Свежие посты   По годам   По датам
  • 12 Августа 2011 » Второй исход из социальных сетей
    Несколько лет назад, поставив простой эксперимент в Одоклассниках (о сути при случае расскажу), я пришёл в ужас от слабой защищённости своей личной информации от посторонних. В результате осознания масштабов проблемы полностью удалил свой профиль и закрыл для себя тему социальных сетей на некоторое время.Не берусь сказать сколько точно времени спустя, но завёл-таки себе страничку в Моём круге, социальной сети, как мне тогда казалось, для поиска работы и общения с коллегами. Затем друзья затащили ВКонтакт. Практически сам собой опять появился профиль в Одноклассниках. Наконец, в этом году Facebook вообще позволил взглянуть на общение в социальных сетях по новому. Ведь как здорово ставить "лайки", комментировать сообщения друзей, делиться интересными ссылками, отмечать понравившееся видео на YouTube... Не так давно меня по-дружески попросили собрать информацию об одном человеке. Так как нас с ним разделяло более тысячи километров, а времени особо не было, то естественно, я решил воспользоваться мощнейшими средствами современных поисковых систем и никуда не ездить. Благо, что ФИО субъекта было достаточно редкое (скажем, Владимир Викторович Одновзвод). Место работы, телефон, фотография, адрес электронной почты, отзывы клиентов... Всё нашлось по мановению волшебной палочки за пару десятков минут. Параллельно был определён полный состав семьи и обнаружены источники ещё более детальной информации о детях субъекта. В итоге в отчёт пришлось даже вставлять далеко не всё обнаруженное. Подавляющее большинство информации было получено, как все уже догадались, из социальных сетей. Хочу отметить, что мой сбор информации был исключительно пассивным - я просто анализировал результаты того, что проиндексировали поисковики и просматривал размещённую самими людьми информацию о самих же себе. Простейшие методы социальной инженерии позволили бы собрать ещё больше деталей и фактов. В ходе этой работы на языке у меня постоянно вертелась присказка "сапожник без сапог". Ведь вся информация обо мне точно так же равномерным слоем размазана по жёстким дискам крупных датацентров по всему миру! А самое нелепое, что размазана-то мной самим и добровольно! Никто ведь не заставлял всему миру называть свою родную школу или сообщать, что я люблю видеоролики с котами. Всё сам. Пятый роман Фёдора Михайловича Достоевского, да и только. Сейчас все мои странички в социальных сетях пусты (если не считать перепостов с этого блога и моего сайта), а на большинстве и вовсе указан псевдоним вместо реальных ФИО. Но на душе всё равно не спокойно. В Соединённых Штатах Америки действует правило Миранды, согласно которому подозреваемому перед допросом зачитывают его права (помните же, в фильмах: «Вы имеете право хранить молчание. Всё, что вы скажете, может и будет использовано против вас в суде»), а Михаил Юрьевич Емельянников отлично сформулировал новое правило, правило цифровой Миранды: «Всё, что вы указали о себе в социальной сети, блоге, форуме, чате, любом общедоступном сервисе, будет храниться там вечно и всегда может быть использовано против вас». Вот и сижу, опасаюсь, как бы чего не использовали... А вы всё ещё "лайкаете"?

  • 10 Августа 2011 » FeedBurner и отложенная запись
    Всем хорош приобретённый несколько лет назад Google сервис FeedBurner: и ошибки исправляет, и функционал добавляет, и статистику предоставляет… Вот только из-за особенностей его работы при попытке разместить в блоге на платформе Blogger сообщение с ненаступившей ещё датой публикации, сам Blogger его от пользователей скрывает, начиная показывать лишь в условленный час, а вот FeedBurner автоматом добавляет запись в ленту и делает  её доступной всем подписчикам. Жаль, но придётся отказаться от FeedBurner, несмотря на всю приятность. Изображение: http://ru.wikipedia.org/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:FeedBurner-Logo.png

  • 05 Августа 2011 » Который час в Италии?
    Полезный сайт detected. Можно не только узнать текущее время в любом уголке мира (ну, и разницу во времени, естественно), но и сгенерировать HTML-код для вставки себе на сайт часов этого самого уголка.

