Свежие посты   По годам   По датам
  • 05 Августа 2011 » Который час в Италии?
    Полезный сайт detected. Можно не только узнать текущее время в любом уголке мира (ну, и разницу во времени, естественно), но и сгенерировать HTML-код для вставки себе на сайт часов этого самого уголка.

  • 04 Августа 2011 » Всего несколько секунд — и вы сможете продолжить поиск
    Первый раз такое встретилось. Первая мысль - не по следам ли недавних нашумевших поисковых утечек Яндекс ввёл новые правила? Оказалось - показалось. Есть посты на форумах про данный механизм как минимум в январе этого года. Наверное, у нас в компании сегодня просто активно поработали слишком много маркетологов и аналитиков, тщательно мониторящих онлайн ресурсы в сети Интернет, вот и превысили пороговое значение на количество запросов с одного IP-адреса за период времени.

  • 02 Августа 2011 » Сертифицированное будущее
    Принятие поправок в закон о персональных данных ФЗ-152 породило активное обсуждение нововведений. Вопросов много и один из них - обязательная сертификация средств защиты. Хороший анализ данного вопроса и активное обсуждение есть в блоге Алексея Волкова. Юристы у нас, что ни говори, зарплату получают не зря. Разобраться в хитросплетениях законодательства, разные составляющие которого принимались в разное время (я бы даже сказал в разные эпохи) и при разных обстоятельствах - дело не тривиальное. Вот только мне кажется, что на месте рядового оператора персональных данных при выборе средства защиты гораздо проще подстелить соломку сразу: купить сертифицированное и не думать. Не секрет, наверное, что наличие бумажки с гербом на проверяющих действует более положительно, нежели стопка вырезок из разных законов и умный юрист. Да и стоимость услуг юриста может оказаться дороже разницы в стоимости обычного продукта и “идеологически правильного”. Есть, правда, ещё исторически сложившаяся претензия к слабой функциональность отечественных средств защиты, а ведь именно они как правило “самые-самые сертифицированные”. Госчиновникам это часто не принципиально, а вот коммерсантам кроме “бумажной” защиты хочется и реальную иметь. Но, к счастью для таких, западные вендоры уже давно освоили процедуру сертификации своих изделий, и поштучно, и партиями, и даже производством, поэтому выбрать есть из чего. Не все ещё, конечно, вендоры, но многие. А тем, кто пока не успел, лучше поторопиться, пока рынок не поделили без них. Хотя, думаю, они и сами это прекрасно понимают. В общем, и без того не маленький файлик на сайте ФСТЭК явно начнёт прибавлять в размере в самое ближайшее время: Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00.

  • 28 Июля 2011 » В полку токенов прибыло
    Компания Fortinet, являющаяся мировым лидером в сегменте UTM-устройств, славится тем, что все технологии стремится разрабатывать самостоятельно, отказываясь от лицензирования сторонних решений в составе своих продуктов. Ещё один принцип развития компании - постоянное расширение продуктового портфеля: FortiGate, FortiMail, FortiManager, FortiAnalyzer и т.д. вплоть до FortiFone. Теперь вот дошла очередь и до токенов. Пока в модельном ряде представлен только FortiToken-200, являющийся генератором одноразовых паролей (OTP - one time password) с синхронизацией по времени (раз в минуту генерируется новый пароль как на самом устройстве, так и на проверяющей стороне). Сфера применений достаточно широкая: аутентификация при построении IPSec или SSL VPN, безопасный доступ к Web-порталу или двухфакторная аутентификация администраторов устройств FortGate. Что мне особо понравилось в устройстве - так это его высокая степень защищённости IP68, а именно: полная защита от пыли и защита от долговременного погружения в воду, а также наличие кнопки включения экрана. Данная кнопка позволяет экономить батарейку, включая экран только в нужный пользователю момент. У конкурирующих продуктов экран обычно работает всё время, даже когда сотрудник, например, в отпуске или спит. Есть, правда, ещё устройства с синхронизацией по событиям: в них генерация секретного значения происходит только по нажатию клавиши, а не постоянно с заданной периодичностью, но такие устройства при определённых обстоятельствах могут быть рассинхронизированы с сервером, что не всегда удобно. О стоимости FortiToken пока не сообщается.

