятно. В заключении приятное исключение. Квадратный апельсин. Мне нравится. Хорошее название, да и на запоминающийся телефон потратились. Молодцы!

  • 14 Октября 2011 » Счетоводы
    РЕСТЭК и Гротек подвели итоги своих выставок и успешно отрапортовали о числе посетителей и участников. Вот только результаты вызывают некое недоумение. Выставка, распавшись на две части, явно сдала. Не так людно, не так интересно, не так масштабно, но статистика говорит об обратном: Год Выставка (организатор) Участники Посетители 2005 InfoSecurity (РЕСТЭК) 80 4688 2006 InfoSecurity (РЕСТЭК) 95 4800 2007 InfoSecurity (РЕСТЭК) 77 4301 2008 InfoSecurity (РЕСТЭК) 80 4500 2009 InfoSecurity (РЕСТЭК) 70 5000 2010 InfoSecurity (Гротек) 104 4019 INFOBEZ-EXPO (РЕСТЭК) 53 3730 2011 InfoSecurity (Гротек) 129 4512 INFOBEZ-EXPO (РЕСТЭК) 75 3897 Оба организатора демонстрируют рост и показатели, вполне сопоставимые с эпохой расцвета. Ни в коем случае не хочу никого обидеть, но как такие цифры получаются - не очень понимаю… Тем временем, борьба за экспонента-2012 понемногу уже начинается. Публикуются отзывы довольных участников, организуются торжественные приёмы для потенциальных стендистов следующего года, анонсируются планы на этот самый следующий год. В общем, всё как и год назад: очередной виток, очередная острая борьба. На мой же взгляд, противостояние ИБ-выставок в России - отличная иллюстрация того, что конкуренция “производителей” далеко не всегда выгодна “потребителю”. [Uppdate] См. расширенный анализа с данными за 2012 год. Изображение: http://easypurl.info/wp-content/uploads/2010/04/cataccountant1.jpg?w=300

  • 13 Октября 2011 » Всё смешалось в блоге Облонских
    Сколько ни говори об опасности разглашения личной информации в сети, людей так или иначе тянет в социальные сети, живые журналы и прочие блоги. При этом, как известно, для регистрации во всех них обязательно иметь какой-никакой, но почтовый ящик. Парадоксально, но очень часто люди используют и для личного общения с друзьями и для решения рабочих вопросов один и тот же адрес. Мы не будем рассматривать "евангелистов", работа которых заключается в популяризации определённых вендоров за счёт своих авторитета и харизмы, а поговорим о тех, кто днём "ведущий менеджер", а по вечерам "vorobey88". Знаете ли вы, что для Outlook есть замечательный, хотя и не очень популярный плагин Social Connector, позволяющий удобно видеть данные из соцсетей о вашем текущем собеседнике по переписке? Наглядно видно его (её) фотографию и последние сообщения со стены, есть возможность перейти на страницу или сразу пригласить в друзья. Для Gmail.com схожий функционал предлагает сервис Rapportive, встраивающий себя в почту Google и показывающий аналогичную информацию о вашем корреспонденте в процессе чтения письма от него. Таким образом, если человек пишет вам с адреса, используемого им, например, для доступа к Facebook, вы получаете возможность получить о нём значительно больше информации, чем та, что содержится в самом письме. Признаюсь честно - порой это крайне удобно, а то и вовсе необходимо. Говорить о нежелательности смешивания своей собственной персоны с штатной единицей конкретной организации не буду. В конце концов, для одних это только на пользу, для других - не принципиально и только для некоторых такое смешение работает против них или их работодателей. Тем не менее, отправляя письмо по работе с личного адреса из-за неработающего удалённого доступа или вообще корпоративной почты, держите в голове, что оба упомянутых мной плагина легко доступны и ставятся без проблем. Так, just in case, как говорят французы =) Изображение: http://humorial.ru/matherials/show/26992