  • 04 Августа 2011 » Всего несколько секунд — и вы сможете продолжить поиск
    Первый раз такое встретилось. Первая мысль - не по следам ли недавних нашумевших поисковых утечек Яндекс ввёл новые правила? Оказалось - показалось. Есть посты на форумах про данный механизм как минимум в январе этого года. Наверное, у нас в компании сегодня просто активно поработали слишком много маркетологов и аналитиков, тщательно мониторящих онлайн ресурсы в сети Интернет, вот и превысили пороговое значение на количество запросов с одного IP-адреса за период времени.

  • 02 Августа 2011 » Сертифицированное будущее
    Принятие поправок в закон о персональных данных ФЗ-152 породило активное обсуждение нововведений. Вопросов много и один из них - обязательная сертификация средств защиты. Хороший анализ данного вопроса и активное обсуждение есть в блоге Алексея Волкова. Юристы у нас, что ни говори, зарплату получают не зря. Разобраться в хитросплетениях законодательства, разные составляющие которого принимались в разное время (я бы даже сказал в разные эпохи) и при разных обстоятельствах - дело не тривиальное. Вот только мне кажется, что на месте рядового оператора персональных данных при выборе средства защиты гораздо проще подстелить соломку сразу: купить сертифицированное и не думать. Не секрет, наверное, что наличие бумажки с гербом на проверяющих действует более положительно, нежели стопка вырезок из разных законов и умный юрист. Да и стоимость услуг юриста может оказаться дороже разницы в стоимости обычного продукта и “идеологически правильного”. Есть, правда, ещё исторически сложившаяся претензия к слабой функциональность отечественных средств защиты, а ведь именно они как правило “самые-самые сертифицированные”. Госчиновникам это часто не принципиально, а вот коммерсантам кроме “бумажной” защиты хочется и реальную иметь. Но, к счастью для таких, западные вендоры уже давно освоили процедуру сертификации своих изделий, и поштучно, и партиями, и даже производством, поэтому выбрать есть из чего. Не все ещё, конечно, вендоры, но многие. А тем, кто пока не успел, лучше поторопиться, пока рынок не поделили без них. Хотя, думаю, они и сами это прекрасно понимают. В общем, и без того не маленький файлик на сайте ФСТЭК явно начнёт прибавлять в размере в самое ближайшее время: Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00.

  • 28 Июля 2011 » В полку токенов прибыло
    Компания Fortinet, являющаяся мировым лидером в сегменте UTM-устройств, славится тем, что все технологии стремится разрабатывать самостоятельно, отказываясь от лицензирования сторонних решений в составе своих продуктов. Ещё один принцип развития компании - постоянное расширение продуктового портфеля: FortiGate, FortiMail, FortiManager, FortiAnalyzer и т.д. вплоть до FortiFone. Теперь вот дошла очередь и до токенов. Пока в модельном ряде представлен только FortiToken-200, являющийся генератором одноразовых паролей (OTP - one time password) с синхронизацией по времени (раз в минуту генерируется новый пароль как на самом устройстве, так и на проверяющей стороне). Сфера применений достаточно широкая: аутентификация при построении IPSec или SSL VPN, безопасный доступ к Web-порталу или двухфакторная аутентификация администраторов устройств FortGate. Что мне особо понравилось в устройстве - так это его высокая степень защищённости IP68, а именно: полная защита от пыли и защита от долговременного погружения в воду, а также наличие кнопки включения экрана. Данная кнопка позволяет экономить батарейку, включая экран только в нужный пользователю момент. У конкурирующих продуктов экран обычно работает всё время, даже когда сотрудник, например, в отпуске или спит. Есть, правда, ещё устройства с синхронизацией по событиям: в них генерация секретного значения происходит только по нажатию клавиши, а не постоянно с заданной периодичностью, но такие устройства при определённых обстоятельствах могут быть рассинхронизированы с сервером, что не всегда удобно. О стоимости FortiToken пока не сообщается.