  • 27 Июля 2011 » Демотиваторы.ру о принятии поправок к ФЗ-152
    Поправки к закону ФЗ-152 приняли. Но, надежда на лучшее пока жива. Алексей Лукацкий После нашего второго письма в сторону Президента с просьбой не пересылать его по подведомственности в Минкомсвязь в адрес «пяти экспертов» посыпались звонки из Минкомсвязи с просьбой разъяснить, что происходит и почему в Минкомсвязь идет такой поток запросов из Администрации Президента. Мы пояснили, что и как, и нас пригласили на встречу с целью обсуждения, как из обычных критиков законопроекта мы можем превратиться в экспертов, реально помогающих выполнить распоряжение Президента по ускорению решения вопроса с законодательством по персданным. Евгений Царёв Уже не секрет, что своими действиями (начиная с письма президенту), мы с вами, уважаемые коллеги, сумели привлечь внимание к проблеме чиновников из Минкомсвязи. Нас (Пять экспертов) на прошлой неделе пригласили на встречу, на которой сообщили, что закон подписан и ничего изменить мы не можем, с ним придется жить. Однако, работа над законом будет продолжена и нам предложили присоединиться этой работе. Понятное дело, дорога будет долгой и непростой. Однако, формальные общественные организации так и не проявили интерес к происходящему. Чтож, если они не желают заниматься ключевой проблемой современного ИБ в России, придется нам вести эту работу самим. Алексей Волков Помните старую притчу про двух лягушек, попавших в кувшин с молоком? Мы впятером, как та лягушка, все еще продолжаем барахтаться в надежде хоть как-то исправить патовую ситуацию. Правда, субстанция, в которой приходится находиться, по цвету и запаху на молоко совсем не похожа, но это ничего - мы привыкши :) На прошлой неделе представитель "подписантов" ходил на смотрины в Минкомсвязь. Главное, что удалось сделать - договориться о дальнейшем сотрудничестве при подготовке подзаконных актов. Мы, как всегда, ратовали за публичность и открытость процесса разработки "подзаконников", но на первом этапе коллеги из Минкомсвязи попросили подготовить предложения по внесению изменений в законодательство с учетом принятия поправок к 152-ФЗ.

  • 27 Июля 2011 » Кто тут у меня завёлся?
    Если вдруг возникли подозрения, что ваш пароль от почты стал достоянием общественности посторонних, то пароль лучше сразу же поменять, вот только не стоит делать это со своего компьютера до полной его проверки на отсутствие посторонних вредоносных программ.Кто знает, быть может причиной взлома послужил троян? Прежде всего, конечно, нужно обновить свой текущий антивирус и выполнить полную проверку, но не лишним будет воспользоваться и другими продуктами, благо, что многие вендоры предлагают бесплатные утилиты для проверки компьютера на вирусы.Приведу краткий обзор ссылок на подобные утилиты. Panda Security предлагает ActiveScan 2.0 - решение для проверки на вирусы онлайн (требуется Internet Explore или Firefox): Компания ESET 32 хоть и называет свою утилиту ESET Online Scanner, на деле предлагает скачать небольшой инсталлятор: BitDefender ("Битдефендер") предлагает сверхбыстрый QuickScan, у которого есть даже отдельный плагин для Google Chrome: У Лаборатории Касперского кроме утилиты Kaspersky Virus Removal Tool 2011 есть специальный образ диска Kaspersky Rescue Disk 10 для особо тяжёлых случаев заражения.Ну, а Dr.Web после регистрации даёт ссылку на скачивание дистрибутива Лечащей утилиты Dr.Web CureIt! Эх, маркетологи, у людей трагедия - вирус завёлся, а вы всё персональные данные собираете...Спасибо, что хоть набор Аптечка сисадмина не требует регистрации.Ещё можно воспользоваться бесплатными антивирусами от AVG (http://www.freeavg.com/), Avira (http://www.avira.com/ru/avira-free-antivirus), Comodo (http://www.comodo.com/home/internet-security/antivirus.php), Emsisoft (http://www.emsisoft.com/en/) или другими на ваш вкус, помня при этом, что их бесплатные версии ограничены по функционалу, но для разовой проверки вполне подойдут.Наконец, никто не мешает скачать мало пока известный в России бесплатный полнофункциональный (отсутствуют в основном корпоративные функции) FortiClient.Картинка: http://d.foto.radikal.ru/0606/4103e30e6ba6.jpg</di

  • 26 Июля 2011 » Комментарий на Разработку единой государственной информационной системы обеспечения транспортной безопасности передадут другому органу
    Разработку единой государственной информационной системы обеспечения транспортной безопасности передадут другому органу. Согласно поправкам разработчиком единой государственной информационной системы обеспечения транспортной безопасности является уполномоченный Правительством РФ федеральный орган исполнительной власти. Ранее этим занималось Минкомсвязи России. Необходимость передачи полномочий по разработке указанной системы иному органу обусловлена следующим. Достигнутый уровень работы Минкомсвязи России уже не соответствует полномочиям этого министерства. Требуется организовать взаимодействие Росжелдора, Росавтодора, Росавиации, Росморречфлота и Ространснадзора с федеральными органами исполнительной власти (в том числе с МВД России и ФСБ России), заинтересованными в получении информации о персональных данных пассажиров. А тут как раз утечка данных о пассажирских билетах. Как вовремя! Статья 11. Информационное обеспечение в области транспортной безопасности 1. ...создается единая государственная информационная система обеспечения транспортной безопасности, являющаяся собственностью Российской Федерации. 2. Информационная система, указанная в части 1 настоящей статьи, состоит в том числе из автоматизированных централизованных баз персональных данных о пассажирах. </div> Источник: Федеральный закон от 18 июля 2011 г. N 221-ФЗ "О внесении изменения в часть 1 статьи 11 Федерального закона "О транспортной безопасности". </div> </div>

  • 26 Июля 2011 » А как зовут вашу собаку?
    Мы уже привыкли к тому, что специалисты в области информационной безопасности регулярно призывают всех использовать надёжные пароли. Многие он-лайн сервисы вводят ограничение на простоту пароля, публикуют рекомендации по выбору правильных и т.п. Вместе с тем, нередко мы забываем, что даже самый надёжный пароль может не уберечь ту же личную переписку от тех, от кого вы хотели бы её скрыть. Метод полного перебора рано или поздно приносит результат, но, во-первых, он всё же слишком затратен по времени (если, конечно, не используется пароль из четырёх цифр или словарное слово), а во-вторых, адекватные сайты защищают своих пользователей от таких грубых приёмов взлома. Чтобы узнать пароль, гораздо эффективнее поставить вам клавиатурного шпиона, правда, это сделать достаточно не просто, особенно если нет физического доступа к ноутбуку/компьютеру, да и для той же iOS клавиатурных шпионов пока что-то не видно. Однако, есть и другие способы. Если пароль не получается узнать, то можно просто его сбросить. Любой почтовый сервис предлагает такую опцию, вот только “правильные” почтовики отправляют СМС или выслают сообщение для восстановления пароля на другой почтовый ящик, а обыкновенные ограничиваются стандартными секретными вопросами вроде “девичья фамилия матери”. Конечно, в случае смены пароля сам пользователь в свой ящик зайти уже не сумеет и кинется пароль восстанавливать. Но, как ни странно, некоторые пользователи вообще могут решить, что это какой-то сбой и ничего страшного не произошло, так и не узнав о факте взлома. Пропаганда надёжных паролей может создать иллюзию защищённости - раз пароль длинный, то я в безопасности. Так что советую проверить, каким образом можно попасть в ваш почтовый ящик, не зная пароля. Такой ли уж секретный ваш секретный вопрос? Действительно ли никто другой не знает ответа на него? Очевидно ведь, что переписываться в тайне от жены с любовницей, а в качестве вопроса для сброса пароля ставить “Как зовут вашу собаку?”, - не самый дальновидный поступок. Картинка: http://www.ezdunska.pl/images/stories/Labrador.jpg

  • 25 Июля 2011 » Бесплатный SpamBayes оказался эффективнее IronPort
    Не так давно уже рассказывал о низкой эффективности корпоративного IronPort в деле защиты от спама. Созерцание заваленного после отпуска навязчивой рекламой почтового ящика побудило найти решение проблемы.Имеющийся FortiClient, как сообщили разработчики, с Outlook 2010 пока не работает (что крайне неприятно, ведь из-за антиспам модуля я как раз недавно и заказал себе платную версию), поэтому стал искать бесплатные продукты, способные помочь.На удивление, решение нашлось и очень быстро: SpamBayes Outlook Plugin. Не буду в деталях описывать программу, т.к. она проста и удобна в использовании - большого труда в ней разобраться не составит.Общее впечатление: "на пять с плюсом". Работает тихо и незаметно, после небольшого обучения практически не ошибается. IronPort же пропускает до 14% (!) спамовых сообщений.<a href="http://4.bp.blogspot.com/-LXy_R7uk1SY/Ti06g6R3AqI/AAAAAAAAAIo/LblQVRWshWM/s1600/%25D1%2581%25D1%2582%25D0%25B0%25D1%2582%25D0%25B8%25D1%2581%25D1%2582%25D0%25B8%25D0%25BA%25D0%25B0.png" imag

  • 25 Июля 2011 » Статья Expert.ru
    Закон «О персональных данных» вешает новые вериги на бизнес и создает новый рынок для структур, близких к ФСБ. Совет Федерации принял закон «О внесении изменений в Федеральный закон “О персональных данных”». Сенаторы поддержали закон, несмотря на протесты экспертов в области информационной безопасности, Ассоциации российских банков и Ассоциации региональных операторов связи. Сам закон вступил в силу в январе 2007 года, но не весь. Заблокирована была статья 19, вводящая драконовские меры в отношении всех организаций, имеющих хоть какое-то касательство к персональным данным (ПД). А под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», то есть это и цвет глаз, и размер ноги, и номер сотового телефона, и сексуальная ориентация, и данные о здоровье, и членство в партиях. Согласно закону, госкомпании и частные фирмы должны были взять с каждого человека подписку, что он не против обработки своих ПД, а компьютер, где находятся эти ПД, защитить специальным софтом, аттестовать как минимум трех специалистов и т. д. (многие из мер не прописаны в законе, а были потом введены подзаконными актами ФСБ и Федеральной службы по техническому и экспортному контролю, ФСТЭК). Закон касается около 7 млн организаций — частных фирм, госкомпаний, поликлиник, детсадов. Хорошая статья. Не такая подробная, как посты коллег на эту тематику, но зато более обзорная и завершённая. Источник: Новая модель угроз - Expert.ru Изображение: http://blog.magiaworld.org.ru/wp-content/uploads/2008/03/20080311_9.JPG