  • 27 Июля 2011 » Демотиваторы.ру о принятии поправок к ФЗ-152
    Поправки к закону ФЗ-152 приняли. Но, надежда на лучшее пока жива. Алексей Лукацкий После нашего второго письма в сторону Президента с просьбой не пересылать его по подведомственности в Минкомсвязь в адрес «пяти экспертов» посыпались звонки из Минкомсвязи с просьбой разъяснить, что происходит и почему в Минкомсвязь идет такой поток запросов из Администрации Президента. Мы пояснили, что и как, и нас пригласили на встречу с целью обсуждения, как из обычных критиков законопроекта мы можем превратиться в экспертов, реально помогающих выполнить распоряжение Президента по ускорению решения вопроса с законодательством по персданным. Евгений Царёв Уже не секрет, что своими действиями (начиная с письма президенту), мы с вами, уважаемые коллеги, сумели привлечь внимание к проблеме чиновников из Минкомсвязи. Нас (Пять экспертов) на прошлой неделе пригласили на встречу, на которой сообщили, что закон подписан и ничего изменить мы не можем, с ним придется жить. Однако, работа над законом будет продолжена и нам предложили присоединиться этой работе. Понятное дело, дорога будет долгой и непростой. Однако, формальные общественные организации так и не проявили интерес к происходящему. Чтож, если они не желают заниматься ключевой проблемой современного ИБ в России, придется нам вести эту работу самим. Алексей Волков Помните старую притчу про двух лягушек, попавших в кувшин с молоком? Мы впятером, как та лягушка, все еще продолжаем барахтаться в надежде хоть как-то исправить патовую ситуацию. Правда, субстанция, в которой приходится находиться, по цвету и запаху на молоко совсем не похожа, но это ничего - мы привыкши :) На прошлой неделе представитель "подписантов" ходил на смотрины в Минкомсвязь. Главное, что удалось сделать - договориться о дальнейшем сотрудничестве при подготовке подзаконных актов. Мы, как всегда, ратовали за публичность и открытость процесса разработки "подзаконников", но на первом этапе коллеги из Минкомсвязи попросили подготовить предложения по внесению изменений в законодательство с учетом принятия поправок к 152-ФЗ.

  • 27 Июля 2011 » Кто тут у меня завёлся?
    Если вдруг возникли подозрения, что ваш пароль от почты стал достоянием общественности посторонних, то пароль лучше сразу же поменять, вот только не стоит делать это со своего компьютера до полной его проверки на отсутствие посторонних вредоносных программ.Кто знает, быть может причиной взлома послужил троян? Прежде всего, конечно, нужно обновить свой текущий антивирус и выполнить полную проверку, но не лишним будет воспользоваться и другими продуктами, благо, что многие вендоры предлагают бесплатные утилиты для проверки компьютера на вирусы.Приведу краткий обзор ссылок на подобные утилиты. Panda Security предлагает ActiveScan 2.0 - решение для проверки на вирусы онлайн (требуется Internet Explore или Firefox): Компания ESET 32 хоть и называет свою утилиту ESET Online Scanner, на деле предлагает скачать небольшой инсталлятор: BitDefender ("Битдефендер") предлагает сверхбыстрый QuickScan, у которого есть даже отдельный плагин для Google Chrome: У Лаборатории Касперского кроме утилиты Kaspersky Virus Removal Tool 2011 есть специальный образ диска Kaspersky Rescue Disk 10 для особо тяжёлых случаев заражения.Ну, а Dr.Web после регистрации даёт ссылку на скачивание дистрибутива Лечащей утилиты Dr.Web CureIt! Эх, маркетологи, у людей трагедия - вирус завёлся, а вы всё персональные данные собираете...Спасибо, что хоть набор Аптечка сисадмина не требует регистрации.Ещё можно воспользоваться бесплатными антивирусами от AVG (http://www.freeavg.com/), Avira (http://www.avira.com/ru/avira-free-antivirus), Comodo (http://www.comodo.com/home/internet-security/antivirus.php), Emsisoft (http://www.emsisoft.com/en/) или другими на ваш вкус, помня при этом, что их бесплатные версии ограничены по функционалу, но для разовой проверки вполне подойдут.Наконец, никто не мешает скачать мало пока известный в России бесплатный полнофункциональный (отсутствуют в основном корпоративные функции) FortiClient.Картинка: http://d.foto.radikal.ru/0606/4103e30e6ba6.jpg</di

  • 26 Июля 2011 » Комментарий на Разработку единой государственной информационной системы обеспечения транспортной безопасности передадут другому органу
    Разработку единой государственной информационной системы обеспечения транспортной безопасности передадут другому органу. Согласно поправкам разработчиком единой государственной информационной системы обеспечения транспортной безопасности является уполномоченный Правительством РФ федеральный орган исполнительной власти. Ранее этим занималось Минкомсвязи России. Необходимость передачи полномочий по разработке указанной системы иному органу обусловлена следующим. Достигнутый уровень работы Минкомсвязи России уже не соответствует полномочиям этого министерства. Требуется организовать взаимодействие Росжелдора, Росавтодора, Росавиации, Росморречфлота и Ространснадзора с федеральными органами исполнительной власти (в том числе с МВД России и ФСБ России), заинтересованными в получении информации о персональных данных пассажиров. А тут как раз утечка данных о пассажирских билетах. Как вовремя! Статья 11. Информационное обеспечение в области транспортной безопасности 1. ...создается единая государственная информационная система обеспечения транспортной безопасности, являющаяся собственностью Российской Федерации. 2. Информационная система, указанная в части 1 настоящей статьи, состоит в том числе из автоматизированных централизованных баз персональных данных о пассажирах. </div> Источник: Федеральный закон от 18 июля 2011 г. N 221-ФЗ "О внесении изменения в часть 1 статьи 11 Федерального закона "О транспортной безопасности". </div> </div>

  • 26 Июля 2011 » А как зовут вашу собаку?
    Мы уже привыкли к тому, что специалисты в области информационной безопасности регулярно призывают всех использовать надёжные пароли. Многие он-лайн сервисы вводят ограничение на простоту пароля, публикуют рекомендации по выбору правильных и т.п. Вместе с тем, нередко мы забываем, что даже самый надёжный пароль может не уберечь ту же личную переписку от тех, от кого вы хотели бы её скрыть. Метод полного перебора рано или поздно приносит результат, но, во-первых, он всё же слишком затратен по времени (если, конечно, не используется пароль из четырёх цифр или словарное слово), а во-вторых, адекватные сайты защищают своих пользователей от таких грубых приёмов взлома. Чтобы узнать пароль, гораздо эффективнее поставить вам клавиатурного шпиона, правда, это сделать достаточно не просто, особенно если нет физического доступа к ноутбуку/компьютеру, да и для той же iOS клавиатурных шпионов пока что-то не видно. Однако, есть и другие способы. Если пароль не получается узнать, то можно просто его сбросить. Любой почтовый сервис предлагает такую опцию, вот только “правильные” почтовики отправляют СМС или выслают сообщение для восстановления пароля на другой почтовый ящик, а обыкновенные ограничиваются стандартными секретными вопросами вроде “девичья фамилия матери”. Конечно, в случае смены пароля сам пользователь в свой ящик зайти уже не сумеет и кинется пароль восстанавливать. Но, как ни странно, некоторые пользователи вообще могут решить, что это какой-то сбой и ничего страшного не произошло, так и не узнав о факте взлома. Пропаганда надёжных паролей может создать иллюзию защищённости - раз пароль длинный, то я в безопасности. Так что советую проверить, каким образом можно попасть в ваш почтовый ящик, не зная пароля. Такой ли уж секретный ваш секретный вопрос? Действительно ли никто другой не знает ответа на него? Очевидно ведь, что переписываться в тайне от жены с любовницей, а в качестве вопроса для сброса пароля ставить “Как зовут вашу собаку?”, - не самый дальновидный поступок. Картинка: http://www.ezdunska.pl/images/stories/Labrador.jpg